3. L'espionnage via l'Internet des entreprises : le cas d'AREVA
Comme l'ont confirmé à votre rapporteur les représentants des administrations publiques en charge de la sécurité des systèmes d'information, les entreprises françaises sont aujourd'hui massivement victimes d'attaques informatiques non détectées , qui visent notamment à capturer des informations portant sur leurs dirigeants, leurs clients et leurs fournisseurs, leurs technologies ou encore leurs contrats ou leurs stratégies, notamment à l'export.
S'il n'existe pas de données chiffrées, tout laisse à penser que le préjudice subi par ces entreprises, et par voie de conséquence, sur l'économie française dans son ensemble, est considérable , tant en termes financiers et de parts de marchés, que d'emplois.
Certains indices, tels que le mode opératoire et les techniques utilisées, les secteurs d'activité auxquelles appartiennent les entreprises visées, laissent à penser que certaines attaques relèvent d'une stratégie ciblée , qui ne peut être l'oeuvre que d'organisations structurées, voire de services étatiques étrangers, à l'image de services de renseignements.
A cet égard, l'attaque informatique subie par le groupe AREVA, qui a été révélée par la presse, offre une bonne illustration des risques liés à l'espionnage informatique des entreprises.
Le 29 septembre 2011, le magazine L'Expansion a révélé, en effet, que le groupe nucléaire français AREVA avait été victime d'une attaque informatique de très grande ampleur 10 ( * ) .
Selon cet article, « ces intrusions n'étaient pas nouvelles. Elles dureraient depuis deux ans et ne toucheraient pas seulement la France, mais aussi les sites étrangers d'AREVA ». Il est indiqué que « des hackers auraient, durant ces deux dernières années, réussi à pénétrer le réseau informatique du groupe et à prendre le contrôle d'ordinateurs » . L'article évoque aussi « des préjudices sur le plan stratégique, ce qui pourrait signifier le vol de secrets industriels » . Enfin, l'auteur évoque dans son article « une origine asiatique » .
A la suite de la révélation de cette affaire, votre rapporteur s'est longuement entretenu avec les représentants du groupe AREVA. Ceux-ci ont présenté à votre rapporteur la manière dont cette attaque a été découverte et les mesures mises en place, avec l'aide de l'ANSSI, pour y faire face et renforcer la protection des systèmes d'information du groupe.
Comme cela arrive fréquemment dans ce type d'affaires, l'attaque a été décelée à partir d'un incident informatique relativement mineur - un « signal faible » disent les spécialistes - un informaticien ayant signalé un mouvement inhabituel et étrange sur le réseau de gestion.
La direction de l'entreprise a immédiatement saisi l'ANSSI et la direction centrale du renseignement intérieur, qui ont envoyé des équipes à la direction des systèmes d'information du groupe.
La forte implication personnelle des dirigeants du groupe a permis d'établir une relation de confiance et de confidentialité avec l'Etat et de manifester une forte volonté et autorité en matière de rétablissement des systèmes et de mesures de protection. En revanche, afin de ne pas éveiller les soupçons des attaquants et mettre en difficulté l'entreprise, il a été décidé de ne pas rendre publique cette intrusion.
La gestion de cette crise a ensuite suivi, à l'image de l'affaire de Bercy, une procédure en plusieurs étapes.
Dans une première phase , les équipes se sont attachées à analyser les caractéristiques de l'attaque et le comportement de l'attaquant. Ils ont ensuite repéré les machines infectées et ont préparé un plan de défense destiné à l'éradication de l'attaque et la reconstruction des composants affectés du système d'information.
Comme dans le cas de l'attaque informatique subie par le ministère de l'économie et des finances, il est apparu qu'AREVA avait été victime d'une intrusion informatique, menée grâce à un « cheval de Troie » , qui a permis aux attaquants d'accéder à des composants de type bureautique du système d'information.
En revanche, les systèmes industriels pilotant les activités sensibles des installations nucléaires n'ont pas été affectés, étant par ailleurs totalement isolés par conception et construction.
Lors d'une deuxième phase , minutieusement préparée, les équipes d'AREVA, de l'ANSSI et de prestataires privés ont procédé à un vaste plan d'assainissement de l'ensemble des systèmes d'information du groupe.
Au cours de cette phase simultanée à une opération de maintenance planifiée, il a été procédé à la mise en oeuvre d'un plan de renforcement de la sécurité des systèmes.
Dans les semaines qui ont suivi, des mesures de sécurité complémentaires de même nature que celles recommandées à Bercy ont été apportées. Elles ont entraîné une modification des habitudes des utilisateurs, mais la direction informatique du groupe, soutenue par sa hiérarchie, a su imposer les choix nécessaires.
Au total, le coût pour l'entreprise de cette opération d'assainissement et de reconfiguration d'une partie de son système d'information a été de l'ordre de plusieurs millions d'euros, sans prendre en compte le préjudice économique éventuel résultant du vol des informations.
Lors de leur entretien avec votre rapporteur, les représentants d'AREVA ont rendu hommage aux très grandes compétences professionnelles de l'ANSSI et à la qualité de leur collaboration.
* 10 Charles Haquet, « Areva victime d'une attaque informatique de grande ampleur », publié dans « L'Expansion », le 29 septembre 2011