Trois ans plus tôt, l’Estonie faisait également les frais d’une telle déconvenue. Le 27 avril 2007, le pays balte très actif en matière de numérisation de ses services publics, subit une attaque qui déclenche un déni de service généralisé dans ses infrastructures. 22 jours durant, la cyberattaque perdure, mettant hors de service de nombreux distributeurs de billets et prestations bancaires à travers le pays. Les employés gouvernementaux ne peuvent plus s’envoyer d’emails, et les journaux et chaines de télévision sont empêchés de diffuser l’information. « Ça a été une onde de choc. Si nous avions conscience de la menace cyber, nous n’avions jamais encore vu d’attaque d’une telle ampleur », décrit Bruno Charrat, coordinateur des actions en cybersécurité à la Direction de la recherche technologique du CEA. Aussitôt, un centre de cyberdéfense est mis en place à Tallin par l’OTAN. Et l’année suivante, la France intègre la question de la cybersécurité dans son livre blanc sur la Défense et la sécurité nationale.

Profitant de la transition numérique, d’autres virus comme Mirai, Notpeya et Wannacry entre 2015 et 2017 ou plus récemment Ryuk ont, eux aussi, trouvé leurs cibles. Ce dernier, un ransomware (logiciel rançonneur) apparu à la mi-août 2019, court toujours et coûte très cher aux entreprises. Sa méthode ? Demander des rançons de centaines de milliers de dollars, sous peine de ne pas débloquer des fichiers pris en otage dans les systèmes informatiques de l’entreprise. « 1% du PIB mondial, soit 1000 milliards de dollars, partirait chaque année en fumée à cause de la cybercriminalité, indique Bruno Charrat. On imagine souvent le pirate informatique comme un individu isolé en sweat à capuche mais, comme le rappelle souvent l’Anssi (Agence nationale de la sécurité des systèmes d'information), il s’agit aujourd’hui d’organisations qui ont des centaines de millions de dollars de revenus. » Au point qu’une récente tribune du Cigref, le Club informatique des grandes entreprises françaises qui regroupe 148 acteurs, adressée au premier ministre, implorait de s’atteler sérieusement à cette problématique pour éviter la catastrophe.

C’est dans ce contexte que la Direction générale du CEA a regroupé en 2019 ses activités sur la cybersécurité dans un grand programme. Il structure aujourd’hui près de 200 ingénieurs-chercheurs au sein d’une quinzaine d’équipes appartenant à toutes les directions opérationnelles du CEA. Avec le CNRS, Inria et l’Institut Mines-Télécom, le CEA se positionne ainsi comme l’un des quatre principaux acteurs de la cybersécurité dans l’écosystème français. « Avec de surcroît des liens étroits auprès des autorités nationales », décrit Laurent Olmedo. « … et la spécificité d’une expertise en cybersécurité opérationnelle, très appréciée par les industriels, qui nous différencie nettement de nos confrères académiques », complète Bruno Charrat. Le CEA doit en effet garantir la sécurité de ses installations, notamment nucléaires, selon des règles édictées par l’Anssi. Si pour l’heure, il a su se prémunir des tentatives de cyberattaques qu’il subit, la vigilance reste plus que jamais de mise. De Bruyères-le-Châtel à Cadarache, en passant par Saclay et Grenoble, tous les centres du CEA traitent activement de la question. 

Résister aux cybermenaces

Parce que la cybersécurité ne peut se limiter à la correction de vulnérabilités dans les codes des logiciels, ni même à la seule sécurité matérielle, la dimension humaine a sa part. Qui plus est en pleine crise sanitaire pendant laquelle le télétravail s’est généralisé, augmentant de fait la surface d’attaque, et a multiplié par quatre le nombre de victimes en France et en Allemagne (selon un rapport de l’Anssi et du BSI, son homologue allemand). Aussi le CEA a-t-il adopté la définition complète de la cybersécurité donnée par l’Anssi : « Etat recherché pour un système d’information lui permettant de résister à des évènements issus du cyberespace, susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données, stockées, traitées ou transmises, et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles ». 

La cybersécurité n’est pas statique, c’est un « état » à maintenir par des compétences fortes et des outils de détection et de réponse afin de revenir au plus vite à un état normal après une attaque. » B. Charrat 

S’armant de trois piliers, d’un processus en cinq phases, et de deux axes de recherche, le CEA se donne les moyens de préserver cet état. Entre ses murs, et au service des institutions françaises et de la filière industrielle nationale.

• Du personnel formé

• Des processus rigoureux

• Des technologies
  

• Identifier les vulnérabilités des systèmes

• Protéger ces systèmes en les sécurisant

• Détecter les attaques
  

• Répondre à ces menaces

• Restaurer l’intégrité et la disponibilité des systèmes attaqués

• Outils d’analyse de la sécurité
  

• Technologies et outils de sécurisation des systèmes