Dans cet espace relativement restreint, où cohabitent une dizaine de postes de travail bardés d'écrans, arrivent de tout le territoire des signalements d'incidents de cybersécurité, analysés et triés par les permanenciers. "C'est un peu le 18 des pompiers, un numéro de téléphone ou une adresse mail (...) contactable n'importe quand pour signaler un incident informatique", explique François Deruty, le sous-directeur "opérations" de l'Anssi.
L'agence a plutôt vocation à veiller sur la sécurité des ministères, ou de grandes entreprises et organisations considérées comme importantes pour la sécurité nationale (énergie, transports, communications, santé...) mais n'importe quelle entreprise peut la joindre, explique-t-il. "On a environ 3.000 signalements d'incidents informatiques par an qui méritent d'être regardés", poursuit M. Deruty.
Ces incidents peuvent être des fausses alarmes, ou des incidents qui peuvent être traités avec de simples recommandations par téléphone. Mais certains sont plus graves et peuvent donner lieu à l'envoi d'une équipe d'experts de l'Anssi, ou à l'activation d'un PC de crise aux écrans marqués "confidentiel défense", situé juste à côté.
"Nous avons de 12 à 20 opérations de cyberdéfense par an", qui désignent le niveau d'opération le plus élevé, indique M. Deruty, qui dirige les 200 agents du service opérationnel de l'Anssi, sur 600 employés que compte l'agence.
L'attaque par rançongiciel qui a privé d'informatique pendant plusieurs jours le groupe d'ingénierie Altran en janvier 2019 a déclenché une opération de cyberdéfense, et l'envoi d'experts sur place pendant plusieurs jours. L'attaque par rançongiciel de l'industriel de l'agro-alimentaire Fleury-Michon, moins porteuse d'enjeu de sécurité nationale, a donné lieu "à un suivi du dossier et à des recommandations", mais "sans déplacement", selon M. Deruty.
Actes de destruction
La dernière fois que le PC de crise a été activé ? Le 8 décembre 2018, en pleine crise des gilets jaunes, lorsque les sites des ministères, défendus par l'Anssi, étaient pris pour cible par des hackers sympathisants du mouvement protestataire. L'Anssi doit faire face à "des menaces très variées", avec différents types d'attaquants "qui continuent de progresser", explique Guillaume Poupard, le
directeur général de l'Agence depuis cinq ans.
"Il y a le crime organisé qui investit massivement dans les attaques informatiques (...) On en a de plus en plus, elles sont de plus ciblées, avec des rançons de plus en plus élevées", décrit-il. Il y a aussi la menace d'espionnage, qui "n'a jamais été aussi forte".
Mais le risque "qui va beaucoup nous occuper dans les années à venir", c'est celui d'actes de destruction ou de sabotage via les réseaux, prévient-il. Selon le directeur général, autour de 10% des attaques constatées sur les grands réseaux actuellement ne correspondent ni à un geste crapuleux, ni à de l'espionnage: "ce sont des gens qui prennent pied dans les réseaux".
"L'hypothèse la plus probable, c'est que ce sont de grands services de grands Etats qui préparent des conflits numériques de demain (...) qui se prépositionnent" sur les réseaux informatiques de leurs adversaires potentiels, estime-t-il. "Le grand risque c'est de créer un monde numérique particulièrement instable. Si chaque service offensif commence à se positionner chez tout le monde, évidemment on est en train de créer un baril de poudre qui risque de provoquer des catastrophes", observe M. Poupard.
Un représentant de l'Anssi se trouvait la semaine dernière à New York avec l'ambassadeur français pour le numérique, Henri Verdier, pour participer aux discussions internationales sur les normes de comportement dans le cyberespace, qui visent à éviter des embrasements dramatiques, souligne-t-il.