La France fait face à de nombreux défis liés à la cybersécurité. L'ANSSI, qui fête ses 10 ans cette année, travaille en ce sens, souvent dans l'ombre, avec une efficacité certaine et une influence grandissante.
Ces cinq dernières années, le monde de la sécurité et le monde du numérique ont su se réconcilier, et travaillent désormais ensemble, comprenant que la sécurité est l'un des piliers du numérique. Pourtant, les menaces sont aussi fortes que changeantes, et sont autant de défis à relever. Invité de la première édition du salon Ready For IT, le directeur général de l'Agence nationale de la sécurité des systèmes d'information (ANSSI), Guillaume Poupard, s'est confié au micro de Clubic, faisant un bilan des dernières années sur le terrain de la cybersécurité, dressant le constat actuel de la sécurité informatique, et se projetant sur les prochaines années, avec l'arrivée de la 5G en ligne de mire, qui ne rassure pas vraiment le gendarme de la sécurité informatique.
L'Interview de Guillaume Poupard, directeur de l'ANSSI
Clubic : Dans le rapport 2018 de l'ANSSI, 1 869 signalements ont été recensés, soit 30% de moins que l'année précédente. Comment doit-on interpréter ces chiffres ? Les menaces évoluent-elles déjà sur ce premier semestre 2019 ?Guillaume Poupard : Nous avons, d'un côté, des cibles potentielles qui se protègent de mieux en mieux. Il y a eu une prise de conscience, une mise en oeuvre d'un numérique plus sûr, plus raisonnable, au niveau des entreprises mais aussi des autres acteurs. Je suis cependant très inquiet pour les PME, pour les collectivités territoriales et les petits acteurs qui, aujourd'hui, subissent la transformation numérique. Pour les grands acteurs, qui sont plus organisés et qui ont une DSI (une direction des systèmes d'information), les choses ont bien évolué.
En termes de menace, nous avons des attaquants qui s'adaptent très vite. Les grandes tendances que l'on a aujourd'hui sont : d'une part une évolution de la criminalité, avec de vrais méchants, de vraies mafias qui gagnent beaucoup d'argent et deviennent très fortes. Il peut y avoir une criminalité d'État également, des États qui n'hésitent pas à franchir les règles de base du droit international pour se financer, dans certains cas, notamment les États sous embargo. Ces groupes mafieux font du rançonnage et vont bloquer les données et les systèmes de leurs victimes. Une entreprise qui fait plusieurs millions de chiffre d'affaires ne génère plus d'argent lorsqu'elle est privée de ses réseaux, ce qui l'incite à payer très vite. Il y a vraiment une évolution très inquiétante de la cybercriminalité, depuis quelques mois, avec des attaquants très efficaces et des victimes qui subissent des conséquences qui peuvent être très graves pour elles au niveau économique.
« Les attaquants passent désormais "par la fenêtre", par les prestataires, pour attaquer leurs cibles »
D'autre part, et jusqu'à maintenant, les attaquants s'en prenaient à leur cible de façon directe. Les cibles primaires sont devenues plus sérieuses, alors les attaquants passent désormais par la fenêtre, que sont les prestataires ou la supply chain. Le temps où chacun avait son réseau et le protégeait est révolu. Aujourd'hui, la plupart des entreprises font appel à des prestataires, qui ont des droits d'accès très importants sur les réseaux, pour les administrer notamment. Et cela, les attaquants l'ont compris. Aujourd'hui, les hackers passent par des prestataires qui ne sont pas au niveau, pour attaquer leurs cibles. Quand nous parlons de prestataires, cela peut être une société qui met en ligne et gère le site internet d'une entreprise, ou ce que l'on appelait avant les SSII ou, aujourd'hui, les entreprises de services du numérique. Un attaquant qui parvient à passer par un prestataire obtient de fait les droits pour accéder au système. Pour la cible primaire, il est compliqué de se protéger parce que finalement, les accès sont les accès légitimes d'un prestataire que l'on paye pour faire ce travail là.
L'ANSSI fête ses 10 ans le 4 juin. Quel bilan - la question est bateau - pourriez-vous tirer de cette première décennie ?
En 2008, durant des travaux stratégiques, des gens avaient dit que dorénavant, parmi toutes les menaces qui pesaient sur la France, qu'elles soient militaires ou naturelles, il y en avait une nouvelle, numérique. L'année suivante, l'agence fut créée. Que s'est-il passé en 10 ans ?
La menace s'est réalisée, et nous allons continuer à nous développer. L'agence joue un rôle très important en matière de réglementation, en matière de conseil ou d'aide aux victimes. D'autres acteurs étatiques ont gagné en compétences, comme le ministère de l'Intérieur, le ministère des Armées, l'Éducation nationale etc. L'anniversaire est une occasion de fêter cela, de se congratuler du travail réalisé, mais aussi d'observer le travail qui reste à faire. Le message que je porterai, c'est de s'ouvrir beaucoup plus à l'avenir. Il faut une véritable ouverture entre différents mondes qui se connaissent, qui s'apprécient mais qui ne sont pas encore assez perméables. Je voudrais par exemple que nous travaillions davantage avec le monde de la recherche, de l'innovation, de l'entreprise, les petites comme les grandes. On gagnera si nous travaillons plus ensemble, en dépassant les petites frontières administratives. Aujourd'hui, nous avons cette maturité pour co-construire cette cybersécurité de demain. Dans ma bouche, ce ne sont pas que des mots, en tout cas je l'espère.
« Huawei et la guerre économique sino-américaine ? Il faut dépassionner et objectiver au maximum »
Vous envisagez aussi un renforcement de la coopération étatique ?
La coopération entre les États est en train de se mettre en place. Elle est compliquée, pour une question de souveraineté nationale. Chaque État doit se prendre en main pour porter sa cybersécurité, c'est indispensable. Se pose ensuite la question de la coopération entre les États. Nous pouvons établir cela de façon bilatérale avec des partenaires, typiquement les Allemands ou les Britanniques, avec lesquels nous sommes proches. La France souhaite pousser cela à l'échelle européenne au niveau opérationnel, diplomatique, réglementaire et au niveau de sujets techniques comme la certification par exemple. La certification, c'est être capable de transmettre de la confiance. Cela a du sens à l'échelle internationale. Si l'on prend une voiture autonome, à titre d'exemple, dans l'intérêt des industriels, des clients ou des États eux-mêmes, nous devons être capables de monter à l'échelle européenne. D'autres sujets, comme la stabilité du cyberespace, les droits internationaux dans le cyberespace, les règles des bons ou mauvais comportements dans le cyberespace, posent plein de questions de droit. Il faut mettre tous les États autour de la table, dans le cadre de l'ONU par exemple, pour se dire qu'il existe des fondamentaux et qu'il faut les partager.
L'ANSSI fête ses 10 ans et en profite pour revenir sur l'Histoire de la sécurité numérique #ANSSI10
— ANSSI (@ANSSI_FR) 27 mai 2019
"Agriculture, écriture et mathématiques : pour compter bêtes, objets ou personnes, on invente les premières formes d'écriture chiffrées"https://t.co/wowhkGhDfH pic.twitter.com/lnNmGAvbi2
Si nous rebondissons sur le cas Huawei, ne peut-on pas dire que la logique économique est en train de l'emporter sur celle de la sécurité ?
Dans notre monde, les intérêts sont multiples. La situation actuelle entre les États-Unis et la Chine montre qu'il y a avant tout une guerre économique dans laquelle les sujets de sécurité sont invités par les uns ou les autres de manière à créer de la tension. Pour nous, c'est un sujet qu'il faut dépassionner et objectiver au maximum. Il faut aller dans le détail des produits et équipements pour voir ce qui est de confiance et ce qui ne l'est pas. Il faut probablement poser des règles et des principes de bases.
« Des pans entiers de l'économie pourraient s'effondrer si la 5G ne fonctionne pas »
Concernant la 5G, nous devons éviter de nous faire contaminer par des sujets qui ne sont pas les nôtres, et il faut en même temps prendre ces sujets de sécurité au juste niveau. C'est tout le fonctionnement de notre économie de demain qui va dépendre de la sécurité de ces réseaux-là. Il ne faut pas se laisser parasiter par des gens qui pensent à autre chose.
Nous savons que la 5G ne sera pas mise en place sur un plan global avant des années, et estimons même que la 4G n'a pas encore montré tout son potentiel. Comment jugez-vous cette transition, et craignez-vous que l'arrivée de la 5G crée de nouvelles brèches ?
3G, 4G, 5G, ce sont des dénominations assez commerciales. Lorsque nous regardons dans le détail des technologies, l'évolution est plus continue, même si cela va très vite. En revanche, le potentiel complet de la 5G, à la fois au niveau technologique (débit, latence...) et au niveau des usages, ne paraîtra vraiment visible que dans quelques années.
Jusqu'à maintenant, le risque qui pesait sur la 3G et la 4G était celui de l'espionnage, ainsi qu'un risque de disponibilité, parce que nous voyons qu'aujourd'hui, si un réseau de téléphonie mobile, quelque soit sa génération, est indisponible durant quelques heures, cela crée déjà des troubles majeurs pour le fonctionnement national. La disponibilité de la 5G va être absolument fondamentale. Nous allons passer d'une question de protection de la vie privée, de protection du secret des correspondances, à une question de sécurité nationale. Il faudra que ces réseaux 5G fonctionnent, autrement, ce seront des pans entiers de l'économie, du fonctionnement national qui vont s'effondrer. Avec la 5G, nous entrons véritablement dans le domaine de la sécurité nationale.
« Les gens travaillent avec nous par passion. Ils ont des valeurs et viennent pour servir »
On pointe souvent du doigt le fait que les entreprises sont à la fois très exposées et mal protégées. Ce qui reste paradoxal avec ce que nous venons de dire...
Ce qu'il faut comprendre aujourd'hui, c'est que l'avantage est à l'attaque, très clairement. Les attaquants finissent toujours pas trouver une cible chez qui ils arrivent à rentrer, pour voler des données, et les bloquer pour faire ensuite du ransonware.
Sophie Viger (école 42) : "Nous avons besoin de plus de role models féminins dans la tech"
Cela ne doit pas être une fatalité, et c'est sur ça que nous travaillons. Nous devons faire en sorte que la défense, la protection et l'anticipation des attaques soient aujourd'hui diffusées chez toutes les cibles potentielles. Nous avons commencé par les cibles les plus sensibles, qu'elles soient publiques, étatiques ou privées. Il y a ensuite la capacité à détecter ces attaques : certaines sont plus compliquées à détecter que d'autres, notamment tout ce qui est espionnage et renseignement. Puis il y a la capacité à répondre. C'est cette chaîne complète de prévention-détection-protection qui est un modèle plutôt efficace en France, c'est ça que l'on promeut, avec cette idée que ce n'est pas qu'un sujet purement étatique.
Qui compose l'ANSSI ? Quels sont les principaux métiers qui y sont représentés ?
L'ANSSI, c'est aujourd'hui environ 600 experts au service du Premier ministre, autour de 400 contractuels, ce qui reste original pour une administration. La moyenne d'âge est de 37 ans. Les gens travaillent avec nous par passion. Ils ont des valeurs et viennent pour servir, pour donner du sens à leur métier. Ils ont tous un vrai talent et veulent le développer en voyant des choses qu'ils auraient du mal à voir ailleurs. Pour ces experts, le fait de venir à l'ANSSI, leur permet d'être au contact de victimes, ou victimes potentielles, et de côtoyer d'autres experts. L'idée est d'avoir un pôle assez dense permettant de recouvrir tous les métiers nécessaires à la cybersécurité. Il y a par exemple, chez nous, de véritables laboratoires de recherche qui font de l'anticipation, qui cherchent à comprendre les technologies. Des gens font de la relation industrielle, de la formation. D'autres sont plus des métiers de réponse à incident, de réponse aux attaques. Et puis nous avons des métiers qui ne sont pas purement techniques, comme des gens qui font de la relation internationale, des juristes, des communicants.
« Faire en sorte que le cyberespace français ne puisse pas être considéré comme un endroit où il est intéressant d'aller rebondir pour attaquer un tel ou un tel »
Je vais d'ailleurs faire de la publicité. Nous avons lancé très récemment la campagne Paroles d'Agents avec cinq agents choisis pour expliquer pourquoi ils sont à l'ANSSI et comment ils sont arrivés là. Ce sont des ambassadeurs qui doivent montrer qu'il n'y a pas que des geeks qui travaillent au sein de l'Agence.
Cette notion de « servir » nous paraît importante. Et justement, comment convaincre les talents de rejoindre l'ANSSI plutôt qu'une entreprise privée qui sera plus rémunératrice ?
Il y a une pénurie de talents qui s'accroît. De plus en plus de personnes sont formées, mais le besoin augmente de plus en plus rapidement, donc la situation se dégrade fondamentalement. Il y a une guerre des talents, mais il n'y a pas de compétition malsaine entre les différents acteurs, qu'ils soient étatiques ou issus du privé. À l'ANSSI, nous prenons des experts de haut niveau, on ne cache pas qu'il y a une forme d'élitisme, motivée par la volonté d'être efficace. Nous les formons - outre leur formation - et leur apprenons des choses, car tous nos métiers ne s'apprennent pas encore intégralement sur les bancs de l'école. Ils vont voir des cas opérationnels, la vraie vie, et au bout de 4, 5, 6 ou 7 ans, ils vont repartir ailleurs, dans le public ou dans le privé. L'important est de créer une forme d'écosystème. Quelques années après la mise en place de cette politique, nous voyons que l'ANSSI a créé une sorte d'organisation qui fait que, dans beaucoup d'endroits, on peut se retrouver avec des anciens de l'agence en face de soi, ce qui permet une coopération encore plus efficace. Il y a même des gens qui montent leur propre société à notre contact. Ce n'est pas le but premier, certes, mais ça montre notre efficacité.
Un récent rapport de NTT Security nous révèle que la France est la 4ème source d'attaques au niveau mondial... Qu'est-ce qui explique cela selon vous ?
Bien malin celui qui peut dire d'où viennent les attaques. Je suis toujours extrêmement prudent sur l'attribution. Il y a-t-il des IP en France utilisées par des attaquants comme rebonds pour attaquer des victimes, oui. Le fait de rebondir de pays en pays pour brouiller les pistes est la base même de l'attaque informatique. Dans tous les cas, il faut continuer à travailler avec les hébergeurs en France de manière à faire en sorte que ce ne soit pas des zones de non droit. À tel point que nous avons dû modifier la loi pour faire cela de manière encadrée, pour protéger les libertés individuelles, sauf celles des attaquants. Dorénavant, l'ANSSI peut s'adresser à un hébergeur, lui préciser qu'il y a un problème sur telle adresse IP et mettre des sondes pour chercher à détecter s'il y a du trafic malveillant ou pas qui passent par cette IP. C'est subtil car l'IP peut appartenir à l'attaquant lui-même ou bien à n'importe qui. Dorénavant, nous visons à faire en sorte que le cyberespace français ne puisse pas être considéré par les attaquants comme un endroit où il est intéressant d'aller rebondir pour attaquer un tel ou un tel.
La France a remporté l'édition 2019 de Locked Shields, devant la Tchéquie et la Suède en avril dernier. Il s'agit du plus grand exercice international de cyberdéfense en situation réelle. Quels spécialistes français étaient présents ? Quelles composantes des armées ?
Ici, nous avons des pays qui jouent leur défense. Il y a une équipe rouge, qui joue les attaquants, et plus d'une vingtaine d'équipes bleues, chacune représentant un pays et étant en charge de ses systèmes d'information qui sont simulés et incluant, ce qui est intéressant cette année pour la première fois, des systèmes qui ne sont pas de la bureautique ni de l'informatique classiques, mais qui sont des systèmes industriels ou bien des systèmes de mémoire. Il y avait une usine de retraitement de l'eau et un bateau à protéger sur le scénario.
Pendant 15 jours, l'idée c'est de s'accoutumer et de comprendre comment ces systèmes fonctionnent, et ensuite, il y a deux jours très intenses où les systèmes se font attaquer en permanence. L'équipe gagnante est celle qui protège le mieux ses systèmes. La France est arrivée première, et j'en suis extrêmement fier. Nous avions des équipes étatiques, avec 60 personnes pour l'équipe française, avec des représentants de l'ANSSI du côté « civil », et des personnes du commandement de la cyberdéfense, donc des militaires, qui sont en charge de la protection des réseaux du ministère des Armées. C'est la synergie de ces deux demi-équipes qui a permis d'y arriver. Cela traduit le fait que le modèle français que l'on a choisi, avec un modèle qui sépare l'attaque et la défense et ne mélange pas tout, comme le font certains de nos alliés, est un modèle performant et qui permet de défendre efficacement les systèmes, y compris ceux qui sortent de l'ordinaire, comme ces systèmes industriels.
Exercice cyber Locked Shields: la France remporte la première place ⏭ parfait que @ANSSI_FR et COMMCYBER s'entraînent à défendre des systèmes télécoms et d'énergie. Mais ça serait encore mieux d'inclure les équipes des OIV pour qu'elles en profitent aussi https://t.co/aID0HTQk1C pic.twitter.com/Dm8uEJ0nIu
— Gerome Billois (@gbillois) 9 mai 2018
Un grand merci pour votre temps et pour vos réponses. Nous souhaitons un bel anniversaire à l'ANSSI !
Merci beaucoup.