« La principale victime des récentes fuites de données, c'est le consommateur » : entretien avec le directeur de l'ANSSI

Les alertes « fuite de données » dans les médias peinent à alarmer, tant elles sont devenues presque banales aux yeux de la population. L’année dernière a une fois de plus été marquée par une série de fuites massives d’informations touchant de grandes enseignes et opérateurs. Les mails, les numéros, les adresses et même les IBAN de millions de Français ont été vendus et revendus sur les forums de cybercriminels durant ces derniers mois.

Plutôt que de céder au fatalisme, l’ANSSI, « le cyber pompier » en charge de la cybersécurité sur le territoire français, se veut confiante après analyse des erreurs passées. Une nouvelle législation et un meilleur soutien aux acteurs intermédiaires, souvent négligés, pourraient faire évoluer la situation. La directive NIS 2, conçue pour durcir les exigences en matière de cybersécurité, pourrait bien impulser une dynamique globale de sécurisation.

Numerama s’est entretenu avec Vincent Strubel, le directeur général de l’Agence nationale de la sécurité des systèmes d’information, rencontré lors du Forum InCyber 2025.

Numerama : Comment expliquer au grand public que, malgré plus de 10 ans de discours sur la cybersécurité, les fuites de données explosent encore ?

Vincent Strubel : Le cybercrime est solidement ancré et ne disparaîtra pas, une surveillance quotidienne reste indispensable. Les grandes entreprises disposent des ressources nécessaires pour renforcer leur sécurité et appliquer efficacement les mesures de protection.

Cependant, elles entretiennent inévitablement des relations avec des acteurs plus modestes, qui peuvent encore présenter des vulnérabilités. En analysant les récentes fuites de données d’ampleur, on peut supposer que certaines enseignes s’appuyaient sur un prestataire informatique qui, de son côté, aurait été exposé à des attaques. Rappelons que les pirates aiment bien trouver des maillons plus fragiles dans la chaîne.

Des directives comme NIS 2 doivent renforcer les obligations de cybersécurité pour un large éventail d’acteurs publics et privés opérant dans des secteurs critiques au sein de l’Union européenne, et devraient donc toucher ces acteurs également.

Faudrait-il envisager des sanctions, autres que celle de la CNIL ?

La CNIL peut effectivement prononcer des sanctions, notamment en cas d’absence de notification après une cyberattaque. Néanmoins, la directive NIS 2 contient aussi un volet sanction : des entreprises s’exposent à des amendes de 2 % de leur chiffre d’affaires annuel mondial. L’objectif n’est pas de jouer les censeurs, mais de faire en sorte que la cybersécurité soit traitée au plus haut niveau, au sein du comité exécutif, et non laissée uniquement entre les mains du responsable cybersécurité. Si les entreprises touchées essuient un choc, les principales victimes des fuites de données restent les consommateurs.

Les petites communes sont encore régulièrement des victimes des hackers. Peut-on parler d’une misère territoriale de la cybersécurité pour ces structures ?

Certaines entités, telles que les SDIS (les pompiers), sont dans le champ de la directive NIS 2 et devraient donc renforcer leur sécurité. Pour les petites communes, elles n’ont pas besoin d’un logiciel démesurément coûteux pour protéger toute l’infrastructure, mais d’un ensemble de solutions et de contraintes pour appliquer ne serait-ce que les règles de base. Elles peuvent également se concerter avec l’intercommunalité pour mettre en place ces mesures.

Les opérations de police ont quand même permis de ralentir l’activité de cybercriminels, va-t-on assister à une restructuration du marché pour 2025 ?

Plusieurs facteurs ont permis de faire baisser la pression, surtout sur les attaques par ransomware. Les opérations des forces de l’ordre ont porté un coup au crime organisé, c’est évident. Le renforcement de la sécurité chez de nombreux grands acteurs a probablement dissuadé certains cybercriminels, car les attaques impliquent aussi une question de ressources.

Il est aussi possible que les attaquants changent de stratégie et privilégient la fuite de données. Plutôt que de chiffrer et de bloquer les systèmes, ils pourraient se limiter au vol d’informations, qu’ils revendraient rapidement ou utiliseraient pour faire chanter l’entreprise. On ne se fait pas d’illusions : les cybercriminels finissent toujours par revenir sous une forme ou une autre.

La Russie est un pays cité comme étant à l’origine d’opération de déstabilisation contre la France. À quel point la France est-elle ciblée par le Kremlin ?

On assiste à des opérations de renseignement, d’espionnage, qui font partie de l’éventail traditionnel des groupes de hackers étatiques. Toutefois, ce qui distingue la Russie, c’est ce continuum dans les opérations de sabotage : des hacktivistes, plus ou moins soutenus par le pouvoir, vont cibler des éoliennes, des moulins, harceler des communes, y compris en France, et le proclamer fièrement sur les réseaux sociaux.

Ce qui se déroule en Ukraine illustre bien la situation, avec des attaques ciblant les infrastructures énergétiques, de transport et les groupes de télécommunications, qui témoignent d’une volonté claire de saboter. Le secteur des télécommunications est d’ailleurs particulièrement surveillé ; bien que son réseau ne soit pas fondamentalement différent d’autres secteurs, l’impact de sa coupure peut prendre une ampleur considérable.

---