La cybersécurité est une priorité nationale

Polytechnicien, docteur en cryptographie et ancien responsable du pôle Sécurité des systèmes d’information à la DGA (Direction générale de l’armement), Guillaume Poupard est à la tête de l’Anssi depuis un peu plus de trois mois. Homme fort de la cybersécurité en France, il revient sur les enjeux auxquels doit répondre son agence.

Comment a évolué la mission de l’Anssi ?
Guillaume Poupard : J’ai commencé ma carrière au début des années 2000 au sein de la DCSSI, l’ancêtre de l’Anssi. Je connais donc bien la maison. Celle-ci a su évoluer avec son temps. À l’époque, nous n’étions qu’une centaine de personnes et nous sommes aujourd’hui plus de 350 pour des effectifs qui devraient atteindre les 500 personnes fin 2015. Une évolution logique pour répondre aux enjeux en termes de cybersécurité et de cyberdéfense. C’est un monde qui change très rapidement. Mes prédécesseurs ont su, chacun à leur façon, montrer une capacité à faire évoluer l’agence et à provoquer une prise de conscience au plus haut niveau politique. Cela nous permet, aujourd’hui, d’avoir des moyens supplémentaires et de positionner ce qui était à l’origine un simple service au sein de l’État en une véritable agence dotée d’un rôle primordial ; et ce, aussi bien auprès de l’État que des industriels qui ont un rôle fondamental à jouer dans le milieu de la cyberdéfense.

Peut-on aujourd’hui parler de véritable prise de conscience politique ?
G.P. : La prise de conscience politique est claire depuis 2008, dès lors que le premier livre blanc sur la question identifiait la cybersécurité comme une menace à l’échelle de l’État. Au fil des années, de nombreux travaux sont remontés à l’Élysée jusqu’à la mise en place des moyens connus aujourd’hui. Nous connaissons désormais les menaces mais nous ne sommes pas rassurés pour autant. La cybersécurité est d’ailleurs devenue l’une des priorités absolues nationales.

Où se situe la frontière entre le domaine civil et le domaine militaire dans la cyberdéfense française ?
G.P. : On ne peut, de nos jours, parler d’une cyberdéfense militaire et d’une cyberdéfense civile. Il y a bien des domaines d’actions et des responsabilités différentes, mais elles sont complémentaires. Notre Centre opérationnel de la sécurité des systèmes d’information (Cossi) est ainsi situé au même étage que le Calid, le Centre d’analyse en lutte informatique défensive. Ces deux entités surveillent leurs propres réseaux en se coordonnant. Cela nous évite de faire deux fois le même travail et des efforts inutiles. Nous avons des moyens que nous ne pouvons pas nous permettre de dupliquer. S’il n’y avait pas cette coopération, des zones ne seraient pas couvertes. Ce serait du pain béni pour les attaquants. La coordination est garante de la cohérence dans la protection des systèmes informatiques français.

À quel type de risques doit-on faire face aujourd’hui ?
G.P. : L’informatique s’immisçant dans toutes les couches de notre sécurité, la cybersécurité protège aujourd’hui un nombre d’éléments incroyables. Des attaquants qui s’en prendraient au domaine de l’énergie pourraient par exemple couper l’électricité. Je vous laisse imaginer l’effet domino qui en découlerait. Notre cauchemar, c’est une situation du type de celle rencontrée par l’Estonie en 2007 [qui avait subi une cyberattaque d’envergure durant plusieurs semaines, NDLR]. Il faut comprendre que l’évolution technologique va contre nous. Toutefois, nous ne cherchons pas à la freiner mais à l’accompagner plutôt. L’interconnexion, le cloud, la mobilité… Ces mots évoquent des risques importants. Nous devons accompagner l’ensemble des secteurs et les aider à maintenir un niveau de sécurité le plus haut possible.

La situation est-elle si terrible que celle décrite par les éditeurs de logiciels de sécurité ?
G.P. : Les éditeurs de sécurité crient au loup et c’est leur rôle. Néanmoins, il y a certains points sur lesquels ils ne se trompent pas. Je pense notamment au nombre croissant d’attaques et à leur sophistication de plus en plus poussée. C’est une évolution inquiétante qui apporte malgré tout une touche positive par la prise de conscience massive au niveau des dirigeants étatiques mais aussi privés et industriels. Il n’y a encore pas si longtemps, la question n’était même pas un sujet. On ne parlait jamais de sécurité à un PDG du CAC 40. Aujourd’hui, c’est l’une des questions qui revient souvent sur la table et heureusement.

Il est d’usage de dire que la défense aura toujours un temps de retard sur l’attaque. Est-ce confirmé ? 
G.P. : Pendant longtemps, les attaquants ont pu laisser libre cours à leur imagination. Aujourd’hui, les réponses sont là, mais il est vrai que le jeu du chat et de la souris entre les attaquants et les défenseurs risque de se poursuivre pendant très longtemps encore. Les attaques vont non seulement continuer de se développer en termes de compétences, mais aussi en volume. Dans un premier temps, notre objectif est d’éviter que les conséquences de ces attaques ne s’aggravent. Mais le but va bien plus loin. Nous voulons progressivement regagner la maîtrise sur les réseaux qui contiennent des données d’importance et rétablir un contrôle quasi-total sur ces derniers. Actuellement, lorsque l’on cherche sur un réseau, on trouve des failles plus ou moins graves. Il ne faut pas avoir peur de le dire : la situation n’est pas favorable à la défense.

Pour l’entreprise, quels sont les risques encourus actuellement ?
G.P. : La cybersécurité se situe sur plusieurs niveaux. Si celle-ci est impérative pour les opérateurs d’importance vitale, elle est aussi une priorité majeure du monde de l’entreprise. Ne pas prendre cette facette en compte serait synonyme d’exposition à des retombées économiques particulièrement néfastes. Dans le monde de l’entreprise, les attaques auxquelles nous assistons ne sont pas de type « destructives ». Ce sont plutôt des attaques visant à dérober des renseignements stratégiques. Quand les entreprises se font voler leur savoir-faire et leurs contacts commerciaux, c’est leur compétitivité qui est réduite avec de potentielles retombées en termes d’investissement en R&D, sur l’emploi, et donc directement sur les chiffres du chômage.

Que pensez-vous de la tendance BYOD, consistant à utiliser un appareil personnel à des fins professionnelles ?
G.P. : Je suis contre ! Comme mon prédécesseur, je pense que l’utilisation d’un seul et même smartphone dans la sphère privée et dans la sphère professionnelle revient à confondre deux mondes très diff érents. La sécurité de l’ensemble repose toujours sur le maillon le plus faible de la chaîne. On ne peut pas vous demander d’avoir une sécurité au top chez vous. Cela n’aurait pas de sens et ne serait d’ailleurs pas utile. Personnellement, mon PC à la maison n’est pas sécurisé et je m’en moque. En revanche, il serait grave que quelqu’un soit en mesure de m’attaquer via mon adresse personnelle et rebondisse sur un réseau de l’Anssi. La séparation des deux sphères, au-delà du fait que ce soit sain d’un point de vue sociologique, est bonne. Cette séparation engendre la possession de deux téléphones et il faudra s’y habituer à l’avenir. Pour une personne qui monte une start-up, c’est encore plus compliqué. La séparation de ces deux univers engendre un coût immédiat et peut être difficile à accepter.

Pour favoriser la mise en place de protocoles de sécurité, l’Anssi a-t-elle seulement un pouvoir de prévention ou peut-elle imposer ses propres règles ?
G.P. : Le rôle de prévention est le rôle historique de l’agence et nous voulons continuer à le jouer. Connaître la menace, l’anticiper le plus possible et en déduire des règles de sécurité est notre rôle majeur. Au niveau de l’État par exemple, nous avons un pouvoir prescripteur pour l’ensemble des réseaux traitant du classifié défense. Nous pouvons ainsi imposer des produits ayant reçu un agrément et garantissant une sécurité avancée. Au-delà des réseaux étatiques, nous n’avions que très peu de pouvoir jusqu’à la sortie de la loi de programmation militaire. Désormais, grâce à l’article 22, nous avons le pouvoir d’imposer des règles dont le but est d’élever de manière significative le niveau de sécurité des opérateurs d’importance vitale – qu’ils soient publics ou privés, dans des domaines aussi variés que le transport, l’énergie… C’est un travail de coopération main dans la main de faire progresser à court terme la situation de ces opérateurs en termes de sécurité. Pour les entreprises n’entrant pas dans cette catégorie, nous restons dans le domaine du conseil. Et nous espérons que toutes ces obligations au plus haut niveau vont faire tache d’huile et s’appliquer aux autres acteurs sensibles et moins sensibles.

Les backdoors dans certains routeurs ne sont plus un secret pour personne. Alors comment lutter contre ce type de faille dans le hardware ?
G.P. : Nous émettions depuis longtemps l’hypothèse que les routeurs n’étaient pas de confiance. Il faut penser la sécurité en partant de la réflexion sur les architectures des systèmes d’information. C’est ce que nous faisons au sein du ministère de la Défense pour les systèmes d’armes. Dès le départ, on prend en compte les besoins fonctionnels et également la sécurité en traitant les problématiques brique par brique. De toute manière, on ne peut pas tout développer en France, cela n’aurait aucun sens. Le tout est de garantir une confiance optimale sur les briques les plus sensibles. Cependant, cela ne nous empêche pas d’utiliser des routeurs et des logiciels étrangers.

Justement, que penser des logiciels libres en matière de cybersécurité ?
G.P. : Je n’aime pas le débat parfois trop passionné entre le logiciel libre et le propriétaire. C’est un sujet qui est plus complexe qu’une opposition entre deux chapelles. Le libre n’est pas gratuit et rien ne prouve qu’il soit plus sûr que le logiciel propriétaire. Ce que l’on soutient et encourage à l’Anssi, c’est l’idée de produits de confiance. Et la confiance passe par la qualification. Pour cela, nous sélectionnons des produits et définissons ce que l’on attend d’eux en termes fonctionnels et en termes de sécurité. Un laboratoire agréé par l’Anssi est par la suite chargé de tester la résistance du produit. Si les résultats sont bons, nous délivrons une qualification au nom du Premier ministre qui atteste du niveau de confiance en le produit, que celui-ci provienne du monde du libre ou non.