Auditionné, à huis clos le 13 avril dernier, au sujet du projet de loi de programmation militaire (LPM) pour les années 2024 à 2030, le général de division Aymeric Bonnemaison, commandant de la cyberdéfense, a décliné les grands axes de la stratégie de montée en puissance du Comcyber.
Pour sa troisième audition devant le Parlement depuis sa prise de fonction, en septembre 2022, le Comcyber constate un « développement d’attaques systémiques importantes », ayant notamment affecté l'Albanie et le Monténégro (et qui ont été « attribuées à des puissances étrangères »), ainsi que le Costa Rica, qui a dû déclarer l'état d'urgence parce que ses systèmes de santé et financier avaient été mis au tapis.
Si les acteurs sont « insaisissables et entremêlés (États, services de renseignement, criminels, activistes) », les modes d’attaque « présentent une sophistication croissante », les armes cyber prolifèrent, « non seulement sur le dark web, mais aussi par l’action de sociétés proposant le hacking comme un service, telles que NSO Group (Pegasus) », les attaques de la chaîne logistique (qui visent les sous-traitants des systèmes ciblés) « sont en forte progression », et les auteurs d’attaques « de plus en plus désinhibés ».
Le Comcyber a par ailleurs rappelé être principalement confronté à trois types d'attaques, relevant de :
- l'espionnage (« ce sont celles dont on parle le moins, car elles restent sous le radar et attaquent le plus souvent le monde économique et industriel, parfois des particuliers »),
- la déstabilisation via les réseaux sociaux (comme en Afrique francophone, ou lors des élections françaises et américaines), et
- les sabotages, fuites et reventes de données sensibles, de type rançongiciel, qui se développent « depuis 2019 » et qui « agissent sur deux plans : chiffrer les données et les rendre inaccessibles, ce qui neutralise le système ; les extraire et les revendre », double extorsion ayant elle-même tendance à se développer « dans la mesure où de plus en plus de sociétés font des sauvegardes de leurs données, elles paient moins pour les récupérer que pour en éviter la divulgation par les cybercriminels. »
Un périmètre composé de « 1 800 systèmes différents »
« La détection des menaces et des tactiques mises en œuvre est globalement placée sous la responsabilité de l’ANSSI », rappelle le Comcyber, qui peut cela dit être appelé à la rescousse « si elle est dépassée ou si elle a besoin de soutien ».
Il reconnaît à ce titre que ses adversaires « sont un peu moins menaçants pour moi que pour la société civile », qui est « un peu moins bien armée structurellement » que ne l'est le ministère des Armées :
« Je n’en ai pas moins affaire à des attaquants de très haut niveau, qui sont soit des cybercriminels, soit des services de renseignement ou encore des hacktivistes, les uns étant souvent liés aux autres. Ces attaquants prennent le temps nécessaire pour développer leurs attaques, usant de moyens potentiellement gigantesques pour investir les réseaux et trouver le maillon faible. »
