Une expérience relatée par Challenges qui mérite quelque attention
Ingérences russes en France : les confessions explosives de l’ex-patron de l’Anssi
Par Adrien Schwyter le 06.06.2024 à 10h28Ecouter 6 min.
INTERVIEW – Avant les élections européennes de ce dimanche 9 juin, celui qui fut patron de la cyberdéfense française jusqu’en 2022, Guillaume Poupard, passé chez Docaposte, livre son expérience pour juguler les tentatives d’ingérences de la Russie en France.
Avant les élections européennes ce dimanche 9 juin, le patron de la cyberdéfense française jusqu’en 2022, Guillaume Poupard livre son expérience. AFP / ERIC PIERMONT
Détendu et souriant, Guillaume Poupard nous reçoit en ce printemps dans son bureau de Docaposte, à Ivry-sur-Seine. Directeur général adjoint du bras numérique de La Poste, l’ex-patron de l’Anssi (2014-2022) n’a pas choisi une demi-retraite dorée. « Cela aurait été plus facile paradoxalement de partir travailler pour un industriel cyber important à l’étranger, glisse-t-il. Mais cela aurait été renier mes valeurs. » Avec son nouveau poste, il doit construire une offre cloud de confiance pour les entreprises, si possible souveraine. Réellement. « Nous maîtrisons tout dans nos offres, c’est naturel. Alors lorsqu’on voit des acteurs américains vendre une offre souveraine en Europe, cela nous fait un peu bondir car c’est un peu faux. »
LIRE AUSSI« Cloud de confiance » : Google et Thales passent à l’attaque
Même s’il n’a pas, bien sûr, pu tout dire de son expérience au cœur de la machine Anssi, l’ex-patron de la cyberdéfense française, a répondu sans langue de bois, livrant son expérience, des MacronLeaks, au risque cyber pour les JO, en passant par l’épineux dossier de l’éditeur cyber Kaspersky.
Challenges – A la tête de l’Anssi, vous avez fait face à des ingérences cyber de puissances étrangères. La France a-t-elle tiré les leçons des MacronLeaks ?
Guillaume Poupard – Au risque de vous surprendre, je considère l’élection présidentielle de 2017 comme un succès. Nous avions suivi l’élection américaine de 2016 et, en tant qu’autorité nationale dépendant de l’exécutif, nous cherchions à nous tenir loin du sujet des élections. Mais, aidé par le Conseil constitutionnel, le Conseil d’Etat et des acteurs en charge de ces sujets, nous avons réussi a minima à faire de la sensibilisation. Le but était d’expliquer aux partis politiques ce qu’il s’était passé aux Etats-Unis (des ingérences russes dans la présidentielle, ndlr) et faire comprendre que cela pouvait aussi arriver en France. Nous leur avons aussi donné les conseils habituels, en sachant très bien qu’ils ne seraient pas suivis. Et nous avons communiqué avec les médias afin de préparer le terrain au cas où.
Pour l’anecdote, je voyais la date de l’élection arriver, et j’avais de plus en plus de personnes, y compris parmi mes chefs, qui venaient me voir en disant : ‘Tu nous as gonflés avec le risque cyber dans les élections, et il ne se passe rien.’ Or, j’avais conscience que si quelque chose devait se produire, ce serait à quelques heures du scrutin. C’est le bon moment pour attaquer. Le vendredi soir, juste après la fin de la campagne officiel. Et c’est exactement ce qu’il s’est passé. La vraie satisfaction, c’est que la première urgence, une bonne communication, a été bien respectée. Il n’y a plus que cela à faire. Il ne faut pas faire les erreurs classiques, reconnaître que oui on a été attaqué, oui il y a des données qui circulent, et on ne sait pas si elles sont légitimes ou non. Et attention car, évidemment, c’est une opération de manipulation.
LIRE AUSSICes gestes qui peuvent sauver votre entreprise en cas de cyberattaque
En 2021, la France a créé Viginum justement pour prévenir ce genre d’opérations. Une attaque cyber visant les élections européennes pourrait-elle se reproduire ?
Il faut être très modeste, bien sûr cela pourrait se reproduire. Les boîtes mails personnelles se hackent très facilement et les attaquants aujourd’hui sont encore plus motivés et agressifs. Mais l’effet de surprise a disparu. Une bonne partie de l’opinion publique a compris que le but était de les manipuler à travers ces opérations. À titre personnel, je pense que c’est la raison pour laquelle il n’y a rien eu lors de la dernière élection présidentielle. Il y a toujours des campagnes de désinformation, notamment sur les réseaux sociaux, mais il n’y a pas eu de débordements aussi marqués.
Quelle est la situation alors que les Jeux olympiques de Paris sont une cible de choix pour une attaque cyber ?
Personne ne dira : ‘Nous sommes tranquilles, tout va bien se passer.’ Ce qui fait le plus peur, toujours, ce sont les agents dormants. L’image, c’est que si des gens ont miné des ponts de la Seine, et que personne ne le sait, alors ce sera très dur de réagir. La seule manière de répondre à ce risque, c’est de travailler sur la prévention et la protection, qui font moins rêver les gens en général.
Pour les Jeux olympiques, le plus compliqué ce n’est pas le Cojo ou le CIO. Ce sont tous les acteurs autour, pas forcément les télécoms, les transports ou l’énergie qui sont bien protégés. Ce sont les acteurs qui deviennent ponctuellement critiques, et qui ne le sont plus après. Un lieu d’épreuve inhabituel, ce n’est en général pas un acteur avec une bonne protection cyber. Lors des Jeux d’hiver en Corée du Sud, l’attaque cyber réussi de la cérémonie d’ouverture a fonctionné grâce à la billetterie et aux écrans de diffusion. Le but n’était pas d’empêcher les sportifs de concourir, mais de perturber l’évènement. Un vrai effort a été réalisé afin de prévoir et prévenir tout ce qu’il était possible d’anticiper. Après la question est d’avoir une bonne capacité de détection et de réaction afin de bien réagir en cas d’attaque.
Peu après le début de la guerre en Ukraine en 2022, l’Anssi a procédé de manière inhabituelle à une mise en garde à propos de la société russe cyber Kaspersky. Pourquoi avoir ciblé cette entreprise ?
C’est une situation injuste probablement, et nous étions déçus de devoir alerter sur Kaspersky car ils sont bons, et repèrent souvent ce que des éditeurs cyber américains ou israéliens ne voient pas. Le but était surtout de dire aux acteurs du secteur : attention, il est possible que la Russie puisse utiliser Kaspersky pour son compte. Mais cela ne changeait pas grand-chose, car les gens sérieux l’avaient déjà pris en compte. L’élément nouveau était simplement de dire : nous pensons que Kaspersky ne peut plus être une solution d’avenir. Miser dessus devient une erreur. Certains s’en sont réjouis. Nous, nous étions plutôt malheureux de cela, mais il fallait être pragmatique.