Le directeur général de l'Agence nationale de la sécurité des systèmes d'information (ANSSI) fait le tour des sujets brûlants liés à la cybersécurité, dans une interview accordée à Clubic.
Présent aux Assises de la sécurité édition 2019, Guillaume Poupard a accepté de donner une interview à Clubic durant l'événement, à Monaco. Le directeur général de l'ANSSI est notamment revenu sur le déroulement du Cybermoi/s, qui bat son plein, avant d'évoquer le sujet du cloud souverain européen, en opposition au Cloud Act américain. Durant l'entretien, il fut aussi question du fameux article 34 de la loi sur la programmation militaire, qui offre à l'agence des pouvoirs supplémentaires, et de la méthode EBIOS, qui fait ses preuves.
Guillaume Poupard, directeur général de l'ANSSI, le 10 octobre 2019 à Monaco (© Alexandre Boero pour Clubic)
Interview de Guillaume Poupard, directeur général de l'ANSSI :
Clubic : Nous sommes à mi-chemin du Cybermoi/s, que nous avions notamment présenté dans nos colonnes. Pour l'instant, comment ça se passe ?Guillaume Poupard : Tout se passe bien. L'idée était vraiment de profiter de cette initiative européenne. On se dit que le mois d'octobre peut être le moyen de catalyser, de déclencher des opérations au sein des administrations et des entreprises. Cette année, nous pouvons noter deux choses importantes. D'abord, nous continuons notre collaboration avec le dessinateur Fix, qui fait des dessins que je trouve géniaux, et qui permet de porter les messages avec beaucoup d'humour et une certaine efficacité. D'autre part, nous nous sommes focalisés sur des messages beaucoup plus simples que les années précédentes, avec l'idée de revenir aux bases. Cela peut sensibiliser un maximum de personnes, peu ou pas expertes des questions de cybersécurité, qui peuvent entendre les alertes sur différents sujets (changement de mot de passe, sauvegarde, mise à jour des logiciels). Il existe diverses initiatives, l'événement est bien relayé, tout en n'étant pas trop anxiogène. Cela ne résout pas tous les problèmes de cybersécurité, mais c'est un bon début. Et l'expérience peut très bien être renouvelée.
« Ne pas s'imaginer que l'ANSSI va résoudre tous les problèmes de la France »
L'Agence nationale de la sécurité des systèmes d'information (ANSSI) reste, selon le Baromètre de la cybersécurité des entreprises Opinionway pour le CESIN, l'entité référence en termes de conseil sur la gestion des cyber-risques, devant la DGSI et la CNIL. Est-ce une satisfaction ?
Non, car nous ne sommes pas en compétition avec eux. Nous travaillons très bien avec la DGSI, qui a une activité de sensibilisation au sein des entreprises. L'ANSSI prend de la place, ce que j'assume et ce dont je suis ravi. Nous avons un rôle d'autorité nationale et devons l'assumer. Mais je ne veux pas non plus qu'on s'imagine que l'ANSSI va sauver la France. Nous sommes concentrés, par nos missions, sur les administrateurs, sur les opérateurs d'importance vitale, sur ce qui a un impact fort sur la sécurité nationale ou notre économie.
Lire aussi :
Philippe Courtot, P.-D.G. de Qualys : « Les chances que l'Internet se segmente existent » (Interview)
Philippe Courtot, P.-D.G. de Qualys : « Les chances que l'Internet se segmente existent » (Interview)
Malheureusement, nous n'aurons jamais les moyens d'aller voir chaque PME, chaque entité. Les moyens de l'ANSSI sont couplés à ceux de la DGSI et de la CNIL, mais aussi à ceux de la plateforme cybermalveillance.gouv.fr, un GIP qui couvre une partie qui n'était pas couverte jusque-là, je parle notamment de ces fameuses petites entités ou PME, et des concitoyens, pour leur apporter des solutions à leur taille, ainsi que la possibilité de se faire aider. L'idée est de couvrir un maximum le champ cyber.
Bruno Le Maire porte l'idée d'un cloud souverain, qui serait d'abord franco-allemand avant de devenir européen, en réponse au Cloud Act américain. Malgré les échecs passés, l'initiative est-elle positive ?
Oui, et au-delà, ce qui est positif, c'est la prise de conscience que le cloud, c'est sensible, et que tout va en dépendre dans la plupart des processus numériques. Il est donc nécessaire d'avoir un cloud de confiance pour les processus les plus critiques. L'idée n'est pas d'arrêter de travailler avec les prestataires de cloud américains, ni de tout recréer en France et en Europe. Mais il est bon d'avoir des solutions qui nous permettent, lorsqu'on a besoin d'être uniquement soumis au droit européen et d'avoir vraiment confiance dans certains traitements sensibles, de pouvoir se reposer sur des acteurs uniquement soumis au droit européen. Et c'est là que des acteurs comme OVH, OUTSCALE et d'autres sont intéressants.
« Il faut pacifier le cyberespace, pour éviter qu'il ne devienne un champ de bataille »
Notre plus-value, dans ce dispositif, c'est la qualification SecNumCloud, qui désigne un référentiel d'exigences de sécurité, qui est public, et lorsqu'on reçoit celle-ci, l'État français s'engage sur le fait que le prestataire est d'un bon niveau, à la fois technique et en termes de confiance. Le seul piège dans lequel il ne faut pas tomber, ce sont les extrêmes, comme le fait de refuser des technologies qui ne seraient pas purement européennes. L'enjeu est de trouver le bon équilibre.
Vous avez évoqué en conférence de presse le contexte géopolitique, qui peut compliquer l'établissement de la cybersécurité mondiale, évidemment...
La géopolitique dépasse ma compétence, mais nous sommes dans un contexte tendu d'affrontements entre grands pays. Le numérique devient un sujet de domination. Tous les grands pays qui jusqu'à maintenant avaient une démarche dans le monde physique ont la même démarche dans le monde numérique. Les puissances nucléaires deviennent des puissances cyber, car c'est un outil de souveraineté. L'enjeu pour la France est de rester dans ce petit nombre de pays souverains qui maîtrisent leurs droits et leurs infrastructures critiques. Il faut pacifier le cyberespace, pour éviter qu'il ne devienne un champ de bataille. Ce fut un peu le message de l'appel de Paris, porté le 12 novembre dernier par le président Macron. Plusieurs centaines d'États, d'entreprises et d'ONG ont posé leur signature. Les Américains, les Russes et les Chinois n'ont pas signé, ce qui montre que nous avons un vrai sujet complexe au niveau géopolitique.
En deux mots, sur l'indice Next 40, l'ANSSI a-t-elle été consultée ?
Nous parlons beaucoup avec Bercy et avec la DGE notamment. Nous portons le sujet sécurité mais la question est plus globale, celle de combiner de la sécurité, du droit et des valeurs, mais aussi de l'innovation, le fait d'attirer des investissements en France etc. Nous avons un rôle à jouer, mais cela dépasse complètement l'ANSSI.
« Les opérateurs commencent, grâce aux éléments que l'ANSSI leur donne, à détecter des menaces sur les flux de leurs clients »
Vous évoquiez récemment l'article 34 de la loi relative à la programmation militaire pour les années 2019-2025 (LPM), qui vient renforcer les capacités de détection des attaques informatiques. Que pouvez-vous nous dire là-dessus ?
Il y a deux parties différentes à dissocier. La première est d'autoriser les opérateurs télécoms à faire de la détection d'attaques sur les flux de leurs clients. Aujourd'hui, ils font déjà beaucoup de détection d'attaques, mais pour se protéger eux-mêmes. Lorsqu'ils étaient juste là pour transporter des attaques de l'attaquant vers la victime, il y avait un réel doute sur la légalité pour eux d'interférer là-dedans. Désormais, selon la loi, ils ont le droit de le faire. Pour se faire, l'ANSSI peut leur donner de l'information technique, sur les menaces à rechercher notamment. Cela clarifie plein de choses. Si les opérateurs détectent une menace qui concerne un opérateur d'importance vitale (OIV), ils doivent nous prévenir.
C'est une démarche volontaire de la part des opérateurs, qui ne sont pas obligés de le faire, mais qui jouent plutôt bien le jeu. Nous avons également commencé à l'expérimenter, en se rendant compte que c'est vraiment utile, puisque nous voyons des choses que nous ne voyions pas jusque-là en termes d'attaques.
Lire aussi :
Cybersécurité : Thales et Airbus s'associent pour mieux lutter contre les cyberattaques
Cybersécurité : Thales et Airbus s'associent pour mieux lutter contre les cyberattaques
L'autre morceau de l'article 34 n'a rien de voir, mais il parle également de détection. En cas de suspicion forte de prise de contrôle d'un serveur par un attaquant de haut niveau, il autorise l'ANSSI à aller mettre des systèmes de détection autour de ce serveur, localement, pour observer ce que fait l'attaquant. C'est important, puisqu'en observant un attaquant à son insu, c'est là que l'on peut reprendre la main.
S'il y a une attaque sur un hébergeur important, jusqu'à la loi, lorsque nous voulions insérer un système de détection, l'hébergeur répondait qu'il n'avait pas le droit de collaborer avec l'ANSSI. Il fallait en effet prévenir la personne qui louait le serveur. Sauf que l'autorité ne veut pas prévenir la personne, car dans beaucoup de cas, la personne, c'est l'attaquant lui-même, par le biais de différents intermédiaires. L'article 34 donne donc à présent la possibilité à l'ANSSI de demander à un hébergeur de nous laisser rentrer, de nous aider à poser ces systèmes de détection, de manière limitée dans le temps, le temps de caractériser ce qui est en train de se passer.
« La méthode EBIOS fonctionne bien, mais nous n'allons pas l'imposer »
Cela se fait sous le contrôle de l'ARCEP. C'est d'ailleurs la première fois que l'ANSSI est contrôlée. Les premiers tests, en condition réelle, commencent à fonctionner. Dons nous sommes capables de très vite progresser sur la compréhension de ce que font certains attaquants.
Le dernier point le très intéressant est que nous recevons beaucoup de signalement de partenaires étrangers qui font exactement ça,
La méthode EBIOS, l'outil de gestion des risques relatifs à la sécurité des systèmes d'information (SSI), va-t-elle se pérenniser ?
La méthode EBIOS Risk Manager est une nouvelle approche dans l'analyse de risques, qui nous permet d'abord de renoncer à l'exhaustivité. Identifier tous les risques, toutes les menaces, tout ce qui est à protéger, ça ne fonctionne pas, c'est lourd et inefficace. L'autre partie est que l'analyse de risques faite uniquement avec des experts de la cybersécurité ne fonctionne pas non plus, car c'est le bon moment d'associer ceux qui ne sont pas expert de la sécurité mais qui, eux, connaissent très bien leur système et savent ce qu'ils veulent protéger. C'est une manière de les impliquer. La méthode fonctionne bien, mais nous n'allons pas imposer. En revanche, nous continuerons à en faire la promotion, en France et à l'étranger.