L’Etat a lancé, mardi 30 mai, la plate-forme cybermalveillance.gouv.fr, destinée aux entreprises, aux particuliers et aux administrations victimes d’attaques informatiques, de rançongiciels ou de tout autre acte de « cybermalveillance » : une première au monde, selon ses créateurs.

Elle mettra en contact les victimes avec des prestataires, des entreprises informatiques spécialisées dans la désinfection d’ordinateurs par exemple, qui se seront inscrits sur la plate-forme. Disponible uniquement dans la région Hauts-de-France, à des fins de tests, elle sera généralisée à tout le territoire au mois d’octobre.

Le dépôt de plainte sera encore nécessaire

La plate-forme, qui invite les victimes à décrire leur problème et leur liste ensuite des professionnels compétents à proximité de leur zone géographique, ne se substitue pas au dépôt d’une plainte, mais doit aider les victimes à réparer les dégâts. Elle ne se substitue pas non plus à l’Agence nationale de sécurité des systèmes d’information (Anssi), le garde du corps numérique de l’Etat au sein duquel ce projet est né. L’Agence « restera concentrée sur les opérateurs d’importance vitale et les questions liées de près ou de loin à la sécurité nationale », a expliqué son directeur, Guillaume Poupard, lors de la présentation à Paris de la plate-forme.

L’aide aux petites structures et pour des événements de modeste gravité ne figure pas dans le périmètre de cette agence, chargée de la défense informatique des systèmes français sensibles. Cette nouvelle plate-forme « comble un trou dans la raquette », explique Thierry Delville, délégué à la lutte contre les cybermenaces au ministère de l’intérieur. « On veut aider les gens qu’on ne sait pas aider, on ne veut laisser personne sur le bord du chemin. La frontière est de plus en plus floue entre la cybercriminalité et la sécurité de l’Etat : 5 % des PME qui ne peuvent plus travailler, c’est une question de sécurité nationale », nuance-t-il, justifiant l’implication de l’Anssi dans la gouvernance de la plate-forme.

L’inscription des prestataires, d’ores et déjà ouverte, est gratuite. Il suffit de répondre à quelques questions et d’adhérer à une charte de bonnes pratiques. Impossible de s’assurer a priori que les charlatans se tiennent à l’écart de la plate-forme. « Nous espérons que le marché va s’autoréguler », avec la possibilité pour les victimes de noter la prestation rendue par l’entreprise, a expliqué Jérôme Notin, le directeur général du Groupement d’intérêt public (GIP) qui gère la plate-forme. Cette dernière ne fera jamais la promotion d’une entreprise au détriment d’une autre, a par ailleurs assuré le secrétaire général à la défense nationale, Louis Gautier. A l’heure actuelle, 350 entreprises sont enregistrées sur le site, dont 25 dans les Hauts-de-France, seule zone où la plateforme est pleinement opérationnelle à ce jour.

Le budget du GIP, d’un million d’euros à son lancement, abondé par l’Anssi, devrait atteindre 2,5 millions d’euros en 2019, dont 75 % en provenance du secteur privé, notamment des secteurs professionnels ayant intérêt à contribuer à l’écosystème de la sécurité (fournisseurs d’accès à Internet, groupements professionnels divers, éditeurs logiciels…).

Disposer de meilleures statistiques

En obligeant les professionnels inscrits à faire remonter des informations sur leurs interventions, cette plate-forme permettra aussi aux pouvoirs publics de compiler des statistiques sur la cybercriminalité plus fines que celles disponibles actuellement, très dépendantes du nombre de plaintes déposées. Dans le cas du rançongiciel WannaCry, le chef de l’unité de la police chargée de l’enquête confiait au Monde ne pas savoir combien de victimes françaises il avait fait. « Nous avons beaucoup de difficulté à identifier les victimes. Il est important de trouver un canal pour remonter l’information », a noté Thierry Delville. Cette remontée d’information ne bénéficiera pas seulement aux pouvoirs publics mais également au secteur de l’assurance, dont les modèles de probabilité manquent de statistiques pour assurer les dommages informatiques, a fait valoir M. Poupard.

La prévention valant toujours mieux que la guérison, le site comporte aussi des vidéos de sensibilisation aux divers risques numériques – rançongiciels, virus… – et des conseils pour s’en prémunir.