16.12.2014 parAlain Establier –SECURITY DEFENSE Business Review n°118

SDBR : 9 mois après votre nomination au poste dedirecteur général de l’Agence nationale de la sécurité des systèmes d’information, quel regard portez-vous sur l’ANSSI * ?

GP : J’ai trouvé en l’ANSSI une maison remarquable par son dynamisme et la qualité de ses collaborateurs, une maison en ordre de marche qui a su trouver sa place dans son écosystème, comme entité interministérielle faisant en sorte que chacun puisse apporter sa pierre à un édifice de la cybersécurité devenu priorité nationale. La plupart des décideurs publics et privés a compris que le risque est réel, à la hauteur des opportunités portées par le numérique. Mais la tâche est gigantesque, car nous sommes tous concernés par les problèmes de cybersécurité: l’État, les entreprises petites et grandes, les collectivités territoriales, les organisations non gouvernementales et les citoyens. Nous sommes tous devenus des cibles et chaque type de cible requiert des attentions particulières et adaptées.

Y a-t-il des pistes de progrès identifiées ?

Nous travaillons au service du gouvernement et des administrations de l’État et nous avons étendu notre action aux opérateurs d’importance vitale (OIV) depuis que la loi nous en a ouvert la possibilité en décembre 2013**. Télécoms, énergie, transports…nous travaillons avec tous les secteurs importants pour la Nation et la vie quotidienne des Français afin d’augmenter la sécurité de leur infrastructure informatique la plus sensible. Nous nous employons aussi à ouvrir le champ d’intérêt de l’ANSSI, au-delà de l’État et des «opérateurs d’importance vitale », mais nous avançons à la vitesse de nos capacités, avec comme objectif de répondre aux attentes des responsables et de leur apporter des solutions.

Quelles solutions leur apportez-vous ?

Un des volets de notre mission est de pouvoir présenter des produits de confiance aux opérateurs concernés, ce qui implique une politique industrielle sous-jacente destinée à aider à la conception de ces produits et évaluer leur sécurité. Un volet tout aussi important est de pouvoir identifier des prestataires compétents et de confiance, car la cybersécurité repose également sur des services. Aujourd’hui, un client doit pouvoir se tourner vers des prestataires de confiance qui s’engagent à respecter une charte de confiance et sont compétents pour intervenir. En France, nous avons des prestataires présentant ces deux caractéristiques et nous avons la charge de les identifier en toute transparence et de les labelliser.

Est-ce que l’organisation de l’ANSSI vous convient ?

L’ANSSI a été créée en 2009, avec 100 collaborateurs au départ. Fin 2014 nous serons 400, ce qui est une croissance extrêmement très rapide, et nous serons près de 600 en 2017. Le recrutement et l’intégration des compétences sont donc une priorité qui mobilise l’encadrement. En 2014, nous avons accueilli une centaine de personnes, avec une attention particulière portée à l’intégration et à la fluidité du fonctionnement. Donc nous adaptons en permanence les procédures, pour aller de pair avec cette croissance forte. Il faut noter qu’il s’agit de métiers nouveaux: nous n’avons pas de référence sur ce que serait une agence de cybersécurité efficace, donc nous nous adaptons avec l’objectif de professionnaliser notre organisation pour être en mesure d’accomplir nos missions.

Aux Assises de la sécurité et des SI, en octobre à Monaco, vous disiez que «la période d’évangélisation à la cyber menace était passée et qu’il fallait maintenant réagir et passer à l’action». Qu’entendez-vous par là ?

Nous sommes déjà dans l’action car, aujourd’hui, l’ANSSI a une activité opérationnelle sur les réseaux sensibles qui comprend la détection des attaques informatiques, leur traitement et le renforcement de la sécurité des systèmes d’information visés. En matière d’évangélisation, l’ANSSI et d’autres ont fait beaucoup pour expliciter les risques, la réalité nous ayant bien aidés d’ailleurs à cette prise de conscience. Pour vraiment convaincre d’éventuelles réticences, il convient de parler avec les dirigeants de l’entreprise ou de l’organisation pour leur expliquer que le retour sur investissement en matière de cybersécurité doit être géré différemment des autres investissements, mais qu’il fait néanmoins partie des mécanismes de bonne gestion, car une attaque informatique porte sur l’ensemble de la chaîne de valeur de l’entreprise. La difficulté est de valoriser ce risque, mais le sujet progresse, par exemple grâce aux travaux des assureurs.

«Arrêter de se faire siphonner par nos amis», disiez-vous à Monaco… Pensez-vous qu’il y ait une différence entre se faire pirater par un «ami» ou un «non-ami» (puisque la France n’a pas d’ennemi déclaré) ?

Nous n’avons ni ennemi ni ami dans le cyberespace. Nous avons des alliés dont nous avons besoin, mais ces alliés s’intéressent parfois de près à ce que nous faisons. Nous sommes dans un contexte géopolitique complexe, avec des États ou des groupes qui sont actifs dans les réseaux de communications électroniques et qui peuvent faire appel à des capacités offensives pour nous nuire. Dans le domaine du renseignement, les révélations faites par Edward Snowden depuis deux ans montrent que la France est une cible. Ce qui importe, c’est de se défendre à la hauteur du risque, en y consacrant les moyens nécessaires. Donc soyons crédibles en matière de cybersécurité, défendons nos biens matériels et immatériels les plus précieux, qu’il s’agisse d’informations de souveraineté, de patrimoine intellectuel, de capacités économiques et militaires, ou plus largement de la vie numérique des Français.

Le nouveau supercalculateur baptisé OCCIGEN, fourni par Bull à GENCI (l’Agence française pour le calcul intensif), repose sur la solution Lustre d’Intel. N’est-ce pas dangereux pour un outil qui va voir passer des masses de données sensibles ?

Là encore, je reste optimiste grâce à mon expérience dans le domaine de la Défense. Il y a un certain temps qu’on ne fabrique plus de microprocesseurs et qu’on ne maîtrise plus le silicium à 100 %, à part ce que la direction générale de l’armement (DGA) fabrique en toute petite échelle pour le cœur de certains systèmes d’armes. Mis à part cette exception anecdotique, les serveurs que l’administration et les entreprises achètent, et quantité de briques intégrées dans des systèmes très sensibles, ne sont pas fabriqués en France. Pour autant, a-t-on abandonné notre souveraineté dans ce domaine? Je ne le pense pas et je ne suis pas le seul de cet avis. En effet, si nous raisonnons en termes d’architecture, il y a des briques que l’on peut acheter n’importe où, d’autres qu’il faut acquérir chez des partenaires de confiance, d’autres qu’il faut faire fabriquer en France par des entreprises habilitées et enfin ces briques tellement sensibles que leur fabrication n’est pas déléguée et reste le fait d’équipes étatiques très spécialisées. Les algorithmes cryptographiques classifiés Défense sont ainsi fabriqués par des équipes de la DGA et évalués par les cryptographes de l’ANSSI. Avec ces deux petites équipes, nous sommes au cœur de la souveraineté. La question se pose pour les briques sensibles nécessitant de la confiance et pour les architectures: est-on capable de les fabriquer en France ? C’est tout l’enjeu de la politique industrielle, du ministère de la Défense entre autres, de faire en sorte de conserver cette capacité sur le territoire.

D’une façon générale, est-ce que pour vous la notion de souveraineté va de pair avec le label open source ?

Il n’y a pas pour moi d’opposition entre open source et souveraineté. L’open source est un modèle, qui a de nombreuses vertus dont il faut utiliser les avantages et éviter les défauts. En général, nous ajoutons à une base open source des développements complémentaires qui ne sont pas en segments partagés: c’est le cas des SIEM de l’État par exemple. Participer à des communautés open source permet de bénéficier des travaux réalisés par d’autres éditeurs, d’autant que ces communautés peuvent être réduites à quelques acteurs autour de l’État. La modèle open source doit donc être adapté et utilisé en fonction de nos contraintes. Je suis par ailleurs conscient de la nécessité de reverser du code à la communauté. Nous avons sans doute quelques progrès à effectuer en ce domaine.

La filière numérique française est-elle vraiment encouragée par des commandes concrètes de l’administration ?

Ne nous plaignons pas d’avoir en France un code des marchés publics qui oblige les marchés à se dérouler de façon transparente. Ce code n’indique pas qu’il faut systématiquement acheter auprès de celui qui vend le moins cher, ou qu’il faut obligatoirement mettre en concurrence tous les acteurs de la planète. Si on a la volonté d’acheter des produits de confiance qualifiés par l’ANSSI, c’est tout à fait réalisable. Il faut donc d’une part évangéliser encore les administrations et d’autre part expliquer aux acheteurs la méthode à adopter pour sélectionner des produits qualifiés dans le cadre des marchés publics. C’est pourquoi nous avons produit, avec le ministère de l’économie, des finances et de l’industrie un guide détaillant la marche à suivre. Il est disponible sur le site de l’ANSSI. Je comprends donc très bien que des PME, comme celles du groupement Hexatrust, dont le lancement a été soutenu, souhaitent désormais accéder à des commandes de l’administration. Non seulement la commande publique crée du chiffre d’affaires pour les PME - c’est essentiel - mais elle crée également une référence qui a une valeur, notamment à l’export.

Quand on regarde la liste des produits certifiés par l’ANSSI et qu’on écarte les produits de Thales, Bull, Safran, Airbus Defence and Space et leurs filiales, il ne reste pas grand-chose. L’encouragement de la filière PME/TPE ne passe-t-il pas simplement par-là ?

Oui ! Il faut clairement encourager la qualification des PME. Pour autant, la qualification doit refléter une vraie confiance dans le produit et l’entreprise, ce qui sous-entend un travail de l’ANSSI approfondi, long et des tests nombreux. Cela prend du temps et coûte cher. Les grands groupes disposent d’équipes dédiées habituées à pratiquer ce type de démarche qualificative. C’est beaucoup plus compliqué pour une PME de 10 personnes de détacher un collaborateur à la démarche d’évaluation. Je pense également qu’il est souhaitable de conseiller les PME en amont, dès la conception des produits, cela permet d’ailleurs de mieux préparer l’évaluation.

«Relocaliser les données en France» disiez-vous à Monaco. N’y va-t-il pas un problème de coûts ?

Peut-être un peu, encore faut-il regarder précisément de combien. Aujourd’hui, dans un Data Centre, il n’y a pratiquement aucun humain, donc pourquoi l’implanter dans un pays à la main d’œuvre peu chère? Autant les activités à forte présence humaine peuvent entrainer des surcoûts importants attachés aux salaires et aux taxes sur les salaires, autant quand il n’y a pratiquement personne on peut se demander quelle est la justification économique d’une délocalisation? Si le surcoût est minime, on doit pouvoir l’assumer. Un dumping trop accentué doit nous conduire à nous interroger sur d’éventuelles arrière-pensées obscures…

Où en est le groupe de travail sur la protection des SCADA*** ?

Le sujet est essentiel. Le groupe de travail fonctionne et la coopération avec les clients et les équipementiers, français comme étrangers, se passe très bien. Le constat est clair: la cybersécurité n’a pas été prise en compte sur les systèmes industriels, dont les SCADA sont une composante. Nous allons devoir défendre les SCADA existants chez les OIV, ce qui nécessite une volonté financière de leurs responsables, et par ailleurs élaborer des solutions nouvelles qui répondent aux besoins, de façon à très rapidement élever le niveau de sécurité des systèmes industriels avant que n’arrive une catastrophe. Les arrêtés concernant l’article 22 de la loi de programmation militaire vont être publiés en 2015 sur ce sujet pour les différents secteurs. Nous développons actuellement des pilotes de SCADA avec les opérateurs. Les nouveaux équipements, incluant des mécanismes de sécurité robustes, passent par une logique d’évaluation.

Quel est votre objectif pour l’année 2015 ?

C’est clairement la définition précise des règles de sécurité, dans le cadre de la loi de programmation militaire, pour les opérateurs d’importance vitale. Ce ne sont pas que des mots, puisqu’il est impératif de définir en collaboration avec eux les règles de sécurité qui vont significativement élever leur niveau de sécurité tout en restant soutenable humainement et financièrement. L’autre objectif est de continuer à développer une politique industrielle afin de doter la France d’une industrie de la cybersécurité forte et sérieuse. Elle devra offrir des solutions fonctionnelles de bon niveau de confiance, sans pour autant être enfermée en France, ce qui signifie que la coopération doit rester ouverte avec des partenaires hors de France pour pouvoir aborder la compétition internationale.

*ANSSI : Agence Nationale de la Sécurité des Systèmes d’Information www.ssi.gouv.fr

** Articles 21 à 25 de la loi n°2013-1168 du 19 décembre 2013.

***SCADA : Supervisory Control And Data Acquisition. Système de télégestion permettant de contrôler à distance des installations techniques