Il faut savoir se préparer au pire : s’il ne fallait retenir qu’un élément saillant du discours de Vincent Strubel, le nouveau directeur générale de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), ce serait probablement celui-ci. Nous l’avons rencontré aux Assises de la cybersécurité à Monaco ce 11 octobre. Le cyber-pompier français a encore dû faire face, cette année, à des situations critiques avec notamment plusieurs attaques contre les établissements de santé. Vincent Strubel nous explique les mesures prises pour gérer ces situations.
Numerama — Des hôpitaux en France (Vittel et Neufchateau) ont subi des cyberattaques au début du mois d’octobre. Où en-est-on aujourd’hui dans la sécurisation des établissements de santé ?
Vincent Strubel — Les hôpitaux continuent à être ciblés, et le seront encore à l’avenir. Les cybercriminels ne cherchent pas spécifiquement à attaquer nos établissements, mais ils profitent de vulnérabilités ou de fuites, et par malchance, ils tombent parfois sur nos centres hospitaliers. Entre nous, il ne faut pas être un bon businessman pour attaquer un hôpital, puisque celui-ci ne paiera jamais la rançon.
Aujourd’hui, l’objectif est, a minima, de continuer à soigner les patients après une cyberattaque. Un établissement de santé « à plat » peut prendre des mois sans pouvoir proposer une offre de soin normale. Grâce au plan de relance, on a pu travailler sur de nombreuses mesures pour sauvegarder les bases de données, conserver les fichiers médicaux, détecter et sauver le plus possible en cas d’attaque, etc. On imagine mal le nombre de données qu’accumule un hôpital, et c’est un vaste chantier qui vous attend pour tout restaurer après une attaque. La cyberattaque peut toujours survenir, mais on évite aujourd’hui que l’hôpital sombre dans « une apocalypse » où la vie des malades seraient en danger.
L’ANSSI a récemment publié un mémo sur un groupe de cybercriminels responsables de la cyberattaque contre l’hôpital de Brest. Est-ce qu’à l’avenir l’agence cherchera à publier un « catalogue » des collectifs de hackers ?
Analyser le mode opératoire a toujours été le cœur de notre métier. On veut avoir une connaissance fine de leur méthodologie. Cela permet d’anticiper le prochain coup et nourrir l’enquête afin de poursuivre en justice ou au moins attribuer.
Quant à la communication, on doit faire un arbitrage subtil entre ce que l’on peut révéler et les informations que l’on doit dissimuler. On ne peut tout dévoiler aux cybercriminels, ces derniers risqueraient de changer entièrement leur mode opératoire.
À partir de nos travaux, on sait que certains groupes visent plus l’Europe que d’autres, même si cela dépend des périodes et de nombreux autres facteurs. Un groupe tel que Lockbit est un business mondial, une franchise utilisée par de nombreux cybercriminels. L’arrestation d’un hacker ne mènera pas à la chute de l’entreprise et nous devons travailler continuellement sur un malware régulièrement mis à jour et utilisé par de nombreux individus.
Le déploiement d’un filtre anti-arnaque est débattu en ce moment à l’Assemblée nationale. Quel sera le rôle de l’ANSSI dans ce dispositif ?
On touche à des sujets sensibles lorsque l’on veut déployer un tel filtre, puisqu’il s’agit de bloquer l’accès à des sites que l’on considère dangereux. Cela mérite donc un débat politique et une base légale solide pour prendre de telles mesures. L’ANSSI fera partie des administrations qui pourront alimenter ce futur filtrage. Des noms de domaine que l’on repère pourront être intégrés dans le dispositif. On a tous reçu les fameux SMS, par exemple. Une fois détecté, on pourra rapidement mettre en commun nos travaux avec un opérateur et éviter au plus vite que des personnes tombent dans le piège
Nouveauté : Découvrez
La meilleure expérience de Numerama, sans publicité,
+ riche,
+ zen,
+ exclusive.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !
