Patrick Pailloux : La DCSSI est un service du Premier Ministre, une direction du Secrétariat général de la défense nationale. Nous sommes en quelque sorte l'héritier des services gérant le chiffre au niveau national, à l'époque où cela était considéré comme du matériel de guerre. Notre premier objectif est la sécurité des systèmes d'information de l'État. Mais également chargés de définir la stratégie gouvernementale en matière de sécurité des systèmes d'information, nous cherchons à créer un environnement de confiance et de sécurité propice au développement de la société de l'information. Notre activité va de la réglementation à l'expertise scientifique et technique, en passant par la certification de produits informatiques de sécurité, le conseil aux administrations, la formation de leurs agents et l'inspection de leurs systèmes d'information. Nous avons un centre opérationnel, le COSSI, qui assure une veille permanente, prêt à donner l'alerte en cas d'attaque informatique et à assurer la gestion technique de ce type de crise. Tout cela avec 110 agents.
Clubic.com : Dans quelle mesure le récent Livre blanc sur la Défense et la Sécurité nationale (consultable ici) concerne la DCSSI et quel sera son impact sur l'avenir de la DCSSI ?
Patrick Pailloux : Il s'agit d'un travail demandé par le Président de la République Française qui a impliqué un balayage complet des stratégies de défense au niveau national. Dans les quinze années à venir, l'une des menaces les plus importantes qui pèsent sur la nation est l'attaque informatique. Le numérique est devenu le système nerveux de notre société : il s'agit de se protéger contre ce type d'attaque. Le Livre blanc a identifié plusieurs mesures indispensables dans ce domaine, parmi lesquelles notamment la création d'un centre de détection précoce des attaques et la constitution d'un réservoir de compétences. Une agence sera donc créée sur les bases de la DCSSI, avec des moyens renforcés. Elle sera rattachée au futur Secrétariat général de la défense et de la sécurité nationale avec une mise en place dans le courant de l'année 2009.
Clubic.com : En quoi consiste la défense informatique d'aujourd'hui ? Est-il possible de concevoir une défense informatique qui se borne au seul niveau national ?
Patrick Pailloux : La défense informatique est un concept qui doit fortement évoluer. L'idée est de passer d'une stratégie de défense passive à une stratégie active. Il nous faut adapter en permanence les mécanismes de défense en fonction des failles et autres vulnérabilités logicielles.
Dans tous les cas, concevoir la cyber-défense au seul niveau national est une aberration. On ne peut pas faire de défense efficace sans une intense collaboration internationale. Nous développons ce type de coopération avec nos principaux partenaires, avec notamment des échanges d'informations techniques en cas d'attaque. Des travaux doivent être effectués, à l'échelle européenne, pour améliorer la résilience des réseaux face aux pannes comme aux attaques : il s'agirait de développer un certain nombre de règles que devraient respecter les opérateurs de télécommunications pour améliorer la résistance des réseaux. Le Livre blanc dont nous parlions identifie l'Internet comme une infrastructure vitale pour la France.
Patrick Pailloux : Il y a une prise de conscience générale et ce qui est sûr, c'est que l'on peut faire des choses à plusieurs niveaux. Je ne suis pas d'une nature pessimiste, ce qui ne veut pas dire que l'on pourra tout résoudre car il n'y a pas de solution miracle. Si on ne peut donner à Internet une sécurité absolue, on peut la renforcer de manière sensible. Prenons l'exemple suédois. Ce pays a mis en place récemment un système de réseaux sécurisés, qui n'a pas été affecté par la faille DNS.
Les entreprises ont leur rôle à jouer, tout comme l'Etat, notamment pour sensibiliser leurs agents et disposer de spécialistes. Il faut une action coordonnée de tous les acteurs pour faire avancer les choses. L'Etat français a décidé de prendre le problème à bras le corps.
Clubic.com : Quelles sont les menaces que font peser la cyber-criminalité sur la France ? Avez-vous déjà recensé des attaques contre des infrastructures de l'Etat ?
Patrick Pailloux : On distingue deux grands types de menaces : les menaces de blocage généralisé et les attaques ciblées. Face à elles, nous devons encore améliorer nos capacités, avec par exemple le centre de détection des attaques informatiques que nous devons créer pour protéger les secrets de l'Etat.
Oui, il y a eu des attaques assez sophistiquées dirigées de l'étranger contre les infrastructures de l'Etat. Hélas, il est très difficile d'en identifier la source, les machines utilisées pour mener ces attaques étant souvent elles-mêmes détournées.
Clubic.com : Qu'en est-il du risque de voir les technologies de l'information attaquer des infrastructures non informatiques ? En d'autres termes, est-il envisageable qu'une attaque informatique puisse par exemple s'en prendre à une centrale électrique ?
Patrick Pailloux : Pour rester sur votre exemple de centrale, les systèmes utilisés sont encore le plus souvent spécifiques et donc relativement peu sensibles au risque d'attaque. Cependant, plus le temps passe et plus ces systèmes utilisent la technologie IP et fonctionnent en réseau, et de fait, la menace augmente. C'est un sujet de préoccupation pour l'avenir dans le monde entier et nous commençons à y travailler de façon importante.
Clubic.com : Merci de nous avoir accordé quelques minutes de votre temps pour cet entretien.