Secu
L’ANSSI pourrait voir son poids renforcé au cœur de la cybersécurité nationale
Par La rédaction, publié le 19 mars 2013
L’Agence nationale de la sécurité des systèmes d’information pourrait voir ses missions élargies pour renforcer la cybersécurité nationale, si le premier ministre suit les recommandations du Centre d’analyse stratégique publiées aujourd’hui, 19 mars.
Dans la lignée du rapport Bockel, paru en juillet dernier, et dans l’attente du nouveau livre blanc sur la cybersécurité – le précédent est sorti en juin 2008 – qui devrait sortir d’ici quelques semaines, le Centre d’analyse stratégique (CAS), qui dépend du premier ministre, a publié une note d’analyse intitulé Cybersécurité, l’urgence d’agir.
Ainsi, se réalise un des vœux du sénateur Bockel, qui souhaitait que le président de la République et le gouvernement se saisisse de cette question. Pour autant, ce sont pour l’instant des recommandations qui sont faites. Elles sont au nombre de trois et reposent énormément sur l’ANSSI, l’Agence nationale des la sécurité des systèmes d’information, créée en 2009. Dans cette note, Vincent Chriqui, directeur général du Centre d’analyse stratégique, et son équipe préconisent en effet « d’élargir les missions de l’ANSSI pour accompagner le développement de l’offre française des solutions de cybersécurité ».
Des obligations de sécurité
La première consiste à imposer aux opérateurs d’importance vitale, les OVI, de nouvelles exigences en matière de sécurité. Ces obligations pourraient notamment passer par la mise en place de systèmes de détection des attaques. Des solutions de sécurité qui devraient être mises à l’épreuve en impliquant les OVI dans des tests grandeur nature à l’échelle nationale ou européenne. Des exercices de ce genre existent déjà et les conclusions qui ont été tirées de ces dernières grandes manœuvres de la cyberdéfense pointent dans la même direction : il faut multiplier ces pratiques et impliquer davantage d’acteurs d’importance vitale. Dans cette première proposition, le Centre d’analyse stratégique recommande de placer ce renforcement sécuritaire sous le « contrôle de l’Agence nationale de la sécurité des systèmes d’information, l’ANSSI ».
Aider à l’hygiène élémentaire
La deuxième recommandation rejoint une constatation faite par tous les acteurs du milieu de la cybersécurité et rappelle la fameuse formule de Patrick Pailloux, directeur de l’ANSSI, sur les « mesures d’hygiène informatique élémentaires » à suivre. Partant de la constatation que « les niveaux de protection en termes de cybersécurité restent insuffisants dans les entreprises et les administrations » et « les entreprises considèrent encore souvent que les dépenses en sécurité informatique doivent être réduites car elles ne génèrent pas de profit », l’objectif serait de « développer et mettre à la disposition des petites et moyennes entreprises des outils simples pour gérer les risques », déclarait Vincent Chriqui.
Un chantier qui pourrait être mené par l’ANSSI, une fois encore, en association avec le Club de la sécurité de l’information français puisque les « TPE/PME ne disposent pas des ressources humaines ou financières pour se protéger correctement ». Ces outils pourraient « être développés et mis à disposition de ces entreprises », pour autant, nuance Vincent Chriqui , il ne s’agit pas de demander à l’ANSSI de développer ces solutions mais plutôt de les analyser, de les expertiser pour valider un certain niveau de sécurité. Le CAS indique par ailleurs qu’il pourrait être envisagé de créer à un niveau licence des formations pour permettre à ces PME de recruter du personnel opérationnel, capable d’assurer la sécurité et le déploiement des outils nécessaires.
Revoir le cadre juridique
La troisième proposition pourrait être la plus ardue à mettre en place. Le CAS recommande en effet de « revoir le cadre juridique ». Le « droit est protecteur des logiciels » mais il crée également des solutions de blocage. Ainsi, Vincent Chriqui évoque l’interdiction de rendre publique une faille de sécurité ou l’interdiction de pratiquer de la rétroingénierie sur un logiciel. Il y a « une réflexion à mener pour faire évoluer le cadre juridique », précise-t-il. Une réflexion et des travaux qui devront être menés « sous le contrôle de l’ANSSI et d’un comité d’éthique ad hoc ».
Incertitudes
L’ANSSI se voit confier un rôle central dans la politique de cybersécurité nationale française mais « ne devra en aucun cas agir toute seule », pondérait encore le directeur général du CAS. Mais, comme il le laissait entendre Vincent Chriqui lui-même, ce essentiel est toutefois inféodé à l’attribution de plus de moyens financiers et humains, qui ne sont pour l’instant pas acquis.
Interrogé sur l’absence d’un pan « international » à sa note, Vincent Chriqui indique que le Centre d’analyse stratégique a préféré se concentrer sur le problème national avant d’ouvrir le débat et l’étude à un niveau extranational. Une position qui a l’avantage de consolider les bases mais ne prend pas en compte l’aspect cyberdissuasion et ne propose pas de réponse à un problème pourtant identifié, celui des menaces impliquant « des puissances étatiques ». Une situation d’autant plus préoccupante que Piranet, la branche du plan Vigipirate dédiée aux questions de cybersécurité, n’a jamais été confrontée à une situation de crise réelle et ne pourrait empêcher une « profonde désorganisation de l’Etat et du fonctionnement économique de ce pays », déclarait un représentant de l’ANSSI qui assistait à la présentation de cette note…
Sources :
Note du CAS : Cybersécurité, l’urgence d’agir (PDF)
Guide d’hygiène informatique (PDF)
Défense et Sécurité nationale – Le livre blanc (PDF)
A lire aussi :
La collaboration européenne pour la cybersécurité va se renforcer – 31/01/2013
Cyberattaque et cyberespionnage, aucune entreprise française n’est à l’abri – 28/01/2013
Cyberdéfense : « On n’est pas manchots », mais la route est longue – 19/07/2012
