Face à l’augmentation des cyberattaques, comment protéger efficacement votre entreprise ? Dans ce nouvel épisode de notre podcast "Safe & Sound", Jérôme Notin, Directeur général de Cybermalveillance.gouv.fr, partage des conseils précieux pour anticiper les risques, sensibiliser vos équipes et réagir en cas de crise. Avec des outils comme 17Cyber.gouv.fr, un guichet unique gratuit et disponible 24/7, il propose des solutions concrètes pour accompagner les TPE/PME et collectivités dans leur lutte contre les cybermenaces.
Depuis 2017, Jérôme Notin dirige Cybermalveillance.gouv.fr, une plateforme nationale qui soutient les victimes de cyberattaques tout en sensibilisant les entreprises et les collectivités aux enjeux de la cybersécurité. Dans cet épisode, il partage son expertise pour mieux comprendre :
Focus sur 17Cyber.gouv.fr : une solution à portée de clic
L’un des sujets phares de cet épisode est 17Cyber.gouv.fr, un guichet unique gratuit, accessible à toute heure, pour signaler et trouver des solutions en cas de cyberattaque. Une ressource indispensable pour les dirigeants souvent démunis face à ces menaces.
Pourquoi écouter “Safe & Sound” ?
📌 Durée de l’épisode : 30 à 45 minutes
🎧 Écoutez-le sur : Ausha | Spotify | Apple Podcast
Transcription complète de l’épisode
Jérôme Notin · Directeur général de Cybermalveillance.gouv.fr
Ce qui est très inquiétant, ce sont les ranches logicielles pour les entreprises. L’intelligence artificielle permet d’hyper-indice réaliser des choses qui étaient plus compliquées par avant.
Etienne Espirac, Safe & Sound
Pour ce nouvel épisode de Safe & Sound, nous sommes allés à la rencontre de Jérôme Notin, directeur général de cybermalveillance.gouv.fr. C’est l’entité… qui a pour mission d’assister les particuliers, les entreprises, les associations, les collectivités ou encore les administrations victimes de cybermalveillance, mais aussi de les sensibiliser aux risques cyber, de les informer sur les menaces numériques et qui leur donnent surtout les moyens de s’en protéger. Vous écoutez Safe & Sound, le nouveau podcast dédié à la cybersécurité de CYBIAH, un programme coordonné par le Campus Cyber, cofinancé par la région Île-de-France et l’Union européenne. Il offre un accompagnement en sécurité numérique entièrement pris en charge pour les entreprises les acteurs de l’économie sociale et solidaire, ainsi que les collectivités franciliennes. Pour renforcer la sécurité de vos systèmes et bénéficier de cet accompagnement personnalisé, rendez-vous sur cybiah.eu. Ce podcast est produit en partenariat avec le catalyseur de l’innovation et de l’entrepreneuriat de Paris-Ouest La Défense. Cet épisode est réalisé par l’agence Jeff. Bonjour. Bonjour M. Notin. Merci beaucoup de nous recevoir aujourd’hui dans cet épisode. Pour commencer cette interview, pouvez-vous vous présenter en quelques mots, nous en dire un peu plus sur votre parcours et comment on devient directeur général de Cybermalveillance.gouv.fr ?
Jérôme Notin · Directeur général de Cybermalveillance.gouv.fr
Mon parcours est assez atypique. Aujourd’hui, je suis un agent de la fonction publique, mais j’ai travaillé pendant une vingtaine d’années dans le privé. J’ai eu la chance de connaître l’ancien directeur général de l’ANSSI, M. Guillaume Poupard, un grand monsieur dans tous les sens du terme, qui un jour m’a dit Écoute, on a un projet au sein de l’ANSSI et n’hésite pas. pas à regarder la fiche de poste ça pourrait t’intéresser donc j’ai toujours eu la fibre du service public même si comme je l’ai dit je viens du privé et de pouvoir rejoindre cette magnifique maison qu’est l’ANSSI en 2015 2016 était une opportunité de carrière assez extraordinaire donc voilà j’ai parcours un peu atypique puisque beaucoup de gens du public ensuite terminent leur carrière dans le privé moi c’est l’inverse en tout cas j’espère que je continuerai longtemps à oeuvrer pour cybermalveillance.gouv.fr et pour le service public en général
Etienne Espirac · Safe & Sound
Vous êtes arrivé au sein de cybermalveillance.gouv.fr dès sa création en 2017 ?
Jérôme Notin · Directeur général de Cybermalveillance.gouv.fr
Alors je suis effectivement arrivé en 2016 à l’ANSSI en tant que préfigurateur, c’était mon titre, préfigurateur du dispositif national d’assistance aux victimes d’actes de cybermalveillance. Imaginez la signature des mails, elle est un petit peu longue. Mais l’idée c’était ça, c’était de dire, il y a une feuille de route qui était proposée puisqu’il y a eu une annonce en 2015 à travers la stratégie nationale de sécurité du numérique qui disait il faut un machin. un machin qui était appelé à l’époque dispositif national d’assistance. Et il faut créer ça. À l’issue de cette annonce, il y a eu un groupe de travail interministériel qui s’est mis en place et qui a remis des propositions en avril 2016. Et moi, j’ai intégré l’ANSSI, ça tombait bien, en mai 2016. Et j’en ai fait cette feuille de route. Et donc, les missions de notre dispositif, notre raison d’être, sont issues de cette annonce dans un premier temps et ensuite de ces travaux du groupe interministériel.
Etienne Espirac · Safe & Sound
Quelles sont les missions, justement, la raison d’être avant tout de Cybermalveillance.gouv.fr ?
Jérôme Notin · Directeur général de Cybermalveillance.gouv.fr
Trois missions, trois publics. Les missions, une mission d’assistance, vous l’avez deviné avec le nom de la préfiguration et le nom de notre dispositif aujourd’hui. Donc quand on est victime de cybermalveillance, soit on tape dans un moteur de recherche ce qu’on est capable de caractériser et on devrait tomber sur l’article qui répond à cette menace. Je suis une entreprise victime de rançon JCL, je tape les mots-clés qui vont bien et je vais tomber sur l’article chez nous. Je suis une collectivité dont le site web a été défiguré, idem, où je suis un particulier, par exemple, victime de la fraude à la réparation informatique. Et puis, ce que avaient voulu nos géniteurs, puisqu’on a été incubé par l’ANSSI en copilotage avec le ministère de l’Intérieur, on a beaucoup travaillé dès le premier jour, évidemment avec l’ANSSI, mais aussi avec le ministère de l’Intérieur, c’était qu’on puisse proposer une mise en relation, enfin un parcours d’assistance, pardon, qui allait aboutir à potentiellement une mise en relation. Donc le parcours d’assistance, depuis le premier jour sur la plateforme, On est capable de poser quelques questions aux différentes victimes. La première des questions étant, est-ce que vous êtes un particulier d’une entreprise ou d’une collectivité, puisqu’on adapte les parcours en fonction du profil. Et donc en 3, 4, 5, 6 questions, on est capable de qualifier la menace, de poser un diagnostic, d’expliquer à la victime ce qu’elle vit, et de donner des conseils. Et pour certaines menaces, celles qu’on a considérées comme techniques, de proposer une mise en relation avec un prestataire de proximité qui va l’accompagner. On a 1200 prestataires, ensuite on a créé un label, on aura peut-être l’occasion d’en reparler. Donc là c’est la première mission. La deuxième mission est une mission de prévention, je vais être plus rapide. Mais là aussi depuis le premier jour on publie beaucoup, on crée beaucoup de contenu qui a vocation à prévenir le risque cyber. Et puis une troisième mission, qui est une mission d’observation de la menace, justement qui nous permet d’adapter tant nos parcours que nos contenus de prévention.
Etienne Espirac · Safe & Sound
D’ailleurs, j’invite tous les auditeurs à faire un tour sur cybermalveillance.gouv.fr. Vous y retrouverez l’état de la menace, qui est publié annuellement, si je ne dis pas de bêtises.
Jérôme Notin · Directeur général de Cybermalveillance.gouv.fr
Dans notre rapport d’activité,
Etienne Espirac · Safe & Sound
tout à fait. Exactement, et le rapport d’activité beaucoup plus long et complet que vous retrouvez aussi sur le site. Et de quelle manière vous parlez de sensibilisation ? vous adresser les particuliers, les entreprises, qu’elles soient des PME ou des grands groupes, ainsi que les collectivités ?
Jérôme Notin · Directeur général de Cybermalveillance.gouv.fr
Par la production de contenu. On a une forme juridique un petit peu particulière. Justement, cette fameuse stratégie disait le dispositif devra adopter une forme juridique qui permette l’implication du public et du privé. L’État seul ne peut pas tout faire. Le privé a des vocations commerciales et c’est tout à fait logique et normal. Il n’a pas forcément un intérêt en première intention à investir du temps et des ressources sur quelque chose qui ne va pas directement lui rapporter de l’argent. Par contre, de mettre autour de la table et plus généralement au sein d’un dispositif, tant du public que du privé, ça fait des choses assez extraordinaires, je pense, je l’assume en tout cas ce que je viens de dire. Ça fait donc par exemple le groupement de l’intérêt public que nous portons aujourd’hui et qui est en capacité avec des représentants des victimes, des représentants des syndicats, des prestataires, des acteurs privés, des gens de chez nous, de produire du contenu qui ensuite sont diffusés. On a différents exemples. J’anticipe peut-être sur des questions que vous vouliez me poser, mais on a un dispositif que j’apprécie énormément, c’est Alerte Cyber. Alerte Cyber, c’est un jour le MEDEF qui vient nous voir en nous disant, voilà, on a du mal, on sait qu’il y a des vulnérabilités qui sont importantes, pour certaines en tout cas, qui peuvent toucher nos adhérents, et on a du mal à communiquer auprès d’eux. Donc est-ce qu’on n’a pas un dispositif à imaginer ensemble ? Et ça a donné donc Alerte Cyber. C’est un peu le modèle de l’alerte-enlèvement. Alors Alerte Cyber, c’est… Nous qui faisons de la veille, et l’ANSSI qui fait évidemment également beaucoup de veille, quand on détecte une vulnérabilité qui répond à quatre critères, le premier qui est un score de dangerosité élevé, le deuxième qui est exploité, le troisième qui touche, et c’est là où on a toujours un petit peu plus de discussion, mais qui touche potentiellement beaucoup d’utilisateurs, on ne va pas faire une alerte sur un firmware d’un téléviseur qui est très peu utilisé, c’est plutôt des systèmes d’exploitation ou des… des logiciels de messagerie par exemple. Et puis quatrième et dernier critère, lorsqu’il y a une solution, l’idée ce n’est pas de dire vous allez tous mourir, c’est d’écrire le problème et d’apporter la solution. Donc voilà, quand une vulnérabilité répond à ces quatre critères, et bien en 24-48 heures, avec l’ANSSI, on fait quelques allers-retours et on produit un gabarit qu’on a collectivement validé en amont dès les premiers jours de l’opération. Donc on rédige l’alerte et ensuite on a le MEDEF qui l’a… qui distribue à l’ensemble de ses adhérents. On a la CPME qui la distribue à l’ensemble de ses adhérents, l’UDEP, par exemple, les artisans, et puis l’Association des maires de France qui le diffuse auprès des collectivités. Toutes ces structures-là, ce sont des membres de notre GIP. Donc voilà, cette capacité, c’est un exemple. Mais nous, on produit en interne, pour le coup, avec l’ANSSI, le contenu. Et derrière, s’y diffusait potentiellement 3 millions d’entreprises françaises et 35 000 collectivités et quelques.
Etienne Espirac · Safe & Sound
Et également aux téléspectateurs de BFM Business, si je ne dis pas de BFM Business.
Jérôme Notin · Directeur général de Cybermalveillance.gouv.fr
Bien vu, bravo, belle actualité. Assez récemment, on a noué un partenariat avec BFM Business où on a des bandeaux. Là encore, on se rapproche encore plus du modèle d’alerte enlèvement, même s’il faut relativiser bien évidemment par rapport à ce qui peut être dramatique pour des familles. Mais en attendant, voilà, ce n’est pas interdit de reprendre ce modèle parce que ça fonctionne et qu’il y a un vrai enjeu, il y a un vrai enjeu pour ces entreprises. Quand on décide de détonner notre alerte enlèvement, c’est qu’il y a un vrai sujet en face pour les entreprises et la résilience de celles-ci au niveau national.
Etienne Espirac · Safe & Sound
Il y a presque une question de souveraineté économique derrière.
Jérôme Notin · Directeur général de Cybermalveillance.gouv.fr
Souveraineté économique, tout à fait. On a, avec Guillaume, qui était par ailleurs président du GIP, on avait coutume de dire, il avait coutume, et j’ai beaucoup repris comme souvent, ce qu’il pouvait dire, que si on avait 10% des entreprises des PME françaises qui étaient au tapis d’une manière générale, mais potentiellement du fait d’une attaque cyber. On avait un problème de sécurité nationale. On l’a vu pendant, je ne vais pas vous faire l’histoire, mais certains confinements et certaines difficultés d’approvisionnement des gros acteurs, ils sont évidemment très dépendants de leur chaîne d’approvisionnement et certaines peuvent être critiques et derrière poser des problèmes sur des chaînes de production de structures qu’on pensait solides et résilientes. Oui,
Etienne Espirac · Safe & Sound
parce que derrière nos grands industriels, on a des milliers, voire des millions de TPE, PME qui œuvrent au quotidien.
Jérôme Notin · Directeur général de Cybermalveillance.gouv.fr
Tout à fait.
Etienne Espirac · Safe & Sound
Quel est votre rapport avec l’ANSSI, justement ? Puisque pour le grand public, il y a deux acteurs, je pense, qui sont imperceptibles. C’est l’ANSSI, cybermalveillance.gouv.fr. Comment vous travaillez avec eux ?
Jérôme Notin · Directeur général de Cybermalveillance.gouv.fr
Alors, on a été créé par l’ANSSI, justement. Je partage tout à fait votre question, les propos de votre question. C’est qu’on est très complémentaires. On a été créé par l’ANSSI pour traiter des publics qu’ils ne traitent pas. Alors, je vous ai dit, on a attribué sur trois missions, trois publics. Je n’ai pas rappelé les publics, je vais le faire ici. Donc les particuliers, l’ensemble des particuliers. officiellement, selon notre convention constitutive qui dispose qu’on adresse toutes les entreprises et toutes les collectivités, mais bon, un gros opérateur, évidemment, s’il a un problème sur l’aspect remédiation, je n’entends pas la prévention, on peut intervenir, mais donc voilà, il va plutôt s’adresser à l’ANSSI. Donc voilà, pour être plus direct, on dit historiquement que toutes les structures qui sont régulées, on parle de loi, pour le coup, la loi de programmation militaire, il y a plusieurs années, avec les opérateurs d’importance vitale. la directive NIS avec les opérateurs de services essentiels, et sur cette année 2024, une transposition de la version 2 de la directive NIS qui va amener des opérateurs importants et des opérateurs essentiels. Donc voilà, tout ça, c’est du champ de l’Annecy. Et puis, sur l’aspect assistance, j’entends, et puis sur l’aspect… sur tout le reste, pardon, c’est potentiellement des victimes que nous sommes en capacité d’adresser. Après, je reviens un peu sur ce que je disais, sur les aspects prévention, moi je suis… très heureux quand à l’occasion de différents salons, événements ou autres, nous avons des opérateurs d’importance vitale qui viennent nous voir et qui disent, ah bah vos contenus ils sont géniaux, je les ai repris en interne, puisque évidemment là pour le coup, tout est RSSI, puisque ces grosses structures ont des RSSI, ce qui n’est évidemment pas le cas pour les PME, mais ces RSSI dans ces grosses structures ont une obligation de sensibilisation et de prévention du risque cyber des collaborateurs de la structure, donc ils reprennent nos contenus qui sont sous licence ouverte, donc ils peuvent rajouter par exemple le logo… de leur structure ou à l’endroit du document, une chaîne, un numéro de téléphone, un contact, un mail, éventuellement pour remonter des alertes SSI internes. Donc voilà, ils utilisent nos produits et nos contenus et on est très heureux de ça parce qu’on le fait pour ça.
Etienne Espirac · Safe & Sound
D’ailleurs, j’invite, puisque je sais qu’il y a beaucoup de chefs d’entreprise, de startups qui nous écoutent, à regarder ces contenus, j’insiste, et à les diffuser à vos équipes. Le risque vient souvent de l’humain. pas que, mais il vient aussi de l’humain, c’est une porte d’entrée, et les contenus de cybermalveillance permettent de venir prévenir certains risques qui sont évidents mais pas toujours adressés.
Jérôme Notin · Directeur général de Cybermalveillance.gouv.fr
Tout à fait, on a des contenus qui sont sous forme statique, j’ai évoqué les PDF par exemple, mais on a aussi, et on peut nous demander les sources pour adapter justement ça à la structure locale, mais on a aussi des petites vidéos, on s’est même risqué, et a priori ça a été plutôt pas mal fait, sur des vidéos un petit peu humoristiques, on a décliné pour les collectivités, pour le coup, les fables de La Fontaine, on a aussi… des petites vidéos qui incitent les structures à se faire accompagner par des prestataires, plutôt les petites structures, mais des prestataires qui sont labellisés pour les aspects sécurisation de leur système d’information. Parce qu’on a souvent des entreprises, des PME, TPE, voire des ETI, qui disent Ok, moi j’ai compris que je dois me sécuriser, mais je ne sais pas comment faire. Donc l’ANSSI va qualifier les produits avec lesquels on peut se sécuriser. Donc voilà, il y a l’aspect technique, les outils techniques, mais il y a aussi… la nécessité d’avoir des prestataires qui vont aller déployer et bien configurer, évidemment, ces solutions-là. Donc ça, ce sont les prestataires experts cyber. S’il y a certains de nos auditeurs qui veulent challenger des prestataires, ils n’ont qu’à aller, entre guillemets, sur sécurisation.cybermalveillance.gouv.fr. Là, ils décrivent en quelques clics le projet de sécurisation qu’ils ont, une infra interne, un site web, un IPBX, par exemple, ou voir des machines, des postes de travail. Et on va proposer une mise en relation avec des prestataires labellisés, charge ensuite aux clients potentiels de les challenger justement sur les aspects tarifaires, planning et autres.
Etienne Espirac · Safe & Sound
Ce qui permet effectivement de bénéficier d’un environnement numérique qui soit sécurisé, de préserver l’intégrité de ces systèmes d’information, si malgré tout l’attaque a lieu. On a interviewé justement ce sujet Fabrice Billot, qui est le chef de la BLDC, la brigade de lutte contre la cybercriminalité, qui nous disait surtout ne supprimez pas tout. On a besoin de pouvoir enquêter derrière. Vous, quelles sont vos recommandations en cas de cyberattaque ?
Jérôme Notin · Directeur général de Cybermalveillance.gouv.fr
Alors, effectivement, il y a la nécessité de remettre dans bon fonctionnement rapidement le système d’information. Mais il y a aussi la nécessité, et ça c’est très citoyen, de la conservation de la preuve numérique. Les enquêteurs, ils ont besoin d’éléments techniques qui vont permettre potentiellement d’identifier les auteurs, de faire cesser l’infraction. Donc, c’est fondamental. Je reviens un peu sur la… le message de l’ABL2C, mais qu’on partage évidemment. C’est fondamental que, peut-être pas dans un premier temps, mais que les victimes, si elles ont la garantie que la preuve est bien conservée, aillent déposer plainte. On n’a pas du tout, tout le monde peut être victime de cybermalgéance, donc il n’y a pas de honte à avoir été victime de cybermalgéance. Donc ça, c’est plutôt sur l’aspect un petit peu temps long, et puis sur le temps court, si elle n’a pas cette entreprise ou ce professionnel dans son entourage, un prestataire en capacité de l’aider, elle va chez nous, Elle qualifie la menace, à travers le parcours que je décrivais tout à l’heure, et si jamais c’est une menace que nous avons considérée comme technique, mais bon, c’est de la défi, du ronçon judiciaire, des choses malheureusement assez classiques, et bien là on va lui proposer un prestataire soit référencé, soit labellisé, qui va permettre de l’accompagner sur la remédiation technique, et puis également sur la conservation de la preuve numérique. On publie un petit peu de contenu à destination de nos professionnels, justement pour essayer de les accompagner sur une élévation de leur propre niveau, et le premier contenu qu’on a vu… en 2017 ou 2018, c’était comment on conserve la preuve numérique pour que l’enquêteur ou les enquêteurs derrière puissent potentiellement identifier les auteurs.
Etienne Espirac · Safe & Sound
Justement, il ne faut pas avoir peur, en plus, quand on est une entreprise, je pense, de vous solliciter. De mémoire, c’est 260 000 requêtes chaque année qui sont formulées auprès de Cybermalveillance.gouv.fr. Aujourd’hui, vous, en tant que directeur général, quelles sont les menaces qui sont prédominantes ? Quelles sont celles qui ont le vent en poupe si je puis dire et au contraire celles qui commencent à disparaître ?
Jérôme Notin · Directeur général de Cybermalveillance.gouv.fr
Alors malheureusement, il y en a peu qui disparaissent. Elles peuvent changer de forme parce que les temps que ça marche, que ce soit sur l’ensemble des publics… Les gens d’en face, ils vont continuer à le faire. En général, c’est pour, en tout cas, nos publics, plutôt des raisons financières. Donc, il y a du business, on continue. Peut-être que d’autres sont plus rentables. Mais historiquement, l’hameçonnage, depuis plusieurs années, l’hameçonnage sur l’ensemble des publics, c’est quelque chose qui est très prégnant. Une évolution, c’est qu’il y a encore plusieurs années, c’était uniquement, ou en tout cas, très majoritairement par mail. Aujourd’hui, c’est beaucoup, beaucoup par SMS. Qui n’a pas reçu de SMS disant que vous êtes… je suis l’entaille et vous devez cliquer ici pour payer les 35 euros, mise à jour de la carte vitale, le colis qui ne rentre pas, ça c’est la dernière tendance, le colis qui ne rentre pas dans la boîte aux lettres, il faut cliquer pour livraison et repayer 2 ou 3 euros. Sauf que derrière, là où vous saisissez votre numéro de carte bancaire, il va être réutilisé, revendu à d’autres, puisque ce sont vraiment des mafias qui sont très organisés, certains dans la vente d’outils techniques, ensuite d’autres dans l’exploitation, par exemple pour des kits d’hameçonnage, d’autres pour… récupérer de la data et qui vont rendre à d’autres qui vont faire par exemple la fraude aux faux conseillers bancaires donc si vous saisissez votre numéro de carte soyez certain que sous quelques jours vous allez être rappelé on va vous dire à mon pauvre monsieur ma pauvre dame vous êtes victime bien d’escroquerie sur internet il y a des opérations fraudule sur votre compte mais ne vous inquiétez pas on va annuler tout ça est en fait en donnant les codes valider les transactions et on va vous siphonner votre compte bancaire donc voilà ça c’est plutôt pour les particuliers et puis va toujours ce qui est très inquiétant c’est Ce sont les rançons JCL pour les entreprises. Sur l’année dernière, c’était la troisième position. Donc sur cette année 2023, on avait 16,6% des parcours d’assistance qui concernaient des entreprises qui étaient victimes, en tout cas pour les profils d’entreprise, qui étaient victimes de rançons JCL. Et ça représentait une augmentation par rapport à 2022 de plus 8%. Donc le rançon JCL, ça a des conséquences fondamentales pour une entreprise. Elle est bloquée, elle ne peut plus livrer, commander. Il y a des risques psychologiques pour les salariés qui vont essayer d’identifier qui est à l’origine. Il n’y a pas forcément une erreur humaine. C’était peut-être un système pas mis à jour ou autre. Donc voilà, c’est très compliqué. Mais pour avoir plus de détails, je vous invite à vous rendre sur notre rapport d’activité que vous avez cité tout à l’heure, où vous avez tous les chiffres, profil de victime par profil de victime.
Etienne Espirac · Safe & Sound
Et dans ce dit rapport, vous parlez de la menace de l’intelligence artificielle. Enfin, pas forcément de la menace, mais en tout cas de l’émergence de l’intelligence. de l’intelligence artificielle et des intelligences artificielles. Est-ce que c’est game changer ? Est-ce que ça va impacter de manière profonde les cyberattaques ? Ou au final, c’est un outil comme un autre et ça ne change pas la nature de la menace ?
Jérôme Notin · Directeur général de Cybermalveillance.gouv.fr
Les cybercriminels n’ont pas attendu l’intelligence artificielle pour être innovants, pour créer. L’intelligence artificielle permet, à date, ça peut évoluer demain avec des nouveaux cas d’usage, mais… permet d’hyper-industrialiser des choses qui étaient plus compliquées par avant. Donc oui, on peut redouter un usage de l’intelligence artificielle par les cybercriminels. À date, on n’a pas de cas identifiés sur le territoire national. Les médias se sont fait écho à l’étranger, de vols de quelques dizaines de millions d’euros par des deepfakes vidéo, par exemple, par l’armée coprésident ou l’équivalent. Mais voilà, encore aujourd’hui, on n’a pas identifié de cas avérés d’usage de l’intelligence artificielle. pour monter des attaques extrêmement évoluées. On peut imaginer que ce soit utilisé, par exemple, pour faire des attaques à bas bruit et très basse techniquement, comme de l’hameçonnage avec des fautes d’orthographe qui n’existent plus grâce à l’IA. Pareil, ce n’est pas très compliqué. Déjà avec d’autres outils, des messages qui avaient plutôt de faute d’orthographe. Mais voilà, je ressynthétise un peu mon propos. Oui, on peut redouter, mais il n’y a pas de cas avérés selon nous aujourd’hui en France.
Etienne Espirac · Safe & Sound
Oui. Comme les commerciaux qui automatisent l’envoi de mails sur LinkedIn, c’est à peu près le même usage qui est fait de la part des cybercriminels.
Jérôme Notin · Directeur général de Cybermalveillance.gouv.fr
Oui, et puis alors, j’ai découvert peu sous peu que certaines boîtes, je ne sais pas s’ils utilisent l’IA ou pas, mais effectivement, hyper industrialisent l’envoi de spam, mais bon, c’est un autre sujet.
Etienne Espirac · Safe & Sound
Les spams qui ne rentrent pas dans le cadre de la cybermenace ?
Jérôme Notin · Directeur général de Cybermalveillance.gouv.fr
Le spam, non. Si c’est de l’hameçonnage à des fins crapuleuses, oui.
Etienne Espirac · Safe & Sound
Avons-nous… conscience quand je dis on sait les chefs d’entreprise les salariés tous les actifs français de l’importance de la menace et de son renforcement les dernières années ces dernières années quand on va de votre rapport c’est criant l’évolution des attaques fin du moins Ces zines qui vous sont formulées, des requêtes qui vous sont formulées,
Jérôme Notin · Directeur général de Cybermalveillance.gouv.fr
Est-ce qu’on en a conscience ? On a fait une étude sur le niveau de maturité des collectivités. On est en train de faire la même chose pour les entreprises. Donc je vais transposer ce qui a été décelé par cette étude des collectivités vers les entreprises. Mais je pense que je ne me trompe pas beaucoup. Il y a une grande majorité des chefs d’entreprise ou en tout cas des élus dans les collectivités qui considèrent qu’ils ont entendu parler de la menace, mais pourquoi nous ? Pourquoi nous serions une cible ? Et ça, c’est une grave erreur parce qu’on sait que les cybercriminels, ils vont pêcher Ausha et que c’est celui, le petit poisson, qui aura fait la bêtise, qui n’aura pas fait sa mise à jour, qui aura mal configuré un équipement de sécurité, qui va domber dans ses filets. Et donc, un élu dans une collectivité, il considère par exemple, et c’est la même chose, je pense, pour certains chefs d’entreprise, qu’il n’a pas forcément beaucoup d’argent et qu’il ne va pas être victime d’un rançongiciel parce qu’il ne sera pas en capacité de payer. Sauf qu’aujourd’hui, ce qui intéresse… Les cybercriminels, si je reste sur mon exemple du rançongiciel qui est très important, ce qui intéresse c’est aussi la donnée. C’est-à-dire qu’ils vont siphonner, ils vont copier, ils vont faire une violation de données de ce qui est détenu sur les infrastructures de la victime avant de faire le chiffrement. Et ces données, ils vont les revendre à d’autres qui, par exemple, vont en faire un usage pour de l’hameçonnage très ciblé. Et si vous recevez un message qui vous dit vous êtes bien tel, né à tel endroit, votre adresse c’est ça, votre coefficient familial c’est ça et vous avez fait ça, vous allez être beaucoup plus enclin à tomber dans le panneau. Donc il y a encore, malheureusement, pour certains en tout cas, et les chiffres nous seront donnés j’espère par les thunes, une non prise en compte de cette menace cyber. Je dis bien menace parce que ça veut dire qu’on a des gens en face de nous, des gens qui sont prêts à nous attaquer par rapport à ça. Donc le problème c’est que quand on n’a pas pris conscience de la menace, on ne va pas s’en prémunir. Donc voilà, nous on essaye avec nos adhérents, avec l’ensemble de l’écosystème, d’expliquer sans être anxiogène. Mais aujourd’hui… De toute façon, vous êtes un utilisateur d’outils numériques. Il faut bien vous dire qu’il y a des gens qui ne sont pas des gens gentils. On a appris aux enfants à traverser dans la rue, à regarder avant de traverser. On n’a pas forcément appris à tout le monde à faire un bon usage des outils numériques. Donc c’est pour ça qu’avec nos membres, comme je le disais tout à l’heure, on essaye au maximum de produire du contenu pour donner les bonnes pratiques.
Etienne Espirac · Safe & Sound
Yann Bonnet nous parlait, donc Yann Bonnet qui est le directeur général adjoint de Campus Cyber. nous parler d’hygiène numérique. Et le terme, je trouve, est parlant.
Jérôme Notin · Directeur général de Cybermalveillance.gouv.fr
Il y a un ancien de l’ANSSI. À l’ANSSI, on parle d’hygiène numérique depuis très longtemps. Effectivement, il y a un concept. Des bons réflexes, des bonnes pratiques. Ça ne coûte pas très cher de se sécuriser. C’est ça qu’il faut comprendre aussi. Si je peux vous prendre une autre image, c’est l’image des cambrioleurs dans les groupements de gendarmerie. Un jour, je discutais avec un patron du groupement de gendarmerie. Il m’expliquait tout naturellement que Lui, il voulait juste être meilleur que ses petits copains, les autres commandants de groupement, les gendarmeries, les départements d’à côté, pour envoyer les cambriolages chez eux. Je lui dis, tu n’es quand même pas très sympa pour tes collègues, il dit, mais si, parce que si tout le monde fait ça, on renforce nos mesures de protection physique contre le cambriage, on va rendre plus difficile les attaques, les cambriages par les méchants, et plus on rend difficile, plus ils vont commettre d’erreurs, et plus on va potentiellement les identifier. Et pourquoi je vous prends cet exemple ? C’est que nos amis britanniques… même avant le Brexit, avaient un concept, une doctrine publique qu’ils ont appelé Active Sabot Defense et qui avait vocation à dire ça, à dire que nous, collectivement, gouvernement britannique, administration britannique, on va être un petit peu meilleur que nos amis français, nos amis belges, nos amis espagnols, pour déporter la menace vers les autres pays. Donc on pourrait se dire que c’est très égoïste, mais non, en fait, c’est très vertueux, parce qu’on se doit tous, collectivement et individuellement, de faire cette… d’avoir cette approche.
Etienne Espirac · Safe & Sound
Pensez-vous que les récentes attaques qui ont été révélées au grand public et qui ont fait quand même beaucoup de bruit, je pense notamment à la Fédération française de football qui a été touchée, on a eu plusieurs mutuelles, hôpitaux, etc. Pensez-vous que ça, malheureusement, ou du moins que l’effet positif de ces attaques participe à faire prendre conscience que le risque est réel et que la question n’est plus de savoir si on va se faire attaquer, mais quand on va se faire attaquer.
Jérôme Notin · Directeur général de Cybermalveillance.gouv.fr
Oui et non. parce que, alors juste avant de vous répondre plus et de vous expliquer pourquoi, sur cybermalveillance.gouv.fr, à la demande du Parquet de Paris, on a hébergé depuis le début de l’année, là, trois lettres-plaintes. Effectivement, ça avait commencé par les prestataires de Mutuelle de Santé, après on a eu France Travail, ensuite on a eu la Fédération Française de Football, pour accompagner justement les victimes qui souhaitaient déposer plainte dans le cadre de cette violation de données. Ou et non, parce que les gens, comme je disais tout à l’heure, vont chercher un coupable, et là, le coupable, il est tout trouvé. Sauf que quand on creuse un petit peu, il n’y avait pas forcément tant de violations de données que ça. Donc on pourrait dire que ce sont que les gros qui sont attaqués, et moi, à titre individuel, eux n’ont pas su protéger la donnée que je leur ai transmise, mais moi je sais me protéger. Et donc, c’est toujours à double tranchant. Ce n’est pas parce que des gros sont attaqués que, bien évidemment, vous, vous n’allez pas vous faire attaquer.
Etienne Espirac · Safe & Sound
La menace qui vise les collectivités territoriales est-elle foncièrement différente de celle qui vise les entreprises ?
Jérôme Notin · Directeur général de Cybermalveillance.gouv.fr
Sur les entreprises, non. Évidemment, elles sont différentes entre celles qui sont à destination du grand public. Mais on parle, nous, assez fréquemment de public professionnel. Typiquement, 21% des parcours faits par les collectivités correspondaient à des attaques de rançon-gicelle. Donc on voit qu’ils ne sont pas forcément très éloignés des… des 16% concernant les entreprises.
Etienne Espirac · Safe & Sound
C’est une menace qui est assez homogène. Dès lors qu’on attaque un public professionnel, on a les mêmes intentions, ça se traduit par les mêmes outils.
Jérôme Notin · Directeur général de Cybermalveillance.gouv.fr
Et puis ce sont à peu près les mêmes systèmes d’information. Je parle à l’équivalent de taille. On ne va pas comparer évidemment une structure du CAC 40 avec une PME, avec une collectivité de 3000 habitants. Mais oui, avec peut-être un historique encore plus important dans nos collectivités de non-prisants. compte de ce risque cyber. Je parlais de l’exemple des maires tout à l’heure qui disaient, mais moi, collectivité, je n’ai pas d’argent, peut-être encore un peu plus que dans l’esprit de ces gens-là, que ça peut être dans l’esprit d’un chef d’entreprise. Donc, je n’ai pas d’argent, je ne pourrai pas jamais payer de rançon, donc ils ne vont pas m’attaquer. Bah si, ils vont vous attaquer parce que vous avez la donnée de vos administrés.
Etienne Espirac · Safe & Sound
Est-ce que ces collectivités qui sont attaquées, les collectivités, en plus, ça va de quelques milliers d’habitants administrés à plusieurs centaines ? Oui, voire quelques centaines, effectivement. Pareil pour les entreprises, on a des TPE où il y a un salarié, voire pas de salarié, des ETI où il y en a plusieurs centaines.
Jérôme Notin · Directeur général de Cybermalveillance.gouv.fr
Est-ce que ces entreprises dans la globalité ont l’habitude et ont pris le réflexe de se tourner vers vous ? Il y a encore un travail à fournir là-dessus ?
Etienne Espirac · Safe & Sound
Il y a encore un énorme travail à fournir. On fait, à la demande de notre ancien président et maintenu par notre nouveau président, l’actuel DG de l’ANSSI, Vincent Strubel, une étude sur le niveau de notoriété de notre dispositif, notoriété assistée, notoriété spontanée. En spontanée, on tourne entre 1 et 2% des gens qui sont capables de dire quel est le truc qu’on pouvait faire qui va vous aider quand vous êtes victime de cybermariance. Et en notoriété assistée… Je n’ai plus les chiffres précis en tête, mais on est de l’ordre de 20 ou 25%. C’est est-ce que vous connaissez ces dispositifs qui peuvent vous aider ? On est loin de l’ensemble des Français, que ce soit dans leurs usages persos ou leurs usages professionnels, qui nous connaissent. Donc ça fait partie des enjeux qu’on a au sein de notre dispositif, mais c’est très lié à nos moyens. Et on a des moyens qui sont quand même extrêmement restreints. On rêverait, d’ailleurs je parlais des recommandations tout à l’heure, 11 recommandations. La première des recos, c’était vous mettre en place des campagnes sur le modèle de la sécurité routière. Une campagne, le budget de la sécu, c’est 20 ou 30 millions, je crois, uniquement sur la communication. Nous, notre budget de fonctionnement, il est un peu plus de 2 millions d’euros. Donc, il faut qu’on paye, là, vous êtes chez nous, vous l’avez dit dans votre introduction, le loyer de nos bureaux, le salaire de certains agents, puisque d’autres sont mis à disposition par les ministères membres. J’ai parlé des structures privées, mais on a aussi tous les ministères, enfin, certains ministères qui sont… membres de notre dispositif et qui nous mettent le personnel à disposition. Tout ça pour vous dire qu’on a un budget qui est trop limité pour pouvoir réaliser ces fameuses campagnes. On rêverait de pouvoir faire de la prévention telle que la sécurité routière le fait. C’est un super boulot mais ils ont des moyens financiers pour ça que nous n’avons pas.
Jérôme Notin · Directeur général de Cybermalveillance.gouv.fr
Et pensez-vous que cela passe par adresser un public très jeune, les digitales natifs qui sont nés un smartphone à la main, grosso modo et comment on peut les adresser ces jeunes-là ?
Etienne Espirac · Safe & Sound
Alors c’est très intéressant de vous poser cette question parce qu’on a une actualité, il y a quelques semaines, nous avons fait avec l’éducation nationale sur une initiative, une idée originale du parquet de Paris. On a la chance d’avoir des magistrats qui sont spécialisés dans la cybercriminalité. Pareil, ils sont très peu nombreux, ils sont 5. Il y a 2 assistants spécialisés et 5 magistrats. Et donc, c’est la chef du parquet qui a eu l’idée de dire, il faut après le piratage des espaces numériques de travail, je ne sais pas si vous vous souvenez, il y a eu il y a quelques mois, enfin voilà. des vagues d’attaques importantes, jusqu’à ce que le ministère, en tout cas certaines collectivités plutôt, décide de fermer ces ENT. Donc voilà, on s’est dit, la chef du parquet a dit, il faut qu’on mène une action de prévention et de sensibilisation, donc on a mené une opération qu’on a appelée Cactus, et l’idée c’est qu’on a à travers les ENT de différentes collectivités, on a fait un démonstrateur, on espère qu’à la rentrée ça va se développer, on a fait envoyer des messages qui disaient, clique ici, tu auras des… des jeux gratuits et des cheats pour tricher. Et on a un taux de réussite d’un peu plus de 10% où on a ces collégiens sur les Yvelines et l’Académie de Rolais en Tour qui ont cliqué sur le lien et qui, au final, sont allés sur notre site où il y avait une vidéo avec un gendarme champion de e-sport et la magistrate que j’évoquais qui expliquait le projet, le processus et ont donné des conseils supplémentaires.
Jérôme Notin · Directeur général de Cybermalveillance.gouv.fr
C’était une version ludique de ce qu’on connaît dans les grands groupes avec les mails envoyés par le RSSI pour tester…
Etienne Espirac · Safe & Sound
C’est exactement ça, tout à fait. Et ça, on l’a fait avec très peu de moyens. Il y avait le mystère de l’intérieur à travers le comcybermi, il y avait la justice que j’ai évoquée, l’éducation nationale, évidemment, qui était très impliquée. Et puis nous-mêmes, on a fait… Je me mémoire, on a dû faire trois ou quatre réunions, il y a eu la production du film, et puis ça n’a pas coûté beaucoup d’argent à la collectivité. Je pense que les… L’impact est assez important.
Jérôme Notin · Directeur général de Cybermalveillance.gouv.fr
Pour cybermalveillance.gouv.fr, quels sont les projets qui vont structurer les prochains mois ?
Etienne Espirac · Safe & Sound
Il y a certaines incertitudes au niveau du gouvernement, mais il y a un projet sur lequel nous travaillons depuis un petit moment avec le ministère de l’Intérieur et historiquement au début l’ANSSI, qui est l’équivalent numérique du 17-Cyber. L’idée, c’est d’offrir, vous l’évoquiez tout à l’heure, la nécessité du dépôt de plainte en complément de la remédiation technique. d’avoir une plateforme guichet unique qui puisse permettre d’identifier les menaces, de qualifier, de voir les conseils, d’avoir une mise en relation avec un prestataire et en parallèle de se voir proposer en 24h sur 24, 7 jours sur 7, une mise en relation avec un policier et un gendarme qui va justement accompagner à cette judiciarisation. Donc c’est quelque chose qui devrait être lancé sous peu. Et puis il y a un autre sujet sur lequel… Nous avons également travaillé, c’est le filtre anti-arnaque. L’objectif est de pouvoir, sachant qu’on ne peut pas bloquer les emails ou les SMS d’hameçonnage qu’on évoquait tout à l’heure, techniquement c’est impossible de bloquer l’envoi et la réception. Par contre, on peut se mettre entre l’équipement de la victime qui cliquerait sur le lien. et puis le site frauduleux pour lui afficher un message. Donc là, on travaille avec Bercy pour la mise en place de ce filtre anti-arnaque.
Jérôme Notin · Directeur général de Cybermalveillance.gouv.fr
Si je comprends bien, ce filtre, il va analyser l’URL, grosso modo la requête, le site de destination, pour dire attention, là où tu vas, ce n’est pas bon. Il sera analysé, mais parce qu’il y aura une autorité administrative en amont qui aura validé le fait que le site soit malveillant. Tout à fait.
Etienne Espirac · Safe & Sound
Comment faire lorsque l’on voit la… rapidité, la capacité des attaquants à changer rapidement de nom de domaine, à changer rapidement de leur site web, etc. Est-ce qu’on risque pas d’être toujours un temps en retard ?
Jérôme Notin · Directeur général de Cybermalveillance.gouv.fr
Il y aura forcément toujours un petit peu de victimes, indéniablement. Maintenant, l’efficacité du dispositif va reposer entre autres sur la réactivité et l’hyperactivité des différentes autorités administratives qui seront nommées par décret dans l’application de la loi SREM. Et donc je suis assez confiant qu’elle soit en capacité d’identifier rapidement une masse non négligeable. Et un petit peu sur le modèle de l’Active Sabre Defense que j’évoquais tout à l’heure au décombriolage, si jamais ce dispositif permet déjà de bloquer nombre de cyberattaques, on peut en tout cas d’arnaque, on peut considérer que nos opposants, les criminels, vont peut-être essayer d’attaquer d’autres pays et charge à eux d’avoir la même approche que la France.
Etienne Espirac · Safe & Sound
Je me permets de revenir un peu en arrière. On a parlé de Yann Bonnet du campus cyber. Il héberge ce lieu qui est le totem de la cybersécurité, le dispositif CYBIAH, qui est un dispositif d’accompagnement des TPE, des PME en matière de cybersécurité. Pouvez-vous nous dire comment vous coopérez avec eux, avec le campus cyber, pour faire en sorte d’avoir cet espace de cybersécurité ?
Jérôme Notin · Directeur général de Cybermalveillance.gouv.fr
Nous sommes les heureux locataires d’un petit espace au sein du Campus Cyber puisque à l’étage de l’Annecy, il y a quelques postes à nous. On a des personnes qui utilisent les bureaux de passage qui sont mis à notre disposition. Donc on participe aussi un petit peu aux instants de gouvernance. Et puis CYBIAH, c’est quelque chose qui est en train d’être mis en place. Nous, on pense qu’on a une valeur ajoutée avec les prestataires labellisés que j’ai évoqués tout à l’heure. cartographier des prestataires dans les territoires et aussi l’Île-de-France en capacité d’accompagner les entreprises pour la sécurisation. Donc voilà, on travaille avec CYBIAH pour construire collectivement quelque chose d’intelligent ensemble.
Etienne Espirac · Safe & Sound
Oui, puisque l’œuvre de CYBIAH en fait, c’est d’aider et d’accompagner les entreprises des TPE-PME dans la recherche de solutions. Et là, vous, votre valeur ajoutée, c’est de dire, voilà tous les… prestataires labellisés qui répondent à ce besoin.
Jérôme Notin · Directeur général de Cybermalveillance.gouv.fr
Qui peuvent aller déployer les solutions de sécurité dans les entreprises du territoire.
Etienne Espirac · Safe & Sound
Donc aujourd’hui, ce qu’on voit et ce que je retiens, et je pense que ce sera pareil pour nos éditeurs, c’est qu’on a un vrai écosystème de la cybersécurité français qui est en train de se mettre en place. Est-ce qu’au final, on n’est pas devenu pionnier en la matière ? Est-ce qu’on n’est pas en Europe des bons élèves de la cybersécurité ?
Jérôme Notin · Directeur général de Cybermalveillance.gouv.fr
Alors le campus est reconnu au niveau international, beaucoup de délégations viennent visiter, essayer de comprendre le modèle, savoir si c’est des choses qu’ils peuvent mettre en place. Le campus c’est une idée du président qui était en déplacement à Beer Sheva, et donc on a repris le modèle israélien pour l’adapter au territoire national, mais je n’ai pas connaissance de beaucoup de pays qui ont un tel outil qui est à leur disposition. Et puis si je reviens sur notre dispositif, je ne peux pas vous donner le pays encore. parce qu’on n’a pas fait de communication, mais on est en train de finaliser un accord avec un pays qui va reprendre notre plateforme technique, donc qui qualifie la menace, qui permet une mise en relation avec les prestataires de proximité. Beaucoup d’outils n’apparaissent pas quand on va sur la plateforme, mais on a des chaînes de notification des prestataires, on regarde ceux qui sont éligibles en fonction de la menace du territoire, ce genre de choses. Et donc voilà, on est bien parti pour déployer notre outil technique. dans d’autres pays au niveau international. Et moi, en tant que citoyen français, je me réjouis du rayonnement qu’on pourrait permettre à travers ce type d’opération.
Etienne Espirac · Safe & Sound
C’est donc cocorico. C’est une excellente nouvelle que de voir que la France œuvre en la matière. Et pour clôturer cette interview, quels seraient justement les conseils que vous donneriez à nos auditeurs pour, dès aujourd’hui, là, en écoutant ce podcast, on éteint le téléphone, qu’est-ce qu’on met en place ? pour se protéger en matière cyber.
Jérôme Notin · Directeur général de Cybermalveillance.gouv.fr
On met en place des sauvegardes déconnectées parce que ça permet, quand on est victime de rances sociales, de récupérer ces données. Donc ça, c’est vraiment fondamental. Et puis, on fait ces mises à jour lorsqu’elles sont proposées. Souvent, on reporte les mises à jour, mais les mises à jour contiennent des correctifs de sécurité qui nous protègent des vulnérabilités, justement. Donc, avec quelques petites règles d’hygiène comme celle-ci, ou en tout cas, je ne clique pas sur n’importe quel SMS ou n’importe quel mail, on va être mieux protégé que ses voisins. Et on pourrait, si je reste sur mon concept d’active cyber defense, considérer que les attaquants vont plutôt aller voir notre voisin ou notre concurrent. parce que nous, on sera un petit peu mieux protégés. L’idée, ce n’est pas de monter un Fornox numérique, c’est bien d’être un petit peu mieux protégés que les autres.
Etienne Espirac · Safe & Sound
Merci beaucoup pour tout cet éclairage, M. Notin.
Jérôme Notin · Directeur général de Cybermalveillance.gouv.fr
Merci à vous. À bientôt.
Etienne Espirac · Safe & Sound
Si vous êtes une collectivité d’Île-de-France, à la tête d’une entreprise ou un acteur de l’économie sociale et solidaire, rendez-vous sur notre site cybiah.eu. En attendant, n’hésitez pas à vous abonner à ce podcast sur votre plateforme d’écoute préférée, à commenter, noter ce podcast, vos retours nous sont précieux. Également, nous suivre sur LinkedIn, @CYBIAH. C-Y-B-I-A-H. À très vite.
Publié le
Abonnez-vous à notre newsletter et recevez directement nos actualités dans votre boîte e-mail.
En partageant vos coordonnées, l’équipe de CYBIAH vous contactera pour vous accompagner dans votre projet de cybersécurité.
Désabonnement possible à tout moment.