Overblog Suivre ce blog
Editer l'article Administration Créer mon blog
16 décembre 2014 2 16 /12 /décembre /2014 15:55
ITW de Guillaume Poupard, Directeur général de l’ANSSI

 

16.12.2014 parAlain Establier –SECURITY DEFENSE Business Review n°118

 

SDBR : 9 mois après votre nomination au poste dedirecteur général de l’Agence nationale de la sécurité des systèmes d’information, quel regard portez-vous sur l’ANSSI * ?

 

GP : J’ai trouvé en l’ANSSI une maison remarquable par son dynamisme et la qualité de ses collaborateurs, une maison en ordre de marche qui a su trouver sa place dans son écosystème, comme entité interministérielle faisant en sorte que chacun puisse apporter sa pierre à un édifice de la cybersécurité devenu priorité nationale. La plupart des décideurs publics et privés a compris que le risque est réel, à la hauteur des opportunités portées par le numérique. Mais la tâche est gigantesque, car nous sommes tous concernés par les problèmes de cybersécurité: l’État, les entreprises petites et grandes, les collectivités territoriales, les organisations non gouvernementales et les citoyens. Nous sommes tous devenus des cibles et chaque type de cible requiert des attentions particulières et adaptées.

 

Y a-t-il des pistes de progrès identifiées ?

 

Nous travaillons au service du gouvernement et des administrations de l’État et nous avons étendu notre action aux opérateurs d’importance vitale (OIV) depuis que la loi nous en a ouvert la possibilité en décembre 2013**. Télécoms, énergie, transports…nous travaillons avec tous les secteurs importants pour la Nation et la vie quotidienne des Français afin d’augmenter la sécurité de leur infrastructure informatique la plus sensible. Nous nous employons aussi à ouvrir le champ d’intérêt de l’ANSSI, au-delà de l’État et des «opérateurs d’importance vitale », mais nous avançons à la vitesse de nos capacités, avec comme objectif de répondre aux attentes des responsables et de leur apporter des solutions.

 

Quelles solutions leur apportez-vous ?

 

Un des volets de notre mission est de pouvoir présenter des produits de confiance aux opérateurs concernés, ce qui implique une politique industrielle sous-jacente destinée à aider à la conception de ces produits et évaluer leur sécurité. Un volet tout aussi important est de pouvoir identifier des prestataires compétents et de confiance, car la cybersécurité repose également sur des services. Aujourd’hui, un client doit pouvoir se tourner vers des prestataires de confiance qui s’engagent à respecter une charte de confiance et sont compétents pour intervenir. En France, nous avons des prestataires présentant ces deux caractéristiques et nous avons la charge de les identifier en toute transparence et de les labelliser.

 

Est-ce que l’organisation de l’ANSSI vous convient ?

 

L’ANSSI a été créée en 2009, avec 100 collaborateurs au départ. Fin 2014 nous serons 400, ce qui est une croissance extrêmement très rapide, et nous serons près de 600 en 2017. Le recrutement et l’intégration des compétences sont donc une priorité qui mobilise l’encadrement. En 2014, nous avons accueilli une centaine de personnes, avec une attention particulière portée à l’intégration et à la fluidité du fonctionnement. Donc nous adaptons en permanence les procédures, pour aller de pair avec cette croissance forte. Il faut noter qu’il s’agit de métiers nouveaux: nous n’avons pas de référence sur ce que serait une agence de cybersécurité efficace, donc nous nous adaptons avec l’objectif de professionnaliser notre organisation pour être en mesure d’accomplir nos missions.

 

Aux Assises de la sécurité et des SI, en octobre à Monaco, vous disiez que «la période d’évangélisation à la cyber menace était passée et qu’il fallait maintenant réagir et passer à l’action». Qu’entendez-vous par là ?

 

Nous sommes déjà dans l’action car, aujourd’hui, l’ANSSI a une activité opérationnelle sur les réseaux sensibles qui comprend la détection des attaques informatiques, leur traitement et le renforcement de la sécurité des systèmes d’information visés. En matière d’évangélisation, l’ANSSI et d’autres ont fait beaucoup pour expliciter les risques, la réalité nous ayant bien aidés d’ailleurs à cette prise de conscience. Pour vraiment convaincre d’éventuelles réticences, il convient de parler avec les dirigeants de l’entreprise ou de l’organisation pour leur expliquer que le retour sur investissement en matière de cybersécurité doit être géré différemment des autres investissements, mais qu’il fait néanmoins partie des mécanismes de bonne gestion, car une attaque informatique porte sur l’ensemble de la chaîne de valeur de l’entreprise. La difficulté est de valoriser ce risque, mais le sujet progresse, par exemple grâce aux travaux des assureurs.

 

«Arrêter de se faire siphonner par nos amis», disiez-vous à Monaco… Pensez-vous qu’il y ait une différence entre se faire pirater par un «ami» ou un «non-ami» (puisque la France n’a pas d’ennemi déclaré) ?

 

Nous n’avons ni ennemi ni ami dans le cyberespace. Nous avons des alliés dont nous avons besoin, mais ces alliés s’intéressent parfois de près à ce que nous faisons. Nous sommes dans un contexte géopolitique complexe, avec des États ou des groupes qui sont actifs dans les réseaux de communications électroniques et qui peuvent faire appel à des capacités offensives pour nous nuire. Dans le domaine du renseignement, les révélations faites par Edward Snowden depuis deux ans montrent que la France est une cible. Ce qui importe, c’est de se défendre à la hauteur du risque, en y consacrant les moyens nécessaires. Donc soyons crédibles en matière de cybersécurité, défendons nos biens matériels et immatériels les plus précieux, qu’il s’agisse d’informations de souveraineté, de patrimoine intellectuel, de capacités économiques et militaires, ou plus largement de la vie numérique des Français.

 

Le nouveau supercalculateur baptisé OCCIGEN, fourni par Bull à GENCI (l’Agence française pour le calcul intensif), repose sur la solution Lustre d’Intel. N’est-ce pas dangereux pour un outil qui va voir passer des masses de données sensibles ?

 

Là encore, je reste optimiste grâce à mon expérience dans le domaine de la Défense. Il y a un certain temps qu’on ne fabrique plus de microprocesseurs et qu’on ne maîtrise plus le silicium à 100 %, à part ce que la direction générale de l’armement (DGA) fabrique en toute petite échelle pour le cœur de certains systèmes d’armes. Mis à part cette exception anecdotique, les serveurs que l’administration et les entreprises achètent, et quantité de briques intégrées dans des systèmes très sensibles, ne sont pas fabriqués en France. Pour autant, a-t-on abandonné notre souveraineté dans ce domaine? Je ne le pense pas et je ne suis pas le seul de cet avis. En effet, si nous raisonnons en termes d’architecture, il y a des briques que l’on peut acheter n’importe où, d’autres qu’il faut acquérir chez des partenaires de confiance, d’autres qu’il faut faire fabriquer en France par des entreprises habilitées et enfin ces briques tellement sensibles que leur fabrication n’est pas déléguée et reste le fait d’équipes étatiques très spécialisées. Les algorithmes cryptographiques classifiés Défense sont ainsi fabriqués par des équipes de la DGA et évalués par les cryptographes de l’ANSSI. Avec ces deux petites équipes, nous sommes au cœur de la souveraineté. La question se pose pour les briques sensibles nécessitant de la confiance et pour les architectures: est-on capable de les fabriquer en France ? C’est tout l’enjeu de la politique industrielle, du ministère de la Défense entre autres, de faire en sorte de conserver cette capacité sur le territoire.

 

D’une façon générale, est-ce que pour vous la notion de souveraineté va de pair avec le label open source ?

 

Il n’y a pas pour moi d’opposition entre open source et souveraineté. L’open source est un modèle, qui a de nombreuses vertus dont il faut utiliser les avantages et éviter les défauts. En général, nous ajoutons à une base open source des développements complémentaires qui ne sont pas en segments partagés: c’est le cas des SIEM de l’État par exemple. Participer à des communautés open source permet de bénéficier des travaux réalisés par d’autres éditeurs, d’autant que ces communautés peuvent être réduites à quelques acteurs autour de l’État. La modèle open source doit donc être adapté et utilisé en fonction de nos contraintes. Je suis par ailleurs conscient de la nécessité de reverser du code à la communauté. Nous avons sans doute quelques progrès à effectuer en ce domaine.

 

La filière numérique française est-elle vraiment encouragée par des commandes concrètes de l’administration ?

 

Ne nous plaignons pas d’avoir en France un code des marchés publics qui oblige les marchés à se dérouler de façon transparente. Ce code n’indique pas qu’il faut systématiquement acheter auprès de celui qui vend le moins cher, ou qu’il faut obligatoirement mettre en concurrence tous les acteurs de la planète. Si on a la volonté d’acheter des produits de confiance qualifiés par l’ANSSI, c’est tout à fait réalisable. Il faut donc d’une part évangéliser encore les administrations et d’autre part expliquer aux acheteurs la méthode à adopter pour sélectionner des produits qualifiés dans le cadre des marchés publics. C’est pourquoi nous avons produit, avec le ministère de l’économie, des finances et de l’industrie un guide détaillant la marche à suivre. Il est disponible sur le site de l’ANSSI. Je comprends donc très bien que des PME, comme celles du groupement Hexatrust, dont le lancement a été soutenu, souhaitent désormais accéder à des commandes de l’administration. Non seulement la commande publique crée du chiffre d’affaires pour les PME - c’est essentiel - mais elle crée également une référence qui a une valeur, notamment à l’export.

 

Quand on regarde la liste des produits certifiés par l’ANSSI et qu’on écarte les produits de Thales, Bull, Safran, Airbus Defence and Space et leurs filiales, il ne reste pas grand-chose. L’encouragement de la filière PME/TPE ne passe-t-il pas simplement par-là ?

 

Oui ! Il faut clairement encourager la qualification des PME. Pour autant, la qualification doit refléter une vraie confiance dans le produit et l’entreprise, ce qui sous-entend un travail de l’ANSSI approfondi, long et des tests nombreux. Cela prend du temps et coûte cher. Les grands groupes disposent d’équipes dédiées habituées à pratiquer ce type de démarche qualificative. C’est beaucoup plus compliqué pour une PME de 10 personnes de détacher un collaborateur à la démarche d’évaluation. Je pense également qu’il est souhaitable de conseiller les PME en amont, dès la conception des produits, cela permet d’ailleurs de mieux préparer l’évaluation.

 

«Relocaliser les données en France» disiez-vous à Monaco. N’y va-t-il pas un problème de coûts ?

 

Peut-être un peu, encore faut-il regarder précisément de combien. Aujourd’hui, dans un Data Centre, il n’y a pratiquement aucun humain, donc pourquoi l’implanter dans un pays à la main d’œuvre peu chère? Autant les activités à forte présence humaine peuvent entrainer des surcoûts importants attachés aux salaires et aux taxes sur les salaires, autant quand il n’y a pratiquement personne on peut se demander quelle est la justification économique d’une délocalisation? Si le surcoût est minime, on doit pouvoir l’assumer. Un dumping trop accentué doit nous conduire à nous interroger sur d’éventuelles arrière-pensées obscures…

 

Où en est le groupe de travail sur la protection des SCADA*** ?

 

Le sujet est essentiel. Le groupe de travail fonctionne et la coopération avec les clients et les équipementiers, français comme étrangers, se passe très bien. Le constat est clair: la cybersécurité n’a pas été prise en compte sur les systèmes industriels, dont les SCADA sont une composante. Nous allons devoir défendre les SCADA existants chez les OIV, ce qui nécessite une volonté financière de leurs responsables, et par ailleurs élaborer des solutions nouvelles qui répondent aux besoins, de façon à très rapidement élever le niveau de sécurité des systèmes industriels avant que n’arrive une catastrophe. Les arrêtés concernant l’article 22 de la loi de programmation militaire vont être publiés en 2015 sur ce sujet pour les différents secteurs. Nous développons actuellement des pilotes de SCADA avec les opérateurs. Les nouveaux équipements, incluant des mécanismes de sécurité robustes, passent par une logique d’évaluation.

 

Quel est votre objectif pour l’année 2015 ?

 

C’est clairement la définition précise des règles de sécurité, dans le cadre de la loi de programmation militaire, pour les opérateurs d’importance vitale. Ce ne sont pas que des mots, puisqu’il est impératif de définir en collaboration avec eux les règles de sécurité qui vont significativement élever leur niveau de sécurité tout en restant soutenable humainement et financièrement. L’autre objectif est de continuer à développer une politique industrielle afin de doter la France d’une industrie de la cybersécurité forte et sérieuse. Elle devra offrir des solutions fonctionnelles de bon niveau de confiance, sans pour autant être enfermée en France, ce qui signifie que la coopération doit rester ouverte avec des partenaires hors de France pour pouvoir aborder la compétition internationale.

 

*ANSSI : Agence Nationale de la Sécurité des Systèmes d’Information www.ssi.gouv.fr

** Articles 21 à 25 de la loi n°2013-1168 du 19 décembre 2013.

***SCADA : Supervisory Control And Data Acquisition. Système de télégestion permettant de contrôler à distance des installations techniques

 

Partager cet article

Repost 0

commentaires

Présentation

  • : RP Defense
  • RP Defense
  • : Web review defence industry - Revue du web industrie de défense - company information - news in France, Europe and elsewhere ...
  • Contact

Recherche

Articles Récents

  • News review for Industry - European Defence Agency
    source European Defence Agency If you want to subscribe to the News Review, or if you want to stop receiving the News review: News4Ind@eda.europa.eu News of the News EDA Study on the Impact of REACH & CLP European Chemical Regulations on the Defence Sector:...
  • Chronique culturelle - 13 Février 2017
    13 février 1960 explosion de la première bombe atomique française 13.02.2017 source JFP 13 février 1692 : massacre du clan Mac Donald dans la Glencoe (Ecosse).Le protestant Guillaume d’Orange ayant mis en fuite le catholique Jacques II, les chefs de clans...
  • Le PGHM et le GAM s’entraînent ensemble au secours en montagne
    Equipement de passage en neige - photo GAM Armée de Terre 07.02.2016 source 27e BIM Le lundi 13 février 2017 se déroulera un entraînement conjoint entre le peloton de gendarmerie de haute montagne (PGHM) et le groupement d’aguerrissement montagne (GAM)...
  • ITW SDBR : général Vincent Desportes, Professeur des Universités associé à Sciences Po Paris, Ancien directeur de l’Ecole de Guerre
    23.01.2017 par Alain Establier - SECURITY DEFENSE Business Review N°164 SDBR : Quel regard portez-vous sur la Défense de la France ? Vincent Desportes* : A l'issue de cette mandature, nous voyons un empilement d'actions réactives, à vocations plus politiciennes...
  • Chronique culturelle 9 Janvier
    Hussards du régiment de Bercheny en 1776 09.01.2017 source JFP 9 janvier 1778 : mort du créateur des régiments de Hussards (Luzancy – près de Meaux). Emigré hongrois et excellent capitaine au service de la France, Ladislas Ignace de Bercheny , obtient...
  • Chronique culturelle 04 Jan.
    Insigne général des Troupes de Forteresse de la Ligne Maginot 04.01.2016 source JFP 4 janvier 1894 : signature de l’alliance franco-russe. Préparée par de nombreuses activités bilatérales dans les années précédentes, une convention militaire secrète est...
  • Chronique culturelle 03 Jan.
    Napoléon en Egypte par Jean-Léon Gérome 03.01.2017 source JFP 3 janvier : Sainte Geneviève, patronne de la gendarmerie. Issue de la noblesse gallo-romaine du IVe siècle, elle convainc les habitants de Lutèce de ne pas livrer leur ville à Attila, roi des...
  • Au Levant, contre Daech avec les Forces Spéciales
    photo Thomas Goisque www.thomasgoisque-photo.com Depuis plus de deux ans, les hommes du C.O.S (Commandement des Opérations Spéciales) sont déployés au Levant et mènent, en toute discrétion, des opérations contre l’Etat islamisque.Au nord de l’Irak, ils...
  • Les blessés en Opérations extérieures ne prennent pas de vacances !
    Source CTSA Pendant la période des fêtes de fin d'années, le nombre de donneurs diminue dangereusement. Le site de Clamart du Centre de transfusion sanguine des armées (CTSA) invite fortement les donneurs des communes proches à profiter des vacances de...
  • Interview SDBR de Gaël-Georges Moullec, Historien
    photo SDBR 20.12.2016 par Alain Establier - « SECURITY DEFENSE Business Review » n°162 SDBR: Comment va la Russie aujourd’hui? Gaël-Georges Moullec * : Il n’y a plus d’ascenseur social dans la Russie d’aujourd’hui, ce qui est un problème moins connu,...

Categories