La cybersécurité au cœur de tous les enjeux

Que pouvez-vous nous dire sur l’ANSSI et sur son périmètre d’action ?

L’ANSSI a vu le jour en 2009 et est rat­ta­chée au Secré­taire géné­ral de la défense et de la sécu­ri­té natio­nale. C’est une auto­ri­té natio­nale qui opère et inter­vient dans le domaine de la sécu­ri­té des réseaux infor­ma­tiques les plus sen­sibles au niveau des admi­nis­tra­tions et, depuis 2013, contri­bue à celle des opé­ra­teurs d’importance vitale (OIV).

Contrai­re­ment à cer­tains de nos alliés, nous n’intervenons que sur un plan défen­sif. Dans d’autres pays, cet aspect est sou­vent rat­ta­ché aux ser­vices de ren­sei­gne­ment tech­nique, mais en France, le choix a été fait de sépa­rer les acti­vi­tés offen­sives et la pro­tec­tion des réseaux. 

Notre autre ori­gi­na­li­té est notre sta­tut inter­mi­nis­té­riel : nous ne sommes rat­ta­chés à aucun minis­tère, ce qui nous donne une forme de neu­tra­li­té et sur­tout une capa­ci­té à tra­vailler plus aisé­ment avec l’ensemble des acteurs nationaux. 

Dans ce cadre, notre mis­sion est triple : 

• Pré­ve­nir les menaces en anti­ci­pant les modes d’attaques et en impli­quant les minis­tères et les admi­nis­tra­tions, mais aus­si le sec­teur pri­vé et ain­si créer un éco­sys­tème com­pé­tent et de confiance ; 
• Défendre les sys­tèmes grâce à la détec­tion des attaques puis appor­ter un sup­port aux vic­times dans la com­pré­hen­sion et la remé­dia­tion des crises informatiques ; 
• Infor­mer et sen­si­bi­li­ser nos dif­fé­rents publics aux bonnes pra­tiques informatiques. 

Lors de notre créa­tion en 2009, nous avions une cen­taine de per­sonnes aujourd’hui nous sommes 500. Cette forte crois­sance tra­duit une volon­té réelle des plus hautes auto­ri­tés de la Nation de faire face aux nou­velles menaces asso­ciées au cybe­res­pace. Elle reflète éga­le­ment une prise de conscience de la néces­si­té de faire face à ces enjeux qui évo­luent très rapi­de­ment dans le monde, et en France en particulier. 

D’ailleurs, la France fait par­tie du pre­mier cercle de pays qui prennent très au sérieux le risque cyber. 

Quel bilan tirez-vous de l’année 2016 ? Quels seront vos principaux enjeux en 2017 ?

Le bilan de l’année 2016 est contras­té. Nous obser­vons une crois­sance du nombre d’attaques qui sont de plus en plus graves. Les atta­quants sont plus nom­breux, mieux orga­ni­sés, voire plus spé­cia­li­sés. Mais en paral­lèle, nous sommes en veille per­ma­nente ce qui nous per­met de détec­ter beau­coup plus d’attaques.

Aujourd’hui, les attaques majeures ont pour but de voler des infor­ma­tions, le plus sou­vent d’ordre éco­no­mique, tech­nique ou stra­té­gique. Les atta­quants sont obsé­dés par la néces­si té de res­ter dis­crets pour exploi­ter le plus long­temps pos­sible le réseau péné­tré. Les cas les plus cri­tiques sont obser­vés au niveau des grandes entreprises. 

D’autres attaques visent à désta­bi­li­ser, à sabo­ter, voire à détruire une vic­time. Nous nous rap­pe­lons tous du cas de TV5 Monde où l’attaquant a tout sim­ple­ment vou­lu détruire sa vic­time sans pour autant cher­cher à gagner de l’argent ou à voler des infor­ma­tions. Cet aspect est un phé­no­mène nouveau. 

Les mes­sages de pré­ven­tion asso­ciés au déve­lop­pe­ment de la régle­men­ta­tion ont, tou­te­fois, per­mis une véri­table prise de conscience. Les diri­geants d’entreprises et des admi­nis­tra­tions sont plus sen­sibles aux risques cyber. Ils ont effet com­pris que la cyber­sé­cu­ri­té n’est pas un sujet pure­ment tech­nique et qu’ils doivent y por­ter une plus grande attention. 

La cyber­sé­cu­ri­té est un vrai sujet de gou­ver­nance. Cela se tra­duit par une volon­té de construire une pro­tec­tion effi­cace et de rap­pro­cher les enjeux cybers des pré­oc­cu­pa­tions des COMEX. 

Pouvez-vous nous rappeler en quoi consiste la Loi de Programmation Militaire ?
Quels sont les changements qui vont en découler ?

La France a été le pre­mier pays à faire de la ques­tion de la cyber­sé­cu­ri­té une obli­ga­tion pour ses acteurs les plus cri­tiques. La Loi de la Pro­gram­ma­tion Mili­taire, votée en 2013, impose ain­si aux opé­ra­teurs d’importance vitale un cadre légis­la­tif clair. 

Envi­ron 230 opé­ra­teurs, dont la sécu­ri­té est un jeu pour la sécu­ri­té natio­nale, sont concer­nés. Ils opèrent dans des domaines aus­si dif­fé­rents que la finance, le trans­port, l’énergie, l’industrie, etc. 

Nous leur impo­sons des règles de sécu­ri­té à appli­quer sur les sys­tèmes d’information les plus sen­sibles. Nous leur deman­dons éga­le­ment de nous noti­fier de manière confi­den­tielle les inci­dents et les attaques infor­ma­tiques. Ces mesures sont défi­nies par un arrê­té propre à chaque sec­teur d’activité et publié au Jour­nal officiel. 

Cela nous per­met d’identifier les vic­times, de voir s’il y a d’autres vic­times poten­tielles et de les aider à faire face à cette menace. Le Pre­mier ministre, à tra­vers l’ANSSI, a aus­si la pos­si­bi­li­té de don­ner des consignes excep­tion­nelles en cas de crises majeures pour enrayer le risque de conta­gion et limi­ter les impacts. 

Cette démarche per­met d’inscrire la cyber­sé­cu­ri­té comme une prio­ri­té au sein des dif­fé­rents opérateurs. 

Nos voi­sins, comme l’Allemagne, se sont lan­cés dans une démarche simi­laire. En Europe, la direc­tive NIS sur la sécu­ri­té des réseaux, impose éga­le­ment aux opé­ra­teurs et aux sec­teurs cri­tiques l’obligation de se plier à des règles de sécurité. 

Cette prise en main en amont de ce risque nous per­met de réduire les consé­quences néfastes des attaques éventuelles. 

Mais, au-delà de l’aspect très contrai­gnant et auto­ri­taire de cette démarche, nous col­la­bo­rons étroi­te­ment avec les opé­ra­teurs afin de pou­voir mettre en place des direc­tives et des règles qu’ils pour­ront ensuite appli­quer efficacement. 

Afin d’accompagner ces régle­men­ta­tions, l’ANSSI tra­vaille éga­le­ment en lien avec la filière indus­trielle de la cyber­sé­cu­ri­té. Nous met­tons ain­si au ser­vice des OIV des pro­duits et des ser­vices qua­li­fiés pour assu­rer la pro­tec­tion de leurs systèmes. 

En France, cela nous a per­mis de contri­buer à struc­tu­rer un éco­sys­tème indus­triel de haute qua­li­té et de confiance. C’est un chal­lenge impor­tant pour la France, mais aus­si pour l’Europe.

Au niveau européen, quels sont les projets qui vous mobilisent ? Quelles sont vos perspectives ?

L’Europe est une prio­ri­té. Au niveau natio­nal, nous avons beau­coup évo­lué et avons pu iden­ti­fier les limites à notre action. Il est temps pour nous de se tour­ner vers l’Europe. Plu­sieurs pro­jets ont été lan­cés comme, par exemple, la direc­tive NIS qui est une trans­po­si­tion de ce que nous avons fait au niveau fran­çais en matière de sécu­ri­té des sys­tèmes d’information les plus sensibles. 

Elle va nous per­mettre notam­ment d’échanger plus effi­ca­ce­ment avec l’ensemble de nos homo­logues euro­péens sur ce sujet. 

Aujourd’hui, nous avons en effet une Europe à deux vitesses : des pays comme la France, le Royaume-Uni et l’Allemagne qui ont pris les choses en main, et d’autres pays qui n’ont pas su s’organiser ou n’ont pas les moyens de le faire. 

La direc­tive NIS impose à tous les états membres de se mobi­li­ser et de tra­vailler ensemble sur la base du volon­ta­riat pour échan­ger des infor­ma­tions en cas d’attaques.

Il y a éga­le­ment une démarche euro­péenne visant la R&D avec un par­te­na­riat public pri­vé (PPP). Nous sou­te­nons cette ini­tia­tive. L’ANSSI est membre de l’association qui par­ti­cipe à ce PPP et j’en suis moi-même un des vice-présidents. 

Nous assis­tons à l’émergence d’une véri­table volon­té d’autonomie stra­té­gique euro­péenne et d’une cer­taine indé­pen­dance dans nos choix et réa­li­sa­tions sans pour autant tour­ner le dos à nos alliés non-Euro­péens. Mais il est impor­tant que nous puis­sions avoir notre propre capa­ci­té de déve­lop­pe­ment et de réflexion. Le PPP va nous don­ner les moyens de struc­tu­rer per­ti­nem­ment tout cela. 

Et il y a enfin un axe fran­co-alle­mand fort qui conti­nue à se ren­for­cer grâce au par­tage d’idées et de pers­pec­tives sur ces questions. 

Ain­si, à titre d’exemple, nous allons bien­tôt lan­cer une démarche en com­mun au niveau du « cloud com­pu­ting ». Il s’agit d’une cer­ti­fi­ca­tion visant à iden­ti­fier les pres­ta­taires sérieux qui répondent aux stan­dards sécu­ri­taires. L’objectif est ensuite d’étendre cette logique au niveau européen. 

Qu’en est-il de l’axe stratégique de la sécurité numérique ?

En octobre 2015, le Pre­mier ministre a pré­sen­té une stra­té­gie natio­nale struc­tu­rée autour de 5 axes : 

• La sou­ve­rai­ne­té natio­nale dont nous avons déjà parlé ; 
• Le déve­lop­pe­ment d’une cyber indus­trie en France et en Europe ; 
• La capa­ci­té d’aider des vic­times qui n’ont pas for­cé­ment un lien direct avec la sécu­ri­té natio­nale : les indus­tries, les PME, les citoyens 
• La for­ma­tion et la sen­si­bi­li­sa­tion de tout un cha­cun avec des mes­sages appro­priés, mais éga­le­ment la capa­ci­té de for­mer des experts à tra­vers des for­ma­tions labellisées. 
• Le déve­lop­pe­ment de la coopé­ra­tion inter­na­tio­nale bila­té­rales et mul­ti­la­té­rales incluant une action de « capa­ci­ty building ». 

Ce der­nier point se tra­duit par une capa­ci­té à appor­ter de l’aide aux pays qui sont moins en avance sur ces sujets sur tous les conti­nents. Le but n’est pas de trai­ter leurs pro­blèmes à leur place, cela n’aurait pas de sens, mais de les accom­pa­gner afin qu’ils puissent déve­lop­per leurs propres moyens. 

Cette démarche vise à évi­ter l’apparition de zones de non-droit dans le cybe­res­pace ce qui est une menace directe pour la France. Il y a un inté­rêt com­mun à faire mon­ter ces pays en compétence. 

Et pour conclure ?

Aujourd’hui, la cyber­sé­cu­ri­té est un sujet qui n’est plus exclu­si­ve­ment des­ti­né aux experts. Les diri­geants et res­pon­sables au sein des entre­prises (direc­teur géné­ral, direc­teur finan­cier ou juri­dique, res­pon­sables « métier », etc.) doivent déve­lop­per un inté­rêt et une véri­table vigi­lance quant aux enjeux de sécu­ri­té liés au cyber. Ceci peut s’avérer pri­mor­dial pour la sur­vie même de l’entreprise !

---

Articles similaires :

Inves­tir dans l’entreprise en dif­fi­cul­té et ses hommes pour mieux la redresser AREP : un concep­teur d’espaces qui contri­bue à l’émergence du Grand Paris Smart data et diag­nos­tic : quel béné­fice pour le patient ? Pour un accès plus large et plus facile aux essais cliniques La Fin­tech c’est ici et maintenant !