Fabrice Billot : Les coulisses de la cybersécurité de Paris 2024

Description

Les Jeux Olympiques et Paralympiques de Paris 2024 ont mis à l'épreuve les systèmes de cybersécurité, soulignant l'importance de protéger nos infrastructures numériques contre les cybermenaces. Dans cet épisode, Fabrice Billot, chef de la Brigade de Lutte contre la Cybercriminalité (BL2C), partage son expérience sur la sécurisation de grands événements comme les JO. Il aborde les différentes typologies d'attaquant·es, les menaces persistantes pesant sur les TPE/PME en France, ainsi que la gestion quotidienne de la cybercriminalité.

À propos de Fabrice Billot

Entré à l'ENSP en 2011, Fabrice Billot commence sa carrière dans un commissariat du Nord en tant que chef d'un service d'investigation. Il intègre la Direction de la Police Judiciaire (DPJ) de la Préfecture de Police en 2016. Chef de section de groupes d'initiative et stupéfiants au 1er district puis à la Brigade des Stupéfiants, il prend la direction en 2021 de la Brigade de Lutte contre la Cybercriminalité. Cette brigade, aussi connue comme la Brigade d'Enquête sur les Fraudes aux Technologies de l'Information, fête ses 30 ans cette année et compte 60 enquêteurs dorénavant. La BL2C a pour particularité de couvrir l'intégralité du spectre de la délinquance cyber stricto sensu, allant du 1er niveau au plus haut du spectre, et ce sur un territoire particulièrement dense en entreprises et administrations.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Fabrice Billot
De mon dialogue avec les entreprises au quotidien, j'ai remarqué que la perte de chiffre d'affaires d'activité économique n'est pas sous-estimée loin de là. Parfois c'est une catastrophe, cela peut même entraîner une liquidation de société. Mais finalement je me rends compte que ce qui fait le plus peur, c'est le risque sur la communication, sur les traces que cela va laisser derrière.
Cybiah
Le constat est sans appel. Alors que 4 milliards de cyberattaques étaient attendues durant la période olympique, seuls 141 événements à faible impact ont été recensés par l'ANSI, preuve de la préparation des organisateurs et des pouvoirs publics pour contrer les attaques. Alors, quoi de mieux pour en savoir plus sur ces menaces que d'aller à la rencontre de Fabrice Billot, commissaire de police et chef de la BL2C, la brigade de lutte contre la cybercriminalité, qui dépend de la préfecture de police de Paris. Vous écoutez Safe & Sound. Le nouveau podcast dédié à la cybersécurité de Cibiaf, un programme coordonné par le Campus Cyber, cofinancé par la Région Île-de-France et l'Union Européenne, qui offre un accompagnement cyber sur mesure aux TPE et aux PME. Produit en partenariat avec le Catalyseur de l'Innovation et de l'Entreprenariat de Paris-Ouest-La Défense, cet épisode est réalisé par l'agence GEF.
Speaker #2
Bonjour Fabrice Billot, nous sommes ravis de vous recevoir pour cet épisode dédié à la cybersécurité pendant les Jeux Olympiques Paris 2024. Alors est-ce que pour commencer cette interview, vous pourriez commencer par vous présenter ?
Fabrice Billot
Merci tout d'abord pour cette invitation. Alors Fabrice Billot, je suis commissaire depuis 2011. J'ai d'abord travaillé dans le privé, j'ai eu plusieurs contrats. Je suis rentré un petit peu tardivement dans la police à 30 ans. J'ai ensuite une carrière assez classique, j'ai commencé en commissariat, comme chef d'unité d'investigation de commissariat. Puis j'ai eu la chance d'intégrer la police judiciaire parisienne en 2016, tout d'abord sur les thématiques banditisme et stupéfiants, jusqu'en 2021. où j'ai eu l'opportunité de prendre la tête de la BL2C, la brigade de lutte contre la cybercriminalité. C'était une matière qui m'intéressait beaucoup, sur laquelle j'avais pas mal de curiosités, j'avais envie de découvrir de l'autre côté du miroir, et depuis je ne suis pas déçu.
Speaker #2
Et justement ça consiste à quoi de diriger la BL2C ?
Fabrice Billot
Il faut savoir que dans la police on a peu de quotidien finalement, on gère beaucoup d'urgences. On est un service qui a un grand volume d'activités, on y reviendra plus tard, mais on tâche au quotidien d'offrir le meilleur cadre de travail aux enquêteurs, d'absorber cette charge de travail aussi, de répondre à diverses demandes. Pour la préfecture de police et pour la direction de la police judiciaire parisienne, nous pouvons jouer un rôle parfois de conseiller, de chef de file. Sur toutes les questions cyber qui maintenant sont prégnantes, qu'on retrouve partout et tout le temps. Donc nos tâches sont très variées.
Speaker #2
Combien d'experts cyber travaillent au sein de la BL2C ?
Fabrice Billot
La BL2C, on a été créé en 1994. Nous sommes une émanation de la brigade financière, première et la brigade financière. C'était à l'époque une dizaine d'enquêteurs qui avaient une passion pour les premiers systèmes d'information. Ça a beaucoup évolué depuis. Donc une dizaine d'enquêteurs, à l'époque on parlait de la safety, du safety, le service d'enquête sur la technologie de l'information. Ils étaient situés à Porte d'Italie, de mémoire je crois. Ils ont été intégrés après, ils sont revenus à l'ancien loco, aux anciens locaux de la sous-direction des affaires économiques et financières, dont dépend toujours la BLDC aujourd'hui, qui était située dans le 13e arrondissement aussi. Et en 2019, nous avons changé de nom, nous sommes devenus la BL2C, la brigade de lutte contre la cybercriminalité. De 10 enquêteurs, le service est passé à une vingtaine, trentaine d'enquêteurs pendant de nombreuses années, avec un flux, un turnover. Ce serait impossible de vous dire un chiffre fiamme, mais l'ordre de grandeur est là. Et nous avons depuis le début deux cœurs de métier aussi. l'enquête sur les systèmes d'information, sur les piratages et ce qu'on appelle en termes judiciaires les atteintes au système de traitement automatisé de données, et l'assistance pour tous les services judiciaires de la préfecture de police, donc de la direction de la police judiciaire mais aussi de la sécurité publique.
Speaker #2
C'est-à-dire que les autres services qui ont des questions de cybercriminalité vous contactent, vous sollicitent, vous saisissent quand ils ont des besoins là-dessus ?
Fabrice Billot
Alors c'est essentiellement l'analyse, l'extraction des données sur les ordinateurs, les smartphones, les tablettes... tous types de supports numériques qui comportent notre rôle d'assistance. Mais effectivement, souvent, quand les enquêteurs des différents services ont des questions relatives à des investigations, qu'ils contactent et pourquoi, qu'est-ce que je peux demander, nous sommes un point d'entrée pour eux, pour la préfecture de police. Nous tentons au maximum d'aider tous les enquêteurs de la préfecture de police dans leurs investigations quand elles ont un lien avec le monde cyber. Notamment par exemple en ce moment le grand sujet c'est les actifs numériques. Donc sur tout ce qui est qui je peux requérir, comment on trace des actifs numériques, etc. Donc voilà ça c'est un peu notre rôle de pilote. Aujourd'hui nous sommes environ 60 personnels. Donc plus d'une cinquantaine d'enquêteurs, ce ne sont que des policiers au service quasiment. Nous avons des administratifs, deux alternants et un ingénieur. Mais l'essentiel des troupes, ce sont des enquêteurs de police et des officiers de police. Pour la plupart, officiers de police judiciaire. Pour la plupart, ayant une qualification ou des qualifications d'investigateur en cybercriminalité. Donc avec une formation assez poussée, la police nationale offre tout un panel en interne de formation cyber à l'enquête sur les internets, dont nous faisons bénéficier nos enquêteurs une fois qu'ils viennent chez nous.
Speaker #2
Parce que l'enquêteur est à la fois expert cyber et ensuite, est-ce que techniquement vous avez des ingénieurs ou des spécialistes en décryptage ? d'analyse de code, des choses comme ça, pour être capable de remonter techniquement des malwares, des choses comme ça ?
Fabrice Billot
Ils ont, de par leur appétence et ou les formations reçues au sein de l'institution, des capacités réelles qui, moi, parfois m'épatent, à justement remonter les traces numériques. Après quand on arrive à un certain niveau technicité, on peut avoir peut-être recours à des prestataires, des partenaires extérieurs, mais c'est assez rare. Nous avons la capacité de traiter nous-mêmes des enquêtes complexes.
Speaker #2
La compétence technique est en interne donc ?
Fabrice Billot
Exactement. On est, je pense, le seul service en France, en cyber, à traiter l'intégralité du spectre, du plus bas au plus haut, avec des enquêtes vraiment de haut niveau. Et nous avons ici vraiment des enquêteurs avec des talents assez rares et une capacité à traiter les journaux de connexion, à travailler sur les internets, en OSINT, sur la crypto, etc. Et vraiment tous les moyens qu'on peut mettre en œuvre. Nous les mettons en œuvre.
Speaker #2
La BL2C, à quel moment intervient-elle ? Elle intervient en amont d'attaque sur un côté préventif ou plutôt en aval, lorsque une attaque a eu lieu pour mener des investigations ?
Fabrice Billot
99% du temps, nous sommes dans un service de police judiciaire. Nous intervenons post-mortem, quand le corps est découvert. Donc souvent, l'attaque a été commise. ou une tentative d'attaque a été commise, nous sommes saisis par l'autorité judiciaire. Notre sort lié à la préfecture de police, nous sommes compétents sur Paris la Petite Couronne. Dès lors, ça peut être le parquet de Paris qui a une compétence nationale potentiellement ou les différents parquets de chaque département de la petite couronne 92, 93, 94 qui peuvent nous saisir.
Speaker #2
Et comment on travaille de manière géographique lorsque l'on sait que les cyberattaques peuvent venir de partout et que les malfaiteurs ne sont pas toujours en région parisienne ou même en France ?
Fabrice Billot
C'est justement une richesse de notre service et aussi une contrainte, les deux ensemble. Nous avons effectivement un critère de compétence de saisine. Il y a la localisation des attaques. Donc souvent c'est le lieu de domicile des victimes, mais là c'est le lieu de commission de l'attaque qui est retenu. Et dès lors, derrière, il est fort probable que ceux que nous identifierons, et nous identifions quand même beaucoup d'attaquants, je tiens à le préciser pour vos auditeurs, mais qui ont peut-être parfois l'impression que ceux qui mènent des attaques sur internet sont impunis. Nous avons quand même de bons résultats judiciaires.
Speaker #2
C'est un taux de résolution de combien à peu près, quand on est une chaîne de valeur ?
Fabrice Billot
Je ne peux pas vous communiquer sur le chiffre, mais en tout cas, on a un bon taux de résolution au quotidien. On a de nombreuses gardes à vue et de nombreux déférés tout au long de l'année. Donc, une fois que nous sommes saisis, on identifie et on doit aller interpeller, perquisitionner. Et là, c'est vrai que c'est un service où on se projette beaucoup à travers la France, mais aussi à l'étranger. On a quand même très régulièrement des missions en Europe, mais aussi outre-Méditerranée, voire outre-Atlantique.
Speaker #2
Est-ce que dans vos activités quotidiennes, je ne parle pas des Jeux Olympiques, vous avez des profils type de malfaiteurs ou pas du tout, enfin, de cyberattaquants ?
Fabrice Billot
Alors, avec l'expérience, j'ai brossé un schéma type qui amuse toujours un petit peu, qui vaut ce qu'il veut. Mais j'aurais 4 profils d'attaquants. Il y a ce que je nomme le verre est dans le fruit, le risque interne, où on a souvent, en fait, et c'est sous-estimé fortement, sur fond de conflit du travail, sur fond de méconnaissance des règles de sécurité. Pour X motivations, crapuleuses, de colère, idéologiques, on peut avoir des salariés, des prestataires qui vont commettre des attaques internes. Je ne pourrais pas vous quantifier précisément ce phénomène, mais il est réel. Et à chaque année, ça constitue quand même une part importante de nos saisines. Pas majoritaire, mais une part importante. Il y a après une deuxième catégorie que j'appellerais un peu les débutants, qui vont commettre des infractions de petits niveaux. Je pense par exemple à un mode opératoire qui s'appelle le credential stuffing. qui permet d'injecter grâce à des logiciels des identifiants mot de passe sur différents comptes pour essayer de récupérer de l'information, de récupérer la cagnotte présente sur ce site. Là en général on est sur un public assez jeune, assez débutant. Après on a une troisième catégorie de profils un peu plus aguerris, plus expérimentés, meilleurs, qui peuvent commettre tout. tout le champ des modes opératoires, de la cyber, du déni de service, de l'entrave, des injections SQL, c'est-à-dire qui vont changer des lignes de code, du défacement de site, etc. Les motivations, elles sont multiples. Elles peuvent être crapuleuses, là aussi, elles peuvent être idéologiques. Il y a quelque chose que j'appelle aussi du domaine de l'ego trip, c'est-à-dire se faire connaître, avoir un nom, un pseudo. et le faire connaître, ça c'est quelque chose qui est très important chez les cyberdélinquants. Et ce d'autant plus que là je vais arriver à la quatrième catégorie, c'est que quand on veut intégrer l'élite entre guillemets, les rançongiciels, les ransomware, il faut pouvoir se faire coopter. On ne devient pas affilié d'une famille de rançongiciels comme ça, ou pas que je sache en tout cas, donc il faut un minimum de... d'expérience, c'est l'iter criminis, mais qui vaut dans tous les schémas de délinquance. Dans le stupéfiant, on commence rarement directement à portateur de stupéfiants. On a un parcours initiatique à suivre. Sur la cyberdélinquance, j'ai l'impression qu'on retrouve ce même parcours.
Speaker #2
Il y a des plans de carrière dans la cyberdélinquance.
Fabrice Billot
Alors, structuré avec une RH, je ne pense pas. Mais en tout cas, il y a un certain nombre de passages obligés, j'ai l'impression.
Speaker #2
D'accord. Et ça me permet de... passer à la menace qui nous attend pour les Jeux Olympiques 2024. Est-ce que vous pensez que ces profils, ces quatre profils qui sont au final assez franco-français, européens, constituent une part importante de la menace ou il faut regarder ailleurs ?
Fabrice Billot
Alors, il ne faut pas sous-estimer ces profils, notamment les rançongiciels, mais aussi les individuels, les artisans qui ont des compétences réelles et qui peuvent mettre des attaques qui entraîneraient une gêne certaine. notamment chez les TPE, PME et sous-traitants. Chez les acteurs structurants des Jeux Olympiques, les plus solides, les plus gros, je leur ai tendance à croire que leur pouvoir de nuisance est moins important, mais attention, ne les sous-estimons pas. Les rançons logicielles aussi pour avoir un impact. Par contre, après, la première menace, celle que l'on craint le plus, c'est la menace étatique par étatique, où là, effectivement... Sans citer aucun pays, l'expérience précédente des Jeux Olympiques a montré qu'il était fort probable que des agences gouvernementales ou encore une fois paragouvernementales étaient à l'origine d'attaques d'ampleur. Donc ça c'est un risque qu'on ne peut pas nier. Je reviens vite fait aussi sur les rançongiciels, donc il y a des capacités de nuisance avec des acteurs aguerris. Des fois la frontière, enfin on est dans l'hypothèse, mais on pourrait trouver la frontière un peu poreuse entre les statiques et les ransomware. Ça c'est une aparté. qui ne s'appuie sur rien de bien concret si ce n'est moi et mon analyse.
Speaker #2
Et puis l'expérience des Jeux Olympiques passés, où on a vu deux pays sans les cités qui ont été particulièrement actifs sur les dernières éditions, et où les groupes qui mènent des attaques avec des ransom JCL sont hébergés dans ces pays et bénéficient apparemment d'une complaisance de la part des autorités.
Fabrice Billot
Alors une complaisance, oui, où on va dire si on est optimiste que... On les laisse tranquilles, oui. Est-ce que c'est voulu ou pas ?
Speaker #2
Ça, on n'a pas la réponse, effectivement. Et on a eu 450 millions de cyberattaques à Tokyo, justement sur les derniers jeux post-Covid. On en attend 4 milliards pour les jeux de Paris. Au final, comment on se prépare à prendre une vague aussi grande au visage ?
Fabrice Billot
Alors, clairement, il y aura une hausse des attaques. Cela me paraît évident. De toute façon déjà on voit qu'au quotidien la menace hiver progresse, je vois pas pourquoi il en serait autrement pour les JO. Le contexte géopolitique actuel n'aide peut-être pas non plus. Comment on se prépare ? La BL2C, donc on existe depuis 1994. On a un territoire de compétence, la préfecture de police, qui naturellement nous amène à avoir beaucoup de saisines. Donc comme des athlètes j'ai envie de dire que nous nous entraînons au quotidien. Nous avons toujours des saisines, toujours des gardes à vue, donc nos réflexes de policiers, d'enquêteurs sont là. Parce qu'au-delà d'être des geeks, nous sommes aussi des enquêteurs de police judiciaire, avec des réflexes d'enquêteurs de police judiciaire, mais ayant une appétence supérieure, complémentaire, pour le domaine du cyber, de l'internet, des internets. Donc comment on se prépare ? Tout simplement en continuant notre activité, en se formant. Aussi, on a le plan de préparation, mais qui n'est pas propre à la BL2C, qui est propre à toute la PJ, mais même à toute la police parisienne et française. Ça va être aussi d'avoir un plan de présence très important cet été, qui sera de 100% sur la période des Jeux Olympiques.
Speaker #2
C'est-à-dire que 100% des effectifs de la police judiciaire seront en poste pendant la période olympique ?
Fabrice Billot
Exactement, nous serons tous là. Ce qui constitue quand même une force de frappe conséquente. Est-ce qu'elle sera suffisante ? On verra, on fera les comptes après les Jeux Olympiques. Je ne crois pas qu'on puisse faire plus. Donc on nous aura quand même une capacité de réagir. En fait, ce qui va compter à ce moment-là, c'est notre réactivité, notre flexibilité, notre capacité d'adaptation aux événements. Ça va être ça qui va être primordial. L'enquête tibère sont souvent des enquêtes au long cours, puisqu'une fois qu'elle a eu lieu... On a la recherche des tracés indices, leur analyse. Souvent on a besoin de coopération internationale. Donc on s'inscrit dans un temps non. Mais ce qui va compter c'est qu'on se mobilise très vite pour lancer le maximum des investigations à ce moment-là.
Speaker #2
Et comment vous allez coopérer avec les autres acteurs ? Je pense notamment à l'ANSI qui fait un gros travail de préparation à Mans. Il y a les services de renseignement aussi, DGSI qui est très impliqué dedans, je pense que la DGSE aussi d'ailleurs. Comment on se coordonne, comment on fait en sorte de ne pas être dans le curatif mais aussi le préventif et comment vous vous inscrivez dans cette chaîne de valeur si je puis dire ?
Fabrice Billot
Alors nous encore une fois, nous sommes un service de police judiciaire, donc nous intervenons en principe, il y a quelques exceptions mais qui sont quand même très rares, une fois que les faits ont été commis ou tentés d'être commis. Nous ce qui est important c'est de pouvoir bien se coordonner avec tous les acteurs. Vous avez cité l'ANSI, vous avez cité les services de renseignement. Je pourrais aussi vous citer le parquet de Paris qui a une compétence concurrente nationale et je pense qu'ils activeront souvent cette compétence-là durant les Jeux Olympiques. Donc l'importance pour nous c'est que nous nous coordonnions, nous échangeions les informations pour mutualiser, pour en bénéficier les uns les autres, pour éviter de faire des doublons. Il serait quand même dommage de perdre de l'énergie durant cette compétition. Et pour cela, nous avons organisé plusieurs fois des exercices où nous simulons des crises et voir comment nous répartissons le travail, comment nous mettons en place des process de communication. Et cela depuis deux ans. Donc régulièrement, il y a des exercices qui sont organisés. Les différents acteurs, nous nous connaissons bien, nous parlons déjà très fréquemment à travers différentes instances. Et je pense que durant les Jeux Olympiques, ce sera l'occasion de l'union sacrée.
Speaker #2
D'accord, merci pour cet éclairage. Et quels sont les groupes qui vous font le plus peur au final ? On a parlé des différents groupes. Pour vous, d'où vient la menace principalement ?
Fabrice Billot
Je ne pourrais pas vous citer un groupe cybercriminel particulièrement ou un groupe étatique. Je pense que sur les infrastructures vitales, encore une fois les acteurs principaux des Jeux Olympiques de Paris, le curseur a été quand même mis assez haut depuis quelques mois, quelques années, sur la prévention, la prise en compte de la cybersécurité. J'aurais tendance à penser qu'il faut quand même des moyens très importants pour pouvoir passer outre les défenses qui ont été établies.
Speaker #2
Donc là, ce serait plutôt des groupes étatiques ou affiliés à des États qui auraient les moyens de toucher les grosses instances comme le COJO ou les instances olympiques ?
Fabrice Billot
À mon sens, oui. Peut-être certains groupes de rançongiciel. Mais encore une fois, ne sous-estimons pas certains éléments brillants et individuels. Brillants, en tout cas, dans leur volonté de faire du mal. A mon avis, c'est quand même ça le principal danger pour les grands acteurs. Mais je sais que c'est un peu votre sujet aussi. Il y a tout le réseau de sous-traitants, des TPE, PME, qui elles peuvent être plus sensibles, même si un effort a été fait de prévention, d'acculturation sur la cybersécurité. Effectivement, il y a des risques et je pense qu'en cascade, cela peut entraîner des dysfonctionnements pour les grands acteurs. Et si ce n'est en termes de système d'information, il y a aussi toujours ce risque un peu réputationnel, où je pense qu'une entreprise XYZ attaquée par un JO pourra vite être mise en avant comme une victime par un groupe cybercriminel pour faire leur publicité sur les atteintes fondamentales menées aux Jeux Olympiques de Paris.
Speaker #2
Oui, et là il y a des pertes qui sont directes, pertes de chiffre d'affaires, d'exploitation, etc. Et puis il y a toute la perte réputationnelle. Perte de base de données, etc. qui a une valeur qui peut dépasser la perte de chiffre d'affaires.
Fabrice Billot
De mon dialogue avec les entreprises au quotidien, j'ai remarqué que la perte de chiffre d'affaires d'activité économique n'est pas sous-estimée loin de là. Parfois c'est une catastrophe, cela peut même entraîner une liquidation de société. C'est arrivé, donc ça c'est quand même quelque chose de non négligeable. Mais finalement je me rends compte que ce qui fait le plus peur c'est le risque sur la communication. J'ai l'impression que c'est quand même ce qui inquiète le plus. Sur les traces que cela va laisser derrière, puisqu'à la limite, le système d'information peut, je l'espère, avoir un certain nombre de sauvegardes mises à l'abri, donc on perd un jour, deux jours, trois jours de chiffre d'affaires. Mais derrière, il y a la trace laissée sur les capacités de l'entreprise à protéger la donnée des utilisateurs, à ne pas avoir cédé à une attaque lambda. Et puis, j'ai oublié de le citer, mais aujourd'hui, il y a aussi la problématique de la responsabilité pénale des dirigeants d'entreprise avec le RGPD. C'est, je pense, une vraie responsabilité. C'est quelque chose qui occupe aussi l'esprit des dirigeants d'entreprise.
Speaker #2
Oui, parce que les dirigeants d'entreprise, les entreprises ont comme responsabilité de protéger les données personnelles de leurs clients, mais aussi de leurs collaborateurs, de leurs prestataires, etc. Et en cas de négligence caractérisée, la CNIL ou les autorités judiciaires... peuvent considérer qu'il y a une responsabilité pénale de la part de l'entreprise ou de son dirigeant sur la perte de données.
Fabrice Billot
Effectivement, je ne me souviens plus la date exacte de cette réforme qui est intervenue il y a quelques années, mais c'est un risque réel. Et notamment, je pense que l'autorité administrative indépendante va apprécier les efforts faits par l'entreprise, mais aussi un acteur public, parapublic, pour protéger les données.
Speaker #2
Tout à l'heure, vous parliez de ces artisans qui ont beaucoup de talent dans la nuisance. Est-ce que vous pensez que l'émergence de l'intelligence artificielle, des solutions d'automatisation, etc., peut leur rendre les attaques cyber sur les sous-traitants, sur les petites entreprises plus faciles ?
Fabrice Billot
C'est très difficile pour moi de me faire un avis parce que je lis beaucoup de choses contradictoires, j'entends beaucoup de choses contradictoires. Alors tout d'abord j'ai un petit souci avec le terme d'intelligence artificielle car à l'heure actuelle l'IA n'a pas de processus cognitif comme l'intelligence. Je préfère le terme anglais de machine learning. Bon, ceci mis à part, on voit quand même que cela produit des résultats intéressants grâce aux puissances de calcul et d'apprentissage justement des modèles, etc. Sur la cyberdélinquance, j'ai un doute. Je peux me tromper mais j'ai l'impression que pour l'instant les modèles pour coder ne sont pas encore extrêmement développés. Et on pourrait aussi faire un raisonnement à l'inverse, c'est que ceux qui font de la cybersécurité peuvent utiliser les modèles d'IA pour créer une structure de défense. Alors j'ai un peu du mal à, sur nos profils de hackers, j'ai un peu du mal à estimer vraiment la nuisance potentielle, mais je ne suis pas le meilleur sachant sur ce sujet là. Là où... Pour l'instant, j'ai l'impression qu'il y a un vrai potentiel, c'est sur les escroqueries en ligne cyber et sur ce qu'on appelle le deepfake, la désinformation qui n'est pas notre cœur de métier. Mais là, je vois qu'effectivement, cela permet des pratiques massives industrielles avec quand même une capacité à reproduire la réalité qui est pour moi assez sidérante.
Speaker #2
Avec les fraudes aux dirigeants, des choses comme ça, qui usurpent parfaitement la voix ou le physique d'un individu.
Fabrice Billot
Exactement, et je vois que ça a ouvert, et ce n'est peut-être que le début, un potentiel dans le domaine des cyber-escroqueries, par exemple. Des escroqueries commises grâce aux moyens cyber.
Speaker #2
Oui, mais là c'est de l'ingénierie sociale, c'est plus un soutien à l'ingénierie sociale qu'une aide technologique et technique dans la mise en place d'attaques.
Fabrice Billot
Exactement. Sur cette aide-là, c'est comme le quantique. J'entends des choses, je lis des choses. Je ne sais pas moi, en tout cas l'impact, ou je ne le perçois pas bien, l'impact de ces deux nouvelles technologies.
Speaker #2
C'est-à-dire que vous, dans les affaires que vous traitez, vous n'avez pas encore le raz-de-marée annoncé, ou du moins une recrudescence de ces techniques ?
Fabrice Billot
À l'instant T, zéro.
Speaker #2
Ok.
Fabrice Billot
Donc l'IA... n'a rien apporté dans les enquêtes que nous traitons actuellement, que nous avons résolues en tout cas. Peut-être que dans celles que nous traitons, que nous n'avons pas résolues, oui, mais à l'instant T, en tout cas, je ne vois pas de traces de l'IA.
Speaker #2
Et pour revenir, désolé, j'ai un peu sauté une étape tout à l'heure, mais pour revenir à la chaîne de valeur sur les JO, les grandes instances s'appuient donc sur toute une chaîne de sous-traitants. Quelles sont les principales failles que vous... identifiez dans les TPE, PME et c'est assez divers. On parle de traiteurs, on parle de services logistiques. On sait que les services logistiques vont être beaucoup attaqués pendant les JO. Quelles sont les failles que vous identifiez chez tous ces petits acteurs qui sont très atomisés ?
Fabrice Billot
Alors, est-ce que vous me demandez si c'est une faille dans la supply chain et donc de savoir s'il y a des acteurs particuliers qui auront une criticité particulière ? Ça, je ne le sais pas. Est-ce que vous me demandez si ce sont les... En tout cas, je ne l'ai pas réfléchi auparavant. Est-ce que vous me demandez si c'est des comportements ou des oublis fréquents dans la sécurisation des systèmes d'information ? Là, je peux avoir deux, trois éléments de réponse à vous apporter.
Speaker #2
Dites-nous tout.
Fabrice Billot
Il y a deux types de réponses différentes. La première, je le constate souvent, mais... Ce n'est pas uniquement dans les TPE, PME, ça peut être aussi dans des grands groupes, des structures parapubliques, des fois un peu un oubli des règles de sécurisation basiques pour les collaborateurs. On constate parfois qu'il n'y a pas de journalisation, des connexions, des droits d'accès, il n'y a pas de monitoring des différentes connexions au sein même de l'intranet, de l'entreprise ou de la collectivité, ou de l'internet sur le site d'information. Le basique, les mots de passe uniques et complexes aussi, qui malheureusement, là on rentre un peu dans l'ingénierie sociale, mais à partir du moment où il y a une fuite de base de données, certains collaborateurs vont voir leurs mots de passe volés et qu'ils vont être utilisés dans le monde professionnel, mais ça c'est une réalité. Je suis toujours surpris aussi que la simple double authentification ne soit pas utilisée, notamment pour les salariés qui sont en télétravail, et qui permettent à des cyberdélinquants, une fois qu'ils ont récupéré un identifiant mot de passe, ou X biais, sur un ordinateur de pouvoir se connecter assez facilement à un système d'information à distance d'une entreprise. Voilà, c'est un peu ça les basiques de la cybersécurité. Et dans un deuxième temps, il y a pour moi un levier important, c'est de faire procéder à un audit de son système d'information, des règles de sécurité, par des acteurs certifiés. L'ANSI et Ausha Cyber Mavillance ont fait un gros travail ces dernières années de certification d'un certain nombre d'acteurs pour avoir un gage de qualité lors de l'audit de son système d'information. A chaque fois que nous pouvons intervenir dans une entreprise, nous portons le message sur ces deux volets. Ça n'évitera pas tout, ça ne peut pas tout éviter, mais je pense que ça complexifie fortement le travail des cyberdélinquants derrière.
Cybiah
Oui, parce que les cyberdélinquants, ils peuvent se montrer très fainéants, c'est-à-dire qu'ils ont tendance à taper là où c'est simple. Et qu'ils préfèrent rentrer dans un système d'information quand il y a une simple authentification et pas une double, ou choisir les entreprises qui n'ont aucune hygiène numérique.
Fabrice Billot
La double authentification pourrait se contourner, mais c'est techniquement complexe. Comme vous le dites, je suis un escroc, j'irai au plus facile, c'est une rationalité économique. Et puis au quotidien, je pense qu'il faut complexifier la vie des délinquants. On a connu la même chose avec les banques, on a eu un certain nombre de vols à main armée durant des années, et nous avons mis en place... des mesures de ce qu'on appelle la prévention situationnelle. Alors déjà, il n'y a plus de flux liquide, il y a eu un certain nombre de mesures de sécurisation des locaux qui ont été mises en œuvre. Je ne sais pas si vous voyez devant les banques aussi, souvent on a un certain nombre de poteaux en acier, en béton, qui empêchent les voitures baillées. Et à partir de là, nous avons quand même constaté une chute drastique des vols à main armée ces dernières années. On a vraiment vu qu'il y avait une baisse globale. des vols à main armée depuis une décennie et plus. Et je pense qu'en termes de cyberdélinquance, un certain nombre de mesures simples seraient mises en place, nous aurions une vraie diminution des cyberattaques aussi.
Cybiah
Et question annexe, justement vous disiez que le grand banditisme s'est retrouvé entravé sur les vols à main armée, des choses comme ça. Est-ce qu'on a retrouvé des bandits qui ont muté et de voleurs à main armée à voleurs ? sur l'espace cyber ?
Fabrice Billot
De mon expérience, le grand banditisme s'est surtout reconverti dans le narco-banditisme, trafic de stupéfiants. Dans l'espace cyber, peu, on a des échos que peut-être, mais là c'est toujours pareil, je ne l'ai pas constaté moi, mais c'est ce que j'ai entendu, dans certains groupes de criminalités organisés en Europe de l'Est, par exemple, ils pourraient embaucher des équipes de hackers. pour mener des cyberattaques, souvent en vue d'escroqueries avec des moyens cyber. Donc ça, effectivement, il semblerait qu'il y ait une diversification. Les groupes criminels ont l'air, comme une entreprise, diversifier leur portefeuille. On peut faire un peu de stupéfiants, un peu de proxénétisme, et donc un peu de cyber. Mais moi, à mon échelle, je ne l'ai pas constaté.
Cybiah
Il n'y a pas eu de transformation massive de groupe ? On va dire du grand banditisme dans le cyber.
Fabrice Billot
A ma connaissance, non. J'ai juste vu deux, trois fois des voyous d'habitude qui semblaient commencer à s'intéresser aux escroqueries cyber. Mais en tout cas, il n'y avait pas la volonté de se mettre à hacker directement.
Cybiah
Et pour justement réduire les risques, est-ce qu'il faut que ce soit un peu comme dans le banditisme, quand on en a entendu beaucoup parler, notamment dans les années 80-90, les gens se montraient plus vigilants ? Est-ce qu'on a besoin d'avoir une visibilité sur les attaques cyber pour que les gens commencent à en avoir peur et au final se préparent au risque et se disent avec les JO on attend beaucoup d'attaques, je vais commencer par soigner ma propre hygiène pour éviter d'être une victime ?
Fabrice Billot
Alors la peur peut être utile, peut être positive. Dans la nature, c'est ce qui a permis à l'homme de survivre, puisque c'est des injections d'adrénaline qui nous permettent soit de fuir, soit de combattre. Parfois, elle est négative aussi, elle peut nous paralyser. Il faut savoir canaliser sa peur, mais elle peut être utile. Oui, j'aurais envie de dire qu'il faut avoir peur, mais ça ne doit pas être le premier vecteur au quotidien. Ça doit être vraiment une prise de conscience rationnelle. de tous les acteurs socio-économiques sur l'importance de l'hygiène numérique, sur les gestes de base, sur la sécurisation des systèmes d'information. Mais je me rends bien compte aussi aujourd'hui que face... Je trouve qu'on est un peu dans une injonction paradoxale. face au flux d'informations perpétuelles je pense aux salariés qui reçoivent des centaines de mails par jour et il faut qu'ils détectent le mail sur une année où ils pourraient avoir une tentative de phishing c'est difficile de être vigilant au quotidien d'où l'importance quand même aussi peut-être pour les dirigeants de penser, de prévoir, je ne sais pas, des rappels réguliers tous les 3 mois, tous les 6 mois, tous les ans pour redire les mêmes choses mais c'est essentiel parce qu'on peut oublier avec le temps Merci De même, les réseaux sociaux, il faut faire attention. C'est important, il faut communiquer aujourd'hui. On doit se vendre sur les réseaux sociaux, mais en même temps, on donne des informations qui facilitent l'ingénierie sociale derrière et qui peuvent permettre des cyberattaques ou des cyber-escroqueries derrière. Donc c'est difficile, on est sur le fil du rasoir, j'en ai bien conscience, mais il faut trouver l'équilibre entre tout ça. Donc la cybersécurité, vraiment, doit devenir un enjeu de risque majeur. doit être pensée comme telle au sein des entreprises pour avoir des plans de rappel réguliers.
Cybiah
C'est vrai qu'à travers les centaines de mails que reçoivent les salariés, il y a souvent des tentatives de phishing. Les grands groupes s'y préparent avec des campagnes qui visent à sensibiliser les salariés. Je pense qu'il est important de rappeler aux auditeurs qu'à partir d'un mail, à partir d'un phishing, on ouvre la porte à des conséquences beaucoup plus graves pour une entreprise.
Fabrice Billot
Le phishing est un peu la merde de tous les vices. Cela permet d'arriver à de multiples infractions cyber. Par exemple, le sujet le plus médiatique, le plus connu, le plus prégnant actuellement, c'est les ransomware, les rançongiciels, où cela permettra à des acteurs de s'infiltrer sur un système d'information, de pratiquer ce qu'on appelle la latéralisation, de se déplacer au sein du système d'information, et là, de prendre possession de tout le système d'information. Vous savez, aujourd'hui, la ronde-note pour les familles de rançongiciels, c'est de pratiquer la double extorsion. C'est-à-dire que d'un côté, ils verrouillent, le système d'information de l'entreprise. De l'autre côté, ils vont extraire les données et ils vont faire un chantage à la publication. Donc ils vont demander une rançon pour les deux, pour déverrouiller le système d'information et pour ne pas diffuser les informations volées. Donc ça, c'est la menace la plus prégnante, actuellement la plus lourde en termes économiques pour les entreprises. On voit aussi qu'ils attaquent des hôpitaux parfois, il y a encore eu un exemple récemment, et ça a des vrais impacts en termes d'organisation sur les hôpitaux aussi. Ça a été pendant le Covid, il y a eu beaucoup d'attaques sur les hôpitaux par exemple. Donc voilà, le phishing qui paraît anodin comme ça peut avoir des conséquences très lourdes derrière. Nous constatons un autre phénomène aussi en ce moment, alors qui s'éloigne un peu du phishing, mais... qui peut être lié, vous êtes sur un forum de jeux vidéo, vous téléchargez un jeu vidéo gratuitement, vous téléchargez une vidéo XYZ, vous téléchargez ce qu'on appelle aujourd'hui un infostealer, qui moi évoque un peu les chevaux de 3 d'avant, qui vont récupérer toutes les données très discrètement sur votre ordinateur, vos identifiants mot de passe, et par exemple actuellement nous faisons beaucoup de liens avec les vols de crypto, puisque vous avez un compte Binance. Vous utilisez Identifier en mot de passe, le voyou le récupère sur votre navigateur, il peut se connecter à votre compte et hop, il vire l'argent ailleurs. Donc voilà, c'est les classiques finalement que j'entends depuis 20 ou 30 ans sur Internet, faire attention à ce qu'on télécharge, notamment quand c'est gratuit, notamment quand c'est envoyé par quelqu'un qu'on ne connaît pas ou qui est toujours attentif sur les entêtes de mail.
Cybiah
Et l'expéditeur aussi.
Fabrice Billot
Et l'expéditeur aussi. Toujours, c'est une vigilance finalement, dès qu'on est sur internet, il faut automatiser des comportements.
Cybiah
Oui, parce qu'un mauvais comportement ou une négligence peut amener à un piratage, et le piratage n'est pas forcément visible. Il peut être totalement silencieux jusqu'au jour où on voit la conséquence plusieurs semaines, mois après.
Fabrice Billot
Sur les rançons JCL, on voit parfaitement le début d'une attaque et le déclenchement du... du chiffrement des données du système d'information, il peut s'écouler effectivement plusieurs semaines selon la taille du système d'information, selon les capacités des uns et des autres. Donc ça peut avoir des effets à beaucoup plus long terme. Je pense aussi que les voyous finalement des fois ils récupèrent des données, ils ne l'utilisent pas toujours, ils la thésorisent. La donnée c'est vraiment le nerf de la guerre en fait, puisque derrière ça permettra aussi de faire des cyber-escroqueries dans un deuxième temps. Et la donnée se revend derrière. Moi, j'ai volé la donnée, mais je n'ai pas l'âme d'un escroc. Donc, je vais la mettre en vente sur différents forums cybercriminels pour qu'un autre, qui aura une autre idée lumineuse, puisse l'utiliser.
Cybiah
Et la valoriser à son tour.
Fabrice Billot
Exactement.
Cybiah
Et pour veiller justement à ce que les collaborateurs ne se fassent pas piéger, j'ai cru comprendre que vous, Belle de C, et... Comme l'ANSI, comme le campus cyber, comme beaucoup d'institutions, vous étiez assez proactifs dans la sensibilisation des entreprises ?
Fabrice Billot
Alors ce n'est pas notre cœur de métier, mais il nous arrive parfois d'intervenir, quelques fois chaque année, auprès de grands groupes, pour faire un retour d'expérience. Nous ne sommes pas des experts en cybersécurité, je ne vais pas prendre le travail de quelqu'un d'autre. Par contre, à force de traiter des dossiers, de voir les erreurs faites, nous avons quand même... un catalogue des choses à faire et à ne pas faire, et nous tentons de passer les messages durant ces invitations. Nous précisons aussi, c'est très important pour nous, ça je ne l'avais pas parlé avant, mais auprès des RSSI nous essayons de faire passer le message aussi que c'est très important d'avoir un contact rapide entre nous quand il y a une attaque, puisque nous voulons qu'ils conservent si possible des traces. et un 10 qui nous permettront d'enquêter derrière. Puisqu'il peut y avoir un réflexe premier, c'est j'efface tout. Dans ce cas-là, notre enquête derrière sera beaucoup plus compliquée. Donc pour nous, on cherche à avoir un dialogue très rapide avec les différents RSSI. C'est la base d'une saisine, c'est notre priorité. Nous savons très bien que quand une entreprise est confrontée à une attaque cyber d'ampleur, c'est comme face à un incendie. On cherche d'abord à éteindre l'incendie avant de mener l'enquête. Nous respectons ça, mais au moins avoir le dialogue et déjà dire, tiens, pensez à garder ça, faites attention à ça, est-ce que vous avez une idée en amont ? C'est du temps de gagner pour nous et c'est surtout le gage, nous ayons un peu de matière pour travailler ensuite.
Cybiah
On arrive quasiment au terme de cette interview, j'ai une question qui me taraude. Si je suis victime d'une attaque pendant les Jeux Olympiques, ou même avant ou même après, que dois-je faire ? premières réactions, les premiers réflexes à avoir ?
Fabrice Billot
Effacer tout.
Cybiah
Pour faciliter votre raclette.
Fabrice Billot
Plus sérieusement, le réflexe, c'est d'être votre responsable de système d'information, donc RSSI, je ne sais quel terme on emploie aujourd'hui, de prendre les premières mesures conservatoires et de remédiation sur votre système d'information, de penser vite à nous contacter. Alors pour cela, il y a différents moyens. Soit vous trouvez nos coordonnées sur Internet, bien entendu. Soit vous déposez plainte via un avocat qui transmettra à J3 qui nous saisira. J3 c'est la section cyber du parquet de Paris ou du parquet compétent. Si vous êtes à la défense, c'est le parquet du 92 qui en principe est compétent. A l'exception des rançongiciels d'ailleurs. J3 en principe a une compétence nationale dessus. Vous nous contactez, nous vous entamons le dialogue. Comme je le disais tout à l'heure, nous savons très bien que l'urgence d'une entreprise ou d'une collectivité en cas d'incendie, c'est la remédiation. Mais au moins déjà le dialogue est établi entre nous et nous assurons que les traces et indices seront conservés pour exploitation ultérieure.
Cybiah
Et je me permets une petite aparté dans notre auditoire. Nous avons beaucoup de petites entreprises, de patrons de petites entreprises, quand on a une startup, quand on a une TPE. Il faut faire quoi ? Il faut directement appeler soit à la BL2C, soit déposer plainte ?
Fabrice Billot
J'ai oublié quelque chose de très important et d'essentiel, c'est le réseau des commissariats et des postes de police à travers tout le territoire de la préfecture de police et tout le territoire national, où finalement le plus simple c'est d'y aller, de déposer plainte. L'enquêteur prend son téléphone, fait un avis magistrat, fait un avis au service compétent et derrière nous pourrons démarrer l'enquête judiciaire. On a une chance sur Paris La Petite Couronne, c'est quand même d'avoir un réseau assez dense de policiers qui sans être experts, savent les questions à poser, savent les premières données à collecter et ont les premiers enseignements à donner.
Cybiah
Pour vous, vous facilitez la tâche derrière,
Fabrice Billot
c'est ça ? Exactement. Vous, ça vous permet en tant qu'entrepreneur d'aller au plus court, au plus rapide, à proximité de votre domicile. Et ensuite, nous, nous pouvons initier derrière très rapidement. Donc rappelez-vous, le premier réflexe que j'avais oublié, c'est les commissariats de circonscription de quartier.
Cybiah
Et qui seront à même de poser les bonnes questions et d'amener les bons conseils pour éteindre l'incendie avant de mener l'enquête.
Fabrice Billot
Exactement.
Cybiah
Et finalement, est-ce que pour vous, les JO donnent un nouvel élan à la cybersécurité et laisseront un héritage en matière de cyber en France, même en Europe ?
Fabrice Billot
Alors pour la France... J'ai quand même l'impression qu'il y a eu un gros effort de fait depuis quelques années sur la prise de conscience, sur les investissements. Je parlerais même quelque part de professionnalisation de la filière, avec toutes les certifications qui ont été entreprises par les deux grands acteurs de la prévention en France, l'ANSI pour les grands groupes et Asima Cybermalveillance pour ETP, EPM, les particuliers. J'ai quand même l'impression qu'il y a un avant et un après. Ensuite, il faudra maintenir cette vigilance dans le temps, poursuivre les investissements, poursuivre la formation, poursuivre la prévention. Mais en témoigne de cette nouvelle prise de conscience, le campus cyber, lieu totem de la cybersécurité évolu par le président de la République, qui a été créé, qui permet quand même de rassembler beaucoup d'acteurs, qui porte des messages de prévention. Et je trouve vraiment que cela témoigne aujourd'hui dans notre pays d'une nouvelle volonté. de faire en sorte que la cybersécurité soit intégrée comme risque majeur pour les entreprises et pour les collectivités, enfin pour tous les acteurs socio-économiques.
Cybiah
Oui, et notamment pour les TPE-PME, puisque le campus cyber... En partenariat avec le catalyseur de l'innovation de Pold, finance et participe aux audits de cybersécurité des TPE et des PME pour éviter d'avoir à faire appel à la BL2C plus tard.
Fabrice Billot
Exactement, et nous remercions tous ces différents acteurs pour cela.
Cybiah
Merci beaucoup, monsieur le commissaire, pour cette interview et à bientôt.
Fabrice Billot
Merci à vous, à bientôt.
Cybiah
Entre les tensions géopolitiques, les motivations financières et la multiplication des attaques, tout était réuni pour que les cybercriminels s'en donnent à cœur joie pendant les Jeux olympiques et paralympiques. Nous ne pouvons donc que vous inviter à suivre tous les conseils dispensés par Fabrice Biot et si vous êtes dirigeant de TPE-PME, à prendre contact avec Cibia pour déployer des mesures cyber adaptées à votre activité. En attendant, n'hésitez pas à vous abonner à ce podcast sur votre plateforme d'écoute préférée, à commenter, noter ce podcast, vos retours nous sont précieux. Également, nous suivre sur LinkedIn, at Sybia, C-Y-B-I-A-H. À très vite.

About Safe & Sound

Bienvenue sur "Safe & Sound" ! Développé par CYBIAH en partenariat avec le Catalyseur de l’Innovation et de l’Entrepreneuriat propulsé par Paris Ouest La Défense (POLD), ce podcast est votre nouveau rendez-vous pour comprendre les enjeux cruciaux de la cybersécurité.

Pourquoi écouter "Safe & Sound" ?

La cybersécurité simplifiée : Découvrez des conseils simples et pratiques pour protéger vos données et sécuriser vos systèmes, adaptés aux novices comme aux experts.
Des experts de renom : Écoutez des leaders de la cybersécurité partager leurs expériences et leurs stratégies pour contrer les cybermenaces.
Des échanges pédagogiques : Plongez dans des conversations captivantes et éducatives, démystifiant des sujets complexes pour renforcer votre culture cyber.

Chaque épisode, d'une durée de 30 à 45 minutes, donne la parole à un expert de la sécurité numérique. Il est conçu pour guider dirigeant·es et salarié·es dans la compréhension des enjeux cyber et les préparer efficacement aux cyberattaques. Abonnez-vous pour rester safe & sound !

Programmation :

Épisode 1 : État des lieux de la cybersécurité avec Yann Bonnet, Directeur Général Délégué du Campus Cyber et membre du groupe d'experts de haut niveau sur l'intelligence artificielle de la Commission européenne.
Épisode 2 : La préparation pour les JO 2024 avec Fabrice Billot, chef de la brigade de lutte contre la cybercriminalité (BL2C).
Épisode 3 : Les missions d’un RSSI avec Serge Misik, RSSI de Paris Ouest La Défense (POLD).
Épisode 4 : La sensibilisation et l’assistance aux victimes avec Jérôme Notin, Directeur Général de Cybermalveillance.gouv.fr.
Épisode 5 : L’importance de la cybersécurité dans la santé avec Antoine Tesnière, Directeur Général de PariSanté Campus et professeur d’anesthésie-réanimation.
Épisode 6 : L’organisation et l’évolution de la cybersécurité avec Emmanuel Naëgelen, Directeur adjoint de l’Agence nationale de la sécurité des systèmes d'information (ANSSI).

Presse :

Lire le communiqué

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Safe & Sound

Pourquoi écouter "Safe & Sound" ?

La cybersécurité simplifiée : Découvrez des conseils simples et pratiques pour protéger vos données et sécuriser vos systèmes, adaptés aux novices comme aux experts.
Des experts de renom : Écoutez des leaders de la cybersécurité partager leurs expériences et leurs stratégies pour contrer les cybermenaces.
Des échanges pédagogiques : Plongez dans des conversations captivantes et éducatives, démystifiant des sujets complexes pour renforcer votre culture cyber.

Programmation :

Épisode 1 : État des lieux de la cybersécurité avec Yann Bonnet, Directeur Général Délégué du Campus Cyber et membre du groupe d'experts de haut niveau sur l'intelligence artificielle de la Commission européenne.
Épisode 2 : La préparation pour les JO 2024 avec Fabrice Billot, chef de la brigade de lutte contre la cybercriminalité (BL2C).
Épisode 3 : Les missions d’un RSSI avec Serge Misik, RSSI de Paris Ouest La Défense (POLD).
Épisode 4 : La sensibilisation et l’assistance aux victimes avec Jérôme Notin, Directeur Général de Cybermalveillance.gouv.fr.
Épisode 5 : L’importance de la cybersécurité dans la santé avec Antoine Tesnière, Directeur Général de PariSanté Campus et professeur d’anesthésie-réanimation.
Épisode 6 : L’organisation et l’évolution de la cybersécurité avec Emmanuel Naëgelen, Directeur adjoint de l’Agence nationale de la sécurité des systèmes d'information (ANSSI).

Presse :

Lire le communiqué

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Description

À propos de Fabrice Billot

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Fabrice Billot
De mon dialogue avec les entreprises au quotidien, j'ai remarqué que la perte de chiffre d'affaires d'activité économique n'est pas sous-estimée loin de là. Parfois c'est une catastrophe, cela peut même entraîner une liquidation de société. Mais finalement je me rends compte que ce qui fait le plus peur, c'est le risque sur la communication, sur les traces que cela va laisser derrière.
Cybiah
Le constat est sans appel. Alors que 4 milliards de cyberattaques étaient attendues durant la période olympique, seuls 141 événements à faible impact ont été recensés par l'ANSI, preuve de la préparation des organisateurs et des pouvoirs publics pour contrer les attaques. Alors, quoi de mieux pour en savoir plus sur ces menaces que d'aller à la rencontre de Fabrice Billot, commissaire de police et chef de la BL2C, la brigade de lutte contre la cybercriminalité, qui dépend de la préfecture de police de Paris. Vous écoutez Safe & Sound. Le nouveau podcast dédié à la cybersécurité de Cibiaf, un programme coordonné par le Campus Cyber, cofinancé par la Région Île-de-France et l'Union Européenne, qui offre un accompagnement cyber sur mesure aux TPE et aux PME. Produit en partenariat avec le Catalyseur de l'Innovation et de l'Entreprenariat de Paris-Ouest-La Défense, cet épisode est réalisé par l'agence GEF.
Speaker #2
Bonjour Fabrice Billot, nous sommes ravis de vous recevoir pour cet épisode dédié à la cybersécurité pendant les Jeux Olympiques Paris 2024. Alors est-ce que pour commencer cette interview, vous pourriez commencer par vous présenter ?
Fabrice Billot
Merci tout d'abord pour cette invitation. Alors Fabrice Billot, je suis commissaire depuis 2011. J'ai d'abord travaillé dans le privé, j'ai eu plusieurs contrats. Je suis rentré un petit peu tardivement dans la police à 30 ans. J'ai ensuite une carrière assez classique, j'ai commencé en commissariat, comme chef d'unité d'investigation de commissariat. Puis j'ai eu la chance d'intégrer la police judiciaire parisienne en 2016, tout d'abord sur les thématiques banditisme et stupéfiants, jusqu'en 2021. où j'ai eu l'opportunité de prendre la tête de la BL2C, la brigade de lutte contre la cybercriminalité. C'était une matière qui m'intéressait beaucoup, sur laquelle j'avais pas mal de curiosités, j'avais envie de découvrir de l'autre côté du miroir, et depuis je ne suis pas déçu.
Speaker #2
Et justement ça consiste à quoi de diriger la BL2C ?
Fabrice Billot
Il faut savoir que dans la police on a peu de quotidien finalement, on gère beaucoup d'urgences. On est un service qui a un grand volume d'activités, on y reviendra plus tard, mais on tâche au quotidien d'offrir le meilleur cadre de travail aux enquêteurs, d'absorber cette charge de travail aussi, de répondre à diverses demandes. Pour la préfecture de police et pour la direction de la police judiciaire parisienne, nous pouvons jouer un rôle parfois de conseiller, de chef de file. Sur toutes les questions cyber qui maintenant sont prégnantes, qu'on retrouve partout et tout le temps. Donc nos tâches sont très variées.
Speaker #2
Combien d'experts cyber travaillent au sein de la BL2C ?
Fabrice Billot
La BL2C, on a été créé en 1994. Nous sommes une émanation de la brigade financière, première et la brigade financière. C'était à l'époque une dizaine d'enquêteurs qui avaient une passion pour les premiers systèmes d'information. Ça a beaucoup évolué depuis. Donc une dizaine d'enquêteurs, à l'époque on parlait de la safety, du safety, le service d'enquête sur la technologie de l'information. Ils étaient situés à Porte d'Italie, de mémoire je crois. Ils ont été intégrés après, ils sont revenus à l'ancien loco, aux anciens locaux de la sous-direction des affaires économiques et financières, dont dépend toujours la BLDC aujourd'hui, qui était située dans le 13e arrondissement aussi. Et en 2019, nous avons changé de nom, nous sommes devenus la BL2C, la brigade de lutte contre la cybercriminalité. De 10 enquêteurs, le service est passé à une vingtaine, trentaine d'enquêteurs pendant de nombreuses années, avec un flux, un turnover. Ce serait impossible de vous dire un chiffre fiamme, mais l'ordre de grandeur est là. Et nous avons depuis le début deux cœurs de métier aussi. l'enquête sur les systèmes d'information, sur les piratages et ce qu'on appelle en termes judiciaires les atteintes au système de traitement automatisé de données, et l'assistance pour tous les services judiciaires de la préfecture de police, donc de la direction de la police judiciaire mais aussi de la sécurité publique.
Speaker #2
C'est-à-dire que les autres services qui ont des questions de cybercriminalité vous contactent, vous sollicitent, vous saisissent quand ils ont des besoins là-dessus ?
Fabrice Billot
Alors c'est essentiellement l'analyse, l'extraction des données sur les ordinateurs, les smartphones, les tablettes... tous types de supports numériques qui comportent notre rôle d'assistance. Mais effectivement, souvent, quand les enquêteurs des différents services ont des questions relatives à des investigations, qu'ils contactent et pourquoi, qu'est-ce que je peux demander, nous sommes un point d'entrée pour eux, pour la préfecture de police. Nous tentons au maximum d'aider tous les enquêteurs de la préfecture de police dans leurs investigations quand elles ont un lien avec le monde cyber. Notamment par exemple en ce moment le grand sujet c'est les actifs numériques. Donc sur tout ce qui est qui je peux requérir, comment on trace des actifs numériques, etc. Donc voilà ça c'est un peu notre rôle de pilote. Aujourd'hui nous sommes environ 60 personnels. Donc plus d'une cinquantaine d'enquêteurs, ce ne sont que des policiers au service quasiment. Nous avons des administratifs, deux alternants et un ingénieur. Mais l'essentiel des troupes, ce sont des enquêteurs de police et des officiers de police. Pour la plupart, officiers de police judiciaire. Pour la plupart, ayant une qualification ou des qualifications d'investigateur en cybercriminalité. Donc avec une formation assez poussée, la police nationale offre tout un panel en interne de formation cyber à l'enquête sur les internets, dont nous faisons bénéficier nos enquêteurs une fois qu'ils viennent chez nous.
Speaker #2
Parce que l'enquêteur est à la fois expert cyber et ensuite, est-ce que techniquement vous avez des ingénieurs ou des spécialistes en décryptage ? d'analyse de code, des choses comme ça, pour être capable de remonter techniquement des malwares, des choses comme ça ?
Fabrice Billot
Ils ont, de par leur appétence et ou les formations reçues au sein de l'institution, des capacités réelles qui, moi, parfois m'épatent, à justement remonter les traces numériques. Après quand on arrive à un certain niveau technicité, on peut avoir peut-être recours à des prestataires, des partenaires extérieurs, mais c'est assez rare. Nous avons la capacité de traiter nous-mêmes des enquêtes complexes.
Speaker #2
La compétence technique est en interne donc ?
Fabrice Billot
Exactement. On est, je pense, le seul service en France, en cyber, à traiter l'intégralité du spectre, du plus bas au plus haut, avec des enquêtes vraiment de haut niveau. Et nous avons ici vraiment des enquêteurs avec des talents assez rares et une capacité à traiter les journaux de connexion, à travailler sur les internets, en OSINT, sur la crypto, etc. Et vraiment tous les moyens qu'on peut mettre en œuvre. Nous les mettons en œuvre.
Speaker #2
La BL2C, à quel moment intervient-elle ? Elle intervient en amont d'attaque sur un côté préventif ou plutôt en aval, lorsque une attaque a eu lieu pour mener des investigations ?
Fabrice Billot
99% du temps, nous sommes dans un service de police judiciaire. Nous intervenons post-mortem, quand le corps est découvert. Donc souvent, l'attaque a été commise. ou une tentative d'attaque a été commise, nous sommes saisis par l'autorité judiciaire. Notre sort lié à la préfecture de police, nous sommes compétents sur Paris la Petite Couronne. Dès lors, ça peut être le parquet de Paris qui a une compétence nationale potentiellement ou les différents parquets de chaque département de la petite couronne 92, 93, 94 qui peuvent nous saisir.
Speaker #2
Et comment on travaille de manière géographique lorsque l'on sait que les cyberattaques peuvent venir de partout et que les malfaiteurs ne sont pas toujours en région parisienne ou même en France ?
Fabrice Billot
C'est justement une richesse de notre service et aussi une contrainte, les deux ensemble. Nous avons effectivement un critère de compétence de saisine. Il y a la localisation des attaques. Donc souvent c'est le lieu de domicile des victimes, mais là c'est le lieu de commission de l'attaque qui est retenu. Et dès lors, derrière, il est fort probable que ceux que nous identifierons, et nous identifions quand même beaucoup d'attaquants, je tiens à le préciser pour vos auditeurs, mais qui ont peut-être parfois l'impression que ceux qui mènent des attaques sur internet sont impunis. Nous avons quand même de bons résultats judiciaires.
Speaker #2
C'est un taux de résolution de combien à peu près, quand on est une chaîne de valeur ?
Fabrice Billot
Je ne peux pas vous communiquer sur le chiffre, mais en tout cas, on a un bon taux de résolution au quotidien. On a de nombreuses gardes à vue et de nombreux déférés tout au long de l'année. Donc, une fois que nous sommes saisis, on identifie et on doit aller interpeller, perquisitionner. Et là, c'est vrai que c'est un service où on se projette beaucoup à travers la France, mais aussi à l'étranger. On a quand même très régulièrement des missions en Europe, mais aussi outre-Méditerranée, voire outre-Atlantique.
Speaker #2
Est-ce que dans vos activités quotidiennes, je ne parle pas des Jeux Olympiques, vous avez des profils type de malfaiteurs ou pas du tout, enfin, de cyberattaquants ?
Fabrice Billot
Alors, avec l'expérience, j'ai brossé un schéma type qui amuse toujours un petit peu, qui vaut ce qu'il veut. Mais j'aurais 4 profils d'attaquants. Il y a ce que je nomme le verre est dans le fruit, le risque interne, où on a souvent, en fait, et c'est sous-estimé fortement, sur fond de conflit du travail, sur fond de méconnaissance des règles de sécurité. Pour X motivations, crapuleuses, de colère, idéologiques, on peut avoir des salariés, des prestataires qui vont commettre des attaques internes. Je ne pourrais pas vous quantifier précisément ce phénomène, mais il est réel. Et à chaque année, ça constitue quand même une part importante de nos saisines. Pas majoritaire, mais une part importante. Il y a après une deuxième catégorie que j'appellerais un peu les débutants, qui vont commettre des infractions de petits niveaux. Je pense par exemple à un mode opératoire qui s'appelle le credential stuffing. qui permet d'injecter grâce à des logiciels des identifiants mot de passe sur différents comptes pour essayer de récupérer de l'information, de récupérer la cagnotte présente sur ce site. Là en général on est sur un public assez jeune, assez débutant. Après on a une troisième catégorie de profils un peu plus aguerris, plus expérimentés, meilleurs, qui peuvent commettre tout. tout le champ des modes opératoires, de la cyber, du déni de service, de l'entrave, des injections SQL, c'est-à-dire qui vont changer des lignes de code, du défacement de site, etc. Les motivations, elles sont multiples. Elles peuvent être crapuleuses, là aussi, elles peuvent être idéologiques. Il y a quelque chose que j'appelle aussi du domaine de l'ego trip, c'est-à-dire se faire connaître, avoir un nom, un pseudo. et le faire connaître, ça c'est quelque chose qui est très important chez les cyberdélinquants. Et ce d'autant plus que là je vais arriver à la quatrième catégorie, c'est que quand on veut intégrer l'élite entre guillemets, les rançongiciels, les ransomware, il faut pouvoir se faire coopter. On ne devient pas affilié d'une famille de rançongiciels comme ça, ou pas que je sache en tout cas, donc il faut un minimum de... d'expérience, c'est l'iter criminis, mais qui vaut dans tous les schémas de délinquance. Dans le stupéfiant, on commence rarement directement à portateur de stupéfiants. On a un parcours initiatique à suivre. Sur la cyberdélinquance, j'ai l'impression qu'on retrouve ce même parcours.
Speaker #2
Il y a des plans de carrière dans la cyberdélinquance.
Fabrice Billot
Alors, structuré avec une RH, je ne pense pas. Mais en tout cas, il y a un certain nombre de passages obligés, j'ai l'impression.
Speaker #2
D'accord. Et ça me permet de... passer à la menace qui nous attend pour les Jeux Olympiques 2024. Est-ce que vous pensez que ces profils, ces quatre profils qui sont au final assez franco-français, européens, constituent une part importante de la menace ou il faut regarder ailleurs ?
Fabrice Billot
Alors, il ne faut pas sous-estimer ces profils, notamment les rançongiciels, mais aussi les individuels, les artisans qui ont des compétences réelles et qui peuvent mettre des attaques qui entraîneraient une gêne certaine. notamment chez les TPE, PME et sous-traitants. Chez les acteurs structurants des Jeux Olympiques, les plus solides, les plus gros, je leur ai tendance à croire que leur pouvoir de nuisance est moins important, mais attention, ne les sous-estimons pas. Les rançons logicielles aussi pour avoir un impact. Par contre, après, la première menace, celle que l'on craint le plus, c'est la menace étatique par étatique, où là, effectivement... Sans citer aucun pays, l'expérience précédente des Jeux Olympiques a montré qu'il était fort probable que des agences gouvernementales ou encore une fois paragouvernementales étaient à l'origine d'attaques d'ampleur. Donc ça c'est un risque qu'on ne peut pas nier. Je reviens vite fait aussi sur les rançongiciels, donc il y a des capacités de nuisance avec des acteurs aguerris. Des fois la frontière, enfin on est dans l'hypothèse, mais on pourrait trouver la frontière un peu poreuse entre les statiques et les ransomware. Ça c'est une aparté. qui ne s'appuie sur rien de bien concret si ce n'est moi et mon analyse.
Speaker #2
Et puis l'expérience des Jeux Olympiques passés, où on a vu deux pays sans les cités qui ont été particulièrement actifs sur les dernières éditions, et où les groupes qui mènent des attaques avec des ransom JCL sont hébergés dans ces pays et bénéficient apparemment d'une complaisance de la part des autorités.
Fabrice Billot
Alors une complaisance, oui, où on va dire si on est optimiste que... On les laisse tranquilles, oui. Est-ce que c'est voulu ou pas ?
Speaker #2
Ça, on n'a pas la réponse, effectivement. Et on a eu 450 millions de cyberattaques à Tokyo, justement sur les derniers jeux post-Covid. On en attend 4 milliards pour les jeux de Paris. Au final, comment on se prépare à prendre une vague aussi grande au visage ?
Fabrice Billot
Alors, clairement, il y aura une hausse des attaques. Cela me paraît évident. De toute façon déjà on voit qu'au quotidien la menace hiver progresse, je vois pas pourquoi il en serait autrement pour les JO. Le contexte géopolitique actuel n'aide peut-être pas non plus. Comment on se prépare ? La BL2C, donc on existe depuis 1994. On a un territoire de compétence, la préfecture de police, qui naturellement nous amène à avoir beaucoup de saisines. Donc comme des athlètes j'ai envie de dire que nous nous entraînons au quotidien. Nous avons toujours des saisines, toujours des gardes à vue, donc nos réflexes de policiers, d'enquêteurs sont là. Parce qu'au-delà d'être des geeks, nous sommes aussi des enquêteurs de police judiciaire, avec des réflexes d'enquêteurs de police judiciaire, mais ayant une appétence supérieure, complémentaire, pour le domaine du cyber, de l'internet, des internets. Donc comment on se prépare ? Tout simplement en continuant notre activité, en se formant. Aussi, on a le plan de préparation, mais qui n'est pas propre à la BL2C, qui est propre à toute la PJ, mais même à toute la police parisienne et française. Ça va être aussi d'avoir un plan de présence très important cet été, qui sera de 100% sur la période des Jeux Olympiques.
Speaker #2
C'est-à-dire que 100% des effectifs de la police judiciaire seront en poste pendant la période olympique ?
Fabrice Billot
Exactement, nous serons tous là. Ce qui constitue quand même une force de frappe conséquente. Est-ce qu'elle sera suffisante ? On verra, on fera les comptes après les Jeux Olympiques. Je ne crois pas qu'on puisse faire plus. Donc on nous aura quand même une capacité de réagir. En fait, ce qui va compter à ce moment-là, c'est notre réactivité, notre flexibilité, notre capacité d'adaptation aux événements. Ça va être ça qui va être primordial. L'enquête tibère sont souvent des enquêtes au long cours, puisqu'une fois qu'elle a eu lieu... On a la recherche des tracés indices, leur analyse. Souvent on a besoin de coopération internationale. Donc on s'inscrit dans un temps non. Mais ce qui va compter c'est qu'on se mobilise très vite pour lancer le maximum des investigations à ce moment-là.
Speaker #2
Et comment vous allez coopérer avec les autres acteurs ? Je pense notamment à l'ANSI qui fait un gros travail de préparation à Mans. Il y a les services de renseignement aussi, DGSI qui est très impliqué dedans, je pense que la DGSE aussi d'ailleurs. Comment on se coordonne, comment on fait en sorte de ne pas être dans le curatif mais aussi le préventif et comment vous vous inscrivez dans cette chaîne de valeur si je puis dire ?
Fabrice Billot
Alors nous encore une fois, nous sommes un service de police judiciaire, donc nous intervenons en principe, il y a quelques exceptions mais qui sont quand même très rares, une fois que les faits ont été commis ou tentés d'être commis. Nous ce qui est important c'est de pouvoir bien se coordonner avec tous les acteurs. Vous avez cité l'ANSI, vous avez cité les services de renseignement. Je pourrais aussi vous citer le parquet de Paris qui a une compétence concurrente nationale et je pense qu'ils activeront souvent cette compétence-là durant les Jeux Olympiques. Donc l'importance pour nous c'est que nous nous coordonnions, nous échangeions les informations pour mutualiser, pour en bénéficier les uns les autres, pour éviter de faire des doublons. Il serait quand même dommage de perdre de l'énergie durant cette compétition. Et pour cela, nous avons organisé plusieurs fois des exercices où nous simulons des crises et voir comment nous répartissons le travail, comment nous mettons en place des process de communication. Et cela depuis deux ans. Donc régulièrement, il y a des exercices qui sont organisés. Les différents acteurs, nous nous connaissons bien, nous parlons déjà très fréquemment à travers différentes instances. Et je pense que durant les Jeux Olympiques, ce sera l'occasion de l'union sacrée.
Speaker #2
D'accord, merci pour cet éclairage. Et quels sont les groupes qui vous font le plus peur au final ? On a parlé des différents groupes. Pour vous, d'où vient la menace principalement ?
Fabrice Billot
Je ne pourrais pas vous citer un groupe cybercriminel particulièrement ou un groupe étatique. Je pense que sur les infrastructures vitales, encore une fois les acteurs principaux des Jeux Olympiques de Paris, le curseur a été quand même mis assez haut depuis quelques mois, quelques années, sur la prévention, la prise en compte de la cybersécurité. J'aurais tendance à penser qu'il faut quand même des moyens très importants pour pouvoir passer outre les défenses qui ont été établies.
Speaker #2
Donc là, ce serait plutôt des groupes étatiques ou affiliés à des États qui auraient les moyens de toucher les grosses instances comme le COJO ou les instances olympiques ?
Fabrice Billot
À mon sens, oui. Peut-être certains groupes de rançongiciel. Mais encore une fois, ne sous-estimons pas certains éléments brillants et individuels. Brillants, en tout cas, dans leur volonté de faire du mal. A mon avis, c'est quand même ça le principal danger pour les grands acteurs. Mais je sais que c'est un peu votre sujet aussi. Il y a tout le réseau de sous-traitants, des TPE, PME, qui elles peuvent être plus sensibles, même si un effort a été fait de prévention, d'acculturation sur la cybersécurité. Effectivement, il y a des risques et je pense qu'en cascade, cela peut entraîner des dysfonctionnements pour les grands acteurs. Et si ce n'est en termes de système d'information, il y a aussi toujours ce risque un peu réputationnel, où je pense qu'une entreprise XYZ attaquée par un JO pourra vite être mise en avant comme une victime par un groupe cybercriminel pour faire leur publicité sur les atteintes fondamentales menées aux Jeux Olympiques de Paris.
Speaker #2
Oui, et là il y a des pertes qui sont directes, pertes de chiffre d'affaires, d'exploitation, etc. Et puis il y a toute la perte réputationnelle. Perte de base de données, etc. qui a une valeur qui peut dépasser la perte de chiffre d'affaires.
Fabrice Billot
De mon dialogue avec les entreprises au quotidien, j'ai remarqué que la perte de chiffre d'affaires d'activité économique n'est pas sous-estimée loin de là. Parfois c'est une catastrophe, cela peut même entraîner une liquidation de société. C'est arrivé, donc ça c'est quand même quelque chose de non négligeable. Mais finalement je me rends compte que ce qui fait le plus peur c'est le risque sur la communication. J'ai l'impression que c'est quand même ce qui inquiète le plus. Sur les traces que cela va laisser derrière, puisqu'à la limite, le système d'information peut, je l'espère, avoir un certain nombre de sauvegardes mises à l'abri, donc on perd un jour, deux jours, trois jours de chiffre d'affaires. Mais derrière, il y a la trace laissée sur les capacités de l'entreprise à protéger la donnée des utilisateurs, à ne pas avoir cédé à une attaque lambda. Et puis, j'ai oublié de le citer, mais aujourd'hui, il y a aussi la problématique de la responsabilité pénale des dirigeants d'entreprise avec le RGPD. C'est, je pense, une vraie responsabilité. C'est quelque chose qui occupe aussi l'esprit des dirigeants d'entreprise.
Speaker #2
Oui, parce que les dirigeants d'entreprise, les entreprises ont comme responsabilité de protéger les données personnelles de leurs clients, mais aussi de leurs collaborateurs, de leurs prestataires, etc. Et en cas de négligence caractérisée, la CNIL ou les autorités judiciaires... peuvent considérer qu'il y a une responsabilité pénale de la part de l'entreprise ou de son dirigeant sur la perte de données.
Fabrice Billot
Effectivement, je ne me souviens plus la date exacte de cette réforme qui est intervenue il y a quelques années, mais c'est un risque réel. Et notamment, je pense que l'autorité administrative indépendante va apprécier les efforts faits par l'entreprise, mais aussi un acteur public, parapublic, pour protéger les données.
Speaker #2
Tout à l'heure, vous parliez de ces artisans qui ont beaucoup de talent dans la nuisance. Est-ce que vous pensez que l'émergence de l'intelligence artificielle, des solutions d'automatisation, etc., peut leur rendre les attaques cyber sur les sous-traitants, sur les petites entreprises plus faciles ?
Fabrice Billot
C'est très difficile pour moi de me faire un avis parce que je lis beaucoup de choses contradictoires, j'entends beaucoup de choses contradictoires. Alors tout d'abord j'ai un petit souci avec le terme d'intelligence artificielle car à l'heure actuelle l'IA n'a pas de processus cognitif comme l'intelligence. Je préfère le terme anglais de machine learning. Bon, ceci mis à part, on voit quand même que cela produit des résultats intéressants grâce aux puissances de calcul et d'apprentissage justement des modèles, etc. Sur la cyberdélinquance, j'ai un doute. Je peux me tromper mais j'ai l'impression que pour l'instant les modèles pour coder ne sont pas encore extrêmement développés. Et on pourrait aussi faire un raisonnement à l'inverse, c'est que ceux qui font de la cybersécurité peuvent utiliser les modèles d'IA pour créer une structure de défense. Alors j'ai un peu du mal à, sur nos profils de hackers, j'ai un peu du mal à estimer vraiment la nuisance potentielle, mais je ne suis pas le meilleur sachant sur ce sujet là. Là où... Pour l'instant, j'ai l'impression qu'il y a un vrai potentiel, c'est sur les escroqueries en ligne cyber et sur ce qu'on appelle le deepfake, la désinformation qui n'est pas notre cœur de métier. Mais là, je vois qu'effectivement, cela permet des pratiques massives industrielles avec quand même une capacité à reproduire la réalité qui est pour moi assez sidérante.
Speaker #2
Avec les fraudes aux dirigeants, des choses comme ça, qui usurpent parfaitement la voix ou le physique d'un individu.
Fabrice Billot
Exactement, et je vois que ça a ouvert, et ce n'est peut-être que le début, un potentiel dans le domaine des cyber-escroqueries, par exemple. Des escroqueries commises grâce aux moyens cyber.
Speaker #2
Oui, mais là c'est de l'ingénierie sociale, c'est plus un soutien à l'ingénierie sociale qu'une aide technologique et technique dans la mise en place d'attaques.
Fabrice Billot
Exactement. Sur cette aide-là, c'est comme le quantique. J'entends des choses, je lis des choses. Je ne sais pas moi, en tout cas l'impact, ou je ne le perçois pas bien, l'impact de ces deux nouvelles technologies.
Speaker #2
C'est-à-dire que vous, dans les affaires que vous traitez, vous n'avez pas encore le raz-de-marée annoncé, ou du moins une recrudescence de ces techniques ?
Fabrice Billot
À l'instant T, zéro.
Speaker #2
Ok.
Fabrice Billot
Donc l'IA... n'a rien apporté dans les enquêtes que nous traitons actuellement, que nous avons résolues en tout cas. Peut-être que dans celles que nous traitons, que nous n'avons pas résolues, oui, mais à l'instant T, en tout cas, je ne vois pas de traces de l'IA.
Speaker #2
Et pour revenir, désolé, j'ai un peu sauté une étape tout à l'heure, mais pour revenir à la chaîne de valeur sur les JO, les grandes instances s'appuient donc sur toute une chaîne de sous-traitants. Quelles sont les principales failles que vous... identifiez dans les TPE, PME et c'est assez divers. On parle de traiteurs, on parle de services logistiques. On sait que les services logistiques vont être beaucoup attaqués pendant les JO. Quelles sont les failles que vous identifiez chez tous ces petits acteurs qui sont très atomisés ?
Fabrice Billot
Alors, est-ce que vous me demandez si c'est une faille dans la supply chain et donc de savoir s'il y a des acteurs particuliers qui auront une criticité particulière ? Ça, je ne le sais pas. Est-ce que vous me demandez si ce sont les... En tout cas, je ne l'ai pas réfléchi auparavant. Est-ce que vous me demandez si c'est des comportements ou des oublis fréquents dans la sécurisation des systèmes d'information ? Là, je peux avoir deux, trois éléments de réponse à vous apporter.
Speaker #2
Dites-nous tout.
Fabrice Billot
Il y a deux types de réponses différentes. La première, je le constate souvent, mais... Ce n'est pas uniquement dans les TPE, PME, ça peut être aussi dans des grands groupes, des structures parapubliques, des fois un peu un oubli des règles de sécurisation basiques pour les collaborateurs. On constate parfois qu'il n'y a pas de journalisation, des connexions, des droits d'accès, il n'y a pas de monitoring des différentes connexions au sein même de l'intranet, de l'entreprise ou de la collectivité, ou de l'internet sur le site d'information. Le basique, les mots de passe uniques et complexes aussi, qui malheureusement, là on rentre un peu dans l'ingénierie sociale, mais à partir du moment où il y a une fuite de base de données, certains collaborateurs vont voir leurs mots de passe volés et qu'ils vont être utilisés dans le monde professionnel, mais ça c'est une réalité. Je suis toujours surpris aussi que la simple double authentification ne soit pas utilisée, notamment pour les salariés qui sont en télétravail, et qui permettent à des cyberdélinquants, une fois qu'ils ont récupéré un identifiant mot de passe, ou X biais, sur un ordinateur de pouvoir se connecter assez facilement à un système d'information à distance d'une entreprise. Voilà, c'est un peu ça les basiques de la cybersécurité. Et dans un deuxième temps, il y a pour moi un levier important, c'est de faire procéder à un audit de son système d'information, des règles de sécurité, par des acteurs certifiés. L'ANSI et Ausha Cyber Mavillance ont fait un gros travail ces dernières années de certification d'un certain nombre d'acteurs pour avoir un gage de qualité lors de l'audit de son système d'information. A chaque fois que nous pouvons intervenir dans une entreprise, nous portons le message sur ces deux volets. Ça n'évitera pas tout, ça ne peut pas tout éviter, mais je pense que ça complexifie fortement le travail des cyberdélinquants derrière.
Cybiah
Oui, parce que les cyberdélinquants, ils peuvent se montrer très fainéants, c'est-à-dire qu'ils ont tendance à taper là où c'est simple. Et qu'ils préfèrent rentrer dans un système d'information quand il y a une simple authentification et pas une double, ou choisir les entreprises qui n'ont aucune hygiène numérique.
Fabrice Billot
La double authentification pourrait se contourner, mais c'est techniquement complexe. Comme vous le dites, je suis un escroc, j'irai au plus facile, c'est une rationalité économique. Et puis au quotidien, je pense qu'il faut complexifier la vie des délinquants. On a connu la même chose avec les banques, on a eu un certain nombre de vols à main armée durant des années, et nous avons mis en place... des mesures de ce qu'on appelle la prévention situationnelle. Alors déjà, il n'y a plus de flux liquide, il y a eu un certain nombre de mesures de sécurisation des locaux qui ont été mises en œuvre. Je ne sais pas si vous voyez devant les banques aussi, souvent on a un certain nombre de poteaux en acier, en béton, qui empêchent les voitures baillées. Et à partir de là, nous avons quand même constaté une chute drastique des vols à main armée ces dernières années. On a vraiment vu qu'il y avait une baisse globale. des vols à main armée depuis une décennie et plus. Et je pense qu'en termes de cyberdélinquance, un certain nombre de mesures simples seraient mises en place, nous aurions une vraie diminution des cyberattaques aussi.
Cybiah
Et question annexe, justement vous disiez que le grand banditisme s'est retrouvé entravé sur les vols à main armée, des choses comme ça. Est-ce qu'on a retrouvé des bandits qui ont muté et de voleurs à main armée à voleurs ? sur l'espace cyber ?
Fabrice Billot
De mon expérience, le grand banditisme s'est surtout reconverti dans le narco-banditisme, trafic de stupéfiants. Dans l'espace cyber, peu, on a des échos que peut-être, mais là c'est toujours pareil, je ne l'ai pas constaté moi, mais c'est ce que j'ai entendu, dans certains groupes de criminalités organisés en Europe de l'Est, par exemple, ils pourraient embaucher des équipes de hackers. pour mener des cyberattaques, souvent en vue d'escroqueries avec des moyens cyber. Donc ça, effectivement, il semblerait qu'il y ait une diversification. Les groupes criminels ont l'air, comme une entreprise, diversifier leur portefeuille. On peut faire un peu de stupéfiants, un peu de proxénétisme, et donc un peu de cyber. Mais moi, à mon échelle, je ne l'ai pas constaté.
Cybiah
Il n'y a pas eu de transformation massive de groupe ? On va dire du grand banditisme dans le cyber.
Fabrice Billot
A ma connaissance, non. J'ai juste vu deux, trois fois des voyous d'habitude qui semblaient commencer à s'intéresser aux escroqueries cyber. Mais en tout cas, il n'y avait pas la volonté de se mettre à hacker directement.
Cybiah
Et pour justement réduire les risques, est-ce qu'il faut que ce soit un peu comme dans le banditisme, quand on en a entendu beaucoup parler, notamment dans les années 80-90, les gens se montraient plus vigilants ? Est-ce qu'on a besoin d'avoir une visibilité sur les attaques cyber pour que les gens commencent à en avoir peur et au final se préparent au risque et se disent avec les JO on attend beaucoup d'attaques, je vais commencer par soigner ma propre hygiène pour éviter d'être une victime ?
Fabrice Billot
Alors la peur peut être utile, peut être positive. Dans la nature, c'est ce qui a permis à l'homme de survivre, puisque c'est des injections d'adrénaline qui nous permettent soit de fuir, soit de combattre. Parfois, elle est négative aussi, elle peut nous paralyser. Il faut savoir canaliser sa peur, mais elle peut être utile. Oui, j'aurais envie de dire qu'il faut avoir peur, mais ça ne doit pas être le premier vecteur au quotidien. Ça doit être vraiment une prise de conscience rationnelle. de tous les acteurs socio-économiques sur l'importance de l'hygiène numérique, sur les gestes de base, sur la sécurisation des systèmes d'information. Mais je me rends bien compte aussi aujourd'hui que face... Je trouve qu'on est un peu dans une injonction paradoxale. face au flux d'informations perpétuelles je pense aux salariés qui reçoivent des centaines de mails par jour et il faut qu'ils détectent le mail sur une année où ils pourraient avoir une tentative de phishing c'est difficile de être vigilant au quotidien d'où l'importance quand même aussi peut-être pour les dirigeants de penser, de prévoir, je ne sais pas, des rappels réguliers tous les 3 mois, tous les 6 mois, tous les ans pour redire les mêmes choses mais c'est essentiel parce qu'on peut oublier avec le temps Merci De même, les réseaux sociaux, il faut faire attention. C'est important, il faut communiquer aujourd'hui. On doit se vendre sur les réseaux sociaux, mais en même temps, on donne des informations qui facilitent l'ingénierie sociale derrière et qui peuvent permettre des cyberattaques ou des cyber-escroqueries derrière. Donc c'est difficile, on est sur le fil du rasoir, j'en ai bien conscience, mais il faut trouver l'équilibre entre tout ça. Donc la cybersécurité, vraiment, doit devenir un enjeu de risque majeur. doit être pensée comme telle au sein des entreprises pour avoir des plans de rappel réguliers.
Cybiah
C'est vrai qu'à travers les centaines de mails que reçoivent les salariés, il y a souvent des tentatives de phishing. Les grands groupes s'y préparent avec des campagnes qui visent à sensibiliser les salariés. Je pense qu'il est important de rappeler aux auditeurs qu'à partir d'un mail, à partir d'un phishing, on ouvre la porte à des conséquences beaucoup plus graves pour une entreprise.
Fabrice Billot
Le phishing est un peu la merde de tous les vices. Cela permet d'arriver à de multiples infractions cyber. Par exemple, le sujet le plus médiatique, le plus connu, le plus prégnant actuellement, c'est les ransomware, les rançongiciels, où cela permettra à des acteurs de s'infiltrer sur un système d'information, de pratiquer ce qu'on appelle la latéralisation, de se déplacer au sein du système d'information, et là, de prendre possession de tout le système d'information. Vous savez, aujourd'hui, la ronde-note pour les familles de rançongiciels, c'est de pratiquer la double extorsion. C'est-à-dire que d'un côté, ils verrouillent, le système d'information de l'entreprise. De l'autre côté, ils vont extraire les données et ils vont faire un chantage à la publication. Donc ils vont demander une rançon pour les deux, pour déverrouiller le système d'information et pour ne pas diffuser les informations volées. Donc ça, c'est la menace la plus prégnante, actuellement la plus lourde en termes économiques pour les entreprises. On voit aussi qu'ils attaquent des hôpitaux parfois, il y a encore eu un exemple récemment, et ça a des vrais impacts en termes d'organisation sur les hôpitaux aussi. Ça a été pendant le Covid, il y a eu beaucoup d'attaques sur les hôpitaux par exemple. Donc voilà, le phishing qui paraît anodin comme ça peut avoir des conséquences très lourdes derrière. Nous constatons un autre phénomène aussi en ce moment, alors qui s'éloigne un peu du phishing, mais... qui peut être lié, vous êtes sur un forum de jeux vidéo, vous téléchargez un jeu vidéo gratuitement, vous téléchargez une vidéo XYZ, vous téléchargez ce qu'on appelle aujourd'hui un infostealer, qui moi évoque un peu les chevaux de 3 d'avant, qui vont récupérer toutes les données très discrètement sur votre ordinateur, vos identifiants mot de passe, et par exemple actuellement nous faisons beaucoup de liens avec les vols de crypto, puisque vous avez un compte Binance. Vous utilisez Identifier en mot de passe, le voyou le récupère sur votre navigateur, il peut se connecter à votre compte et hop, il vire l'argent ailleurs. Donc voilà, c'est les classiques finalement que j'entends depuis 20 ou 30 ans sur Internet, faire attention à ce qu'on télécharge, notamment quand c'est gratuit, notamment quand c'est envoyé par quelqu'un qu'on ne connaît pas ou qui est toujours attentif sur les entêtes de mail.
Cybiah
Et l'expéditeur aussi.
Fabrice Billot
Et l'expéditeur aussi. Toujours, c'est une vigilance finalement, dès qu'on est sur internet, il faut automatiser des comportements.
Cybiah
Oui, parce qu'un mauvais comportement ou une négligence peut amener à un piratage, et le piratage n'est pas forcément visible. Il peut être totalement silencieux jusqu'au jour où on voit la conséquence plusieurs semaines, mois après.
Fabrice Billot
Sur les rançons JCL, on voit parfaitement le début d'une attaque et le déclenchement du... du chiffrement des données du système d'information, il peut s'écouler effectivement plusieurs semaines selon la taille du système d'information, selon les capacités des uns et des autres. Donc ça peut avoir des effets à beaucoup plus long terme. Je pense aussi que les voyous finalement des fois ils récupèrent des données, ils ne l'utilisent pas toujours, ils la thésorisent. La donnée c'est vraiment le nerf de la guerre en fait, puisque derrière ça permettra aussi de faire des cyber-escroqueries dans un deuxième temps. Et la donnée se revend derrière. Moi, j'ai volé la donnée, mais je n'ai pas l'âme d'un escroc. Donc, je vais la mettre en vente sur différents forums cybercriminels pour qu'un autre, qui aura une autre idée lumineuse, puisse l'utiliser.
Cybiah
Et la valoriser à son tour.
Fabrice Billot
Exactement.
Cybiah
Et pour veiller justement à ce que les collaborateurs ne se fassent pas piéger, j'ai cru comprendre que vous, Belle de C, et... Comme l'ANSI, comme le campus cyber, comme beaucoup d'institutions, vous étiez assez proactifs dans la sensibilisation des entreprises ?
Fabrice Billot
Alors ce n'est pas notre cœur de métier, mais il nous arrive parfois d'intervenir, quelques fois chaque année, auprès de grands groupes, pour faire un retour d'expérience. Nous ne sommes pas des experts en cybersécurité, je ne vais pas prendre le travail de quelqu'un d'autre. Par contre, à force de traiter des dossiers, de voir les erreurs faites, nous avons quand même... un catalogue des choses à faire et à ne pas faire, et nous tentons de passer les messages durant ces invitations. Nous précisons aussi, c'est très important pour nous, ça je ne l'avais pas parlé avant, mais auprès des RSSI nous essayons de faire passer le message aussi que c'est très important d'avoir un contact rapide entre nous quand il y a une attaque, puisque nous voulons qu'ils conservent si possible des traces. et un 10 qui nous permettront d'enquêter derrière. Puisqu'il peut y avoir un réflexe premier, c'est j'efface tout. Dans ce cas-là, notre enquête derrière sera beaucoup plus compliquée. Donc pour nous, on cherche à avoir un dialogue très rapide avec les différents RSSI. C'est la base d'une saisine, c'est notre priorité. Nous savons très bien que quand une entreprise est confrontée à une attaque cyber d'ampleur, c'est comme face à un incendie. On cherche d'abord à éteindre l'incendie avant de mener l'enquête. Nous respectons ça, mais au moins avoir le dialogue et déjà dire, tiens, pensez à garder ça, faites attention à ça, est-ce que vous avez une idée en amont ? C'est du temps de gagner pour nous et c'est surtout le gage, nous ayons un peu de matière pour travailler ensuite.
Cybiah
On arrive quasiment au terme de cette interview, j'ai une question qui me taraude. Si je suis victime d'une attaque pendant les Jeux Olympiques, ou même avant ou même après, que dois-je faire ? premières réactions, les premiers réflexes à avoir ?
Fabrice Billot
Effacer tout.
Cybiah
Pour faciliter votre raclette.
Fabrice Billot
Plus sérieusement, le réflexe, c'est d'être votre responsable de système d'information, donc RSSI, je ne sais quel terme on emploie aujourd'hui, de prendre les premières mesures conservatoires et de remédiation sur votre système d'information, de penser vite à nous contacter. Alors pour cela, il y a différents moyens. Soit vous trouvez nos coordonnées sur Internet, bien entendu. Soit vous déposez plainte via un avocat qui transmettra à J3 qui nous saisira. J3 c'est la section cyber du parquet de Paris ou du parquet compétent. Si vous êtes à la défense, c'est le parquet du 92 qui en principe est compétent. A l'exception des rançongiciels d'ailleurs. J3 en principe a une compétence nationale dessus. Vous nous contactez, nous vous entamons le dialogue. Comme je le disais tout à l'heure, nous savons très bien que l'urgence d'une entreprise ou d'une collectivité en cas d'incendie, c'est la remédiation. Mais au moins déjà le dialogue est établi entre nous et nous assurons que les traces et indices seront conservés pour exploitation ultérieure.
Cybiah
Et je me permets une petite aparté dans notre auditoire. Nous avons beaucoup de petites entreprises, de patrons de petites entreprises, quand on a une startup, quand on a une TPE. Il faut faire quoi ? Il faut directement appeler soit à la BL2C, soit déposer plainte ?
Fabrice Billot
J'ai oublié quelque chose de très important et d'essentiel, c'est le réseau des commissariats et des postes de police à travers tout le territoire de la préfecture de police et tout le territoire national, où finalement le plus simple c'est d'y aller, de déposer plainte. L'enquêteur prend son téléphone, fait un avis magistrat, fait un avis au service compétent et derrière nous pourrons démarrer l'enquête judiciaire. On a une chance sur Paris La Petite Couronne, c'est quand même d'avoir un réseau assez dense de policiers qui sans être experts, savent les questions à poser, savent les premières données à collecter et ont les premiers enseignements à donner.
Cybiah
Pour vous, vous facilitez la tâche derrière,
Fabrice Billot
c'est ça ? Exactement. Vous, ça vous permet en tant qu'entrepreneur d'aller au plus court, au plus rapide, à proximité de votre domicile. Et ensuite, nous, nous pouvons initier derrière très rapidement. Donc rappelez-vous, le premier réflexe que j'avais oublié, c'est les commissariats de circonscription de quartier.
Cybiah
Et qui seront à même de poser les bonnes questions et d'amener les bons conseils pour éteindre l'incendie avant de mener l'enquête.
Fabrice Billot
Exactement.
Cybiah
Et finalement, est-ce que pour vous, les JO donnent un nouvel élan à la cybersécurité et laisseront un héritage en matière de cyber en France, même en Europe ?
Fabrice Billot
Alors pour la France... J'ai quand même l'impression qu'il y a eu un gros effort de fait depuis quelques années sur la prise de conscience, sur les investissements. Je parlerais même quelque part de professionnalisation de la filière, avec toutes les certifications qui ont été entreprises par les deux grands acteurs de la prévention en France, l'ANSI pour les grands groupes et Asima Cybermalveillance pour ETP, EPM, les particuliers. J'ai quand même l'impression qu'il y a un avant et un après. Ensuite, il faudra maintenir cette vigilance dans le temps, poursuivre les investissements, poursuivre la formation, poursuivre la prévention. Mais en témoigne de cette nouvelle prise de conscience, le campus cyber, lieu totem de la cybersécurité évolu par le président de la République, qui a été créé, qui permet quand même de rassembler beaucoup d'acteurs, qui porte des messages de prévention. Et je trouve vraiment que cela témoigne aujourd'hui dans notre pays d'une nouvelle volonté. de faire en sorte que la cybersécurité soit intégrée comme risque majeur pour les entreprises et pour les collectivités, enfin pour tous les acteurs socio-économiques.
Cybiah
Oui, et notamment pour les TPE-PME, puisque le campus cyber... En partenariat avec le catalyseur de l'innovation de Pold, finance et participe aux audits de cybersécurité des TPE et des PME pour éviter d'avoir à faire appel à la BL2C plus tard.
Fabrice Billot
Exactement, et nous remercions tous ces différents acteurs pour cela.
Cybiah
Merci beaucoup, monsieur le commissaire, pour cette interview et à bientôt.
Fabrice Billot
Merci à vous, à bientôt.
Cybiah
Entre les tensions géopolitiques, les motivations financières et la multiplication des attaques, tout était réuni pour que les cybercriminels s'en donnent à cœur joie pendant les Jeux olympiques et paralympiques. Nous ne pouvons donc que vous inviter à suivre tous les conseils dispensés par Fabrice Biot et si vous êtes dirigeant de TPE-PME, à prendre contact avec Cibia pour déployer des mesures cyber adaptées à votre activité. En attendant, n'hésitez pas à vous abonner à ce podcast sur votre plateforme d'écoute préférée, à commenter, noter ce podcast, vos retours nous sont précieux. Également, nous suivre sur LinkedIn, at Sybia, C-Y-B-I-A-H. À très vite.

About Safe & Sound

Pourquoi écouter "Safe & Sound" ?

La cybersécurité simplifiée : Découvrez des conseils simples et pratiques pour protéger vos données et sécuriser vos systèmes, adaptés aux novices comme aux experts.
Des experts de renom : Écoutez des leaders de la cybersécurité partager leurs expériences et leurs stratégies pour contrer les cybermenaces.
Des échanges pédagogiques : Plongez dans des conversations captivantes et éducatives, démystifiant des sujets complexes pour renforcer votre culture cyber.

Programmation :

Épisode 1 : État des lieux de la cybersécurité avec Yann Bonnet, Directeur Général Délégué du Campus Cyber et membre du groupe d'experts de haut niveau sur l'intelligence artificielle de la Commission européenne.
Épisode 2 : La préparation pour les JO 2024 avec Fabrice Billot, chef de la brigade de lutte contre la cybercriminalité (BL2C).
Épisode 3 : Les missions d’un RSSI avec Serge Misik, RSSI de Paris Ouest La Défense (POLD).
Épisode 4 : La sensibilisation et l’assistance aux victimes avec Jérôme Notin, Directeur Général de Cybermalveillance.gouv.fr.
Épisode 5 : L’importance de la cybersécurité dans la santé avec Antoine Tesnière, Directeur Général de PariSanté Campus et professeur d’anesthésie-réanimation.
Épisode 6 : L’organisation et l’évolution de la cybersécurité avec Emmanuel Naëgelen, Directeur adjoint de l’Agence nationale de la sécurité des systèmes d'information (ANSSI).

Presse :

Lire le communiqué

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Safe & Sound

Pourquoi écouter "Safe & Sound" ?

La cybersécurité simplifiée : Découvrez des conseils simples et pratiques pour protéger vos données et sécuriser vos systèmes, adaptés aux novices comme aux experts.
Des experts de renom : Écoutez des leaders de la cybersécurité partager leurs expériences et leurs stratégies pour contrer les cybermenaces.
Des échanges pédagogiques : Plongez dans des conversations captivantes et éducatives, démystifiant des sujets complexes pour renforcer votre culture cyber.

Programmation :

Épisode 1 : État des lieux de la cybersécurité avec Yann Bonnet, Directeur Général Délégué du Campus Cyber et membre du groupe d'experts de haut niveau sur l'intelligence artificielle de la Commission européenne.
Épisode 2 : La préparation pour les JO 2024 avec Fabrice Billot, chef de la brigade de lutte contre la cybercriminalité (BL2C).
Épisode 3 : Les missions d’un RSSI avec Serge Misik, RSSI de Paris Ouest La Défense (POLD).
Épisode 4 : La sensibilisation et l’assistance aux victimes avec Jérôme Notin, Directeur Général de Cybermalveillance.gouv.fr.
Épisode 5 : L’importance de la cybersécurité dans la santé avec Antoine Tesnière, Directeur Général de PariSanté Campus et professeur d’anesthésie-réanimation.
Épisode 6 : L’organisation et l’évolution de la cybersécurité avec Emmanuel Naëgelen, Directeur adjoint de l’Agence nationale de la sécurité des systèmes d'information (ANSSI).

Presse :

Lire le communiqué

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Embed

You may also like

Description

À propos de Fabrice Billot

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Fabrice Billot
De mon dialogue avec les entreprises au quotidien, j'ai remarqué que la perte de chiffre d'affaires d'activité économique n'est pas sous-estimée loin de là. Parfois c'est une catastrophe, cela peut même entraîner une liquidation de société. Mais finalement je me rends compte que ce qui fait le plus peur, c'est le risque sur la communication, sur les traces que cela va laisser derrière.
Cybiah
Le constat est sans appel. Alors que 4 milliards de cyberattaques étaient attendues durant la période olympique, seuls 141 événements à faible impact ont été recensés par l'ANSI, preuve de la préparation des organisateurs et des pouvoirs publics pour contrer les attaques. Alors, quoi de mieux pour en savoir plus sur ces menaces que d'aller à la rencontre de Fabrice Billot, commissaire de police et chef de la BL2C, la brigade de lutte contre la cybercriminalité, qui dépend de la préfecture de police de Paris. Vous écoutez Safe & Sound. Le nouveau podcast dédié à la cybersécurité de Cibiaf, un programme coordonné par le Campus Cyber, cofinancé par la Région Île-de-France et l'Union Européenne, qui offre un accompagnement cyber sur mesure aux TPE et aux PME. Produit en partenariat avec le Catalyseur de l'Innovation et de l'Entreprenariat de Paris-Ouest-La Défense, cet épisode est réalisé par l'agence GEF.
Speaker #2
Bonjour Fabrice Billot, nous sommes ravis de vous recevoir pour cet épisode dédié à la cybersécurité pendant les Jeux Olympiques Paris 2024. Alors est-ce que pour commencer cette interview, vous pourriez commencer par vous présenter ?
Fabrice Billot
Merci tout d'abord pour cette invitation. Alors Fabrice Billot, je suis commissaire depuis 2011. J'ai d'abord travaillé dans le privé, j'ai eu plusieurs contrats. Je suis rentré un petit peu tardivement dans la police à 30 ans. J'ai ensuite une carrière assez classique, j'ai commencé en commissariat, comme chef d'unité d'investigation de commissariat. Puis j'ai eu la chance d'intégrer la police judiciaire parisienne en 2016, tout d'abord sur les thématiques banditisme et stupéfiants, jusqu'en 2021. où j'ai eu l'opportunité de prendre la tête de la BL2C, la brigade de lutte contre la cybercriminalité. C'était une matière qui m'intéressait beaucoup, sur laquelle j'avais pas mal de curiosités, j'avais envie de découvrir de l'autre côté du miroir, et depuis je ne suis pas déçu.
Speaker #2
Et justement ça consiste à quoi de diriger la BL2C ?
Fabrice Billot
Il faut savoir que dans la police on a peu de quotidien finalement, on gère beaucoup d'urgences. On est un service qui a un grand volume d'activités, on y reviendra plus tard, mais on tâche au quotidien d'offrir le meilleur cadre de travail aux enquêteurs, d'absorber cette charge de travail aussi, de répondre à diverses demandes. Pour la préfecture de police et pour la direction de la police judiciaire parisienne, nous pouvons jouer un rôle parfois de conseiller, de chef de file. Sur toutes les questions cyber qui maintenant sont prégnantes, qu'on retrouve partout et tout le temps. Donc nos tâches sont très variées.
Speaker #2
Combien d'experts cyber travaillent au sein de la BL2C ?
Fabrice Billot
La BL2C, on a été créé en 1994. Nous sommes une émanation de la brigade financière, première et la brigade financière. C'était à l'époque une dizaine d'enquêteurs qui avaient une passion pour les premiers systèmes d'information. Ça a beaucoup évolué depuis. Donc une dizaine d'enquêteurs, à l'époque on parlait de la safety, du safety, le service d'enquête sur la technologie de l'information. Ils étaient situés à Porte d'Italie, de mémoire je crois. Ils ont été intégrés après, ils sont revenus à l'ancien loco, aux anciens locaux de la sous-direction des affaires économiques et financières, dont dépend toujours la BLDC aujourd'hui, qui était située dans le 13e arrondissement aussi. Et en 2019, nous avons changé de nom, nous sommes devenus la BL2C, la brigade de lutte contre la cybercriminalité. De 10 enquêteurs, le service est passé à une vingtaine, trentaine d'enquêteurs pendant de nombreuses années, avec un flux, un turnover. Ce serait impossible de vous dire un chiffre fiamme, mais l'ordre de grandeur est là. Et nous avons depuis le début deux cœurs de métier aussi. l'enquête sur les systèmes d'information, sur les piratages et ce qu'on appelle en termes judiciaires les atteintes au système de traitement automatisé de données, et l'assistance pour tous les services judiciaires de la préfecture de police, donc de la direction de la police judiciaire mais aussi de la sécurité publique.
Speaker #2
C'est-à-dire que les autres services qui ont des questions de cybercriminalité vous contactent, vous sollicitent, vous saisissent quand ils ont des besoins là-dessus ?
Fabrice Billot
Alors c'est essentiellement l'analyse, l'extraction des données sur les ordinateurs, les smartphones, les tablettes... tous types de supports numériques qui comportent notre rôle d'assistance. Mais effectivement, souvent, quand les enquêteurs des différents services ont des questions relatives à des investigations, qu'ils contactent et pourquoi, qu'est-ce que je peux demander, nous sommes un point d'entrée pour eux, pour la préfecture de police. Nous tentons au maximum d'aider tous les enquêteurs de la préfecture de police dans leurs investigations quand elles ont un lien avec le monde cyber. Notamment par exemple en ce moment le grand sujet c'est les actifs numériques. Donc sur tout ce qui est qui je peux requérir, comment on trace des actifs numériques, etc. Donc voilà ça c'est un peu notre rôle de pilote. Aujourd'hui nous sommes environ 60 personnels. Donc plus d'une cinquantaine d'enquêteurs, ce ne sont que des policiers au service quasiment. Nous avons des administratifs, deux alternants et un ingénieur. Mais l'essentiel des troupes, ce sont des enquêteurs de police et des officiers de police. Pour la plupart, officiers de police judiciaire. Pour la plupart, ayant une qualification ou des qualifications d'investigateur en cybercriminalité. Donc avec une formation assez poussée, la police nationale offre tout un panel en interne de formation cyber à l'enquête sur les internets, dont nous faisons bénéficier nos enquêteurs une fois qu'ils viennent chez nous.
Speaker #2
Parce que l'enquêteur est à la fois expert cyber et ensuite, est-ce que techniquement vous avez des ingénieurs ou des spécialistes en décryptage ? d'analyse de code, des choses comme ça, pour être capable de remonter techniquement des malwares, des choses comme ça ?
Fabrice Billot
Ils ont, de par leur appétence et ou les formations reçues au sein de l'institution, des capacités réelles qui, moi, parfois m'épatent, à justement remonter les traces numériques. Après quand on arrive à un certain niveau technicité, on peut avoir peut-être recours à des prestataires, des partenaires extérieurs, mais c'est assez rare. Nous avons la capacité de traiter nous-mêmes des enquêtes complexes.
Speaker #2
La compétence technique est en interne donc ?
Fabrice Billot
Exactement. On est, je pense, le seul service en France, en cyber, à traiter l'intégralité du spectre, du plus bas au plus haut, avec des enquêtes vraiment de haut niveau. Et nous avons ici vraiment des enquêteurs avec des talents assez rares et une capacité à traiter les journaux de connexion, à travailler sur les internets, en OSINT, sur la crypto, etc. Et vraiment tous les moyens qu'on peut mettre en œuvre. Nous les mettons en œuvre.
Speaker #2
La BL2C, à quel moment intervient-elle ? Elle intervient en amont d'attaque sur un côté préventif ou plutôt en aval, lorsque une attaque a eu lieu pour mener des investigations ?
Fabrice Billot
99% du temps, nous sommes dans un service de police judiciaire. Nous intervenons post-mortem, quand le corps est découvert. Donc souvent, l'attaque a été commise. ou une tentative d'attaque a été commise, nous sommes saisis par l'autorité judiciaire. Notre sort lié à la préfecture de police, nous sommes compétents sur Paris la Petite Couronne. Dès lors, ça peut être le parquet de Paris qui a une compétence nationale potentiellement ou les différents parquets de chaque département de la petite couronne 92, 93, 94 qui peuvent nous saisir.
Speaker #2
Et comment on travaille de manière géographique lorsque l'on sait que les cyberattaques peuvent venir de partout et que les malfaiteurs ne sont pas toujours en région parisienne ou même en France ?
Fabrice Billot
C'est justement une richesse de notre service et aussi une contrainte, les deux ensemble. Nous avons effectivement un critère de compétence de saisine. Il y a la localisation des attaques. Donc souvent c'est le lieu de domicile des victimes, mais là c'est le lieu de commission de l'attaque qui est retenu. Et dès lors, derrière, il est fort probable que ceux que nous identifierons, et nous identifions quand même beaucoup d'attaquants, je tiens à le préciser pour vos auditeurs, mais qui ont peut-être parfois l'impression que ceux qui mènent des attaques sur internet sont impunis. Nous avons quand même de bons résultats judiciaires.
Speaker #2
C'est un taux de résolution de combien à peu près, quand on est une chaîne de valeur ?
Fabrice Billot
Je ne peux pas vous communiquer sur le chiffre, mais en tout cas, on a un bon taux de résolution au quotidien. On a de nombreuses gardes à vue et de nombreux déférés tout au long de l'année. Donc, une fois que nous sommes saisis, on identifie et on doit aller interpeller, perquisitionner. Et là, c'est vrai que c'est un service où on se projette beaucoup à travers la France, mais aussi à l'étranger. On a quand même très régulièrement des missions en Europe, mais aussi outre-Méditerranée, voire outre-Atlantique.
Speaker #2
Est-ce que dans vos activités quotidiennes, je ne parle pas des Jeux Olympiques, vous avez des profils type de malfaiteurs ou pas du tout, enfin, de cyberattaquants ?
Fabrice Billot
Alors, avec l'expérience, j'ai brossé un schéma type qui amuse toujours un petit peu, qui vaut ce qu'il veut. Mais j'aurais 4 profils d'attaquants. Il y a ce que je nomme le verre est dans le fruit, le risque interne, où on a souvent, en fait, et c'est sous-estimé fortement, sur fond de conflit du travail, sur fond de méconnaissance des règles de sécurité. Pour X motivations, crapuleuses, de colère, idéologiques, on peut avoir des salariés, des prestataires qui vont commettre des attaques internes. Je ne pourrais pas vous quantifier précisément ce phénomène, mais il est réel. Et à chaque année, ça constitue quand même une part importante de nos saisines. Pas majoritaire, mais une part importante. Il y a après une deuxième catégorie que j'appellerais un peu les débutants, qui vont commettre des infractions de petits niveaux. Je pense par exemple à un mode opératoire qui s'appelle le credential stuffing. qui permet d'injecter grâce à des logiciels des identifiants mot de passe sur différents comptes pour essayer de récupérer de l'information, de récupérer la cagnotte présente sur ce site. Là en général on est sur un public assez jeune, assez débutant. Après on a une troisième catégorie de profils un peu plus aguerris, plus expérimentés, meilleurs, qui peuvent commettre tout. tout le champ des modes opératoires, de la cyber, du déni de service, de l'entrave, des injections SQL, c'est-à-dire qui vont changer des lignes de code, du défacement de site, etc. Les motivations, elles sont multiples. Elles peuvent être crapuleuses, là aussi, elles peuvent être idéologiques. Il y a quelque chose que j'appelle aussi du domaine de l'ego trip, c'est-à-dire se faire connaître, avoir un nom, un pseudo. et le faire connaître, ça c'est quelque chose qui est très important chez les cyberdélinquants. Et ce d'autant plus que là je vais arriver à la quatrième catégorie, c'est que quand on veut intégrer l'élite entre guillemets, les rançongiciels, les ransomware, il faut pouvoir se faire coopter. On ne devient pas affilié d'une famille de rançongiciels comme ça, ou pas que je sache en tout cas, donc il faut un minimum de... d'expérience, c'est l'iter criminis, mais qui vaut dans tous les schémas de délinquance. Dans le stupéfiant, on commence rarement directement à portateur de stupéfiants. On a un parcours initiatique à suivre. Sur la cyberdélinquance, j'ai l'impression qu'on retrouve ce même parcours.
Speaker #2
Il y a des plans de carrière dans la cyberdélinquance.
Fabrice Billot
Alors, structuré avec une RH, je ne pense pas. Mais en tout cas, il y a un certain nombre de passages obligés, j'ai l'impression.
Speaker #2
D'accord. Et ça me permet de... passer à la menace qui nous attend pour les Jeux Olympiques 2024. Est-ce que vous pensez que ces profils, ces quatre profils qui sont au final assez franco-français, européens, constituent une part importante de la menace ou il faut regarder ailleurs ?
Fabrice Billot
Alors, il ne faut pas sous-estimer ces profils, notamment les rançongiciels, mais aussi les individuels, les artisans qui ont des compétences réelles et qui peuvent mettre des attaques qui entraîneraient une gêne certaine. notamment chez les TPE, PME et sous-traitants. Chez les acteurs structurants des Jeux Olympiques, les plus solides, les plus gros, je leur ai tendance à croire que leur pouvoir de nuisance est moins important, mais attention, ne les sous-estimons pas. Les rançons logicielles aussi pour avoir un impact. Par contre, après, la première menace, celle que l'on craint le plus, c'est la menace étatique par étatique, où là, effectivement... Sans citer aucun pays, l'expérience précédente des Jeux Olympiques a montré qu'il était fort probable que des agences gouvernementales ou encore une fois paragouvernementales étaient à l'origine d'attaques d'ampleur. Donc ça c'est un risque qu'on ne peut pas nier. Je reviens vite fait aussi sur les rançongiciels, donc il y a des capacités de nuisance avec des acteurs aguerris. Des fois la frontière, enfin on est dans l'hypothèse, mais on pourrait trouver la frontière un peu poreuse entre les statiques et les ransomware. Ça c'est une aparté. qui ne s'appuie sur rien de bien concret si ce n'est moi et mon analyse.
Speaker #2
Et puis l'expérience des Jeux Olympiques passés, où on a vu deux pays sans les cités qui ont été particulièrement actifs sur les dernières éditions, et où les groupes qui mènent des attaques avec des ransom JCL sont hébergés dans ces pays et bénéficient apparemment d'une complaisance de la part des autorités.
Fabrice Billot
Alors une complaisance, oui, où on va dire si on est optimiste que... On les laisse tranquilles, oui. Est-ce que c'est voulu ou pas ?
Speaker #2
Ça, on n'a pas la réponse, effectivement. Et on a eu 450 millions de cyberattaques à Tokyo, justement sur les derniers jeux post-Covid. On en attend 4 milliards pour les jeux de Paris. Au final, comment on se prépare à prendre une vague aussi grande au visage ?
Fabrice Billot
Alors, clairement, il y aura une hausse des attaques. Cela me paraît évident. De toute façon déjà on voit qu'au quotidien la menace hiver progresse, je vois pas pourquoi il en serait autrement pour les JO. Le contexte géopolitique actuel n'aide peut-être pas non plus. Comment on se prépare ? La BL2C, donc on existe depuis 1994. On a un territoire de compétence, la préfecture de police, qui naturellement nous amène à avoir beaucoup de saisines. Donc comme des athlètes j'ai envie de dire que nous nous entraînons au quotidien. Nous avons toujours des saisines, toujours des gardes à vue, donc nos réflexes de policiers, d'enquêteurs sont là. Parce qu'au-delà d'être des geeks, nous sommes aussi des enquêteurs de police judiciaire, avec des réflexes d'enquêteurs de police judiciaire, mais ayant une appétence supérieure, complémentaire, pour le domaine du cyber, de l'internet, des internets. Donc comment on se prépare ? Tout simplement en continuant notre activité, en se formant. Aussi, on a le plan de préparation, mais qui n'est pas propre à la BL2C, qui est propre à toute la PJ, mais même à toute la police parisienne et française. Ça va être aussi d'avoir un plan de présence très important cet été, qui sera de 100% sur la période des Jeux Olympiques.
Speaker #2
C'est-à-dire que 100% des effectifs de la police judiciaire seront en poste pendant la période olympique ?
Fabrice Billot
Exactement, nous serons tous là. Ce qui constitue quand même une force de frappe conséquente. Est-ce qu'elle sera suffisante ? On verra, on fera les comptes après les Jeux Olympiques. Je ne crois pas qu'on puisse faire plus. Donc on nous aura quand même une capacité de réagir. En fait, ce qui va compter à ce moment-là, c'est notre réactivité, notre flexibilité, notre capacité d'adaptation aux événements. Ça va être ça qui va être primordial. L'enquête tibère sont souvent des enquêtes au long cours, puisqu'une fois qu'elle a eu lieu... On a la recherche des tracés indices, leur analyse. Souvent on a besoin de coopération internationale. Donc on s'inscrit dans un temps non. Mais ce qui va compter c'est qu'on se mobilise très vite pour lancer le maximum des investigations à ce moment-là.
Speaker #2
Et comment vous allez coopérer avec les autres acteurs ? Je pense notamment à l'ANSI qui fait un gros travail de préparation à Mans. Il y a les services de renseignement aussi, DGSI qui est très impliqué dedans, je pense que la DGSE aussi d'ailleurs. Comment on se coordonne, comment on fait en sorte de ne pas être dans le curatif mais aussi le préventif et comment vous vous inscrivez dans cette chaîne de valeur si je puis dire ?
Fabrice Billot
Alors nous encore une fois, nous sommes un service de police judiciaire, donc nous intervenons en principe, il y a quelques exceptions mais qui sont quand même très rares, une fois que les faits ont été commis ou tentés d'être commis. Nous ce qui est important c'est de pouvoir bien se coordonner avec tous les acteurs. Vous avez cité l'ANSI, vous avez cité les services de renseignement. Je pourrais aussi vous citer le parquet de Paris qui a une compétence concurrente nationale et je pense qu'ils activeront souvent cette compétence-là durant les Jeux Olympiques. Donc l'importance pour nous c'est que nous nous coordonnions, nous échangeions les informations pour mutualiser, pour en bénéficier les uns les autres, pour éviter de faire des doublons. Il serait quand même dommage de perdre de l'énergie durant cette compétition. Et pour cela, nous avons organisé plusieurs fois des exercices où nous simulons des crises et voir comment nous répartissons le travail, comment nous mettons en place des process de communication. Et cela depuis deux ans. Donc régulièrement, il y a des exercices qui sont organisés. Les différents acteurs, nous nous connaissons bien, nous parlons déjà très fréquemment à travers différentes instances. Et je pense que durant les Jeux Olympiques, ce sera l'occasion de l'union sacrée.
Speaker #2
D'accord, merci pour cet éclairage. Et quels sont les groupes qui vous font le plus peur au final ? On a parlé des différents groupes. Pour vous, d'où vient la menace principalement ?
Fabrice Billot
Je ne pourrais pas vous citer un groupe cybercriminel particulièrement ou un groupe étatique. Je pense que sur les infrastructures vitales, encore une fois les acteurs principaux des Jeux Olympiques de Paris, le curseur a été quand même mis assez haut depuis quelques mois, quelques années, sur la prévention, la prise en compte de la cybersécurité. J'aurais tendance à penser qu'il faut quand même des moyens très importants pour pouvoir passer outre les défenses qui ont été établies.
Speaker #2
Donc là, ce serait plutôt des groupes étatiques ou affiliés à des États qui auraient les moyens de toucher les grosses instances comme le COJO ou les instances olympiques ?
Fabrice Billot
À mon sens, oui. Peut-être certains groupes de rançongiciel. Mais encore une fois, ne sous-estimons pas certains éléments brillants et individuels. Brillants, en tout cas, dans leur volonté de faire du mal. A mon avis, c'est quand même ça le principal danger pour les grands acteurs. Mais je sais que c'est un peu votre sujet aussi. Il y a tout le réseau de sous-traitants, des TPE, PME, qui elles peuvent être plus sensibles, même si un effort a été fait de prévention, d'acculturation sur la cybersécurité. Effectivement, il y a des risques et je pense qu'en cascade, cela peut entraîner des dysfonctionnements pour les grands acteurs. Et si ce n'est en termes de système d'information, il y a aussi toujours ce risque un peu réputationnel, où je pense qu'une entreprise XYZ attaquée par un JO pourra vite être mise en avant comme une victime par un groupe cybercriminel pour faire leur publicité sur les atteintes fondamentales menées aux Jeux Olympiques de Paris.
Speaker #2
Oui, et là il y a des pertes qui sont directes, pertes de chiffre d'affaires, d'exploitation, etc. Et puis il y a toute la perte réputationnelle. Perte de base de données, etc. qui a une valeur qui peut dépasser la perte de chiffre d'affaires.
Fabrice Billot
De mon dialogue avec les entreprises au quotidien, j'ai remarqué que la perte de chiffre d'affaires d'activité économique n'est pas sous-estimée loin de là. Parfois c'est une catastrophe, cela peut même entraîner une liquidation de société. C'est arrivé, donc ça c'est quand même quelque chose de non négligeable. Mais finalement je me rends compte que ce qui fait le plus peur c'est le risque sur la communication. J'ai l'impression que c'est quand même ce qui inquiète le plus. Sur les traces que cela va laisser derrière, puisqu'à la limite, le système d'information peut, je l'espère, avoir un certain nombre de sauvegardes mises à l'abri, donc on perd un jour, deux jours, trois jours de chiffre d'affaires. Mais derrière, il y a la trace laissée sur les capacités de l'entreprise à protéger la donnée des utilisateurs, à ne pas avoir cédé à une attaque lambda. Et puis, j'ai oublié de le citer, mais aujourd'hui, il y a aussi la problématique de la responsabilité pénale des dirigeants d'entreprise avec le RGPD. C'est, je pense, une vraie responsabilité. C'est quelque chose qui occupe aussi l'esprit des dirigeants d'entreprise.
Speaker #2
Oui, parce que les dirigeants d'entreprise, les entreprises ont comme responsabilité de protéger les données personnelles de leurs clients, mais aussi de leurs collaborateurs, de leurs prestataires, etc. Et en cas de négligence caractérisée, la CNIL ou les autorités judiciaires... peuvent considérer qu'il y a une responsabilité pénale de la part de l'entreprise ou de son dirigeant sur la perte de données.
Fabrice Billot
Effectivement, je ne me souviens plus la date exacte de cette réforme qui est intervenue il y a quelques années, mais c'est un risque réel. Et notamment, je pense que l'autorité administrative indépendante va apprécier les efforts faits par l'entreprise, mais aussi un acteur public, parapublic, pour protéger les données.
Speaker #2
Tout à l'heure, vous parliez de ces artisans qui ont beaucoup de talent dans la nuisance. Est-ce que vous pensez que l'émergence de l'intelligence artificielle, des solutions d'automatisation, etc., peut leur rendre les attaques cyber sur les sous-traitants, sur les petites entreprises plus faciles ?
Fabrice Billot
C'est très difficile pour moi de me faire un avis parce que je lis beaucoup de choses contradictoires, j'entends beaucoup de choses contradictoires. Alors tout d'abord j'ai un petit souci avec le terme d'intelligence artificielle car à l'heure actuelle l'IA n'a pas de processus cognitif comme l'intelligence. Je préfère le terme anglais de machine learning. Bon, ceci mis à part, on voit quand même que cela produit des résultats intéressants grâce aux puissances de calcul et d'apprentissage justement des modèles, etc. Sur la cyberdélinquance, j'ai un doute. Je peux me tromper mais j'ai l'impression que pour l'instant les modèles pour coder ne sont pas encore extrêmement développés. Et on pourrait aussi faire un raisonnement à l'inverse, c'est que ceux qui font de la cybersécurité peuvent utiliser les modèles d'IA pour créer une structure de défense. Alors j'ai un peu du mal à, sur nos profils de hackers, j'ai un peu du mal à estimer vraiment la nuisance potentielle, mais je ne suis pas le meilleur sachant sur ce sujet là. Là où... Pour l'instant, j'ai l'impression qu'il y a un vrai potentiel, c'est sur les escroqueries en ligne cyber et sur ce qu'on appelle le deepfake, la désinformation qui n'est pas notre cœur de métier. Mais là, je vois qu'effectivement, cela permet des pratiques massives industrielles avec quand même une capacité à reproduire la réalité qui est pour moi assez sidérante.
Speaker #2
Avec les fraudes aux dirigeants, des choses comme ça, qui usurpent parfaitement la voix ou le physique d'un individu.
Fabrice Billot
Exactement, et je vois que ça a ouvert, et ce n'est peut-être que le début, un potentiel dans le domaine des cyber-escroqueries, par exemple. Des escroqueries commises grâce aux moyens cyber.
Speaker #2
Oui, mais là c'est de l'ingénierie sociale, c'est plus un soutien à l'ingénierie sociale qu'une aide technologique et technique dans la mise en place d'attaques.
Fabrice Billot
Exactement. Sur cette aide-là, c'est comme le quantique. J'entends des choses, je lis des choses. Je ne sais pas moi, en tout cas l'impact, ou je ne le perçois pas bien, l'impact de ces deux nouvelles technologies.
Speaker #2
C'est-à-dire que vous, dans les affaires que vous traitez, vous n'avez pas encore le raz-de-marée annoncé, ou du moins une recrudescence de ces techniques ?
Fabrice Billot
À l'instant T, zéro.
Speaker #2
Ok.
Fabrice Billot
Donc l'IA... n'a rien apporté dans les enquêtes que nous traitons actuellement, que nous avons résolues en tout cas. Peut-être que dans celles que nous traitons, que nous n'avons pas résolues, oui, mais à l'instant T, en tout cas, je ne vois pas de traces de l'IA.
Speaker #2
Et pour revenir, désolé, j'ai un peu sauté une étape tout à l'heure, mais pour revenir à la chaîne de valeur sur les JO, les grandes instances s'appuient donc sur toute une chaîne de sous-traitants. Quelles sont les principales failles que vous... identifiez dans les TPE, PME et c'est assez divers. On parle de traiteurs, on parle de services logistiques. On sait que les services logistiques vont être beaucoup attaqués pendant les JO. Quelles sont les failles que vous identifiez chez tous ces petits acteurs qui sont très atomisés ?
Fabrice Billot
Alors, est-ce que vous me demandez si c'est une faille dans la supply chain et donc de savoir s'il y a des acteurs particuliers qui auront une criticité particulière ? Ça, je ne le sais pas. Est-ce que vous me demandez si ce sont les... En tout cas, je ne l'ai pas réfléchi auparavant. Est-ce que vous me demandez si c'est des comportements ou des oublis fréquents dans la sécurisation des systèmes d'information ? Là, je peux avoir deux, trois éléments de réponse à vous apporter.
Speaker #2
Dites-nous tout.
Fabrice Billot
Il y a deux types de réponses différentes. La première, je le constate souvent, mais... Ce n'est pas uniquement dans les TPE, PME, ça peut être aussi dans des grands groupes, des structures parapubliques, des fois un peu un oubli des règles de sécurisation basiques pour les collaborateurs. On constate parfois qu'il n'y a pas de journalisation, des connexions, des droits d'accès, il n'y a pas de monitoring des différentes connexions au sein même de l'intranet, de l'entreprise ou de la collectivité, ou de l'internet sur le site d'information. Le basique, les mots de passe uniques et complexes aussi, qui malheureusement, là on rentre un peu dans l'ingénierie sociale, mais à partir du moment où il y a une fuite de base de données, certains collaborateurs vont voir leurs mots de passe volés et qu'ils vont être utilisés dans le monde professionnel, mais ça c'est une réalité. Je suis toujours surpris aussi que la simple double authentification ne soit pas utilisée, notamment pour les salariés qui sont en télétravail, et qui permettent à des cyberdélinquants, une fois qu'ils ont récupéré un identifiant mot de passe, ou X biais, sur un ordinateur de pouvoir se connecter assez facilement à un système d'information à distance d'une entreprise. Voilà, c'est un peu ça les basiques de la cybersécurité. Et dans un deuxième temps, il y a pour moi un levier important, c'est de faire procéder à un audit de son système d'information, des règles de sécurité, par des acteurs certifiés. L'ANSI et Ausha Cyber Mavillance ont fait un gros travail ces dernières années de certification d'un certain nombre d'acteurs pour avoir un gage de qualité lors de l'audit de son système d'information. A chaque fois que nous pouvons intervenir dans une entreprise, nous portons le message sur ces deux volets. Ça n'évitera pas tout, ça ne peut pas tout éviter, mais je pense que ça complexifie fortement le travail des cyberdélinquants derrière.
Cybiah
Oui, parce que les cyberdélinquants, ils peuvent se montrer très fainéants, c'est-à-dire qu'ils ont tendance à taper là où c'est simple. Et qu'ils préfèrent rentrer dans un système d'information quand il y a une simple authentification et pas une double, ou choisir les entreprises qui n'ont aucune hygiène numérique.
Fabrice Billot
La double authentification pourrait se contourner, mais c'est techniquement complexe. Comme vous le dites, je suis un escroc, j'irai au plus facile, c'est une rationalité économique. Et puis au quotidien, je pense qu'il faut complexifier la vie des délinquants. On a connu la même chose avec les banques, on a eu un certain nombre de vols à main armée durant des années, et nous avons mis en place... des mesures de ce qu'on appelle la prévention situationnelle. Alors déjà, il n'y a plus de flux liquide, il y a eu un certain nombre de mesures de sécurisation des locaux qui ont été mises en œuvre. Je ne sais pas si vous voyez devant les banques aussi, souvent on a un certain nombre de poteaux en acier, en béton, qui empêchent les voitures baillées. Et à partir de là, nous avons quand même constaté une chute drastique des vols à main armée ces dernières années. On a vraiment vu qu'il y avait une baisse globale. des vols à main armée depuis une décennie et plus. Et je pense qu'en termes de cyberdélinquance, un certain nombre de mesures simples seraient mises en place, nous aurions une vraie diminution des cyberattaques aussi.
Cybiah
Et question annexe, justement vous disiez que le grand banditisme s'est retrouvé entravé sur les vols à main armée, des choses comme ça. Est-ce qu'on a retrouvé des bandits qui ont muté et de voleurs à main armée à voleurs ? sur l'espace cyber ?
Fabrice Billot
De mon expérience, le grand banditisme s'est surtout reconverti dans le narco-banditisme, trafic de stupéfiants. Dans l'espace cyber, peu, on a des échos que peut-être, mais là c'est toujours pareil, je ne l'ai pas constaté moi, mais c'est ce que j'ai entendu, dans certains groupes de criminalités organisés en Europe de l'Est, par exemple, ils pourraient embaucher des équipes de hackers. pour mener des cyberattaques, souvent en vue d'escroqueries avec des moyens cyber. Donc ça, effectivement, il semblerait qu'il y ait une diversification. Les groupes criminels ont l'air, comme une entreprise, diversifier leur portefeuille. On peut faire un peu de stupéfiants, un peu de proxénétisme, et donc un peu de cyber. Mais moi, à mon échelle, je ne l'ai pas constaté.
Cybiah
Il n'y a pas eu de transformation massive de groupe ? On va dire du grand banditisme dans le cyber.
Fabrice Billot
A ma connaissance, non. J'ai juste vu deux, trois fois des voyous d'habitude qui semblaient commencer à s'intéresser aux escroqueries cyber. Mais en tout cas, il n'y avait pas la volonté de se mettre à hacker directement.
Cybiah
Et pour justement réduire les risques, est-ce qu'il faut que ce soit un peu comme dans le banditisme, quand on en a entendu beaucoup parler, notamment dans les années 80-90, les gens se montraient plus vigilants ? Est-ce qu'on a besoin d'avoir une visibilité sur les attaques cyber pour que les gens commencent à en avoir peur et au final se préparent au risque et se disent avec les JO on attend beaucoup d'attaques, je vais commencer par soigner ma propre hygiène pour éviter d'être une victime ?
Fabrice Billot
Alors la peur peut être utile, peut être positive. Dans la nature, c'est ce qui a permis à l'homme de survivre, puisque c'est des injections d'adrénaline qui nous permettent soit de fuir, soit de combattre. Parfois, elle est négative aussi, elle peut nous paralyser. Il faut savoir canaliser sa peur, mais elle peut être utile. Oui, j'aurais envie de dire qu'il faut avoir peur, mais ça ne doit pas être le premier vecteur au quotidien. Ça doit être vraiment une prise de conscience rationnelle. de tous les acteurs socio-économiques sur l'importance de l'hygiène numérique, sur les gestes de base, sur la sécurisation des systèmes d'information. Mais je me rends bien compte aussi aujourd'hui que face... Je trouve qu'on est un peu dans une injonction paradoxale. face au flux d'informations perpétuelles je pense aux salariés qui reçoivent des centaines de mails par jour et il faut qu'ils détectent le mail sur une année où ils pourraient avoir une tentative de phishing c'est difficile de être vigilant au quotidien d'où l'importance quand même aussi peut-être pour les dirigeants de penser, de prévoir, je ne sais pas, des rappels réguliers tous les 3 mois, tous les 6 mois, tous les ans pour redire les mêmes choses mais c'est essentiel parce qu'on peut oublier avec le temps Merci De même, les réseaux sociaux, il faut faire attention. C'est important, il faut communiquer aujourd'hui. On doit se vendre sur les réseaux sociaux, mais en même temps, on donne des informations qui facilitent l'ingénierie sociale derrière et qui peuvent permettre des cyberattaques ou des cyber-escroqueries derrière. Donc c'est difficile, on est sur le fil du rasoir, j'en ai bien conscience, mais il faut trouver l'équilibre entre tout ça. Donc la cybersécurité, vraiment, doit devenir un enjeu de risque majeur. doit être pensée comme telle au sein des entreprises pour avoir des plans de rappel réguliers.
Cybiah
C'est vrai qu'à travers les centaines de mails que reçoivent les salariés, il y a souvent des tentatives de phishing. Les grands groupes s'y préparent avec des campagnes qui visent à sensibiliser les salariés. Je pense qu'il est important de rappeler aux auditeurs qu'à partir d'un mail, à partir d'un phishing, on ouvre la porte à des conséquences beaucoup plus graves pour une entreprise.
Fabrice Billot
Le phishing est un peu la merde de tous les vices. Cela permet d'arriver à de multiples infractions cyber. Par exemple, le sujet le plus médiatique, le plus connu, le plus prégnant actuellement, c'est les ransomware, les rançongiciels, où cela permettra à des acteurs de s'infiltrer sur un système d'information, de pratiquer ce qu'on appelle la latéralisation, de se déplacer au sein du système d'information, et là, de prendre possession de tout le système d'information. Vous savez, aujourd'hui, la ronde-note pour les familles de rançongiciels, c'est de pratiquer la double extorsion. C'est-à-dire que d'un côté, ils verrouillent, le système d'information de l'entreprise. De l'autre côté, ils vont extraire les données et ils vont faire un chantage à la publication. Donc ils vont demander une rançon pour les deux, pour déverrouiller le système d'information et pour ne pas diffuser les informations volées. Donc ça, c'est la menace la plus prégnante, actuellement la plus lourde en termes économiques pour les entreprises. On voit aussi qu'ils attaquent des hôpitaux parfois, il y a encore eu un exemple récemment, et ça a des vrais impacts en termes d'organisation sur les hôpitaux aussi. Ça a été pendant le Covid, il y a eu beaucoup d'attaques sur les hôpitaux par exemple. Donc voilà, le phishing qui paraît anodin comme ça peut avoir des conséquences très lourdes derrière. Nous constatons un autre phénomène aussi en ce moment, alors qui s'éloigne un peu du phishing, mais... qui peut être lié, vous êtes sur un forum de jeux vidéo, vous téléchargez un jeu vidéo gratuitement, vous téléchargez une vidéo XYZ, vous téléchargez ce qu'on appelle aujourd'hui un infostealer, qui moi évoque un peu les chevaux de 3 d'avant, qui vont récupérer toutes les données très discrètement sur votre ordinateur, vos identifiants mot de passe, et par exemple actuellement nous faisons beaucoup de liens avec les vols de crypto, puisque vous avez un compte Binance. Vous utilisez Identifier en mot de passe, le voyou le récupère sur votre navigateur, il peut se connecter à votre compte et hop, il vire l'argent ailleurs. Donc voilà, c'est les classiques finalement que j'entends depuis 20 ou 30 ans sur Internet, faire attention à ce qu'on télécharge, notamment quand c'est gratuit, notamment quand c'est envoyé par quelqu'un qu'on ne connaît pas ou qui est toujours attentif sur les entêtes de mail.
Cybiah
Et l'expéditeur aussi.
Fabrice Billot
Et l'expéditeur aussi. Toujours, c'est une vigilance finalement, dès qu'on est sur internet, il faut automatiser des comportements.
Cybiah
Oui, parce qu'un mauvais comportement ou une négligence peut amener à un piratage, et le piratage n'est pas forcément visible. Il peut être totalement silencieux jusqu'au jour où on voit la conséquence plusieurs semaines, mois après.
Fabrice Billot
Sur les rançons JCL, on voit parfaitement le début d'une attaque et le déclenchement du... du chiffrement des données du système d'information, il peut s'écouler effectivement plusieurs semaines selon la taille du système d'information, selon les capacités des uns et des autres. Donc ça peut avoir des effets à beaucoup plus long terme. Je pense aussi que les voyous finalement des fois ils récupèrent des données, ils ne l'utilisent pas toujours, ils la thésorisent. La donnée c'est vraiment le nerf de la guerre en fait, puisque derrière ça permettra aussi de faire des cyber-escroqueries dans un deuxième temps. Et la donnée se revend derrière. Moi, j'ai volé la donnée, mais je n'ai pas l'âme d'un escroc. Donc, je vais la mettre en vente sur différents forums cybercriminels pour qu'un autre, qui aura une autre idée lumineuse, puisse l'utiliser.
Cybiah
Et la valoriser à son tour.
Fabrice Billot
Exactement.
Cybiah
Et pour veiller justement à ce que les collaborateurs ne se fassent pas piéger, j'ai cru comprendre que vous, Belle de C, et... Comme l'ANSI, comme le campus cyber, comme beaucoup d'institutions, vous étiez assez proactifs dans la sensibilisation des entreprises ?
Fabrice Billot
Alors ce n'est pas notre cœur de métier, mais il nous arrive parfois d'intervenir, quelques fois chaque année, auprès de grands groupes, pour faire un retour d'expérience. Nous ne sommes pas des experts en cybersécurité, je ne vais pas prendre le travail de quelqu'un d'autre. Par contre, à force de traiter des dossiers, de voir les erreurs faites, nous avons quand même... un catalogue des choses à faire et à ne pas faire, et nous tentons de passer les messages durant ces invitations. Nous précisons aussi, c'est très important pour nous, ça je ne l'avais pas parlé avant, mais auprès des RSSI nous essayons de faire passer le message aussi que c'est très important d'avoir un contact rapide entre nous quand il y a une attaque, puisque nous voulons qu'ils conservent si possible des traces. et un 10 qui nous permettront d'enquêter derrière. Puisqu'il peut y avoir un réflexe premier, c'est j'efface tout. Dans ce cas-là, notre enquête derrière sera beaucoup plus compliquée. Donc pour nous, on cherche à avoir un dialogue très rapide avec les différents RSSI. C'est la base d'une saisine, c'est notre priorité. Nous savons très bien que quand une entreprise est confrontée à une attaque cyber d'ampleur, c'est comme face à un incendie. On cherche d'abord à éteindre l'incendie avant de mener l'enquête. Nous respectons ça, mais au moins avoir le dialogue et déjà dire, tiens, pensez à garder ça, faites attention à ça, est-ce que vous avez une idée en amont ? C'est du temps de gagner pour nous et c'est surtout le gage, nous ayons un peu de matière pour travailler ensuite.
Cybiah
On arrive quasiment au terme de cette interview, j'ai une question qui me taraude. Si je suis victime d'une attaque pendant les Jeux Olympiques, ou même avant ou même après, que dois-je faire ? premières réactions, les premiers réflexes à avoir ?
Fabrice Billot
Effacer tout.
Cybiah
Pour faciliter votre raclette.
Fabrice Billot
Plus sérieusement, le réflexe, c'est d'être votre responsable de système d'information, donc RSSI, je ne sais quel terme on emploie aujourd'hui, de prendre les premières mesures conservatoires et de remédiation sur votre système d'information, de penser vite à nous contacter. Alors pour cela, il y a différents moyens. Soit vous trouvez nos coordonnées sur Internet, bien entendu. Soit vous déposez plainte via un avocat qui transmettra à J3 qui nous saisira. J3 c'est la section cyber du parquet de Paris ou du parquet compétent. Si vous êtes à la défense, c'est le parquet du 92 qui en principe est compétent. A l'exception des rançongiciels d'ailleurs. J3 en principe a une compétence nationale dessus. Vous nous contactez, nous vous entamons le dialogue. Comme je le disais tout à l'heure, nous savons très bien que l'urgence d'une entreprise ou d'une collectivité en cas d'incendie, c'est la remédiation. Mais au moins déjà le dialogue est établi entre nous et nous assurons que les traces et indices seront conservés pour exploitation ultérieure.
Cybiah
Et je me permets une petite aparté dans notre auditoire. Nous avons beaucoup de petites entreprises, de patrons de petites entreprises, quand on a une startup, quand on a une TPE. Il faut faire quoi ? Il faut directement appeler soit à la BL2C, soit déposer plainte ?
Fabrice Billot
J'ai oublié quelque chose de très important et d'essentiel, c'est le réseau des commissariats et des postes de police à travers tout le territoire de la préfecture de police et tout le territoire national, où finalement le plus simple c'est d'y aller, de déposer plainte. L'enquêteur prend son téléphone, fait un avis magistrat, fait un avis au service compétent et derrière nous pourrons démarrer l'enquête judiciaire. On a une chance sur Paris La Petite Couronne, c'est quand même d'avoir un réseau assez dense de policiers qui sans être experts, savent les questions à poser, savent les premières données à collecter et ont les premiers enseignements à donner.
Cybiah
Pour vous, vous facilitez la tâche derrière,
Fabrice Billot
c'est ça ? Exactement. Vous, ça vous permet en tant qu'entrepreneur d'aller au plus court, au plus rapide, à proximité de votre domicile. Et ensuite, nous, nous pouvons initier derrière très rapidement. Donc rappelez-vous, le premier réflexe que j'avais oublié, c'est les commissariats de circonscription de quartier.
Cybiah
Et qui seront à même de poser les bonnes questions et d'amener les bons conseils pour éteindre l'incendie avant de mener l'enquête.
Fabrice Billot
Exactement.
Cybiah
Et finalement, est-ce que pour vous, les JO donnent un nouvel élan à la cybersécurité et laisseront un héritage en matière de cyber en France, même en Europe ?
Fabrice Billot
Alors pour la France... J'ai quand même l'impression qu'il y a eu un gros effort de fait depuis quelques années sur la prise de conscience, sur les investissements. Je parlerais même quelque part de professionnalisation de la filière, avec toutes les certifications qui ont été entreprises par les deux grands acteurs de la prévention en France, l'ANSI pour les grands groupes et Asima Cybermalveillance pour ETP, EPM, les particuliers. J'ai quand même l'impression qu'il y a un avant et un après. Ensuite, il faudra maintenir cette vigilance dans le temps, poursuivre les investissements, poursuivre la formation, poursuivre la prévention. Mais en témoigne de cette nouvelle prise de conscience, le campus cyber, lieu totem de la cybersécurité évolu par le président de la République, qui a été créé, qui permet quand même de rassembler beaucoup d'acteurs, qui porte des messages de prévention. Et je trouve vraiment que cela témoigne aujourd'hui dans notre pays d'une nouvelle volonté. de faire en sorte que la cybersécurité soit intégrée comme risque majeur pour les entreprises et pour les collectivités, enfin pour tous les acteurs socio-économiques.
Cybiah
Oui, et notamment pour les TPE-PME, puisque le campus cyber... En partenariat avec le catalyseur de l'innovation de Pold, finance et participe aux audits de cybersécurité des TPE et des PME pour éviter d'avoir à faire appel à la BL2C plus tard.
Fabrice Billot
Exactement, et nous remercions tous ces différents acteurs pour cela.
Cybiah
Merci beaucoup, monsieur le commissaire, pour cette interview et à bientôt.
Fabrice Billot
Merci à vous, à bientôt.
Cybiah
Entre les tensions géopolitiques, les motivations financières et la multiplication des attaques, tout était réuni pour que les cybercriminels s'en donnent à cœur joie pendant les Jeux olympiques et paralympiques. Nous ne pouvons donc que vous inviter à suivre tous les conseils dispensés par Fabrice Biot et si vous êtes dirigeant de TPE-PME, à prendre contact avec Cibia pour déployer des mesures cyber adaptées à votre activité. En attendant, n'hésitez pas à vous abonner à ce podcast sur votre plateforme d'écoute préférée, à commenter, noter ce podcast, vos retours nous sont précieux. Également, nous suivre sur LinkedIn, at Sybia, C-Y-B-I-A-H. À très vite.

About Safe & Sound

Pourquoi écouter "Safe & Sound" ?

La cybersécurité simplifiée : Découvrez des conseils simples et pratiques pour protéger vos données et sécuriser vos systèmes, adaptés aux novices comme aux experts.
Des experts de renom : Écoutez des leaders de la cybersécurité partager leurs expériences et leurs stratégies pour contrer les cybermenaces.
Des échanges pédagogiques : Plongez dans des conversations captivantes et éducatives, démystifiant des sujets complexes pour renforcer votre culture cyber.

Programmation :

Épisode 1 : État des lieux de la cybersécurité avec Yann Bonnet, Directeur Général Délégué du Campus Cyber et membre du groupe d'experts de haut niveau sur l'intelligence artificielle de la Commission européenne.
Épisode 2 : La préparation pour les JO 2024 avec Fabrice Billot, chef de la brigade de lutte contre la cybercriminalité (BL2C).
Épisode 3 : Les missions d’un RSSI avec Serge Misik, RSSI de Paris Ouest La Défense (POLD).
Épisode 4 : La sensibilisation et l’assistance aux victimes avec Jérôme Notin, Directeur Général de Cybermalveillance.gouv.fr.
Épisode 5 : L’importance de la cybersécurité dans la santé avec Antoine Tesnière, Directeur Général de PariSanté Campus et professeur d’anesthésie-réanimation.
Épisode 6 : L’organisation et l’évolution de la cybersécurité avec Emmanuel Naëgelen, Directeur adjoint de l’Agence nationale de la sécurité des systèmes d'information (ANSSI).

Presse :

Lire le communiqué

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Safe & Sound

Pourquoi écouter "Safe & Sound" ?

La cybersécurité simplifiée : Découvrez des conseils simples et pratiques pour protéger vos données et sécuriser vos systèmes, adaptés aux novices comme aux experts.
Des experts de renom : Écoutez des leaders de la cybersécurité partager leurs expériences et leurs stratégies pour contrer les cybermenaces.
Des échanges pédagogiques : Plongez dans des conversations captivantes et éducatives, démystifiant des sujets complexes pour renforcer votre culture cyber.

Programmation :

Épisode 1 : État des lieux de la cybersécurité avec Yann Bonnet, Directeur Général Délégué du Campus Cyber et membre du groupe d'experts de haut niveau sur l'intelligence artificielle de la Commission européenne.
Épisode 2 : La préparation pour les JO 2024 avec Fabrice Billot, chef de la brigade de lutte contre la cybercriminalité (BL2C).
Épisode 3 : Les missions d’un RSSI avec Serge Misik, RSSI de Paris Ouest La Défense (POLD).
Épisode 4 : La sensibilisation et l’assistance aux victimes avec Jérôme Notin, Directeur Général de Cybermalveillance.gouv.fr.
Épisode 5 : L’importance de la cybersécurité dans la santé avec Antoine Tesnière, Directeur Général de PariSanté Campus et professeur d’anesthésie-réanimation.
Épisode 6 : L’organisation et l’évolution de la cybersécurité avec Emmanuel Naëgelen, Directeur adjoint de l’Agence nationale de la sécurité des systèmes d'information (ANSSI).

Presse :

Lire le communiqué

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Description

À propos de Fabrice Billot

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Fabrice Billot
De mon dialogue avec les entreprises au quotidien, j'ai remarqué que la perte de chiffre d'affaires d'activité économique n'est pas sous-estimée loin de là. Parfois c'est une catastrophe, cela peut même entraîner une liquidation de société. Mais finalement je me rends compte que ce qui fait le plus peur, c'est le risque sur la communication, sur les traces que cela va laisser derrière.
Cybiah
Le constat est sans appel. Alors que 4 milliards de cyberattaques étaient attendues durant la période olympique, seuls 141 événements à faible impact ont été recensés par l'ANSI, preuve de la préparation des organisateurs et des pouvoirs publics pour contrer les attaques. Alors, quoi de mieux pour en savoir plus sur ces menaces que d'aller à la rencontre de Fabrice Billot, commissaire de police et chef de la BL2C, la brigade de lutte contre la cybercriminalité, qui dépend de la préfecture de police de Paris. Vous écoutez Safe & Sound. Le nouveau podcast dédié à la cybersécurité de Cibiaf, un programme coordonné par le Campus Cyber, cofinancé par la Région Île-de-France et l'Union Européenne, qui offre un accompagnement cyber sur mesure aux TPE et aux PME. Produit en partenariat avec le Catalyseur de l'Innovation et de l'Entreprenariat de Paris-Ouest-La Défense, cet épisode est réalisé par l'agence GEF.
Speaker #2
Bonjour Fabrice Billot, nous sommes ravis de vous recevoir pour cet épisode dédié à la cybersécurité pendant les Jeux Olympiques Paris 2024. Alors est-ce que pour commencer cette interview, vous pourriez commencer par vous présenter ?
Fabrice Billot
Merci tout d'abord pour cette invitation. Alors Fabrice Billot, je suis commissaire depuis 2011. J'ai d'abord travaillé dans le privé, j'ai eu plusieurs contrats. Je suis rentré un petit peu tardivement dans la police à 30 ans. J'ai ensuite une carrière assez classique, j'ai commencé en commissariat, comme chef d'unité d'investigation de commissariat. Puis j'ai eu la chance d'intégrer la police judiciaire parisienne en 2016, tout d'abord sur les thématiques banditisme et stupéfiants, jusqu'en 2021. où j'ai eu l'opportunité de prendre la tête de la BL2C, la brigade de lutte contre la cybercriminalité. C'était une matière qui m'intéressait beaucoup, sur laquelle j'avais pas mal de curiosités, j'avais envie de découvrir de l'autre côté du miroir, et depuis je ne suis pas déçu.
Speaker #2
Et justement ça consiste à quoi de diriger la BL2C ?
Fabrice Billot
Il faut savoir que dans la police on a peu de quotidien finalement, on gère beaucoup d'urgences. On est un service qui a un grand volume d'activités, on y reviendra plus tard, mais on tâche au quotidien d'offrir le meilleur cadre de travail aux enquêteurs, d'absorber cette charge de travail aussi, de répondre à diverses demandes. Pour la préfecture de police et pour la direction de la police judiciaire parisienne, nous pouvons jouer un rôle parfois de conseiller, de chef de file. Sur toutes les questions cyber qui maintenant sont prégnantes, qu'on retrouve partout et tout le temps. Donc nos tâches sont très variées.
Speaker #2
Combien d'experts cyber travaillent au sein de la BL2C ?
Fabrice Billot
La BL2C, on a été créé en 1994. Nous sommes une émanation de la brigade financière, première et la brigade financière. C'était à l'époque une dizaine d'enquêteurs qui avaient une passion pour les premiers systèmes d'information. Ça a beaucoup évolué depuis. Donc une dizaine d'enquêteurs, à l'époque on parlait de la safety, du safety, le service d'enquête sur la technologie de l'information. Ils étaient situés à Porte d'Italie, de mémoire je crois. Ils ont été intégrés après, ils sont revenus à l'ancien loco, aux anciens locaux de la sous-direction des affaires économiques et financières, dont dépend toujours la BLDC aujourd'hui, qui était située dans le 13e arrondissement aussi. Et en 2019, nous avons changé de nom, nous sommes devenus la BL2C, la brigade de lutte contre la cybercriminalité. De 10 enquêteurs, le service est passé à une vingtaine, trentaine d'enquêteurs pendant de nombreuses années, avec un flux, un turnover. Ce serait impossible de vous dire un chiffre fiamme, mais l'ordre de grandeur est là. Et nous avons depuis le début deux cœurs de métier aussi. l'enquête sur les systèmes d'information, sur les piratages et ce qu'on appelle en termes judiciaires les atteintes au système de traitement automatisé de données, et l'assistance pour tous les services judiciaires de la préfecture de police, donc de la direction de la police judiciaire mais aussi de la sécurité publique.
Speaker #2
C'est-à-dire que les autres services qui ont des questions de cybercriminalité vous contactent, vous sollicitent, vous saisissent quand ils ont des besoins là-dessus ?
Fabrice Billot
Alors c'est essentiellement l'analyse, l'extraction des données sur les ordinateurs, les smartphones, les tablettes... tous types de supports numériques qui comportent notre rôle d'assistance. Mais effectivement, souvent, quand les enquêteurs des différents services ont des questions relatives à des investigations, qu'ils contactent et pourquoi, qu'est-ce que je peux demander, nous sommes un point d'entrée pour eux, pour la préfecture de police. Nous tentons au maximum d'aider tous les enquêteurs de la préfecture de police dans leurs investigations quand elles ont un lien avec le monde cyber. Notamment par exemple en ce moment le grand sujet c'est les actifs numériques. Donc sur tout ce qui est qui je peux requérir, comment on trace des actifs numériques, etc. Donc voilà ça c'est un peu notre rôle de pilote. Aujourd'hui nous sommes environ 60 personnels. Donc plus d'une cinquantaine d'enquêteurs, ce ne sont que des policiers au service quasiment. Nous avons des administratifs, deux alternants et un ingénieur. Mais l'essentiel des troupes, ce sont des enquêteurs de police et des officiers de police. Pour la plupart, officiers de police judiciaire. Pour la plupart, ayant une qualification ou des qualifications d'investigateur en cybercriminalité. Donc avec une formation assez poussée, la police nationale offre tout un panel en interne de formation cyber à l'enquête sur les internets, dont nous faisons bénéficier nos enquêteurs une fois qu'ils viennent chez nous.
Speaker #2
Parce que l'enquêteur est à la fois expert cyber et ensuite, est-ce que techniquement vous avez des ingénieurs ou des spécialistes en décryptage ? d'analyse de code, des choses comme ça, pour être capable de remonter techniquement des malwares, des choses comme ça ?
Fabrice Billot
Ils ont, de par leur appétence et ou les formations reçues au sein de l'institution, des capacités réelles qui, moi, parfois m'épatent, à justement remonter les traces numériques. Après quand on arrive à un certain niveau technicité, on peut avoir peut-être recours à des prestataires, des partenaires extérieurs, mais c'est assez rare. Nous avons la capacité de traiter nous-mêmes des enquêtes complexes.
Speaker #2
La compétence technique est en interne donc ?
Fabrice Billot
Exactement. On est, je pense, le seul service en France, en cyber, à traiter l'intégralité du spectre, du plus bas au plus haut, avec des enquêtes vraiment de haut niveau. Et nous avons ici vraiment des enquêteurs avec des talents assez rares et une capacité à traiter les journaux de connexion, à travailler sur les internets, en OSINT, sur la crypto, etc. Et vraiment tous les moyens qu'on peut mettre en œuvre. Nous les mettons en œuvre.
Speaker #2
La BL2C, à quel moment intervient-elle ? Elle intervient en amont d'attaque sur un côté préventif ou plutôt en aval, lorsque une attaque a eu lieu pour mener des investigations ?
Fabrice Billot
99% du temps, nous sommes dans un service de police judiciaire. Nous intervenons post-mortem, quand le corps est découvert. Donc souvent, l'attaque a été commise. ou une tentative d'attaque a été commise, nous sommes saisis par l'autorité judiciaire. Notre sort lié à la préfecture de police, nous sommes compétents sur Paris la Petite Couronne. Dès lors, ça peut être le parquet de Paris qui a une compétence nationale potentiellement ou les différents parquets de chaque département de la petite couronne 92, 93, 94 qui peuvent nous saisir.
Speaker #2
Et comment on travaille de manière géographique lorsque l'on sait que les cyberattaques peuvent venir de partout et que les malfaiteurs ne sont pas toujours en région parisienne ou même en France ?
Fabrice Billot
C'est justement une richesse de notre service et aussi une contrainte, les deux ensemble. Nous avons effectivement un critère de compétence de saisine. Il y a la localisation des attaques. Donc souvent c'est le lieu de domicile des victimes, mais là c'est le lieu de commission de l'attaque qui est retenu. Et dès lors, derrière, il est fort probable que ceux que nous identifierons, et nous identifions quand même beaucoup d'attaquants, je tiens à le préciser pour vos auditeurs, mais qui ont peut-être parfois l'impression que ceux qui mènent des attaques sur internet sont impunis. Nous avons quand même de bons résultats judiciaires.
Speaker #2
C'est un taux de résolution de combien à peu près, quand on est une chaîne de valeur ?
Fabrice Billot
Je ne peux pas vous communiquer sur le chiffre, mais en tout cas, on a un bon taux de résolution au quotidien. On a de nombreuses gardes à vue et de nombreux déférés tout au long de l'année. Donc, une fois que nous sommes saisis, on identifie et on doit aller interpeller, perquisitionner. Et là, c'est vrai que c'est un service où on se projette beaucoup à travers la France, mais aussi à l'étranger. On a quand même très régulièrement des missions en Europe, mais aussi outre-Méditerranée, voire outre-Atlantique.
Speaker #2
Est-ce que dans vos activités quotidiennes, je ne parle pas des Jeux Olympiques, vous avez des profils type de malfaiteurs ou pas du tout, enfin, de cyberattaquants ?
Fabrice Billot
Alors, avec l'expérience, j'ai brossé un schéma type qui amuse toujours un petit peu, qui vaut ce qu'il veut. Mais j'aurais 4 profils d'attaquants. Il y a ce que je nomme le verre est dans le fruit, le risque interne, où on a souvent, en fait, et c'est sous-estimé fortement, sur fond de conflit du travail, sur fond de méconnaissance des règles de sécurité. Pour X motivations, crapuleuses, de colère, idéologiques, on peut avoir des salariés, des prestataires qui vont commettre des attaques internes. Je ne pourrais pas vous quantifier précisément ce phénomène, mais il est réel. Et à chaque année, ça constitue quand même une part importante de nos saisines. Pas majoritaire, mais une part importante. Il y a après une deuxième catégorie que j'appellerais un peu les débutants, qui vont commettre des infractions de petits niveaux. Je pense par exemple à un mode opératoire qui s'appelle le credential stuffing. qui permet d'injecter grâce à des logiciels des identifiants mot de passe sur différents comptes pour essayer de récupérer de l'information, de récupérer la cagnotte présente sur ce site. Là en général on est sur un public assez jeune, assez débutant. Après on a une troisième catégorie de profils un peu plus aguerris, plus expérimentés, meilleurs, qui peuvent commettre tout. tout le champ des modes opératoires, de la cyber, du déni de service, de l'entrave, des injections SQL, c'est-à-dire qui vont changer des lignes de code, du défacement de site, etc. Les motivations, elles sont multiples. Elles peuvent être crapuleuses, là aussi, elles peuvent être idéologiques. Il y a quelque chose que j'appelle aussi du domaine de l'ego trip, c'est-à-dire se faire connaître, avoir un nom, un pseudo. et le faire connaître, ça c'est quelque chose qui est très important chez les cyberdélinquants. Et ce d'autant plus que là je vais arriver à la quatrième catégorie, c'est que quand on veut intégrer l'élite entre guillemets, les rançongiciels, les ransomware, il faut pouvoir se faire coopter. On ne devient pas affilié d'une famille de rançongiciels comme ça, ou pas que je sache en tout cas, donc il faut un minimum de... d'expérience, c'est l'iter criminis, mais qui vaut dans tous les schémas de délinquance. Dans le stupéfiant, on commence rarement directement à portateur de stupéfiants. On a un parcours initiatique à suivre. Sur la cyberdélinquance, j'ai l'impression qu'on retrouve ce même parcours.
Speaker #2
Il y a des plans de carrière dans la cyberdélinquance.
Fabrice Billot
Alors, structuré avec une RH, je ne pense pas. Mais en tout cas, il y a un certain nombre de passages obligés, j'ai l'impression.
Speaker #2
D'accord. Et ça me permet de... passer à la menace qui nous attend pour les Jeux Olympiques 2024. Est-ce que vous pensez que ces profils, ces quatre profils qui sont au final assez franco-français, européens, constituent une part importante de la menace ou il faut regarder ailleurs ?
Fabrice Billot
Alors, il ne faut pas sous-estimer ces profils, notamment les rançongiciels, mais aussi les individuels, les artisans qui ont des compétences réelles et qui peuvent mettre des attaques qui entraîneraient une gêne certaine. notamment chez les TPE, PME et sous-traitants. Chez les acteurs structurants des Jeux Olympiques, les plus solides, les plus gros, je leur ai tendance à croire que leur pouvoir de nuisance est moins important, mais attention, ne les sous-estimons pas. Les rançons logicielles aussi pour avoir un impact. Par contre, après, la première menace, celle que l'on craint le plus, c'est la menace étatique par étatique, où là, effectivement... Sans citer aucun pays, l'expérience précédente des Jeux Olympiques a montré qu'il était fort probable que des agences gouvernementales ou encore une fois paragouvernementales étaient à l'origine d'attaques d'ampleur. Donc ça c'est un risque qu'on ne peut pas nier. Je reviens vite fait aussi sur les rançongiciels, donc il y a des capacités de nuisance avec des acteurs aguerris. Des fois la frontière, enfin on est dans l'hypothèse, mais on pourrait trouver la frontière un peu poreuse entre les statiques et les ransomware. Ça c'est une aparté. qui ne s'appuie sur rien de bien concret si ce n'est moi et mon analyse.
Speaker #2
Et puis l'expérience des Jeux Olympiques passés, où on a vu deux pays sans les cités qui ont été particulièrement actifs sur les dernières éditions, et où les groupes qui mènent des attaques avec des ransom JCL sont hébergés dans ces pays et bénéficient apparemment d'une complaisance de la part des autorités.
Fabrice Billot
Alors une complaisance, oui, où on va dire si on est optimiste que... On les laisse tranquilles, oui. Est-ce que c'est voulu ou pas ?
Speaker #2
Ça, on n'a pas la réponse, effectivement. Et on a eu 450 millions de cyberattaques à Tokyo, justement sur les derniers jeux post-Covid. On en attend 4 milliards pour les jeux de Paris. Au final, comment on se prépare à prendre une vague aussi grande au visage ?
Fabrice Billot
Alors, clairement, il y aura une hausse des attaques. Cela me paraît évident. De toute façon déjà on voit qu'au quotidien la menace hiver progresse, je vois pas pourquoi il en serait autrement pour les JO. Le contexte géopolitique actuel n'aide peut-être pas non plus. Comment on se prépare ? La BL2C, donc on existe depuis 1994. On a un territoire de compétence, la préfecture de police, qui naturellement nous amène à avoir beaucoup de saisines. Donc comme des athlètes j'ai envie de dire que nous nous entraînons au quotidien. Nous avons toujours des saisines, toujours des gardes à vue, donc nos réflexes de policiers, d'enquêteurs sont là. Parce qu'au-delà d'être des geeks, nous sommes aussi des enquêteurs de police judiciaire, avec des réflexes d'enquêteurs de police judiciaire, mais ayant une appétence supérieure, complémentaire, pour le domaine du cyber, de l'internet, des internets. Donc comment on se prépare ? Tout simplement en continuant notre activité, en se formant. Aussi, on a le plan de préparation, mais qui n'est pas propre à la BL2C, qui est propre à toute la PJ, mais même à toute la police parisienne et française. Ça va être aussi d'avoir un plan de présence très important cet été, qui sera de 100% sur la période des Jeux Olympiques.
Speaker #2
C'est-à-dire que 100% des effectifs de la police judiciaire seront en poste pendant la période olympique ?
Fabrice Billot
Exactement, nous serons tous là. Ce qui constitue quand même une force de frappe conséquente. Est-ce qu'elle sera suffisante ? On verra, on fera les comptes après les Jeux Olympiques. Je ne crois pas qu'on puisse faire plus. Donc on nous aura quand même une capacité de réagir. En fait, ce qui va compter à ce moment-là, c'est notre réactivité, notre flexibilité, notre capacité d'adaptation aux événements. Ça va être ça qui va être primordial. L'enquête tibère sont souvent des enquêtes au long cours, puisqu'une fois qu'elle a eu lieu... On a la recherche des tracés indices, leur analyse. Souvent on a besoin de coopération internationale. Donc on s'inscrit dans un temps non. Mais ce qui va compter c'est qu'on se mobilise très vite pour lancer le maximum des investigations à ce moment-là.
Speaker #2
Et comment vous allez coopérer avec les autres acteurs ? Je pense notamment à l'ANSI qui fait un gros travail de préparation à Mans. Il y a les services de renseignement aussi, DGSI qui est très impliqué dedans, je pense que la DGSE aussi d'ailleurs. Comment on se coordonne, comment on fait en sorte de ne pas être dans le curatif mais aussi le préventif et comment vous vous inscrivez dans cette chaîne de valeur si je puis dire ?
Fabrice Billot
Alors nous encore une fois, nous sommes un service de police judiciaire, donc nous intervenons en principe, il y a quelques exceptions mais qui sont quand même très rares, une fois que les faits ont été commis ou tentés d'être commis. Nous ce qui est important c'est de pouvoir bien se coordonner avec tous les acteurs. Vous avez cité l'ANSI, vous avez cité les services de renseignement. Je pourrais aussi vous citer le parquet de Paris qui a une compétence concurrente nationale et je pense qu'ils activeront souvent cette compétence-là durant les Jeux Olympiques. Donc l'importance pour nous c'est que nous nous coordonnions, nous échangeions les informations pour mutualiser, pour en bénéficier les uns les autres, pour éviter de faire des doublons. Il serait quand même dommage de perdre de l'énergie durant cette compétition. Et pour cela, nous avons organisé plusieurs fois des exercices où nous simulons des crises et voir comment nous répartissons le travail, comment nous mettons en place des process de communication. Et cela depuis deux ans. Donc régulièrement, il y a des exercices qui sont organisés. Les différents acteurs, nous nous connaissons bien, nous parlons déjà très fréquemment à travers différentes instances. Et je pense que durant les Jeux Olympiques, ce sera l'occasion de l'union sacrée.
Speaker #2
D'accord, merci pour cet éclairage. Et quels sont les groupes qui vous font le plus peur au final ? On a parlé des différents groupes. Pour vous, d'où vient la menace principalement ?
Fabrice Billot
Je ne pourrais pas vous citer un groupe cybercriminel particulièrement ou un groupe étatique. Je pense que sur les infrastructures vitales, encore une fois les acteurs principaux des Jeux Olympiques de Paris, le curseur a été quand même mis assez haut depuis quelques mois, quelques années, sur la prévention, la prise en compte de la cybersécurité. J'aurais tendance à penser qu'il faut quand même des moyens très importants pour pouvoir passer outre les défenses qui ont été établies.
Speaker #2
Donc là, ce serait plutôt des groupes étatiques ou affiliés à des États qui auraient les moyens de toucher les grosses instances comme le COJO ou les instances olympiques ?
Fabrice Billot
À mon sens, oui. Peut-être certains groupes de rançongiciel. Mais encore une fois, ne sous-estimons pas certains éléments brillants et individuels. Brillants, en tout cas, dans leur volonté de faire du mal. A mon avis, c'est quand même ça le principal danger pour les grands acteurs. Mais je sais que c'est un peu votre sujet aussi. Il y a tout le réseau de sous-traitants, des TPE, PME, qui elles peuvent être plus sensibles, même si un effort a été fait de prévention, d'acculturation sur la cybersécurité. Effectivement, il y a des risques et je pense qu'en cascade, cela peut entraîner des dysfonctionnements pour les grands acteurs. Et si ce n'est en termes de système d'information, il y a aussi toujours ce risque un peu réputationnel, où je pense qu'une entreprise XYZ attaquée par un JO pourra vite être mise en avant comme une victime par un groupe cybercriminel pour faire leur publicité sur les atteintes fondamentales menées aux Jeux Olympiques de Paris.
Speaker #2
Oui, et là il y a des pertes qui sont directes, pertes de chiffre d'affaires, d'exploitation, etc. Et puis il y a toute la perte réputationnelle. Perte de base de données, etc. qui a une valeur qui peut dépasser la perte de chiffre d'affaires.
Fabrice Billot
De mon dialogue avec les entreprises au quotidien, j'ai remarqué que la perte de chiffre d'affaires d'activité économique n'est pas sous-estimée loin de là. Parfois c'est une catastrophe, cela peut même entraîner une liquidation de société. C'est arrivé, donc ça c'est quand même quelque chose de non négligeable. Mais finalement je me rends compte que ce qui fait le plus peur c'est le risque sur la communication. J'ai l'impression que c'est quand même ce qui inquiète le plus. Sur les traces que cela va laisser derrière, puisqu'à la limite, le système d'information peut, je l'espère, avoir un certain nombre de sauvegardes mises à l'abri, donc on perd un jour, deux jours, trois jours de chiffre d'affaires. Mais derrière, il y a la trace laissée sur les capacités de l'entreprise à protéger la donnée des utilisateurs, à ne pas avoir cédé à une attaque lambda. Et puis, j'ai oublié de le citer, mais aujourd'hui, il y a aussi la problématique de la responsabilité pénale des dirigeants d'entreprise avec le RGPD. C'est, je pense, une vraie responsabilité. C'est quelque chose qui occupe aussi l'esprit des dirigeants d'entreprise.
Speaker #2
Oui, parce que les dirigeants d'entreprise, les entreprises ont comme responsabilité de protéger les données personnelles de leurs clients, mais aussi de leurs collaborateurs, de leurs prestataires, etc. Et en cas de négligence caractérisée, la CNIL ou les autorités judiciaires... peuvent considérer qu'il y a une responsabilité pénale de la part de l'entreprise ou de son dirigeant sur la perte de données.
Fabrice Billot
Effectivement, je ne me souviens plus la date exacte de cette réforme qui est intervenue il y a quelques années, mais c'est un risque réel. Et notamment, je pense que l'autorité administrative indépendante va apprécier les efforts faits par l'entreprise, mais aussi un acteur public, parapublic, pour protéger les données.
Speaker #2
Tout à l'heure, vous parliez de ces artisans qui ont beaucoup de talent dans la nuisance. Est-ce que vous pensez que l'émergence de l'intelligence artificielle, des solutions d'automatisation, etc., peut leur rendre les attaques cyber sur les sous-traitants, sur les petites entreprises plus faciles ?
Fabrice Billot
C'est très difficile pour moi de me faire un avis parce que je lis beaucoup de choses contradictoires, j'entends beaucoup de choses contradictoires. Alors tout d'abord j'ai un petit souci avec le terme d'intelligence artificielle car à l'heure actuelle l'IA n'a pas de processus cognitif comme l'intelligence. Je préfère le terme anglais de machine learning. Bon, ceci mis à part, on voit quand même que cela produit des résultats intéressants grâce aux puissances de calcul et d'apprentissage justement des modèles, etc. Sur la cyberdélinquance, j'ai un doute. Je peux me tromper mais j'ai l'impression que pour l'instant les modèles pour coder ne sont pas encore extrêmement développés. Et on pourrait aussi faire un raisonnement à l'inverse, c'est que ceux qui font de la cybersécurité peuvent utiliser les modèles d'IA pour créer une structure de défense. Alors j'ai un peu du mal à, sur nos profils de hackers, j'ai un peu du mal à estimer vraiment la nuisance potentielle, mais je ne suis pas le meilleur sachant sur ce sujet là. Là où... Pour l'instant, j'ai l'impression qu'il y a un vrai potentiel, c'est sur les escroqueries en ligne cyber et sur ce qu'on appelle le deepfake, la désinformation qui n'est pas notre cœur de métier. Mais là, je vois qu'effectivement, cela permet des pratiques massives industrielles avec quand même une capacité à reproduire la réalité qui est pour moi assez sidérante.
Speaker #2
Avec les fraudes aux dirigeants, des choses comme ça, qui usurpent parfaitement la voix ou le physique d'un individu.
Fabrice Billot
Exactement, et je vois que ça a ouvert, et ce n'est peut-être que le début, un potentiel dans le domaine des cyber-escroqueries, par exemple. Des escroqueries commises grâce aux moyens cyber.
Speaker #2
Oui, mais là c'est de l'ingénierie sociale, c'est plus un soutien à l'ingénierie sociale qu'une aide technologique et technique dans la mise en place d'attaques.
Fabrice Billot
Exactement. Sur cette aide-là, c'est comme le quantique. J'entends des choses, je lis des choses. Je ne sais pas moi, en tout cas l'impact, ou je ne le perçois pas bien, l'impact de ces deux nouvelles technologies.
Speaker #2
C'est-à-dire que vous, dans les affaires que vous traitez, vous n'avez pas encore le raz-de-marée annoncé, ou du moins une recrudescence de ces techniques ?
Fabrice Billot
À l'instant T, zéro.
Speaker #2
Ok.
Fabrice Billot
Donc l'IA... n'a rien apporté dans les enquêtes que nous traitons actuellement, que nous avons résolues en tout cas. Peut-être que dans celles que nous traitons, que nous n'avons pas résolues, oui, mais à l'instant T, en tout cas, je ne vois pas de traces de l'IA.
Speaker #2
Et pour revenir, désolé, j'ai un peu sauté une étape tout à l'heure, mais pour revenir à la chaîne de valeur sur les JO, les grandes instances s'appuient donc sur toute une chaîne de sous-traitants. Quelles sont les principales failles que vous... identifiez dans les TPE, PME et c'est assez divers. On parle de traiteurs, on parle de services logistiques. On sait que les services logistiques vont être beaucoup attaqués pendant les JO. Quelles sont les failles que vous identifiez chez tous ces petits acteurs qui sont très atomisés ?
Fabrice Billot
Alors, est-ce que vous me demandez si c'est une faille dans la supply chain et donc de savoir s'il y a des acteurs particuliers qui auront une criticité particulière ? Ça, je ne le sais pas. Est-ce que vous me demandez si ce sont les... En tout cas, je ne l'ai pas réfléchi auparavant. Est-ce que vous me demandez si c'est des comportements ou des oublis fréquents dans la sécurisation des systèmes d'information ? Là, je peux avoir deux, trois éléments de réponse à vous apporter.
Speaker #2
Dites-nous tout.
Fabrice Billot
Il y a deux types de réponses différentes. La première, je le constate souvent, mais... Ce n'est pas uniquement dans les TPE, PME, ça peut être aussi dans des grands groupes, des structures parapubliques, des fois un peu un oubli des règles de sécurisation basiques pour les collaborateurs. On constate parfois qu'il n'y a pas de journalisation, des connexions, des droits d'accès, il n'y a pas de monitoring des différentes connexions au sein même de l'intranet, de l'entreprise ou de la collectivité, ou de l'internet sur le site d'information. Le basique, les mots de passe uniques et complexes aussi, qui malheureusement, là on rentre un peu dans l'ingénierie sociale, mais à partir du moment où il y a une fuite de base de données, certains collaborateurs vont voir leurs mots de passe volés et qu'ils vont être utilisés dans le monde professionnel, mais ça c'est une réalité. Je suis toujours surpris aussi que la simple double authentification ne soit pas utilisée, notamment pour les salariés qui sont en télétravail, et qui permettent à des cyberdélinquants, une fois qu'ils ont récupéré un identifiant mot de passe, ou X biais, sur un ordinateur de pouvoir se connecter assez facilement à un système d'information à distance d'une entreprise. Voilà, c'est un peu ça les basiques de la cybersécurité. Et dans un deuxième temps, il y a pour moi un levier important, c'est de faire procéder à un audit de son système d'information, des règles de sécurité, par des acteurs certifiés. L'ANSI et Ausha Cyber Mavillance ont fait un gros travail ces dernières années de certification d'un certain nombre d'acteurs pour avoir un gage de qualité lors de l'audit de son système d'information. A chaque fois que nous pouvons intervenir dans une entreprise, nous portons le message sur ces deux volets. Ça n'évitera pas tout, ça ne peut pas tout éviter, mais je pense que ça complexifie fortement le travail des cyberdélinquants derrière.
Cybiah
Oui, parce que les cyberdélinquants, ils peuvent se montrer très fainéants, c'est-à-dire qu'ils ont tendance à taper là où c'est simple. Et qu'ils préfèrent rentrer dans un système d'information quand il y a une simple authentification et pas une double, ou choisir les entreprises qui n'ont aucune hygiène numérique.
Fabrice Billot
La double authentification pourrait se contourner, mais c'est techniquement complexe. Comme vous le dites, je suis un escroc, j'irai au plus facile, c'est une rationalité économique. Et puis au quotidien, je pense qu'il faut complexifier la vie des délinquants. On a connu la même chose avec les banques, on a eu un certain nombre de vols à main armée durant des années, et nous avons mis en place... des mesures de ce qu'on appelle la prévention situationnelle. Alors déjà, il n'y a plus de flux liquide, il y a eu un certain nombre de mesures de sécurisation des locaux qui ont été mises en œuvre. Je ne sais pas si vous voyez devant les banques aussi, souvent on a un certain nombre de poteaux en acier, en béton, qui empêchent les voitures baillées. Et à partir de là, nous avons quand même constaté une chute drastique des vols à main armée ces dernières années. On a vraiment vu qu'il y avait une baisse globale. des vols à main armée depuis une décennie et plus. Et je pense qu'en termes de cyberdélinquance, un certain nombre de mesures simples seraient mises en place, nous aurions une vraie diminution des cyberattaques aussi.
Cybiah
Et question annexe, justement vous disiez que le grand banditisme s'est retrouvé entravé sur les vols à main armée, des choses comme ça. Est-ce qu'on a retrouvé des bandits qui ont muté et de voleurs à main armée à voleurs ? sur l'espace cyber ?
Fabrice Billot
De mon expérience, le grand banditisme s'est surtout reconverti dans le narco-banditisme, trafic de stupéfiants. Dans l'espace cyber, peu, on a des échos que peut-être, mais là c'est toujours pareil, je ne l'ai pas constaté moi, mais c'est ce que j'ai entendu, dans certains groupes de criminalités organisés en Europe de l'Est, par exemple, ils pourraient embaucher des équipes de hackers. pour mener des cyberattaques, souvent en vue d'escroqueries avec des moyens cyber. Donc ça, effectivement, il semblerait qu'il y ait une diversification. Les groupes criminels ont l'air, comme une entreprise, diversifier leur portefeuille. On peut faire un peu de stupéfiants, un peu de proxénétisme, et donc un peu de cyber. Mais moi, à mon échelle, je ne l'ai pas constaté.
Cybiah
Il n'y a pas eu de transformation massive de groupe ? On va dire du grand banditisme dans le cyber.
Fabrice Billot
A ma connaissance, non. J'ai juste vu deux, trois fois des voyous d'habitude qui semblaient commencer à s'intéresser aux escroqueries cyber. Mais en tout cas, il n'y avait pas la volonté de se mettre à hacker directement.
Cybiah
Et pour justement réduire les risques, est-ce qu'il faut que ce soit un peu comme dans le banditisme, quand on en a entendu beaucoup parler, notamment dans les années 80-90, les gens se montraient plus vigilants ? Est-ce qu'on a besoin d'avoir une visibilité sur les attaques cyber pour que les gens commencent à en avoir peur et au final se préparent au risque et se disent avec les JO on attend beaucoup d'attaques, je vais commencer par soigner ma propre hygiène pour éviter d'être une victime ?
Fabrice Billot
Alors la peur peut être utile, peut être positive. Dans la nature, c'est ce qui a permis à l'homme de survivre, puisque c'est des injections d'adrénaline qui nous permettent soit de fuir, soit de combattre. Parfois, elle est négative aussi, elle peut nous paralyser. Il faut savoir canaliser sa peur, mais elle peut être utile. Oui, j'aurais envie de dire qu'il faut avoir peur, mais ça ne doit pas être le premier vecteur au quotidien. Ça doit être vraiment une prise de conscience rationnelle. de tous les acteurs socio-économiques sur l'importance de l'hygiène numérique, sur les gestes de base, sur la sécurisation des systèmes d'information. Mais je me rends bien compte aussi aujourd'hui que face... Je trouve qu'on est un peu dans une injonction paradoxale. face au flux d'informations perpétuelles je pense aux salariés qui reçoivent des centaines de mails par jour et il faut qu'ils détectent le mail sur une année où ils pourraient avoir une tentative de phishing c'est difficile de être vigilant au quotidien d'où l'importance quand même aussi peut-être pour les dirigeants de penser, de prévoir, je ne sais pas, des rappels réguliers tous les 3 mois, tous les 6 mois, tous les ans pour redire les mêmes choses mais c'est essentiel parce qu'on peut oublier avec le temps Merci De même, les réseaux sociaux, il faut faire attention. C'est important, il faut communiquer aujourd'hui. On doit se vendre sur les réseaux sociaux, mais en même temps, on donne des informations qui facilitent l'ingénierie sociale derrière et qui peuvent permettre des cyberattaques ou des cyber-escroqueries derrière. Donc c'est difficile, on est sur le fil du rasoir, j'en ai bien conscience, mais il faut trouver l'équilibre entre tout ça. Donc la cybersécurité, vraiment, doit devenir un enjeu de risque majeur. doit être pensée comme telle au sein des entreprises pour avoir des plans de rappel réguliers.
Cybiah
C'est vrai qu'à travers les centaines de mails que reçoivent les salariés, il y a souvent des tentatives de phishing. Les grands groupes s'y préparent avec des campagnes qui visent à sensibiliser les salariés. Je pense qu'il est important de rappeler aux auditeurs qu'à partir d'un mail, à partir d'un phishing, on ouvre la porte à des conséquences beaucoup plus graves pour une entreprise.
Fabrice Billot
Le phishing est un peu la merde de tous les vices. Cela permet d'arriver à de multiples infractions cyber. Par exemple, le sujet le plus médiatique, le plus connu, le plus prégnant actuellement, c'est les ransomware, les rançongiciels, où cela permettra à des acteurs de s'infiltrer sur un système d'information, de pratiquer ce qu'on appelle la latéralisation, de se déplacer au sein du système d'information, et là, de prendre possession de tout le système d'information. Vous savez, aujourd'hui, la ronde-note pour les familles de rançongiciels, c'est de pratiquer la double extorsion. C'est-à-dire que d'un côté, ils verrouillent, le système d'information de l'entreprise. De l'autre côté, ils vont extraire les données et ils vont faire un chantage à la publication. Donc ils vont demander une rançon pour les deux, pour déverrouiller le système d'information et pour ne pas diffuser les informations volées. Donc ça, c'est la menace la plus prégnante, actuellement la plus lourde en termes économiques pour les entreprises. On voit aussi qu'ils attaquent des hôpitaux parfois, il y a encore eu un exemple récemment, et ça a des vrais impacts en termes d'organisation sur les hôpitaux aussi. Ça a été pendant le Covid, il y a eu beaucoup d'attaques sur les hôpitaux par exemple. Donc voilà, le phishing qui paraît anodin comme ça peut avoir des conséquences très lourdes derrière. Nous constatons un autre phénomène aussi en ce moment, alors qui s'éloigne un peu du phishing, mais... qui peut être lié, vous êtes sur un forum de jeux vidéo, vous téléchargez un jeu vidéo gratuitement, vous téléchargez une vidéo XYZ, vous téléchargez ce qu'on appelle aujourd'hui un infostealer, qui moi évoque un peu les chevaux de 3 d'avant, qui vont récupérer toutes les données très discrètement sur votre ordinateur, vos identifiants mot de passe, et par exemple actuellement nous faisons beaucoup de liens avec les vols de crypto, puisque vous avez un compte Binance. Vous utilisez Identifier en mot de passe, le voyou le récupère sur votre navigateur, il peut se connecter à votre compte et hop, il vire l'argent ailleurs. Donc voilà, c'est les classiques finalement que j'entends depuis 20 ou 30 ans sur Internet, faire attention à ce qu'on télécharge, notamment quand c'est gratuit, notamment quand c'est envoyé par quelqu'un qu'on ne connaît pas ou qui est toujours attentif sur les entêtes de mail.
Cybiah
Et l'expéditeur aussi.
Fabrice Billot
Et l'expéditeur aussi. Toujours, c'est une vigilance finalement, dès qu'on est sur internet, il faut automatiser des comportements.
Cybiah
Oui, parce qu'un mauvais comportement ou une négligence peut amener à un piratage, et le piratage n'est pas forcément visible. Il peut être totalement silencieux jusqu'au jour où on voit la conséquence plusieurs semaines, mois après.
Fabrice Billot
Sur les rançons JCL, on voit parfaitement le début d'une attaque et le déclenchement du... du chiffrement des données du système d'information, il peut s'écouler effectivement plusieurs semaines selon la taille du système d'information, selon les capacités des uns et des autres. Donc ça peut avoir des effets à beaucoup plus long terme. Je pense aussi que les voyous finalement des fois ils récupèrent des données, ils ne l'utilisent pas toujours, ils la thésorisent. La donnée c'est vraiment le nerf de la guerre en fait, puisque derrière ça permettra aussi de faire des cyber-escroqueries dans un deuxième temps. Et la donnée se revend derrière. Moi, j'ai volé la donnée, mais je n'ai pas l'âme d'un escroc. Donc, je vais la mettre en vente sur différents forums cybercriminels pour qu'un autre, qui aura une autre idée lumineuse, puisse l'utiliser.
Cybiah
Et la valoriser à son tour.
Fabrice Billot
Exactement.
Cybiah
Et pour veiller justement à ce que les collaborateurs ne se fassent pas piéger, j'ai cru comprendre que vous, Belle de C, et... Comme l'ANSI, comme le campus cyber, comme beaucoup d'institutions, vous étiez assez proactifs dans la sensibilisation des entreprises ?
Fabrice Billot
Alors ce n'est pas notre cœur de métier, mais il nous arrive parfois d'intervenir, quelques fois chaque année, auprès de grands groupes, pour faire un retour d'expérience. Nous ne sommes pas des experts en cybersécurité, je ne vais pas prendre le travail de quelqu'un d'autre. Par contre, à force de traiter des dossiers, de voir les erreurs faites, nous avons quand même... un catalogue des choses à faire et à ne pas faire, et nous tentons de passer les messages durant ces invitations. Nous précisons aussi, c'est très important pour nous, ça je ne l'avais pas parlé avant, mais auprès des RSSI nous essayons de faire passer le message aussi que c'est très important d'avoir un contact rapide entre nous quand il y a une attaque, puisque nous voulons qu'ils conservent si possible des traces. et un 10 qui nous permettront d'enquêter derrière. Puisqu'il peut y avoir un réflexe premier, c'est j'efface tout. Dans ce cas-là, notre enquête derrière sera beaucoup plus compliquée. Donc pour nous, on cherche à avoir un dialogue très rapide avec les différents RSSI. C'est la base d'une saisine, c'est notre priorité. Nous savons très bien que quand une entreprise est confrontée à une attaque cyber d'ampleur, c'est comme face à un incendie. On cherche d'abord à éteindre l'incendie avant de mener l'enquête. Nous respectons ça, mais au moins avoir le dialogue et déjà dire, tiens, pensez à garder ça, faites attention à ça, est-ce que vous avez une idée en amont ? C'est du temps de gagner pour nous et c'est surtout le gage, nous ayons un peu de matière pour travailler ensuite.
Cybiah
On arrive quasiment au terme de cette interview, j'ai une question qui me taraude. Si je suis victime d'une attaque pendant les Jeux Olympiques, ou même avant ou même après, que dois-je faire ? premières réactions, les premiers réflexes à avoir ?
Fabrice Billot
Effacer tout.
Cybiah
Pour faciliter votre raclette.
Fabrice Billot
Plus sérieusement, le réflexe, c'est d'être votre responsable de système d'information, donc RSSI, je ne sais quel terme on emploie aujourd'hui, de prendre les premières mesures conservatoires et de remédiation sur votre système d'information, de penser vite à nous contacter. Alors pour cela, il y a différents moyens. Soit vous trouvez nos coordonnées sur Internet, bien entendu. Soit vous déposez plainte via un avocat qui transmettra à J3 qui nous saisira. J3 c'est la section cyber du parquet de Paris ou du parquet compétent. Si vous êtes à la défense, c'est le parquet du 92 qui en principe est compétent. A l'exception des rançongiciels d'ailleurs. J3 en principe a une compétence nationale dessus. Vous nous contactez, nous vous entamons le dialogue. Comme je le disais tout à l'heure, nous savons très bien que l'urgence d'une entreprise ou d'une collectivité en cas d'incendie, c'est la remédiation. Mais au moins déjà le dialogue est établi entre nous et nous assurons que les traces et indices seront conservés pour exploitation ultérieure.
Cybiah
Et je me permets une petite aparté dans notre auditoire. Nous avons beaucoup de petites entreprises, de patrons de petites entreprises, quand on a une startup, quand on a une TPE. Il faut faire quoi ? Il faut directement appeler soit à la BL2C, soit déposer plainte ?
Fabrice Billot
J'ai oublié quelque chose de très important et d'essentiel, c'est le réseau des commissariats et des postes de police à travers tout le territoire de la préfecture de police et tout le territoire national, où finalement le plus simple c'est d'y aller, de déposer plainte. L'enquêteur prend son téléphone, fait un avis magistrat, fait un avis au service compétent et derrière nous pourrons démarrer l'enquête judiciaire. On a une chance sur Paris La Petite Couronne, c'est quand même d'avoir un réseau assez dense de policiers qui sans être experts, savent les questions à poser, savent les premières données à collecter et ont les premiers enseignements à donner.
Cybiah
Pour vous, vous facilitez la tâche derrière,
Fabrice Billot
c'est ça ? Exactement. Vous, ça vous permet en tant qu'entrepreneur d'aller au plus court, au plus rapide, à proximité de votre domicile. Et ensuite, nous, nous pouvons initier derrière très rapidement. Donc rappelez-vous, le premier réflexe que j'avais oublié, c'est les commissariats de circonscription de quartier.
Cybiah
Et qui seront à même de poser les bonnes questions et d'amener les bons conseils pour éteindre l'incendie avant de mener l'enquête.
Fabrice Billot
Exactement.
Cybiah
Et finalement, est-ce que pour vous, les JO donnent un nouvel élan à la cybersécurité et laisseront un héritage en matière de cyber en France, même en Europe ?
Fabrice Billot
Alors pour la France... J'ai quand même l'impression qu'il y a eu un gros effort de fait depuis quelques années sur la prise de conscience, sur les investissements. Je parlerais même quelque part de professionnalisation de la filière, avec toutes les certifications qui ont été entreprises par les deux grands acteurs de la prévention en France, l'ANSI pour les grands groupes et Asima Cybermalveillance pour ETP, EPM, les particuliers. J'ai quand même l'impression qu'il y a un avant et un après. Ensuite, il faudra maintenir cette vigilance dans le temps, poursuivre les investissements, poursuivre la formation, poursuivre la prévention. Mais en témoigne de cette nouvelle prise de conscience, le campus cyber, lieu totem de la cybersécurité évolu par le président de la République, qui a été créé, qui permet quand même de rassembler beaucoup d'acteurs, qui porte des messages de prévention. Et je trouve vraiment que cela témoigne aujourd'hui dans notre pays d'une nouvelle volonté. de faire en sorte que la cybersécurité soit intégrée comme risque majeur pour les entreprises et pour les collectivités, enfin pour tous les acteurs socio-économiques.
Cybiah
Oui, et notamment pour les TPE-PME, puisque le campus cyber... En partenariat avec le catalyseur de l'innovation de Pold, finance et participe aux audits de cybersécurité des TPE et des PME pour éviter d'avoir à faire appel à la BL2C plus tard.
Fabrice Billot
Exactement, et nous remercions tous ces différents acteurs pour cela.
Cybiah
Merci beaucoup, monsieur le commissaire, pour cette interview et à bientôt.
Fabrice Billot
Merci à vous, à bientôt.
Cybiah
Entre les tensions géopolitiques, les motivations financières et la multiplication des attaques, tout était réuni pour que les cybercriminels s'en donnent à cœur joie pendant les Jeux olympiques et paralympiques. Nous ne pouvons donc que vous inviter à suivre tous les conseils dispensés par Fabrice Biot et si vous êtes dirigeant de TPE-PME, à prendre contact avec Cibia pour déployer des mesures cyber adaptées à votre activité. En attendant, n'hésitez pas à vous abonner à ce podcast sur votre plateforme d'écoute préférée, à commenter, noter ce podcast, vos retours nous sont précieux. Également, nous suivre sur LinkedIn, at Sybia, C-Y-B-I-A-H. À très vite.

About Safe & Sound

Pourquoi écouter "Safe & Sound" ?

La cybersécurité simplifiée : Découvrez des conseils simples et pratiques pour protéger vos données et sécuriser vos systèmes, adaptés aux novices comme aux experts.
Des experts de renom : Écoutez des leaders de la cybersécurité partager leurs expériences et leurs stratégies pour contrer les cybermenaces.
Des échanges pédagogiques : Plongez dans des conversations captivantes et éducatives, démystifiant des sujets complexes pour renforcer votre culture cyber.

Programmation :

Épisode 1 : État des lieux de la cybersécurité avec Yann Bonnet, Directeur Général Délégué du Campus Cyber et membre du groupe d'experts de haut niveau sur l'intelligence artificielle de la Commission européenne.
Épisode 2 : La préparation pour les JO 2024 avec Fabrice Billot, chef de la brigade de lutte contre la cybercriminalité (BL2C).
Épisode 3 : Les missions d’un RSSI avec Serge Misik, RSSI de Paris Ouest La Défense (POLD).
Épisode 4 : La sensibilisation et l’assistance aux victimes avec Jérôme Notin, Directeur Général de Cybermalveillance.gouv.fr.
Épisode 5 : L’importance de la cybersécurité dans la santé avec Antoine Tesnière, Directeur Général de PariSanté Campus et professeur d’anesthésie-réanimation.
Épisode 6 : L’organisation et l’évolution de la cybersécurité avec Emmanuel Naëgelen, Directeur adjoint de l’Agence nationale de la sécurité des systèmes d'information (ANSSI).

Presse :

Lire le communiqué

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Safe & Sound

Pourquoi écouter "Safe & Sound" ?

La cybersécurité simplifiée : Découvrez des conseils simples et pratiques pour protéger vos données et sécuriser vos systèmes, adaptés aux novices comme aux experts.
Des experts de renom : Écoutez des leaders de la cybersécurité partager leurs expériences et leurs stratégies pour contrer les cybermenaces.
Des échanges pédagogiques : Plongez dans des conversations captivantes et éducatives, démystifiant des sujets complexes pour renforcer votre culture cyber.

Programmation :

Épisode 1 : État des lieux de la cybersécurité avec Yann Bonnet, Directeur Général Délégué du Campus Cyber et membre du groupe d'experts de haut niveau sur l'intelligence artificielle de la Commission européenne.
Épisode 2 : La préparation pour les JO 2024 avec Fabrice Billot, chef de la brigade de lutte contre la cybercriminalité (BL2C).
Épisode 3 : Les missions d’un RSSI avec Serge Misik, RSSI de Paris Ouest La Défense (POLD).
Épisode 4 : La sensibilisation et l’assistance aux victimes avec Jérôme Notin, Directeur Général de Cybermalveillance.gouv.fr.
Épisode 5 : L’importance de la cybersécurité dans la santé avec Antoine Tesnière, Directeur Général de PariSanté Campus et professeur d’anesthésie-réanimation.
Épisode 6 : L’organisation et l’évolution de la cybersécurité avec Emmanuel Naëgelen, Directeur adjoint de l’Agence nationale de la sécurité des systèmes d'information (ANSSI).

Presse :

Lire le communiqué

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Embed