« Allô la gendarmerie ? Je viens d’être victime d’une cyber-attaque. Vous pouvez venir ? » Voilà une phrase que l’on imagine rarement prononcée par un chef d’entreprise dont les systèmes informatiques, voire opérationnels, sont à l’arrêt. Devant l’impératif de relancer au plus vite l’activité, il met son responsable de la sécurité des services d’information (RSSI) sur le pont, souvent épaulé par une société de remédiation. Au grand dam de la gendarmerie, qui revendique sa place dès les premières heures qui suivent une cyberattaque.
Intervient alors son Centre de lutte contre les criminalités numériques (C3N), qui comprend 11 antennes en France et 7000 militaires. « Selon la caractéristique de l’attaque, nous pouvons dépêcher des enquêteurs sur place, expliquait un responsable du C3N lors d’une visite du pôle judiciaire de la gendarmerie nationale à Cergy-Pontoise (Val-d'Oise), organisée en amont du Forum international de la cybersécurité (FIC). La victime est souvent dans un état d’affolement et se sent désemparée. C’est notre rôle de lui expliquer ce qui se passe et de l’aider à prendre les bonnes décisions, pour savoir comment agir face aux hackeurs ou pour la remédiation de son système. »
Le GIGN pour négocier avec les hackeurs
Si une négociation avec les hackeurs est décidée en accord avec la victime, elle peut être menée par le C3N, voire le Groupe d'intervention de la Gendarmerie nationale, plus connu sous l’acronyme GIGN ! « On déconseille toujours à la victime de payer une rançon, mais même sans paiement, une négociation peut être intéressante, explique un lieutenant. Cela permet de gagner du temps pour analyser les systèmes infectés et isoler des éléments intéressants, que ce soit pour l’enquête ou pour déchiffrer les données. »
La gendarmerie a un intérêt certain à arriver parmi les premiers. « Cela nous permet de geler les lieux et les informations dont on a besoin pour démarrer l’enquête, qui est pour nous une enquête judiciaire classique, comme celle qu’on mènerait après un homicide ou un cambriolage », fait valoir le responsable au C3N. Sauf que là, les indices sont recherchés dans les disques durs et pare-feu de l’entreprise !
Mais quel est l’intérêt pour la victime ? Faire intervenir les forces de l’ordre ne va-t-il pas retarder la réparation et le redémarrage des systèmes? Non, répond la gendarmerie, qui assure savoir aujourd’hui travailler en parallèle des sociétés de remédiation. Surtout, il y a un vrai intérêt collectif à laisser place à son enquête : mises bout à bout, toutes celles menées permettent aux forces de l’ordre d’accroître leurs connaissances sur le fonctionnement des rançongiciels, les méthodes des hackeurs et leurs profils. De quoi muscler la réponse à des attaquants qui se professionnalisent et complexifient de plus en plus leurs modes opératoires.
