Il est le nouveau directeur de l’Agence monégasque de sécurité numérique (AMSN). Fréderic Fautrier livre son analyse sur les cyberattaques qui touchent chaque jour les services de l’État, les opérateurs d’importance vitale, ainsi que les établissements publics de la Principauté. Ce spécialiste évoque également un phénomène qui a pris une très grande ampleur depuis le début de la crise sanitaire : le perfectionnement et l’industrialisation de la cybercriminalité.
A Monaco, peut-on chiffrer concrètement combien de cyberattaques touchent les services de l’Etat monégasque ?
Plusieurs dizaines de milliers de tentatives d’attaques par jour touchent les services de l’Etat, les établissements publics ou les opérateurs d’importance vitale de la Principauté. Il faut être conscient qu’Internet est véritablement devenu le Far West.
Sur ces dizaines de milliers d’attaques par jour, combien parviennent à aller jusqu’au bout, et à mettre à mal les cibles monégasques ?
Depuis le début de l’année, nous avons recensé une vingtaine de tentatives d’attaques, sur le périmètre des services de l’Etat, des établissements publics et des opérateurs d’importance vitale, qui ont franchi toutes les barrières de sécurité mises en place, sans pour autant avoir de conséquence pour les parties prenantes.
Quels sont les types de cyberattaques qui touchent principalement la Principauté ?
Il existe deux grandes catégories d’attaques. Tout d’abord celle à laquelle le grand public est souvent confronté, à savoir les logiciels malveillants et l’hameçonnage. Il peut s’agir de pièces-jointes malveillantes que l’on va recevoir dans un email, ou bien un lien, lui aussi malveillant, sur lequel on va cliquer. Cela peut être également un site Internet sur lequel on navigue et qui n’est pas nécessairement recommandé ou qui a été piégé par des attaquants. La deuxième catégorie concerne les tentatives d’exploitation par des attaquants de toutes les vulnérabilités pouvant exister sur des systèmes d’information. Soit car son propriétaire ne les a pas mis à jour, soit car ils ont fouillé de manière très approfondie les systèmes pour trouver une faille.
Vous diriez que les attaques sont en hausse à Monaco d’année en année ?
Oui, très clairement. A Monaco comme ailleurs, la menace est grandissante. Pour vous donner un ordre d’idée, sur l’année 2020, qui est une année particulière en raison de la pandémie, en Principauté, entre les mois de juin et de décembre, nous avons observé une hausse de 66 % sur la deuxième catégorie d’attaques que je viens d’indiquer.
Comment expliquez-vous une hausse si forte et si soudaine ?
En raison de la crise sanitaire et du confinement, les attaquants sont restés chez eux, et ont probablement profité de ces vacances forcées pour améliorer les outils qu’ils utilisent au quotidien pour commettre des attaques.
Ils se sont perfectionnés en quelque sorte ?
Absolument. On voit aujourd’hui un niveau de sophistication des attaques qui est absolument bluffant. On s’aperçoit également que derrière les attaques, ce n’est pas un individu avec un simple PC qui agit, ce sont en réalité des tâches qui sont automatisées et ordonnancées. On voit que toutes les étapes de la cyberattaque sont très séquencées et synchronisées les unes après les autres. Aujourd’hui, il existe donc véritablement des usines à générer des cyberattaques. La cybercriminalité s’est industrialisée.
Ce phénomène d’industrialisation des attaques est né depuis la pandémie ?
Disons que c’est un phénomène que l’on observait déjà un peu avant le confinement et la crise sanitaire, mais on ne l’observait pas de façon aussi flagrante et massive.
Concrètement, quelles peuvent être les conséquences pour les services de l’État ou les opérateurs d’importance vitale qui subissent une cyberattaque ?
Elles peuvent être dramatiques. Très concrètement, à la suite d’une attaque, un service peut totalement s’arrêter de fonctionner : qu’il s’agisse des banques, des feux de signalisation routière, ou encore les ordinateurs des agents de l’Etat qui ont une mission à accomplir et qui deviennent inopérants.
Au-delà de cette industrialisation, de nouvelles catégories ou de nouvelles formes d’attaques sont-elles nées durant cette pandémie ?
Pas spécialement. On observe toujours des schémas d’attaques similaires. Ce que l’on a observé en revanche d’assez nouveau, c’est l’intrusion non désirée et perturbatrice dans les systèmes de vidéoconférences de type Zoom. Des attaquants s’infiltrent dans des conversations vidéo. Ce type d’attaque n’a pas de grosse incidence en soi. En revanche, c’est toujours un peu effrayant et déstabilisant. Cela a fait beaucoup de buzz dans la communauté. Les gros éditeurs de logiciels connus en ont un peu profité pour essayer de mettre à mal les nouveaux entrants qui n’avaient pas forcément la force de développement nécessaire pour contrer ce type d’attaque.
Le niveau de sécurité de ces plateformes n’est pas suffisamment élevé ?
Disons que par manque de temps et en raison de la mise en place soudaine et massive du télétravail, les utilisateurs, que ce soit pour un usage privé ou professionnel, n’ont généralement pas été formés à l’utilisation de ces outils. Ils n’ont pas nécessairement activé non plus toutes les mesures de sécurité qui vont autour de ces plateformes.
Toutes les attaques sont-elles un moyen de soutirer de l’argent pour les hackers ? En retirent-ils systématiquement du profit ?
Lorsque des attaquants parviennent à pénétrer un système d’information, deux scénarios sont possibles : si vous avez des données intéressantes, les attaquants peuvent les voler et aller les revendre sur le dark web. La deuxième chose qu’un attaquant peut faire c’est qu’une fois introduit dans votre système d’information, il va chiffrer vos données et vous demander une rançon. Dans le pire des cas, il peut faire les deux, c’est-à-dire voler les données, les vendre, et puis demander une rançon car il a chiffré tout ce qu’il reste. Ce sont des pratiques qui rapportent beaucoup d’argent avec peu de risque d’être rattrapé.
Justement, on a le sentiment qu’il y a une totale impunité dans cette cybercriminalité. Est-ce le cas ?
Dans la presse spécialisée, on peut voir que des condamnations et des extraditions commencent à être prononcées notamment vers les Etats-Unis, car dans ce pays il existe des moyens colossaux – au travers du ministère de la justice et du FBI – pour retracer ces attaquants.
Monaco a les moyens de les retracer également ?
Seul non, sauf à ce que l’attaque soit réalisée à partir de Monaco. C’est très compliqué de remonter à la source première d’une attaque.
Malgré ces condamnations, étant donné le flux extrêmement massif de cyberattaques, on peut tout de même considérer que l’impunité règne ?
Effectivement, les condamnations dont je vous parle représente une goutte d’eau dans un océan d’attaques. C’est certain. Comme pour tout délit, il faut que la coopération judiciaire internationale se mette en route. Malheureusement, pour cela, il faut que les conséquences des délits soient importantes. Mais il y a tout de même quelques exemples de condamnations assez emblématiques. Récemment, un groupe d’attaquants a été arrêté en Ukraine et extradé vers les Etats-Unis.
Quels sont les pays les plus générateurs de cyberattaques ?
C’est très variable. Pour autant, on connait très bien les pays à partir desquels sont générées les attaques touchant les services de l’Etat et les établissements publics. Sur les hameçonnages et les logiciels malveillant, d’après nos observations à Monaco, cela provient davantage des pays européens. En ce qui concerne les intrusions dans les systèmes d’information, cela provient plutôt des États-Unis. En revanche, ce n’est pas parce que géographiquement on localise ces attaques que c’est ce pays qui les génère. Car tout l’enjeu pour ces attaquants est de brouiller les pistes. Un hacker prend la main sur un serveur vulnérable qui est aux Etats-Unis pour laisser entendre que c’est une attaque qui vient des Etats-Unis, pour autant, elle aura été diligentée par quelqu’un qui est à l’autre bout de la planète….
Quelles ont été les plus grosses cyberattaques que vous avez eu à gérer en Principauté ?
Nous avons travaillé sur une grosse attaque il y a plusieurs années. Elle nous a occupé pendant 8 mois entre le moment où l’attaque a été détectée, le moment où nous avons pu comprendre comment l’attaquant a pu entrer dans le système d’information, et le temps qu’il a fallu pour le sortir du système d’information.
Quelles ont été les conséquences de cette attaque ?
Je pense que Sainte-Dévote nous aide au quotidien car les conséquences n’ont pas été lourdes. Évidemment, cela a pénalisé le fonctionnement de la structure attaquée, mais rien de dramatique en soi. En revanche, nous avons été appelé un jour par une toute petite entreprise de la Principauté qui avait 4 employés. Celle-ci s’est retrouvée dans un scénario où les ordinateurs ont été chiffrés. Il n’y avait plus aucun accès, ni à la comptabilité ni aux factures, ni aux commandes clients. L’activité a dû cesser en raison de cette attaque. Récemment, un assureur a d’ailleurs publié des statistiques sur ce sujet : le coût médian d’une attaque pour une entreprise de petite taille (moins de 10 salariés) est de 7000 euros, et le coût maximum est de 280 000 euros (1).
12 personnes travaillent actuellement à l’AMSN. Vous devez en recruter 6 de plus cette année en raison des besoins grandissants. Est-ce difficile de trouver des spécialistes dans ce domaine ?
De façon générale, il y a effectivement une pénurie de spécialistes dans le monde du numérique. La demande est trop importante par rapport au nombre de nouveaux diplômés chaque année. Pour autant, Saint-Dévote doit, là encore, être à nos côtés, puisque sur tous les recrutements que nous avons effectués, avec l’aide de la Direction des Ressources Humaines et de la Formation de la Fonction Publique, nous avons toujours trouvé du personnel dans nos critères en France et à Monaco.
Le maire Georges Marsan a été victime d’une usurpation de compte sur Facebook : avez-vous été en charge de ce dossier ?
Dans ce cas de figure, ce n’est pas l’AMSN qui intervient mais la Sûreté Publique, qui depuis 2019, dispose d’une cellule en charge de la cybercriminalité. Pour tout ce qui est cyber-harcèlement c’est également la Sûreté Publique qui en a la charge. La CCIN peut aussi intervenir dans ce type de problématiques.
« Les acteurs de la Principauté ont bien compris que les attaques ne s’arrêtent pas à la frontière de Monaco. »
En décembre 2015, Fréderic Fautrier a lancé au côté de Dominique Riban, l’Agence monégasque de sécurité numérique (AMSN). A cette époque, les acteurs de la Principauté, notamment les services de l’État, étaient encore assez peu sensibilisés aux risques que représentent les cyberattaques. Désormais , le niveau d’alerte, de conscience, et de sensibilisation semble plus élevé. « En ce qui concerne les services de l’État, les établissements publics et les opérateurs d’importance vitale dont l’AMSN a la charge, on peut dire effectivement que le niveau de sensibilisation est désormais élevé. Nous pouvons observer une progression nette dans ce domaine ces dernières années. Un gros travail de pédagogie a été fait, bien qu’il faille évidemment toujours le poursuivre, nous indique Fréderic Fautrier. La formation de ces acteurs est d’ailleurs un axe de développement important dans les mois et années qui viennent pour l’AMSN. Mais globalement, les acteurs de la Principauté ont bien compris (pour certains malgré eux d’ailleurs car ils en ont été les victimes) que les attaques ne s’arrêtent pas à la frontière de la Principauté. »
De Monaco Telecom à l’AMSN
Fréderic Fautrier est ingénieur en télécommunication. Employé durant 7 ans en Belgique, puis 14 ans à Monaco Telecom, il a ensuite été directeur-adjoint pendant 5 ans de l’AMSN au côté de Dominique Riban. Depuis le 12 août, Fréderic Fautrier est le nouveau directeur de l’AMSN. « Dominique Riban et moi avons pris nos fonctions le même jour. Nous sommes partis tous les deux d’une page blanche. La création de l’AMSN était un réel besoin en Principauté. Avec Martin Peronnet, nous évoquions déjà ensemble la création de cette agence en 2012 lorsque j’étais à Monaco Telecom », indique-t-il.
