Arnaud Coustilliere (Pôle d'excellence cyber) "Sur le Dark Web, on observe une véritable structuration des attaques"
Arnaud Coustilliere est président du Pôle d'excellence cyber. Il revient sur l'évolution des procédés et des acteurs de la menace cyber. L'Amiral interviendra le 25 septembre à l'occasion de l'événement Free Pro Hubdate, en collaboration avec le JDN.
JDN. Pourriez-vous nous rappeler les missions du Pôle d'excellence cyber ?
Arnaud Coustilliere. Le pôle d'excellence cyber a été établi à Rennes pour plusieurs raisons. C'est là que se trouve l'arsenal du ministère des Armées avec la Délégation Générale pour l'Armement, ainsi que plusieurs entités militaires. L'un de nos objectifs était de ne pas disséminer les compétences à travers la France, mais de les concentrer en région parisienne et de créer un gros cluster à seulement 1h30 de Paris. Cela permet une flexibilité de travail entre Rennes et Paris.
Aujourd'hui, vous voyez s'implanter à Rennes le commandement cyber, représentant plusieurs milliers d'emplois du ministère des Armées. L'ANSSI y a également installé une antenne. Les grandes entreprises souhaitant travailler avec le ministère des Armées ont été amenées à ouvrir des structures cyber autour de Rennes. Au total, la région Bretagne et Rennes comptent environ 10 000 emplois dans la cybersécurité, ce qui en fait une région très dynamique dans ce domaine.
Le pôle n'a pas vocation à développer uniquement la Bretagne. Notre mission est de développer et d'appuyer la posture de cyberdéfense la plus régalienne en France, tout en l'aidant à s'exporter. Notre cible s'étend de la Bretagne vers l'Europe et le reste du monde, notamment en aidant à l'export vers Singapour, le Canada, le Proche et le Moyen-Orient. Ces marchés paraissent plus facilement accessibles pour les PME et les ETI que le marché européen, qui, bien qu'intéressant, est en réalité composé de 27 marchés différents avec autant de langues.
J'ai rejoint l'association quand j'ai quitté le ministère des Armées. Depuis 2021, j'en suis devenu le président, nommé conjointement par le ministère des Armées et la région Bretagne.
Quelles sont les nouvelles menaces cyber auxquelles l'hexagone est confronté ?
À partir des années 2010, nous avons décelé des opérations d'espionnage de grande envergure contre des entreprises françaises et des institutions politiques européennes. Nous étions face à une menace de dimension stratégique. Les révélations Snowden ont d'ailleurs montré l'ampleur de l'espionnage industriel pratiqué par la NSA.
Ce fond de menaces géopolitiques de haut niveau, où les Etats se menacent entre eux, continue d'exister. On l'a bien vu avec la Russie et lors des crises de 2017, où des malwares conçus pour le théâtre ukrainien, comme Petya et WannaCry, se sont propagés ailleurs. Ces incidents ont été traumatisants pour les DSI des grandes entreprises, car ils ont réalisé qu'on pouvait être victime sans être directement ciblé. Cela a complètement changé leur approche de la cybersécurité : au lieu de mettre à jour leurs systèmes en plusieurs mois, ils ont dû apprendre à le faire en une semaine.
Ensuite, nous avons vu émerger ce que Kaspersky avait prédit lors de sa tournée en France en 2015, quelques semaines avant l'affaire TV5 Monde. Kaspersky nous avait averti que les groupes mafieux étaient désormais capables de mener des opérations de sabotage, une capacité auparavant réservée aux États. C'est ce que nous avons vu exploser avec les cryptolockers et une certaine démocratisation de l'attaque informatique, devenue accessible à toute forme de criminalité organisée. Sur le Dark Web, on observe une véritable structuration des attaques : certains fournissent les adresses, d'autres garantissent le paiement, d'autres encore exécutent l'attaque. On assiste à une explosion de l'économie mafieuse, avec une complexité supplémentaire : les hackers ont souvent des liens avec leur pays d'origine, ce qui crée un mélange des genres entre leurs activités criminelles et d'éventuelles collaborations avec des services de renseignement.
Aujourd'hui, nous faisons face à une nouvelle étape : une démocratisation encore plus poussée grâce à l'intelligence artificielle. Cela ouvre la porte à de nouvelles menaces potentielles dont nous commençons à peine à mesurer l'ampleur.
Puisque vous l'évoquez, comment l'IA est-elle utilisée aujourd'hui par les attaquants d'un part et par les défenseurs d'autre part ?
L'intelligence artificielle, notamment l'IA générative, marque une nouvelle étape dans le domaine de la cybersécurité, et ce pour deux raisons principales.
D'une part, l'IA va être utilisée en défense. Elle permettra de gagner beaucoup de temps et d'automatiser de nombreux processus. D'autre part, elle offre aux attaquants, même ceux avec un faible niveau technique, la possibilité de concevoir des attaques de plus en plus sophistiquées. On assiste également à une explosion des fraudes, des arnaques au président, et de l'utilisation de fake news, de fausses images ou vidéos créées par l'IA. Par exemple, il est désormais possible de monter une fausse vidéoconférence sans garantie d'authenticité. Cela ouvre un champ presque infini de créativité pour les hackers.
Il faut comprendre que les hackers sont souvent des ingénieurs de haut niveau, aussi qualifiés que ceux qui défendent les systèmes, mais avec un état d'esprit plus créatif et imaginatif. La vraie difficulté face à la menace n'est pas de prédire exactement ce qui va se passer, car nous serons forcément surpris. Certaines attaques prévues se produiront, mais d'autres, totalement inattendues, surviendront également. Mon expérience m'a montré que tous les 4 à 6 mois, on fait face à une petite surprise stratégique en matière de cybersécurité.