Général Watin-Augouard : «Oui, on peut gagner !»

Inverser les choses, prendre de vitesse la cybercriminalité par la prévention à l’échelle internationale, c’est là que la bataille de la sécurité sur la Toile peut être remportée. La confiance de l’élu et de l’entrepreneur dans l’Etat et ses structures est essentielle.

Areva Jeumont , exemple du type d'entreprise "sensible" qui peut être victime d'une cyber attaque
Areva Jeumont , exemple du type d'entreprise "sensible" qui peut être victime d'une cyber attaque
D.R.

Le général Marc Wautin-Augouard, au cœur des problématiques nombreuses et complexes liées à la cybersécurité.

Le général d’armée Marc Watin-Augouard1 aura du grain à moudre lors de ce FIC tant le thème de la cybersécurité est porteur et actuel, au point de justifier des visites ministérielles, le 28 à 13h de Fleur Pèlerin, le 29 à 8h30 de J.-Y. Le Drian, puis à 13h de Manuel Vals.

 La Gazette. En quoi la Gendarmerie est-elle concernée par la cybersécurité ?

Marc Watin-Augouard. Elle est partie prenante de l’effort que l’Union européenne a demandé à Stockholm en matière de lutte contre la cybercriminalité, suivie par la Région Nord-Pas-de-Calais qui, dans son accompagnement d’une vraie stratégie industrielle régionale, voit la sécurisation de l’Internet comme un levier. Un programme est en route jusqu’en 2015 et la Gendarmerie nationale a lancé, pour son propre compte, le premier FIC dès 2007. C’est donc une initiative capitale qui permet aux représentants de 40 nations de témoigner de ce qui est et de ce qu’il faut faire pour se battre et, autant que possible, gagner la bataille. Ce salon ne cesse d’ailleurs d’attirer tous les acteurs, c’est un immense brassage de compétences révélées lors de tables rondes, débats et conférences. Il a connu des difficultés financières ; en 2011 et 2012 nous avons préféré prendre du recul et nous préparer à redémarrer dès 2013 avec de nouveaux partenaires comme EuraTechnologies, mais aussi beaucoup d’entreprises de toutes tailles. Nous sommes donc en train de pérenniser le FIC.

 Le FIC est-il juste un constat de la situation mondiale et française ou le départ d’actions, de programmes, d’intentions ?

 Sans le FIC, beaucoup ne sauraient pas très bien quoi entreprendre parce que la cybersécurité doit à la fois anticiper la cybercriminalité puis la combattre quand elle se montre. Il y a donc une double exigence : prévoir et s’organiser, puis réparer les dégâts en dénonçant les coupables. C’est d’une complexité renversante. Tout va très vite dans les agressions, toutes masquées. Si on n’avance pas groupés dans ce combat mondial, la dispersion nous sera fatale. Dieu merci, ça s’organise, et plutôt bien. Bien sûr, la Gendarmerie est, de nature intrinsèque, destinée à se mobiliser face aux attaques contre la France et ses différentes composantes. Mais l’entreprise, quelle que soit son activité − pas forcément stratégique −, devient une cible qui indirectement affaiblira le pays. Imaginez par exemple que les entreprises qui analysent et épurent l’eau courante soient immobilisées par un virus informatique, ou les transports aérien ou ferroviaire, etc. Identifier les agressions contre les entreprises est d’ailleurs pour nous un moyen très précieux de prévenir d’autres attaques plus larges. Le FIC dresse donc un état des lieux à l’échelle internationale. En écoutant nos amis européens ou autres, on vérifie nos déductions mais on apporte aussi des informations utiles. Et on peut examiner comment se grouper pour prévenir et riposter. Je note que ces échanges sont si intéressants qu’ils justifient le déplacement à Lille de trois ministres en deux jours ! Donc, l’Etat rejoint la Région et d’autres collectivités, ce qui prouve bien la nécessité de s’unir, de communiquer et de décider.

 Où en est cette fameuse cybercriminalité, et donc la cybersécurité qui doit en résulter ?

Il y a de tout ! Exemple, dans l’identification des agressions cela reste difficile. Il faut encore 416 jours pour prouver l’origine… Le criminel s’abrite derrière des réseaux, des pseudos, des adresses toujours changeantes. Bref, le Net permet un immense jeu de cache-cache qui demande beaucoup de temps et de moyens. Les réseaux sociaux jouent là un rôle perturbateur mais que dire du cloud et de ses échanges d’informations sur différents supports grand public ? On bavarde beaucoup trop et à tout propos… Les BYOD aggravent les choses2. C’est pour cela qu’il faut surtout insister sur la prévention sécuritaire qui, seule, permet en aval de se prémunir. C’est comme limiter la propagation des épidémies, à une différence près et de taille : la cybercriminalité peut être l’œuvre de votre collaborateur le plus proche, une “taupe” qui va agir sur ordre après de longues années d’immobilisme. Il faut donc prendre des mesures de protection systématiques et il n’en manque pas, qui, d’ailleurs, ne sont pas le plus souvent une question de grands moyens financiers mais de confiance et d’actions basiques toutes simples. Précisons tout de suite que l’Etat et les collectivités mais aussi des cabinets spécialisés apportent l’aide voulue, d’autant plus efficace qu’elle sera précoce. Donc, il ne faut surtout pas perdre de temps si, dans une administration ou une entreprise, un responsable a des doutes sur quelque chose qui ne fonctionne plus. Le temps perdu et la non-communication d’une anomalie jouent en faveur du saboteur ou de l’espion !

 Vous parlez souvent de la confiance comme facteur de sécurisation. Pourquoi ?

 Parce que l’on n’a pas le choix. L’agression a une longueur d’avance sur la réaction mais, grâce à la prévention systématique dans le public et le privé, on peut agir sur l’intention de nuire en amont. Dans les entreprises et les services administratifs, les ministères etc., il y a des mesures basiques à adopter. Mais on ne pourra jamais tout bloquer au nom de la sécurité ou alors l’Internet mourra. Donc, par élimination de toutes les solutions envisageables, il va rester le facteur humain qui revient ainsi au premier plan et il faut aux responsables de structures économiques ou administratives investir dans la connaissance minutieuse des hommes et des femmes en interne, mais aussi faire confiance à l’Etat et ses services pour s’emparer du problème. D’autre part, on peut former les gens aux méthodes de prévention.

 Peut-on vraiment gagner cette bataille ?

Tout à fait ! Pour l’instant, la cybercriminalité n’a pas tué mais on fait des simulations de telle façon à reprendre la main, l’initiative en se demandant : qu’est-ce qui sera nouveau demain dans les cyberattaques ? Les Chinois ont conservé leurs régiments de pigeons voyageurs… Comment l’interpréter ? Mais on peut gagner : 95% des attaques pourraient être évitées.

 1. Directeur du Centre de recherche, délégué Gendarmerie du FIC, ancien Saint-Cyrien, enseignant militaire. Il a commandé la région de gendarmerie Nord-Pas-de-Calais, la zone de défense Nord, le SIRPA gendarmerie, et été inspecteur général des Armées-Gendarmerie. 

2. BYOD : “Bring Your Own Device”. L’employeur paye la moitié du smartphone du salarié qui s’engage à l’utiliser aussi à des fins professionnelles, donc à véhiculer des données confidentielles de l’entreprise.