ANSSI : « La cybersécurité est un écosystème en pleine expansion »

Dossier : CybersécuritéMagazine N°773 Mars 2022
Par Mathieu FEUILLET (2004)

Explo­sion de la men­ace et des risques cyber, enjeux de sou­veraineté nationale et européenne, ren­force­ment et développe­ment des capac­ités, créa­tion d’un écosys­tème français et européen, besoins en com­pé­tences et en tal­ents… Math­ieu Feuil­let (2004), Sous-directeur Opéra­tions de l’ANSSI (Agence Nationale de la Sécu­rité des Sys­tèmes d’information), dresse pour nous un état des lieux du monde de la cyber­sécu­rité et revient sur l’ensemble des sujets liés à la cyber­sécu­rité aujourd’hui.

Quels sont le rôle et les missions de l’ANSSI ?

L’ANSSI est l’autorité nationale en matière de cyber­sécu­rité et de cyberdéfense. Nous accom­pa­gnons et sécurisons le développe­ment numérique en France pour que les citoyens et les entre­pris­es puis­sent avoir con­fi­ance dans le numérique. 

Nous avons un posi­tion­nement par­ti­c­uli­er au sein de l’État. Nous faisons par­tie des ser­vices du Pre­mier min­istre au sein du Secré­tari­at général de la sécu­rité et de la défense nationale. Notre rôle et nos mis­sions sont exclu­sive­ment défen­sifs. Nous nous adres­sons à l’ensemble du tis­su nation­al afin de garan­tir la cyber­sécu­rité de tous et de trou­ver les solu­tions les plus adéquates pour les par­ti­c­uliers, les entre­pris­es et les admin­is­tra­tions. Nous accom­pa­gnons prin­ci­pale­ment deux types de béné­fi­ci­aires : les admin­is­tra­tions et les opéra­teurs régulés (opéra­teurs d’importance vitale et les opéra­teurs de ser­vices essen­tiels), dont le statut est défi­ni par la loi. 

Avec ses 575 agents, l’ANSSI assure au quo­ti­di­en une mis­sion de :

  • Préven­tion : entraver les attaques infor­ma­tiques en aidant les entre­pris­es et admin­is­tra­tion à aug­menter leur niveau de sécu­rité. Cela passe par dif­férentes actions con­crètes comme le con­seil pour opti­miser et aug­menter le niveau de sécu­rité des sys­tèmes d’informations. L’enjeu est de faire en sorte que, dans l’écosystème nation­al, nous dis­po­sions de bons pro­duits et ser­vices pour garan­tir la sécu­rité. Pour ce faire, nous menons un tra­vail de qual­i­fi­ca­tion et de cer­ti­fi­ca­tion des pro­duits et de prestataires qui reçoivent de la part de l’ANSSI un label, appelé visa, pour attester de leur bon niveau de sécurité ;
  • Stratégie et négo­ci­a­tion inter­na­tionale : l’ANSSI développe une doc­trine et assure le suivi de stratégie de cyberdéfense dans les com­posantes indus­trielles et économiques les plus stratégiques pour l’État. L’ANSSI est aus­si en charge d’élaborer les posi­tions et sou­vent con­duire, pour la France, les négo­ci­a­tions inter­na­tionales en matière de cyber­sécu­rité. Elle est ain­si en pre­mière ligne au sein des instances européennes et des rela­tions bi et multi-latérales. 
  • Infor­ma­tion et de sen­si­bil­i­sa­tion : l’ANSSI com­mu­nique beau­coup en menant un impor­tant tra­vail de péd­a­gogie pour dif­fuser et pro­mou­voir les bonnes pra­tiques. Ces actions visent le grand pub­lic, mais aus­si des hauts cadres d’entreprises ou d’administrations afin qu’ils inclu­ent le risque numérique dans leurs sché­mas de déci­sion. Tous les ans, en octo­bre, pen­dant le Cyber­mois, en France et en Europe, nous menons divers­es opéra­tions. Sur le site de l’ANSSI, de nom­breuses ressources sont con­sulta­bles et télécharge­ables (affich­es, guides de bonnes pra­tiques…). Les vis­i­teurs du site peu­vent aus­si com­pléter un MOOC pour tester et dévelop­per leurs con­nais­sances sur ce sujet ;
  • Inter­ven­tion en cas d’incident : je suis, par ailleurs, en charge de ce volet au sein de l’ANSSI. Dans ce cadre, nos enjeux sont de mieux com­pren­dre la men­ace qui cherche à porter atteinte aux intérêts français ; détecter les attaques, notam­ment celles visant l’État ; inter­venir en cas d’incident pour y met­tre fin, remet­tre le sys­tème d’information en état accept­able pour main­tenir l’activité. Sur ce dernier point, nous pou­vons fournir un sou­tien à dis­tance, diriger vers des prestataires adap­tés ou inter­venir sur place avec le détache­ment d’une équipe dédiée si la sit­u­a­tion est grave. 

Au cours des dernières décennies, la cybersécurité est devenue un sujet central et stratégique. Quelles sont selon vous les évolutions qui ont marqué ce secteur ? 

Aujourd’hui, le numérique est omniprésent. Il n’y a plus ou très peu d’organismes capa­bles de fonc­tion­ner sans infor­ma­tique. En par­al­lèle, la don­née est de plus en plus impor­tante. Au cœur du mod­èle économique des géants de l’information, les GAFAM, qui génèrent des chiffres d’affaires impres­sion­nants, elle est dev­enue au cours des dernières décen­nies un bien pré­cieux très con­voité. De plus en plus, elle représente un enjeu en matière de sécu­rité nationale. Les risques de désta­bil­i­sa­tion aug­mentent et une crim­i­nal­ité spé­ci­fique se développe.

Dans le cybere­space, les règles du jeu sont dif­férentes du monde réel. Con­traire­ment aux con­flits et à la crim­i­nal­ité tra­di­tion­nels, nous sommes face à une qua­si-instan­ta­néité des actions menées. Une opéra­tion malveil­lante peut être menée de bout en bout en quelques sec­on­des. À cela s’ajoute un affaib­lisse­ment des fron­tières et des espaces juridiques. En effet, il n’y a pas de fron­tières que l’on pour­rait con­trôler sur des réseaux comme Inter­net. Tout comme il est com­plexe de déter­min­er de quelle juri­dic­tion relève un inci­dent. En out­re, nous nous retrou­vons très sou­vent face à l’anonymisation des actions. 

Il est très dif­fi­cile de remon­ter jusqu’à l’auteur de faits malveil­lants et de men­er les actions juridiques et diplo­ma­tiques néces­saires en fonc­tion de l’attaquant. Enfin, c’est un com­bat asymétrique. Le défenseur d’un sys­tème d’information doit tout sécuris­er de manière simul­tanée, alors qu’il suf­fit à l’adversaire de trou­ver un seul chemin d’attaque. Les oppor­tu­nités d’attaques sont mul­ti­ples et donc très attractives. 

His­torique­ment, l’espionnage stratégique et économique entre États ou entre­pris­es représente le prin­ci­pal type d’incident. Avant le numérique, il s’agissait de cor­rompre un indi­vidu pour arriv­er à obtenir des infor­ma­tions, une action risquée avec un fort risque d’exposition. Avec le numérique, c’est-à-dire l’anonymisation des actions et la dif­fi­culté de remon­ter aux auteurs des faits, cela devient beau­coup plus atti­rant et le risque est plus faible. Ain­si, il y a de plus en plus d’opérations d’espionnage très sophis­tiquées et furtives que nous détec­tons mal­heureuse­ment tardivement. 

Plus récem­ment, nous avons vu appa­raître des attaques sur la chaîne d’approvisionnement. Les attaquants s’en pren­nent aux sous-trai­tants, aux four­nisseurs de pro­duits infor­ma­tiques… pour attein­dre leur cible finale. Tout le monde se sou­vient encore de l’attaque spec­tac­u­laire menée con­tre l’entreprise améri­caine Solar­Winds révélée en décem­bre 2020. Les attaquants ont piégé un pro­duit de l’entreprise qui leur aurait poten­tielle­ment per­mis de touch­er plus 18 000 entités dans le monde qui avaient instal­lé la ver­sion piégée du pro­duit. Finale­ment, une cinquan­taine d’entités aux États-Unis ont été attaquées. Ce genre d’incident a un effet démul­ti­pli­ca­teur très impressionnant.

On assiste égale­ment au ciblage d’infrastructures cri­tiques d’un pays à des fins de sab­o­tage. En 2020 et 2021, Israël et l’Iran s’étaient mutuelle­ment accusés de men­er ce genre d’attaques con­tre des usines de pro­duc­tion d’eau potable avec des ten­ta­tives de mod­i­fi­er le taux de chlore afin de ren­dre l’eau impro­pre à la con­som­ma­tion. Cer­tains états vont encore plus loin en menant des cam­pagnes de pré­po­si­tion­nement qui s’étendent sur des mois, voire des années. L’idée est de se pré­po­si­tion­ner dans des pays cibles pour être en capac­ité, si les enjeux poli­tiques et géopoli­tiques le jus­ti­fient, de men­er des actions pou­vant porter atteinte aux infra­struc­tures critiques.

Au cours des dernières années, nous avons aus­si assisté à l’explosion des cam­pagnes d’influence et de désta­bil­i­sa­tion. Ces inci­dents, à la fron­tière entre la cyber­sécu­rité et la manip­u­la­tion d’informations (les fake news), visent à extraire des infor­ma­tions, les manip­uler et les red­if­fuser pour désta­bilis­er une organ­i­sa­tion, comme cela avait été le cas, en 2016, lors des élec­tions améri­caines, avec le piratage des infra­struc­tures du Par­ti démocrate. 

Et bien évidem­ment, la cyber­crim­i­nal­ité aug­mente tou­jours. Depuis qua­tre ans, il y a une recrude­s­cence des attaques par rançongi­ciel. On peut notam­ment citer l’attaque, début 2021, con­tre l’entreprise Colo­nial Pipeline avec la mise à l’arrêt d’un oléo­duc qui ali­mente la côte est des États-Unis. D’ailleurs, entre 2019 et 2020, à l’ANSSI, nous avons traité qua­tre fois plus d’attaques de ce type.

États, admin­is­tra­tions, col­lec­tiv­ités, grands groupes, indus­tries, PME sont tous exposés aux risques cyber et peu­vent être la cible des cyber­at­taquants. Il est plus que jamais essen­tiel, voire vital, de pren­dre les mesures néces­saires pour se pro­téger au moins con­tre les men­aces basiques. Pour cela, ils peu­vent s’appuyer sur les ressources pro­duites par l’ANSSI en com­mençant par notre Guide d’hygiène infor­ma­tique qui liste les 42 mesures essen­tielles pour garan­tir la sécu­rité du sys­tème d’information et les moyens de les met­tre en œuvre, out­ils pra­tiques à l’appui.

D’ailleurs, le Plan de Relance prévoit un volet cybersécurité. Que faut-il en retenir ? Et à quel niveau allez-vous intervenir ?

Le plan de relance, dont l’objectif est de redress­er durable­ment l’économie, prévoit un volet cyber­sécu­rité que nous pilo­tons et qui dis­pose d’un bud­get de 136 mil­lions d’euros pour la péri­ode 2021 et 2022. L’objectif est de ren­forcer la sécu­rité des admin­is­tra­tions, des col­lec­tiv­ités ter­ri­to­ri­ales et des organ­ismes qui ont un rôle de ser­vice pub­lic en dynamisant l’écosystème indus­triel de la cyber­sécu­rité. Dans ce cadre, nous sub­ven­tion­nons un grand nom­bre d’acteurs publics pour une sécuri­sa­tion glob­ale de leurs sys­tèmes et l’acquisition de presta­tions, pro­duits, sen­si­bil­i­sa­tion et for­ma­tion. Ain­si, plus de 600 entités (dont 70 % de col­lec­tiv­ités ter­ri­to­ri­ales, 20 % d’établissements de san­té et 10 % d’établissements publics) vont béné­fici­er de ces aides pour for­mer leurs agents, mais aus­si pour déploy­er des solu­tions de sécurité.


Activité opérationnelle de l’ANSSI en 2020 

  • 2 287 signalements
  • 759 inci­dents
  • 7 inci­dents majeurs 
  • 20 opéra­tions de cyberdéfense

En par­al­lèle, nous dévelop­pons les capac­ités cyber de l’État, mais égale­ment les nôtres, notam­ment en ter­mes de détec­tion des men­aces pour agir le plus rapi­de­ment en cas d’incident. Pour accom­pa­g­n­er en région, les PME, les ETI et les col­lec­tiv­ités ter­ri­to­ri­ales, nous avons récem­ment annon­cé la sig­na­ture avec sept régions d’une con­ven­tion pour la créa­tion de cen­tres régionaux de réponse aux inci­dents cyber (CSIRT : Com­put­er Secu­ri­ty Inci­dent Response Team). Ces cen­tres doivent soutenir le tis­su économique et social de chaque ter­ri­toire face aux cyber­me­n­aces, pour répon­dre de manière per­ti­nente et effi­cace aux besoins identifiés. 

Pour déployer en France et en Europe une stratégie de cybersécurité, quels sont les principaux enjeux selon vous ? 

En févri­er 2020, le Prési­dent de la République a présen­té la stratégie de cyber­sécu­rité du pays. Au niveau européen, de nom­breuses ini­tia­tives sont menées. Il y a plusieurs direc­tives impor­tantes et struc­turantes, comme la direc­tive Net­work and Infor­ma­tion Sys­tem Secu­ri­ty (NIS), dont la ver­sion 2 est en cours de négo­ci­a­tion et qui vise à aug­menter le niveau de sécu­rité du tis­su économique européen de manière générale. 

Par ailleurs, l’Europe s’est dotée de moyens de réponse si une agres­sion extérieure survient, avec notam­ment la boîte à out­ils cyberdiplo­ma­tique, util­is­able en cas d’atteinte aux intérêts européens, que soit touché un État ou une insti­tu­tion européenne. En par­al­lèle, il s’agit aus­si de réduire notre dépen­dance vis-à-vis du reste du monde et de met­tre en place les moyens et les actions qui nous per­me­t­tront de for­mer les com­pé­tences et les tal­ents dans ce domaine où il y a une très forte pénurie et com­péti­tion à une échelle mondiale. 

Dans ce contexte, votre organisation et maillage national sur ce sujet ont vocation à évoluer. Qu’en est-il ? 

En effet ! Et cette démarche va se traduire au tra­vers de deux pro­jets essen­tielle­ment. Le pre­mier est le Cam­pus Cyber dont l’activité démarre cette année. Au sein de cette entité, nous allons installer une équipe afin d’être au con­tact des autres acteurs de l’écosystème nation­al du cyber et être une des par­ties prenantes de ce cam­pus. Et le sec­ond est la créa­tion d’une antenne de l’ANSSI à Rennes qui va accueil­lir près de 200 per­son­nes à terme. Si le bâti­ment dans lequel nous nous installerons est encore en cours de con­struc­tion, nous avons déjà plusieurs per­son­nes sur place qui pré­par­ent l’ouverture de cette antenne, prévue pour début 2023. 

Les cen­tres régionaux de réponse à inci­dent cyber, que j’ai men­tion­nés précédem­ment, sont des­tinés à toutes les entités du ter­ri­toire touchées par la men­ace cyber. Nous accom­pa­gnons égale­ment des ini­tia­tives au niveau de cer­tains secteurs d’activités : avec des autorités de régu­la­tion sec­to­rielle, des asso­ci­a­tions, des indus­tries, nous tra­vail­lons ensem­ble ain­si sur la créa­tion de capac­ité de traite­ment d’incident dans un secteur don­né. Nous inci­tons aus­si les grandes entre­pris­es à se dot­er et à dévelop­per leur pro­pre capac­ité d’intervention en interne. 

L’ensemble de ces actions, qui visent à dévelop­per un mail­lage et un écosys­tème de la cyber­sécu­rité, a pour objec­tif de pou­voir réa­gir au plus vite et au mieux en cas d’incident et de lim­iter les dégâts ain­si qu’une éventuelle prop­a­ga­tion de la menace. 

Pour relever le défi de la cybersécurité, les compétences et expertises sont clés. Quelles sont celles que vous recherchez et qui vous intéressent plus particulièrement ?

La cyber­sécu­rité n’est pas unique­ment un prob­lème tech­nique. C’est un enjeu stratégique, économique, poli­tique… Pour y faire face, nous avons besoin de tech­ni­ciens et d’ingénieurs, notam­ment en sécu­rité des sys­tèmes d’information des logi­ciels ou des com­posants, en cryp­tolo­gie, en data sci­ence et en machine learn­ing… Mais nous avons aus­si besoin d’experts en poli­tique, en géopoli­tique, ain­si que des per­son­nes capa­bles de com­pren­dre les con­flict­ual­ités et les risques à l’international. Et pour sen­si­bilis­er la diver­sité des publics, nous recher­chons des per­son­nes qui maîtrisent les out­ils de la com­mu­ni­ca­tion, du marketing. 

Plus que jamais, nous avons besoin de femmes et d’hommes venant de tous les horizons. 

Et au fil de la struc­tura­tion de cet écosys­tème, nous avons besoin de pou­voir nous appuy­er sur des cadres et des man­agers pour accom­pa­g­n­er la mon­tée en com­pé­tence de l’ensemble de ces tal­ents. Des pro­fils, comme les diplômés de Poly­tech­nique notam­ment, pour­ront s’épanouir dans l’univers de la cyber­sécu­rité et plus par­ti­c­ulière­ment au sein de l’ANSSI, une entité trans­verse à la croisée de sujets tech­niques, économiques, humaines et poli­tiques passionnants… 

Et c’est l’ensemble de ces dimen­sions qui font la richesse du ser­vice pub­lic, ain­si que son attrait en aidant con­crète­ment des vic­times à éviter ou à se remet­tre d’une cyberattaque. 

Quelles pistes de réflexion pourriez-vous partagez avec nos lecteurs ?

La cyber­sécu­rité est un écosys­tème en con­stante expan­sion qui est encore en pleine struc­tura­tion aus­si bien à l’échelle française et européenne que mon­di­ale. Il y a encore beau­coup à faire en matière de régu­la­tion, de sou­veraineté numérique, de développe­ment des capac­ités tech­niques et tech­nologiques, de préser­va­tion des intérêts français et européens. 

L’ère qui s’ouvre est por­teuse d’une con­flict­ual­ité encore gran­dis­sante : nous devons pour­suiv­re et redou­bler notre effort col­lec­tif de struc­tura­tion pour y faire face et l’ANSSI est l’acteur majeur si ce n’est prin­ci­pal de cette dynamique. Il est cer­tain que les tal­ents qui vont opter pour une car­rière dans ce secteur ne s’ennuieront pas dans les prochaines décennies !


Formation

Le con­stat est partagé depuis plusieurs années par l’ensemble de l’écosystème : il y a un cru­el manque de can­di­dats. La sécu­rité du numérique est pour­tant une fil­ière d’avenir ! La for­ma­tion et l’attractivité des métiers de la cyber­sécu­rité est un enjeu essen­tiel pour les prochaines années.

En 2017, l’ANSSI a lancé un pre­mier pro­jet : la label­li­sa­tion des for­ma­tions ini­tiales en cyber­sécu­rité de l’enseignement supérieur. L’objectif est d’aider les jeunes à choisir par­mi les for­ma­tions actuelles, avec les labels Sec­Nume­du & Cybere­du. En 2020, on compte plus de 60 for­ma­tions ini­tiales label­lisées Sec­Nume­du, répar­ties sur tout le ter­ri­toire. L’ANSSI a ensuite lancé Sec­Nume­du For­ma­tion Con­tin­ue, label pour les for­ma­tions con­tin­ues cour­tes. En 2020, on compte plus de 70 for­ma­tions label­lisées Sec­Nume­du FC .

La for­ma­tion est un proces­sus con­tinu : les actions de sen­si­bil­i­sa­tion et de for­ma­tion à la sécu­rité du numérique pour les décideurs, les agents publics, les acteurs économiques et les citoyens doivent se poursuivre.


Poster un commentaire