"Les soirs et week-ends, les hackers russes attaquent sans relâche" : comment l’Estonie assure sa défense cyber
La date est toujours marquée d'une pierre blanche à Tallinn. Le 27 avril 2007, l'Estonie subit de plein fouet une cyberattaque massive, la première de son histoire. Les sites des principales banques du pays tombent, comme ceux des médias et de certaines agences gouvernementales. Certains restent inaccessibles pendant plusieurs jours. Le coupable est désigné peu de temps après : la Russie. Moscou est accusée d'avoir lancé les cyberattaques en représailles, après le déplacement d'une statue d'un soldat soviétique, symbole de la Seconde guerre mondiale.
Aujourd'hui, la menace que fait planer la Russie sur l'Estonie est toujours aussi vive. Tant sur le plan physique - Moscou a été accusée de déplacer en 2024 des bouées marquant la frontière lacustre entre les deux pays - que sur le plan cyber. Chef de l'Estonian Information System Authority, équivalent de l'Anssi, Joonas Heiter est l'un de ceux qui la mesure le mieux. Un éclairage précieux pour l'Union européenne. L'Express l'a rencontré.
L’Express : En 2007, lors de la cyberattaque russe, où étiez-vous ?
Joonas Heiter : J’étais encore au lycée ! J'étais un élève tout ce qu'il y a de plus ordinaire. A l'époque, toute cette agitation en Estonie nous dépassait un peu... Les citoyens ne comprenaient pas vraiment les enjeux de la cybersécurité. L'Estonie n'était pas encore complètement numérisée, nous ne faisions pas encore toutes nos démarches en ligne. Je me demandais surtout comment toute cette histoire allait se terminer. C'était un événement majeur, et tout le monde se demandait ce qui allait se passer ensuite sur le plan politique.
Aujourd'hui, tous les services administratifs d'Estonie sont numérisés. Craignez-vous que la Russie lance une cyberattaque pour les paralyser ?
En réalité, 2007 nous a aidés. Les politiciens et les membres du gouvernement ont vraiment pris conscience à ce moment-là de l'importance de la cybersécurité. Heureusement, même avant cela, notre infrastructure numérique reposait sur une architecture décentralisée. C'est un système plus difficile à attaquer, car il n'y a pas de point de défaillance unique. Depuis 2007, chaque nouveau service est conçu avec l'idée qu'il faut toujours tenir compte de la menace russe ou d'autres acteurs hostiles. C'est vraiment une question d'état d'esprit.
Aujourd'hui, l'Information System Authority que je dirige a deux rôles. Nous sommes le centre national de cybersécurité, mais nous fournissons aussi les services de base de l'administration en ligne : l'identité électronique centralisée, le portail et l'application de l'Etat, les notifications d'alerte aérienne, etc. L'aspect cybersécurité est donc omniprésent dans tout ce que nous faisons.
Quelle est la situation la plus difficile que vous ayez vécue depuis que vous êtes à la tête de la cybersécurité estonienne ?
Je suis dans la direction depuis quatre ans maintenant. J'ai rejoint le conseil d'administration en janvier 2022, et la guerre en Ukraine a commencé le mois suivant. Depuis, nous n'avons plus de pause. Les hackers russes semblent faire des heures de bureau comme tout le monde, mais les soirs et week-ends, ils attaquent sans relâche l'Estonie, la Lettonie, la Lituanie et, bien sûr, l'Ukraine.
Nous avons dû revoir toutes nos procédures : sensibiliser davantage à la cybersécurité, apprendre à atténuer ces risques et à distinguer les risques réels des coups de com'. On peut diviser les attaquants russes en deux catégories. D'un côté, les menaces persistantes qui ont un objectif stratégique précis. De l'autre, les hackers "classiques", qui cherchent avant tout une couverture médiatique. Par exemple, certains politiciens s'affolent en voyant un titre de presse disant que nos webcams ont été piratées, alors qu'il s'agit en fait de webcams publiques servant à la météo. Face à toute cette agitation, il faut veiller à ne pas céder à l'angoisse.
Est-ce un avantage d'avoir le centre d'excellence de l'Otan à Tallinn ?
Absolument. Nous organisons l'exercice conjoint Lock Shields. Nous bénéficions de l'expertise de nombreux membres de l'Otan directement ici, à Tallinn. Nos experts peuvent s'unir et échanger leurs expériences, nous avons un partenariat très étroit. Nous avons un protocole d'accord avec l'Ukraine. Je me suis rendu au SSSCIP, le centre de cybersécurité ukrainien. Notre domaine principal est la défense des infrastructures critiques, car nos modèles sont assez similaires. Le gouvernement numérique ukrainien utilise la même architecture que l'Estonie, et leurs moyens d'identité électronique sont les mêmes. La principale différence est qu'ils se concentrent sur la guerre et le terrorisme. Les questions de redondance et de résilience sont en revanche des domaines communs. Et puis, dans le cyberespace, il n'y a pas de frontières : tout le monde est voisin. Tout ce qui arrive en Ukraine pourrait nous arriver. Nous partageons donc nos renseignements sur les menaces.
Que pensez-vous de la cyberdéfense des autres pays européens ? Sommes-nous suffisamment prêts ?
Comme je l'ai dit, dans le cyber, nous sommes tous voisins. Nous devons partager nos connaissances. Le maillon le plus faible de la chaîne est celui sur lequel nous devons nous concentrer. Nous accueillons plutôt favorablement les règles de l'Union européenne et le rôle de l'ENISA (l'agence de cybersécurité de l'Union européenne, NDLR). Comme notre Etat numérique a déjà 25 ans, nous aimons partager notre expertise. Mais je reconnais que chaque pays a son propre écosystème et ses propres défis. On ne peut pas comparer l'Estonie et son million et demi d'habitants avec l'Allemagne et ses dizaines de millions d'utilisateurs. Les enjeux diffèrent, mais nous sommes tous partenaires.
Pensez-vous que nous soyons prêts à résister à des cyberattaques russes massives ?
Ça dépend. Plus vous êtes proche de l'Ukraine ou de la frontière russe, plus vous comprenez le risque lors de vos évaluations et plus vous investissez. Si vous êtes sur la côte atlantique, vous vous souciez peut-être moins de l'aspect physique. Mais les cyberattaques ordinaires, comme les attaques DDoS, sont là pour durer. C'est une guerre commune à tous les pays.
Avez-vous observé plus ou moins d'attaques contre l'Estonie depuis le début de la guerre en Ukraine ?
Nous l'avons documenté dans notre rapport annuel sur la cybersécurité : en 2022 et 2023, chaque fois que le gouvernement estonien prenait une décision favorable à l'Ukraine, nous subissions des attaques par déni de service (DDoS) massives. En 2024, nous avons d'ailleurs connu la plus grosse attaque DDoS de l'histoire de l'Estonie. Ces attaques ne sont pas très sophistiquées : elles tentent de perturber notre quotidien, mais nous avons appris à les gérer. En parallèle, cependant, il y a des attaques stratégiques visant à recueillir du renseignement. Nous avons procédé à une attribution officielle une fois, en 2020, quand trois agences gouvernementales estoniennes ont été attaquées par le GRU russe. Depuis le début de la guerre, le volume des attaques DDoS a été multiplié par dix, mais nous avons les contre-mesures nécessaires. Ce qui nous inquiète, ce sont les zones que nous ne connaissons pas encore. Quant à leur expertise, je ne dirais pas qu'elle a radicalement augmenté. La technologie évolue, avec l'IA par exemple, mais tout le monde s'en empare de la même manière.
Les tactiques de la Russie ont-elles changé ?
C’est plus ou moins la même chose. Mais tout ce qu'ils testent sur l'Ukraine, ils essaient ensuite de l'appliquer aux autres pays.
Surveillez-vous le cyberespace russe ?
Dans une certaine mesure, oui, car il faut connaître son ennemi. Nous surveillons le dark web, les initiatives qui y circulent, pour préparer nos contre-mesures.
Qu'observez-vous ?
Ce qui est intéressant, c'est de suivre l'évolution des récits et des positions dans le cyberespace russe, leur volonté d'attaquer l'Estonie, etc. Nous surveillons les tendances de la société russe de manière générale.
Disposez-vous de capacités cyber offensives ?
Pas dans notre organisation. Notre priorité est le secteur public et privé. Cette question relève du domaine militaire.
L'armée en a-t-elle ?
Disons que je n'ai pas la liberté de le dire. Mais ce n'est pas notre objectif principal.
Etes-vous ciblé par d'autres acteurs ?
Bien sûr. On dit souvent que la cybercriminalité est la troisième ou quatrième puissance économique mondiale. Il y a énormément d'argent en jeu. Et la réputation de l'Estonie en matière de cybersécurité est telle que c'est presque un défi. Réussir à hacker l'Estonie serait un gros coup de pub pour eux. Nous nous méfions aussi de l'espionnage venant de Chine. Et avec la situation actuelle en Israël et en Iran, beaucoup de grands fournisseurs informatiques sont touchés. Si nous utilisons des solutions de partenaires israéliens, ils sont constamment attaqués en parallèle. Tout est lié dans cet écosystème.
Quelle est la stratégie de l'Estonie aujourd'hui ?
C'est une approche globale de la société. Nous avons renouvelé notre stratégie nationale de cybersécurité en 2024 : sensibilisation, collaboration étroite entre secteurs privé et public... Cela commence dès l'école, où l'on apprend aux enfants ce qu'est une cyber-menace. C'est très inclusif.
La Russie est connue pour ses efforts de déstabilisation. Mais en parler, n'est-ce pas parfois faire son jeu en renforçant la peur qu'elle suscite ? Comment sensibiliser sans tomber dans ce piège ?
C’est la question centrale. Nous n'aimons pas leur faire de la publicité gratuite. Quand un incident survient, nous ne communiquons qu'une fois la situation résolue. Notre rapport annuel est très transparent, nous ne cachons rien. Pour les attaques DDoS, nous savons les gérer. Parfois, on lit sur le dark web que des sites estoniens sont hors service, alors qu'en réalité, les utilisateurs ne s'en rendent même pas compte grâce à nos protections. Nous n'avons pas pour stratégie de dénoncer systématiquement les attaques, sauf pour des cas comme l'attaque de 2020, où nous expliquons ce que nous avons appris. Actuellement, la grande tendance, ce sont les fraudes. De plus en plus d'Estoniens perdent de l'argent. Avant, le fait que la langue estonienne ne soit parlée que par 1,2 million de personnes nous protégeait. Avec l'IA, cette barrière linguistique n'existe plus.
L'IA est donc votre plus grande menace actuellement ?
Non, l'IA est à la fois une menace et un remède. Il faut s'adapter aux évolutions technologiques, comme l'informatique quantique qui nous obligera à changer notre cryptographie. L'IA aide aussi énormément à prévenir les attaques. Désormais, nous ne comptabilisons plus tous les incidents, seulement ceux qui ont un impact réel, avec des services interrompus ou des pertes d'argent. Ce chiffre augmente chaque année, donc nous devons utiliser de nouveaux outils technologiques.
Comment protégez-vous vos centres de données, tant sur le plan cyber que physique ?
Dans le cyber, tout est une question de redondance. L'Estonie est si petite que l'expérience ukrainienne nous a appris qu'on ne peut pas se fier uniquement à des centres de données sur notre propre sol. Nous avons des centres en Estonie, mais aussi notre concept d'"Ambassade de données" au Luxembourg, où nos registres de base sont sauvegardés depuis dix ans. Nous utilisons aussi le cloud du secteur privé : si quelque chose arrive en Estonie, nous basculons nos services vers le cloud.
Et physiquement ? Contre les drones ou le sabotage ?
On fait le maximum, mais là encore, c'est la redondance qui compte. Il faut des sauvegardes pour l'énergie, la connectivité, le refroidissement, des couches de béton... Un centre de données n'est cependant jamais totalement à l'épreuve des balles ou des missiles. Tout dépend de la répartition géographique.
Comment garantissez-vous la souveraineté numérique de l'Estonie ? Comment éviter d'être trop dépendant des États-Unis ?
C’est une question très politique. L'Estonie est si petite que nous devons forcément faire confiance à des partenaires. L'un de nos avantages est que presque toutes nos solutions gouvernementales sont en open source. Les géants du secteur n'aiment pas trop cela car ils ne peuvent pas les vendre. Nous utilisons donc beaucoup nos propres solutions, comme X-Road pour l'échange sécurisé de données, qui est utilisé dans au moins 20 pays. Parallèlement, nous utilisons Microsoft Office, mais nous restons attentifs aux alternatives. C'est un équilibre. Une dernière chose sur la stratégie de cybersécurité : elle va de pair avec la législation européenne. C'est dans notre culture de vouloir être les meilleurs. Le défi actuel est de trouver l'équilibre entre ces règles et la viabilité économique, pour ne pas étouffer les entreprises avec des normes trop lourdes à mettre en œuvre.
