Bureaux chez ANSSI

La cybersécurité au cœur de tous les enjeux

Dossier : Dossier FFEMagazine N°721 Janvier 2017
Par Guillaume POUPARD (92)

Que pouvez-vous nous dire sur l’ANSSI et sur son périmètre d’action ?

L’ANSSI a vu le jour en 2009 et est rat­tachée au Secré­taire général de la défense et de la sécu­rité nationale. C’est une autorité nationale qui opère et inter­vient dans le domaine de la sécu­rité des réseaux infor­ma­tiques les plus sen­si­bles au niveau des admin­is­tra­tions et, depuis 2013, con­tribue à celle des opéra­teurs d’importance vitale (OIV).

Con­traire­ment à cer­tains de nos alliés, nous n’intervenons que sur un plan défen­sif. Dans d’autres pays, cet aspect est sou­vent rat­taché aux ser­vices de ren­seigne­ment tech­nique, mais en France, le choix a été fait de sépar­er les activ­ités offen­sives et la pro­tec­tion des réseaux. 

Notre autre orig­i­nal­ité est notre statut inter­min­istériel : nous ne sommes rat­tachés à aucun min­istère, ce qui nous donne une forme de neu­tral­ité et surtout une capac­ité à tra­vailler plus aisé­ment avec l’ensemble des acteurs nationaux. 

Dans ce cadre, notre mis­sion est triple : 

  • Prévenir les men­aces en antic­i­pant les modes d’attaques et en impli­quant les min­istères et les admin­is­tra­tions, mais aus­si le secteur privé et ain­si créer un écosys­tème com­pé­tent et de confiance ; 
  • Défendre les sys­tèmes grâce à la détec­tion des attaques puis apporter un sup­port aux vic­times dans la com­préhen­sion et la remé­di­a­tion des crises informatiques ; 
  • Informer et sen­si­bilis­er nos dif­férents publics aux bonnes pra­tiques informatiques. 

Lors de notre créa­tion en 2009, nous avions une cen­taine de per­son­nes aujourd’hui nous sommes 500. Cette forte crois­sance traduit une volon­té réelle des plus hautes autorités de la Nation de faire face aux nou­velles men­aces asso­ciées au cybere­space. Elle reflète égale­ment une prise de con­science de la néces­sité de faire face à ces enjeux qui évolu­ent très rapi­de­ment dans le monde, et en France en particulier. 

D’ailleurs, la France fait par­tie du pre­mier cer­cle de pays qui pren­nent très au sérieux le risque cyber. 

Quel bilan tirez-vous de l’année 2016 ? Quels seront vos principaux enjeux en 2017 ?

Le bilan de l’année 2016 est con­trasté. Nous obser­vons une crois­sance du nom­bre d’attaques qui sont de plus en plus graves. Les attaquants sont plus nom­breux, mieux organ­isés, voire plus spé­cial­isés. Mais en par­al­lèle, nous sommes en veille per­ma­nente ce qui nous per­met de détecter beau­coup plus d’attaques.

Aujourd’hui, les attaques majeures ont pour but de vol­er des infor­ma­tions, le plus sou­vent d’ordre économique, tech­nique ou stratégique. Les attaquants sont obsédés par la néces­si té de rester dis­crets pour exploiter le plus longtemps pos­si­ble le réseau pénétré. Les cas les plus cri­tiques sont observés au niveau des grandes entreprises. 

D’autres attaques visent à désta­bilis­er, à sabot­er, voire à détru­ire une vic­time. Nous nous rap­pelons tous du cas de TV5 Monde où l’attaquant a tout sim­ple­ment voulu détru­ire sa vic­time sans pour autant chercher à gag­n­er de l’argent ou à vol­er des infor­ma­tions. Cet aspect est un phénomène nouveau. 

Les mes­sages de préven­tion asso­ciés au développe­ment de la régle­men­ta­tion ont, toute­fois, per­mis une véri­ta­ble prise de con­science. Les dirigeants d’entreprises et des admin­is­tra­tions sont plus sen­si­bles aux risques cyber. Ils ont effet com­pris que la cyber­sécu­rité n’est pas un sujet pure­ment tech­nique et qu’ils doivent y porter une plus grande attention. 

La cyber­sécu­rité est un vrai sujet de gou­ver­nance. Cela se traduit par une volon­té de con­stru­ire une pro­tec­tion effi­cace et de rap­procher les enjeux cybers des préoc­cu­pa­tions des COMEX. 

Bureaux chez ANSSI


Pouvez-vous nous rappeler en quoi consiste la Loi de Programmation Militaire ?
Quels sont les changements qui vont en découler ?

La France a été le pre­mier pays à faire de la ques­tion de la cyber­sécu­rité une oblig­a­tion pour ses acteurs les plus cri­tiques. La Loi de la Pro­gram­ma­tion Mil­i­taire, votée en 2013, impose ain­si aux opéra­teurs d’importance vitale un cadre lég­is­latif clair. 

Env­i­ron 230 opéra­teurs, dont la sécu­rité est un jeu pour la sécu­rité nationale, sont con­cernés. Ils opèrent dans des domaines aus­si dif­férents que la finance, le trans­port, l’énergie, l’industrie, etc. 

Nous leur imposons des règles de sécu­rité à appli­quer sur les sys­tèmes d’information les plus sen­si­bles. Nous leur deman­dons égale­ment de nous noti­fi­er de manière con­fi­den­tielle les inci­dents et les attaques infor­ma­tiques. Ces mesures sont définies par un arrêté pro­pre à chaque secteur d’activité et pub­lié au Jour­nal officiel. 

Cela nous per­met d’identifier les vic­times, de voir s’il y a d’autres vic­times poten­tielles et de les aider à faire face à cette men­ace. Le Pre­mier min­istre, à tra­vers l’ANSSI, a aus­si la pos­si­bil­ité de don­ner des con­signes excep­tion­nelles en cas de crises majeures pour enray­er le risque de con­ta­gion et lim­iter les impacts. 

Cette démarche per­met d’inscrire la cyber­sécu­rité comme une pri­or­ité au sein des dif­férents opérateurs. 

Nos voisins, comme l’Allemagne, se sont lancés dans une démarche sim­i­laire. En Europe, la direc­tive NIS sur la sécu­rité des réseaux, impose égale­ment aux opéra­teurs et aux secteurs cri­tiques l’obligation de se pli­er à des règles de sécurité. 

Cette prise en main en amont de ce risque nous per­met de réduire les con­séquences néfastes des attaques éventuelles. 

Mais, au-delà de l’aspect très con­traig­nant et autori­taire de cette démarche, nous col­laborons étroite­ment avec les opéra­teurs afin de pou­voir met­tre en place des direc­tives et des règles qu’ils pour­ront ensuite appli­quer efficacement. 

Afin d’accompagner ces régle­men­ta­tions, l’ANSSI tra­vaille égale­ment en lien avec la fil­ière indus­trielle de la cyber­sécu­rité. Nous met­tons ain­si au ser­vice des OIV des pro­duits et des ser­vices qual­i­fiés pour assur­er la pro­tec­tion de leurs systèmes. 

En France, cela nous a per­mis de con­tribuer à struc­tur­er un écosys­tème indus­triel de haute qual­ité et de con­fi­ance. C’est un chal­lenge impor­tant pour la France, mais aus­si pour l’Europe.

Au niveau européen, quels sont les projets qui vous mobilisent ? Quelles sont vos perspectives ?

L’Europe est une pri­or­ité. Au niveau nation­al, nous avons beau­coup évolué et avons pu iden­ti­fi­er les lim­ites à notre action. Il est temps pour nous de se tourn­er vers l’Europe. Plusieurs pro­jets ont été lancés comme, par exem­ple, la direc­tive NIS qui est une trans­po­si­tion de ce que nous avons fait au niveau français en matière de sécu­rité des sys­tèmes d’information les plus sensibles. 

ANSSI EN CHIFFRES CLÉS (2016)

  • 500 agents
  • 65% d’agents de moins de 40 ans
  • 40 publications de recherche
  • 202 réunions internationales en relation avec 30 pays
  • 4000 signalements reçus
  • 350 rencontres bilatérales entre l’agence et les entreprises françaises de la cybersécurité
  • 266 bénéficiaires de formation au sein de l’ANSSI

Elle va nous per­me­t­tre notam­ment d’échanger plus effi­cace­ment avec l’ensemble de nos homo­logues européens sur ce sujet. 

Aujourd’hui, nous avons en effet une Europe à deux vitesses : des pays comme la France, le Roy­aume-Uni et l’Allemagne qui ont pris les choses en main, et d’autres pays qui n’ont pas su s’organiser ou n’ont pas les moyens de le faire. 

La direc­tive NIS impose à tous les états mem­bres de se mobilis­er et de tra­vailler ensem­ble sur la base du volon­tari­at pour échang­er des infor­ma­tions en cas d’attaques.

Il y a égale­ment une démarche européenne visant la R&D avec un parte­nar­i­at pub­lic privé (PPP). Nous soutenons cette ini­tia­tive. L’ANSSI est mem­bre de l’association qui par­ticipe à ce PPP et j’en suis moi-même un des vice-présidents. 

Nous assis­tons à l’émergence d’une véri­ta­ble volon­té d’autonomie stratégique européenne et d’une cer­taine indépen­dance dans nos choix et réal­i­sa­tions sans pour autant tourn­er le dos à nos alliés non-Européens. Mais il est impor­tant que nous puis­sions avoir notre pro­pre capac­ité de développe­ment et de réflex­ion. Le PPP va nous don­ner les moyens de struc­tur­er per­tinem­ment tout cela. 

Et il y a enfin un axe fran­co-alle­mand fort qui con­tin­ue à se ren­forcer grâce au partage d’idées et de per­spec­tives sur ces questions. 

Ain­si, à titre d’exemple, nous allons bien­tôt lancer une démarche en com­mun au niveau du « cloud com­put­ing ». Il s’agit d’une cer­ti­fi­ca­tion visant à iden­ti­fi­er les prestataires sérieux qui répon­dent aux stan­dards sécu­ri­taires. L’objectif est ensuite d’étendre cette logique au niveau européen. 

Qu’en est-il de l’axe stratégique de la sécurité numérique ?

En octo­bre 2015, le Pre­mier min­istre a présen­té une stratégie nationale struc­turée autour de 5 axes : 

  • La sou­veraineté nationale dont nous avons déjà parlé ; 
  • Le développe­ment d’une cyber indus­trie en France et en Europe ; 
  • La capac­ité d’aider des vic­times qui n’ont pas for­cé­ment un lien direct avec la sécu­rité nationale : les indus­tries, les PME, les citoyens 
  • La for­ma­tion et la sen­si­bil­i­sa­tion de tout un cha­cun avec des mes­sages appro­priés, mais égale­ment la capac­ité de for­mer des experts à tra­vers des for­ma­tions labellisées. 
  • Le développe­ment de la coopéra­tion inter­na­tionale bilatérales et mul­ti­latérales inclu­ant une action de « capac­i­ty building ». 

Chez ANSSICe dernier point se traduit par une capac­ité à apporter de l’aide aux pays qui sont moins en avance sur ces sujets sur tous les con­ti­nents. Le but n’est pas de traiter leurs prob­lèmes à leur place, cela n’aurait pas de sens, mais de les accom­pa­g­n­er afin qu’ils puis­sent dévelop­per leurs pro­pres moyens. 

Cette démarche vise à éviter l’apparition de zones de non-droit dans le cybere­space ce qui est une men­ace directe pour la France. Il y a un intérêt com­mun à faire mon­ter ces pays en compétence. 

Et pour conclure ?

Aujourd’hui, la cyber­sécu­rité est un sujet qui n’est plus exclu­sive­ment des­tiné aux experts. Les dirigeants et respon­s­ables au sein des entre­pris­es (directeur général, directeur financier ou juridique, respon­s­ables « méti­er », etc.) doivent dévelop­per un intérêt et une véri­ta­ble vig­i­lance quant aux enjeux de sécu­rité liés au cyber. Ceci peut s’avérer pri­mor­dial pour la survie même de l’entreprise !

Poster un commentaire