J’ai accueilli le 11 décembre au Sénat M. Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes d'information (ANSSI) pour un débat sur la cybersécurité.
L’ANSSI est l’acteur institutionnel au cœur de la stratégie de cybersécurité en France. L’Agence prévient et assiste techniquement les victimes d’actes de cybermalveillance, qu’elles soient de simples citoyens, des TPE et PME dans vos circonscriptions ou même directement des collectivités territoriales. Cette mission, co- pilotée avec le ministère de l’Intérieur, est d’autant plus importante qu’à l’heure actuelle, le nombre d’attaques informatiques (notamment de types rançon et hameçonnage) ne cesse d’augmenter, avec un impact économique accru lorsqu’elles touchent des entreprises. L’actualité est aussi là pour nous rappeler que ces cyber-attaques sont tout autant une menace pour nos libertés publiques que notre démocratie, lorsqu’elles affluent en période électorale et qu’elles viennent déstabiliser les opérations électorales.
En réponse à ces défis, le Président de la République, Emmanuel Macron, a présenté lundi 12 novembre, à l’occasion de la réunion de l’UNESCO du Forum de gouvernance de l’Internet, « l’Appel de Paris pour la confiance et la sécurité dans le cyberespace », qui vise à agir ensemble pour établir un code international de bonne conduite. Plusieurs États, entreprises privées et organisations de la société civile ont déjà apporté leur appui à cette déclaration.
Vous trouverez ci-dessous un compte-rendu de ce débat.
Il convient tout d’abord d’identifier les cyber-menaces qui visent aussi bien les organes étatiques que les entreprises françaises. S’agissant des petites menaces, il y a eu des problèmes d’intrusion visant des ordinateurs, mais aussi des plateformes (Netflix) ou encore des chaînes de TV (TV5 Monde). Lors du hacking de TV5 Monde, l’attaque provenait d’un hackeur professionnel doté d’une grande capacité de frappe.
Depuis un an, il y a moins d’attaques. Néanmoins, il ne faut pas baisser la garde et il est important de consacrer les budgets nécessaires à la cybersécurité. L’ANSSI est habituée à travailler aussi bien avec les PME que les grandes entreprises.
En termes de répartition, 90% des attaques de cybersécurité sont consacrées à l’espionnage entre États. Certains le font ouvertement au profit de leur économie, d’autres secrètement. L’informatique a été une révolution pour l’espionnage, car elle a ouvert le champ des possibles en termes de variétés d’attaques. En effet, via la cyber-espionnage, on peut aller au cœur des secrets les plus intimes d’une administration.
En général, aussi bien les attaquants que les victimes, restent très discrets car ils n’ont pas intérêt à dévoiler leur jeu ni leurs faiblesses. Il est important de souligner que les impacts économiques de la cybercriminalité sont considérables. Toutefois, on ne parvient pas à les chiffrer précisément pour le moment. Par ailleurs, ce type de criminalité (cyber) se distingue des autres, car il y a une asymétrie significative entre le coût de l’attaque et l’impact économique qui en résulte.
Cet espionnage peut prendre différentes formes (intrusion, prise de contrôle) et se glisser dans les failles de système informatique. Il y a encore beaucoup de pédagogie à faire auprès de certaines entreprises qui placent leurs données sur des plateformes en ligne, notamment américaines (entreprises pétrolières notamment).
La gravité des attaques est particulièrement variable, les actes de guerres étant les plus graves (sabotage, attaques). Parce qu’on ne parvient pas à les borner, il est difficile de les prévenir : à titre d’exemple, l’attaque visant TV5 Monde provenait vraisemblablement d’un État situé vers l’Est (NB : l’ANSSI se refuse d’attribuer nommément les cyber-attaques) et ils ont à cette occasion détruit une partie du système informatique de la chaîne. Les systèmes énergétiques (gaz) ou de transport (véhicules autonomes ou le secteur aérien) sont également susceptibles d’être menacés, encore plus que les installations nucléaires. De même, aujourd’hui, des secteurs sensibles tels que l’eau ou encore les télécoms pourraient être visés, vu l’ampleur des dégâts possibles.
Modèle de fonctionnement et perspectives
Le choix français concernant le modèle de lutte contre la cybercriminalité date de 2008. Il se subdivise en deux missions distinctes :
- Une mission d’attaque : la France a développé une capacité offensive confiée au Ministère des armées, notamment à des fins de soutien d’opérations militaires et de renseignement.
- Une mission de défense confiée à l’ANSSI, agence interministérielle qui dépend du SGDSN (Secrétariat Général de la Défense et de la Sécurité nationale) afin de pouvoir rester proche de Matignon et de l’Élysée. Elle bénéficie de moyens propres et a une activité polymorphe : conseil, réglementaire, etc. Le travail sur le contenu des cyber-attaques est toutefois exclu de son activité.
On a séparé les deux fonctions pour éviter tout conflit d’intérêts ou de moyens, mais elles convergent néanmoins jusqu’à l’Élysée. Plusieurs pays n’ont pas fait ce choix (et ont donc un modèle qui cumule au sein d’une seule administration, l’attaque et la défense) et en subissent les conséquences (exemple de la NSA). Des pays européens ont suivi le modèle français.
L’ANSSI coopère constamment avec les autres ministères :
- La partie défensive du ComCyber du Ministère des Armées (co-localisation dans les locaux de l’ANSSI, coopération sur des opérations, échanges constants de bonnes pratiques). Une entité spécifique gère la cybersécurité sur les terrains d’opération (animation de faux comptes sur la scène djihadiste) ;
- Récemment, les Ministères de l’Intérieur et de la Justice sont devenus moteur en matière de cybercriminalité ;
- Bercy est également un acteur majeur pour sa propre sécurité (sécurité économique et protection de nos entreprises, le Ministère a aussi saisi l’ANSSI pour avis au sujet du prélèvement à la source) ;
- Le Quai d’Orsay est impliqué au niveau diplomatique (travail remarquable effectué par seulement deux personnes). Un nouvel Ambassadeur de la cybersécurité a également été nommé, en remplacement de David Martinon : Henri Verdier.
Par ailleurs, la France a intérêt à ce que des entreprises françaises ou européennes s’emparent du marché de la cybersécurité (Thalès, Dassault, Airbus …).
L’objectif de ROI (réduction de dépenses de l’État) en matière de numérisation soulève un enjeu de protection des données personnelles et de financement.
L’apport de l’ANSSI pourra être de relayer des statistiques inquiétantes. Twitter est une source de préoccupation en termes de cybersécurité. Il est à noter que Twitter n’a pas signé la moitié des engagements des bonnes pratiques en la matière.
Il y a beaucoup de convergences en matière de cybersécurité (médias, autorités de contrôle CSA, HADOPI, ARCEP). En comparaison, les Américains ont certes un plus gros budget, mais ne parviennent pas à améliorer de manière significative la lutte contre la cybersécurité.
La France a une marge d’amélioration si elle parvient à l’avenir à récupérer plus d’informations, mais pour cela, il nous faut de la puissance de calcul.
Les failles sont souvent humaines (mails non cryptées…). En matière de mails, le degré de sécurisation dépend de la menace face à laquelle on veut se protéger. A titre d’utilisation privée, Orange, free et La Poste sont plutôt sécurisés.
Approche réglementaire
Elle passe par :
- L’imposition de mesures de cybersécurité aux acteurs économiques, qui de leur côté encouragent aussi le travail de renforcement réglementaire
- L’adoption et la transposition d’une directive européenne ;
- Intégrer des acteurs majeurs à l’approche réglementaire (logistique de la grande surface, les hôpitaux car ils deviennent sensibles face au risque de vol de données mais également à cause des attaques visant des dispositifs de soins médicaux)
La cybersécurité devient un sujet particulièrement transversal qui mêle des problématiques de gouvernance, de protections des données, de détection des attaques ainsi que de résilience (plan de reprise d’activité, éviter de mettre les serveurs informatiques sous le niveau de la Seine - cas du Quai d’Orsay notamment). A titre d’illustration, à Singapour, une loi a été adoptée pour interdire de placer des serveurs informatiques sous le niveau de l’eau.
Ainsi, chaque exercice de test face à une attaque extérieure intègre une dimension cyber (par exemple dans le métro). Il peut aussi s’agir du traitement de la désinformation et pas seulement de la paralysie du système informatique. À titre d’exemple : si on perd la main sur les services télécoms, comment ferait-on pour sécuriser les services de secours qui dépendent en général du GSM ?
Comment garantir la confiance relative à nos systèmes d’information et à nos acteurs économiques ?
Dans le domaine de l’armement, tout n’est pas fabriqué en France. Il y a à cet effet une vraie analyse de l’architecture pour cibler les composants fragiles en termes de cybersécurité. Ainsi certaines équipes sont contrôlées de près.
Dans le domaine des télécoms (CISCO, Ericsson, Nokia, Huawei), la 5G est un enjeu majeur. En effet, « ce n’est pas la 4G+1 » mais une ouverture de nouvelles fonctions, à savoir gérer des objets à distance (véhicules autonomes) ou encore faciliter la télé-médecine (des médecins pourront opérer via des robots commandés par leur smartphone). Si des ennemis sont capables d’éteindre ces réseaux-là, les conséquences seraient dramatiques.
Les Australiens ainsi que les Britanniques sont opposés à ce que les Chinois, par l’intermédiaire de Huawei, soient impliqués dans les réseaux télécoms. Les Français sont plus modérés, tout en restant extrêmement vigilants à l’égard de Huawei.
Outre les niveaux de rémunération, comment cultiver les savoirs, leur transmission, et recruter à l’ANSSI ?
L’ANSSI n’a pas réellement de difficultés à recruter : l’agence reçoit 8 000 CV/an. Toutefois, la masse salariale a été mal dimensionnée, ce qui a entraîné un impact au niveau budgétaire. L’Agence disposait des ETP mais pas de financements suffisants. Néanmoins, pour y remédier, en 2019 et 2020, 40 à 50 emplois seront créés annuellement, ce qui représente un gros effort à l’échelle des services du Premier Ministre. De même, il y a une inflation des salaires qui est très claire.
Cependant, on a du mal à recruter dans le secteur militaire. Il faudrait envisager de ne plus conditionner le recrutement à des postes de cybersécurité à des tests physiques. Enfin, il y a un manque de formation en cybersécurité de façon générale et trop peu de femmes s’orientent vers cette filière. Il serait intéressant de former des jeunes au niveau du service nati