Secu
Christophe Husson (ComCyber-MI) : « Nous sommes des lanceurs d’alerte »
Par La rédaction, publié le 25 avril 2025
À la tête des équipes de la Gendarmerie spécialisées dans la lutte contre la cybercriminalité, Christophe Husson revient ici sur les chiffres de cette délinquance en France, et spécifiquement sur les risques encourus par les PME et les plus petites entreprises. Et si le dispositif Diagonal, expérimenté par la Gendarmerie nationale depuis 2022 pour les aider à anticiper en faisant le point sur leur niveau de protection, va disparaître cette année, il a fortement inspiré l’ANSSI qui va proposer à la place « MonAideCyber ».
Entretien avec Christophe Husson, Général de division de gendarmerie, chef du COMCYBER-MI
Créé par décret en novembre 2023, entré en vigueur le 1er décembre suivant, le COMCYBER-MI (Commandement du ministère de l’Intérieur dans le cyberespace) est un service à compétence nationale en charge de la lutte contre la cybercriminalité. Il est composé de gendarmes, de policiers et de magistrats. Correspondant de l’ANSSI et d’Acyma sur le volet prévention, il a une compétence judiciaire nationale, est chargé de l’acculturation des forces de l’ordre à la cyber et dispense des actions de sensibilisation auprès des entreprises, des collectivités locales et des établissements de santé.
Quel regard portez-vous, en tant qu’opérationnel, sur l’état de la cybermenace qui pèse sur la France ?
Cette menace ne cesse d’augmenter depuis plus d’une dizaine d’années. Pour 2025, je pense que la tendance sera assez similaire à celle dégagée précédemment. Dans notre premier rapport annuel sur la cybercriminalité (voir encadré), 278 770 infractions numériques (harcèlement, injures, discriminations, menaces, escroqueries, usurpations d’identité ou encore abus de confiance) ont été enregistrées, soit une hausse de 40 % en cinq ans. 59 % de ces infractions étaient des atteintes aux biens, commises à l’aide d’outils numériques. Et parmi elles, 80 % relevaient d’escroqueries.
Les cyber-délinquants ciblent-ils certaines entreprises plus particulièrement ?
Pas vraiment, non. Un des points majeurs à retenir est que l’on n’a pas forcément besoin d’être une cible pour être atteint. Une cyberattaque est un assaut tous azimuts, une pêche au chalut : les cyberpirates lancent leurs filets et voient ce qui fonctionne ou pas.
La demande de rançon est proportionnelle au chiffre d’affaires. Dans les années 2017-2018, les grands groupes industriels, du type CAC 40, étaient particulièrement atteints, essentiellement par des rançongiciels aux montants astronomiques : des dizaines de millions d’euros, en cryptomonnaie. Depuis, ces entités ont mis les moyens financiers pour renforcer leur protection, régulièrement mise à niveau. L’adversaire s’est adapté et les attaques sont principalement menées contre des PME, des ETI ou des collectivités locales, moins préparées et moins sécurisées. Mécaniquement, les demandes de rançon sont plus faibles, mais elles sont démultipliées : vous en avez 10, 15, 20, 30, 50… encore davantage, avec des montants exigés de 1 000, 15 000, voire 20 000 €. Ce modèle économique peut s’avérer intéressant pour les cyber-délinquants.
Il y a donc un vrai enjeu de protection des PME, ETI et collectivités locales. La directive européenne NIS 2, « Network and Information Security », va pouvoir y répondre, en obligeant à sécuriser les systèmes d’information et en élargissant le périmètre des entreprises qui vont être régulées en France. Leur nombre passe de 500 à environ 15 000 entités.
Cela aura, j’en suis persuadé, un impact positif. NIS 2 va concourir à la prise de conscience de la nécessité de se mettre en ordre de marche. Ce qui est une bonne chose, lorsqu’on connaît, d’après nos observations au sein du ministère de l’Intérieur, la vulnérabilité très forte de ces entités qui ne sont pas au niveau de maturité adapté.
À présent, il y a toute la mise en œuvre qui doit être traitée et c’est l’Agence nationale de la sécurité des systèmes d’information, l’ANSSI, qui est responsable en la matière. Il faut le temps.
« Il y a aujourd’hui un vrai enjeu de protection des PME, ETI et collectivités locales. »
Justement, son directeur Vincent Strubel a indiqué que la mise en oeuvre de cette règlementation sera échelonnée sur trois ans. Comment percevez-vous ce délai ?
Je laisse Vincent Strubel à la manœuvre là-dessus. Je reste dans mon domaine de compétence. Mais le COMCYBER-MI s’inscrit bien dans le dispositif, notamment sur les parties amont et prévention. Nous jouerons notre rôle. Notre ADN est d’être au contact de l’usager, que ce soit le particulier, les collectivités territoriales, les PME et les ETI. C’est vraiment le cœur de notre préoccupation quotidienne.
Avant la directive NIS 2, les services de gendarmerie et de police étaient déjà en lien avec des entreprises. Pour les sensibiliser, la Gendarmerie a créé dès 2022, à titre expérimental, un pré-diagnostic cyber, appelé « Diagonal » (DIAGnostique Opérationel NationaL Cyber). C’est un document de 70 questions qui permet d’évaluer leur niveau de maturité informatique, en amont d’une attaque. Il s’adresse aux dirigeants, au Comex : c’est le point important. Évidemment, rien n’empêche un patron d’entreprise de s’entourer de son prestataire de services ou de son DSI pour y répondre, si ces personnes existent. De toute façon, les questions posées ne sont pas techniques, mais d’organisation : avez-vous, en cas de cyberattaque, un plan de conduite et d’activité ? Est-ce que vous avez un plan de reprise d’activité ? Comment est-ce que vous opérez la gestion de crise ? Quelle est votre politique des mots de passe ? C’est du bon sens. Nous sommes dans ces cas-là des lanceurs d’alerte.
En revanche, le métier du cyber-gendarme n’est pas de se pencher sur le matériel utilisé par la société pour protéger ses SI, ni de connaître la version de tel pare-feu.
Comment se déploie le COMCYBER-MI dans le pays ?
Nous avons mis en place un véritable maillage territorial : dans chaque brigade de gendarmerie, des correspondants « N-Tech », pour « nouvelles technologies », ont pour missions d’acculturer les équipes et d’assurer la sensibilisation des entreprises du territoire. Ces 10 000 cyber-gendarmes, qui assument également les missions classiques de brigade de gendarmerie, vont à leur rencontre, effectuent le pré-diagnostic Diagonal. Depuis 2022, 2 233 ont été réalisés qui concernaient les collectivités territoriales et les entreprises. Il est apparu que 77 % des collectivités et 68 % des entreprises n’ont pas de plan de gestion de crise. C’est-à-dire de réponse à la question : comment réussir à travailler en mode totalement dégradé, avec uniquement la gomme, le stylo et le papier ? C’est facile à dire, mais il faut anticiper. Cela se planifie à l’avance, se teste pour en tirer des enseignements. Parce que le jour où on est face à la crise, c’est trop tard.
Le second enseignement concerne les progrès à réaliser pour la sensibilisation des utilisateurs d’Internet, qui reste un point faible. Chaque salarié doit faire très attention à son empreinte numérique, aux informations qu’il y divulgue. Les cyberattaquants sont à l’affût du moindre renseignement, de la moindre faille.
Près de 18 000 plaintes concernent des SI
Selon le bilan 2023 dressé en 2024 par le COMCYBER-MI, la part des atteintes aux biens (escroqueries, détournement…) compte pour 59 % du total des infractions enregistrées, devant celles aux personnes tels que du harcèlement ou des injures et menaces (34,5 %) et loin devant celles à l’encontre des institutions et à l’ordre public (6 %) et aux législations et réglementations spécifiquement numériques (0,5 %). Les atteintes aux systèmes d’information ont pesé 6,3 % du nombre total d’atteintes numériques enregistrées (soit 17 700). Mais prudence avec ces chiffres : « De nombreuses infractions numériques ne font pas pour autant encore l’objet d’un dépôt de plainte ou d’un signalement. Il existe une partie significative de la cybercriminalité qui n’est pas enregistrée dans les données judiciaires », écrit le rapport RACY (Rapport annuel sur la cybercriminalité).
En décembre, un autre dispositif d’aide, baptisé le « 17Cyber », a été inauguré : en quoi peut-il aider les entreprises ?
L’objectif de ce guichet unique est de donner une réponse immédiate aux victimes d’une cyberattaque et de leur permettre d’être rapidement mises en contact avec des entreprises privées et à proximité, labellisées par le GIP “Cybermalveillance.gouv. fr“, pour tenter de rétablir son système d’information, pour la remédiation. Des conseils sont aussi délivrés. Par exemple, si vous êtes victime d’un rançongiciel, celui de débrancher l’intégralité de votre connectique pour isoler la machine infectée du réseau, mais surtout de ne pas éteindre l’ordinateur. Il contient en effet des éléments qui, récupérés par des gendarmes ou des policiers, pourront être utiles dans le cadre d’une enquête judiciaire.
« Notre ADN est d’être au contact de l’usager, que ce soit le particulier, les collectivités territoriales, les PME et les ETI. C’est vraiment le cœur de notre préoccupation quotidienne. »
Si finalement vous n’obtenez pas de réponses à toutes vos questions, vous êtes mis en relation, par l’intermédiaire d’une messagerie instantanée, avec un vrai policier ou un vrai gendarme, qui va conseiller, poser un premier diagnostic voire déclencher une enquête. Derrière cette plateforme, 58 gendarmes et 45 policiers sont opérationnels. Ils sont formés aux risques cyber.
L’anticipation reste dans tous les cas essentielle ?
Oui. D’ailleurs notre expérimentation Diagonal va être remplacée courant 2025 par un autre dispositif gratuit, développé par l’ANSSI, qui s’appelle « MonAideCyber ». Les remontées de Diagonal ont participé à la définition de son besoin fonctionnel. Les forces de sécurité intérieure sont déjà en train de l’expérimenter en région Aquitaine ; quand il sera totalement stabilisé et industrialisé, nous ferons la bascule.
« MonAideCyber » est un outil unique utilisé par les communautés d’aidants, sur le même principe que Diagonal : le gendarme ou le policier arrive dans la société avec son ordinateur qu’il connecte avec la 4G locale. Il accède à l’application dans laquelle il rentre les réponses aux questions. Cela permet aussi, à l’échelon central du ministère, d’avoir automatiquement une synthèse et une vision plus globale de ce qui s’est réalisé sur le territoire national.
Est-ce que « MonAideCyber » sera aussi étoffée que Diagonal ?
Il y aura moins de questions. Cet allègement à une quarantaine de questions, suffisamment pertinentes pour mesurer le niveau de maturité en cybersécurité, permettra aussi de le faire réaliser à davantage d’opérateurs. Et pourra déjà déterminer s’il y a un problème, où et comment le résoudre avant qu’une cyberattaque ne survienne.
Propos recueillis par AUDE LEROY / Photos MAŸLIS DEVAUX
3 QUESTIONS À : PATRICK PERROT
Général de brigade, coordinateur pour l’IA de la Gendarmerie et conseiller IA au COMCYBER-MI
Quelles sont les principales menaces dans le futur à craindre de l’utilisation de l’IA pour les entreprises ?
Il y a tout d’abord l’empoisonnement des données, lorsque les bases sont infiltrées par de fausses données d’apprentissage. Puis les attaques adverses, avec un bruit optimisé (une image, du son) introduit dans un système d’IA pour fausser son interprétation. Imaginons que, sur un passeport, la photo du criminel ait été falsifiée. Si le système automatique a été préalablement modifié, l’individu passe sans difficulté un contrôle. Ces menaces sont encore latentes, mais il faut s’y préparer.
Et parmi celles qui sont déjà « opérationnelles » ?
Les infractions autour de l’IA générative, donc les larges modèles de langage (Large Langage Models ou LLM) et les modèles de vision se multiplient. Ils sont très peu robustes aux attaques cyber, c’est-à-dire qu’on peut, par l’injection de requêtes spécialisées ou par des fine-tuning (adaptation sur de la donnée non censurée), détourner et casser les barrières de protection de ces modèles.
Que conseillez-vous aux RSSI face à ces menaces ?
L’IA et le cyber sont deux métiers différents. Il va falloir, soit que les RSSI montent en compétence en IA, soit que les équipes RSSI s’associent avec un spécialiste de l’IA. Cette approche collégiale évite le piège qui consiste à penser que l’IA est un système d’information classique. Au sein du Campus Cyber, nous avons créé, avec le Hub France IA, un groupe dédié à tout ce qui relève de l’IA et du cyber, en termes d’attaques contre les entreprises. Nous travaillons aussi sur des techniques de remédiation, donc les contre-mesures, face à ces attaques. Chaque mois, nous publierons un document sur quatre à cinq attaques. L’information et la sensibilisation restent essentielles.
À LIRE AUSSI :
À LIRE AUSSI :
