Overblog Suivre ce blog
Administration Créer mon blog
3 octobre 2016 1 03 /10 /octobre /2016 10:55
16ème Assises de la sécurité et des systèmes d’information – ITW de Guillaume Poupard par SDBR

 

03.10.2015 par Alain Establier SECURITY DEFENSE Business Review n°157

 

A la veille de l’ouverture des 16ème Assises de la sécurité et des systèmes d’information, SDBR a interviewé Guillaume Poupard qui doit y prononcer le discours d’ouverture

 

SDBR : Envisagez-vous d’étendre le champ d’intervention de l’ANSSI ?

 

GP : Très clairement la sécurité de l’Etat, la sécurité de la Nation, la sécurité des Opérateurs d’Importance Vitale (OIV), tout étant étroitement lié, restent notre priorité car c’est la raison d’être de l’ANSSI. Beaucoup a été fait dans le prolongement de la Loi de Programmation Militaire (LPM) pour la protection des OIV. Sans faire de l’autosatisfaction, je suis ravi de la qualité du dialogue qui s’est instauré avec les ministères et avec les OIV. Pour autant, le reste du champ économique n’est que partiellement couvert par le dispositif national de cybersécurité. Ce qui n’est pas satisfaisant : par exemple, des PME ont fermé suite à des attaques de type « ransomware », car d’un jour à l’autre ces PME n’ont plus eu accès à leurs données ; des hôpitaux sont aussi la cible de ce type d’attaques. Il nous faut donc continuer à travailler sur ces sujets, car l’environnement des OIV est lui-même constitué d’une multitude de PME pouvant devenir des cibles. Se pose également la question de la protection de nos concitoyens, qui n’entre pas dans la mission de l’ANSSI mais pour lesquels l’ANSSI se sent tout de même une vraie responsabilité pour les aider face à la menace informatique, d’où l’idée lancée en octobre 2015 de développer un dispositif d’assistance aux victimes d’actes de cyber-malveillance.

 

Comment se concrétise ce dispositif d’assistance aux victimes d’actes de cyber-malveillance ?

 

C’est une véritable start-up  pour laquelle l’ANSSI joue le rôle d’incubateur, en collaboration avec le ministère de l’Intérieur. Son but est de devenir autonome, pour apporter des messages de prévention auprès du grand public et des TPE et pour leur apporter des solutions en cas de problèmes. La première étape va être de constituer un site Internet de réponses pratiques aux questions et d’adresses de prestataires informatiques référencés, capables de fournir une aide de proximité. L’autre point important de cette démarche est de pouvoir collecter des chiffres sur les attaques visant les petites structures pour avoir une idée plus précise du risque et pouvoir faire entrer dans le jeu les assureurs, des représentants des victimes et des représentants des entreprises. Ce dispositif permettra d’avoir une sorte d’observatoire de la cybercriminalité. Sa mise en place progressive se fera en 2017.

 

Pensez-vous que la France avance plus vite que ses voisins dans la mise en place de protection ?

 

Par rapport à ce que j’observe à l’Etranger, il y a eu en France une prise de conscience relativement ancienne qui se concrétise aujourd’hui selon un modèle positif : tous les acteurs (publics ou privés) poussent dans le même sens. L’équilibre trouvé entre les différents acteurs fonctionne très bien à mon sens, ce qui ne signifie pas pour autant que nous soyons en risque zéro.

 

Que pensez-vous des chiffres d’attaques qui circulent ici ou là ?

 

Nous avons mis quelques chiffres dans notre rapport d’activité 2015 : plus de 2300 codes malveillants collectés, 4000 signalements reçus (50% de plus qu’en 2014), une vingtaine d’incidents majeurs de sécurité traités, 15 alertes sur des vulnérabilités critiques. Aujourd’hui, personne n’a d’observatoire fiable en termes d’attaques mais le nombre de sinistres augmente. Il y a aussi toutes les attaques que personne ne voit car les victimes ignorent qu’elles ont été attaquées, ce qui à mon avis représente la grande masse des victimes ! Ce dont nous sommes sûrs, c’est que le domaine des attaques informatiques est un domaine en croissance. Les attaquants sont plus nombreux, plus organisés et plus forts, même si, en même temps, les entreprises sont mieux armées pour détecter les attaques et la sensibilisation des personnels y est plus forte. Le business des attaquants est très rentable, que ce soit en matière d’espionnage étatique ou économique, et le numérique va devenir un moyen d’action privilégié, seul ou en combinaison avec des moyens classiques. Les attaques sur les entreprises peuvent aussi être indirectes pour les atteindre ou les déstabiliser : exemple, nous constatons des attaques sur les agences de notation économique, ce qui n’a a priori rien à voir avec telle ou telle entreprise, pour obtenir des informations avec 48H d’avance et faire ensuite des opérations de bourse avec délit d’initié !    

 

Quid des données personnelles dans tout ça ?

 

Quand des données personnelles sont compromises dans le cadre d’une attaque, il y a souvent un dilemme entre prévenir les employés et préserver l’entreprise en gardant le secret sur l’attaque. Il faut donc trouver un bon équilibre entre la protection des données et la protection de l’entreprise.

 

Considérez-vous que le parcours de certification, pour une PME, soit plus facile aujourd’hui ?

 

En France, nous avons d’excellentes PME qui produisent des services de qualité, qui sont des tiers de confiance mais qui ne se prêtent pas bien à la démarche de certification : elles ne savent pas quoi faire évaluer, le processus d’évaluation est assez difficile et coûteux pour elles. Pour autant, ces PME constituent des briques intéressantes qui contribuent au développement de l’écosystème, même si ces PME ne sont pas dans la liste qualifiée par l’ANSSI. Il faut donc admettre que le processus de certification / qualification n’est pas adapté à l’ensemble des acteurs. Cependant, la signature de certification du directeur général de l’ANSSI est donnée en délégation du Premier ministre, c’est donc un acte fort qui correspond à une démarche importante qui ne peut être dégradée pour des raisons de convenance. Nous avons essayé de couvrir l’ensemble du champ des acteurs avec la Certification de Sécurité de Premier Niveau (CSPN), beaucoup plus légère (20 à 30 jours d’expertise) et à des coûts plus accessibles : c’est une réponse en termes de confiance pour certaines sociétés. En matière de label, nous avons contribué à développer le label « France Cyber security » qui permet de montrer les nombreuses offres françaises et de valoriser le savoir-faire national. Ce label a été attribué à 70 entreprises, petites et grandes, et c’est un moyen pour les petits acteurs du marché d’être plus visibles. Dans certains cas, lorsque nous considérons qu’une PME mérite d’être aidée à faire le parcours de certification, l’ANSSI et la BPI financent le coût du certificateur (labo CESTI), l’entreprise n’ayant plus à sa charge que le détachement d’un collaborateur pour constituer le dossier de certification. C’est notre façon d’encourager quatre ou cinq fois par an des entreprises prometteuses.

 

Vous avez dit lors de l’Université d’été Hexatrust, le 01/09/2016, qu’il fallait sûrement « marketer » la démarche de certification de l’ANSSI… Qu’entendez-vous par là ?

 

Cette démarche avait été conçue autour des cartes à puces, qui ont des durées de vie relativement longues. Aujourd’hui, avec le développement des logiciels qui ont une durée de vie parfois extrêmement courte, il est vrai que nous devons adapter la certification à la durée de vie de ces produits tout en lui gardant un sens. Nous devons probablement mieux expliquer les différents niveaux de certification (CSPN, certification Critères Communs, qualification, label France Cybersecurity) et ce qu’ils apportent à l’entreprise. Pour beaucoup de clients qui ne vivent pas dans notre écosystème, il serait souhaitable de leur donner une plus grande simplicité de lecture et de compréhension de ces certificats. Nous devons faire un effort d’explication, certainement grâce à des visuels simplificateurs.

 

A propos de la directive NIS, vous avez appelé à être vigilant sur les disparités qui pourraient intervenir en Europe créant des sortes de « franchise sécuritaire ». Comment ?

 

Nous disposons de l’accord SOG-IS signé entre dix pays européens ayant une approche commune de la notion de certification via les « critères communs ». C’est un accord de reconnaissance mutuelle, y compris à de hauts niveaux d’évaluation, qui permet de reconnaître le travail accompli dans les autres pays signataires. Il est vrai que 10 sur 27 est insuffisant et nous appelons à une démarche commune de certification réellement européenne. La Commission y est favorable et cette démarche doit donc être étendue aux 27 pays. Dans les dix pays de l’accord SOG-IS, il n’y a pas de franchise sécuritaire et les signataires sont vigilants à vérifier la qualité des travaux de chacun. La transposition de la directive NIS sera harmonisée dans chaque pays et il faudra veiller à ce que les travaux effectués dans les autres pays ne créent pas de distorsions de sécurité et de concurrence.

 

Vous avez évoqué récemment l’idée d’une sorte de showroom permanent de la filière numérique. Qu’entendez-vous par là ?

 

J’observe que certains pays vendent très bien leurs solutions, savent recevoir les délégations étrangères et leurs font des shows formidables pour qu’ils repartent avec des étoiles plein les yeux. En France, nous avons plutôt une démarche d’ingénieur, très technique, où l’aspect marketing est souvent négligé. Face à des clients étrangers qui veulent acheter français, nous ne sommes pas toujours capables de faire la démonstration des produits français et de montrer qu’ils peuvent fonctionner ensemble. C’est le but d’un showroom. L’ANSSI n’a pas vocation à faire du marketing, mais notre position nous amène à constater un vrai manque dans ce domaine. Il manque à Paris une capacité d’accueil VIP à qui montrer, en confidentialité, des solutions françaises compatibles dans un showroom cybersécurité. Il faut donc un espace, un financement et la volonté des différents acteurs à montrer non pas des briques mais des solutions intégrées répondant à des problématiques.     

 

L’été a été animé par un débat sur d’éventuels backdoors pour lire les communications chiffrées. Quel est votre avis ?

 

Nous sommes face à un vrai problème. Tout le monde est d’accord pour dire qu’il faut développer les technologies de sécurité, qu’il faut protéger nos Etats, notre industrie, nos concitoyens face à une multitude de menaces, ce qui passe entre autres par une technologie de chiffrement. On n’a donc pas à être pour ou contre le chiffrement : c’est une technologie dont nous avons besoin pour une multitude d’usages ! A la limite, ces technologies efficaces peuvent être utilisées par des individus malfaisants et par des ennemis de la France. Se pose la question de la façon de pérenniser les dispositifs d’interception légale (de sécurité et judiciaire) ciblée, dont nous avons besoin, en évitant les interceptions de masse illégales : s’il y avait des solutions simples, elles seraient mises en œuvre depuis longtemps et il n’y aurait pas de débat… Toute solution caricaturale restera donc caricaturale et inefficace. Avec les opérateurs classiques, il existe un dispositif qui fonctionne dans le respect de la Démocratie. La question est : comment pérenniser ce dispositif qui donne satisfaction dans le cadre de l’évolution technologique ? Les entreprises qui chiffrent leurs messages ont des solutions, en cas de nécessité, pour accéder au contenu de leur messagerie. Il faut sûrement s’en inspirer même si leur périmètre est restreint. Les discussions interministérielles avancent sur ce sujet, mais ce sera long.

Repost 0
30 juin 2015 2 30 /06 /juin /2015 19:55
Renseignement : «Une centaine d’attaques graves ont été détectées depuis 2009»

L’Agence nationale de la sécurité des systèmes d’information a été créée en 2009.

 

30 juin 2015 par Pierre ALONSO  - Liberation.fr

 

INTERVIEW A la tête de l'Anssi, l'agence chargée de la protection des communications sensibles en France, Guillaume Poupard défend son action et avance de nouvelles pistes pour lutter contre l'espionnage.

 

En France, la protection des communications incombe à l’Agence nationale de la sécurité des systèmes d’information (Anssi). Son directeur, Guillaume Poupard, réagit par e-mails à la publication des documents publiés par WikiLeaks, prouvant l’espionnage économique et politique de la France par les Etats-Unis.

 

Dans les documents de la NSA, l’agence américaine indique clairement se livrer à un espionnage économique massif de la France. Etes-vous surpris par son ampleur et son caractère manifestement systématique ?

 

La protection des activités sensibles des entreprises, qu’elles soient techniques ou commerciales, doit impérativement devenir une préoccupation majeure pour l’ensemble des dirigeants et ce quel que soit leur domaine d’activité et l’origine présumée des actions d’espionnage économique. La prise en compte d’une menace majeure relative à la sécurité informatique des données sensibles dans les entreprises fait partie des scénarios graves envisagés dès 2008 par le livre blanc de la défense et de la sécurité nationale, menace largement confirmée dans la version de 2013.

 

Estimez-vous que les moyens dont dispose l’Etat pour protéger ses communications sont efficaces ? La confidentialité des téléphones Teorem, utilisé par l’exécutif pour les sujets sensibles, a-t-elle pu être compromise ?

 

La France fait partie des rares pays capables de développer leurs propres produits de sécurité y compris pour les très hauts niveaux de sécurité. Les autorités françaises disposent notamment d’une solution de téléphonie chiffrée appelée Teorem capable de protéger les communications jusqu’au niveau «secret défense». Réalisé en étroite coopération avec la direction générale de l’armement, ce produit offre un niveau d’assurance très élevé, y compris contre les agences de renseignements les plus puissantes. Le prix à payer pour une telle robustesse est une perte d’ergonomie par rapport aux solutions grand public les plus modernes. L’usage de ces solutions nécessite donc un accompagnement des utilisateurs et une certaine discipline.

Par ailleurs, des solutions de compromis permettant d’éviter la majorité des menaces informatiques tout en préservant les fonctionnalités des smartphones les plus modernes est en cours de généralisation au sein des ministères.

 

Suite de l’article

Repost 0
13 février 2015 5 13 /02 /février /2015 07:55
photo CyberCercle

photo CyberCercle


12.02.2015 par Le Fauteuil de Colbert
 

Grâce à Nicolas Caproni (@ncaproni), Eric Egea (@eric_egea) et le Cyber cercle (@CyberCercle), la troisième rencontre parlementaire sur la cybersécurité, consacrée à la "marétique", pouvait être suivie depuis Twitter.

 

Le propos qui va suivre n'est qu'une reprise augmentée (de ma seule responsabilité) des tweets (tous disponibles sur @FauteuilColbert, dans le module sur votre droite depuis cette page ou sur Twitter via #RPCybermaritime) de ces trois personnes. Merci à elle de nous permettre de suivre la conférence donnée depuis partout dans le monde.

 

Au passage, nous observons que le réseau social dans ce cas précis permet de décupler un auditoire physique de 100 ou 200 personnes.

 

La cybersécurité des bateaux : des enjeux majeurs

 

La première table ronde était conduite sous la présidence du vice-amiral Coustillière. Il évoquait une prise de conscience du milieu maritime face aux risques inhérent au cyberespace.

 

L'un des enjeux pour les armateurs est la protection des systèmes à terre. En mer, un autre enjeu primordial est la possibilité de faire dévier de sa route un navire via une cyberattaque. Ce qui invite à revenir sur la question de la certification des logiciels dans le monde maritime civil. Contrairement au monde aérien, il n'existe pas encore d'assurance qualité de ces logiciels.

 

Les navires comme les infrastructures à terre fonctionnement sous les systèmes d'exploitation Windows ou Linux. Des OS qui ne sont pas durcis. Les spécialistes du secteur n'ont de cesse de répéter des OS bénéficient de réputation sans commune mesure avec leur niveau de sécurité réel. Et de rappeler que certaines technologies sont fiables, bien qu'anciennes : un télex ne subit pas de cyberattaque !

 

La cybersécurité des navires est ainsi devenu un enjeu qui doit être pris en comtpe dès la conception et la construction du navire. Une mauvaise architecture des logiciels, des réseaux ou une absence de certification peut conduire à des vulnérabilités critiques. Par exemple, les codes open source sont réutilisés sans être audité. Le noeud le plus critique dans la configuration actuelle est l'interconnexion de tous ces systèmes.

 

La table ronde évoquait également le risque de la dépendance des équipages aux systèmes de navigation sophistiqués. Elle conduisait l'auditoire à prendre en considération un nouveau risque où un navire, incapable de fonctionner en mode dégradé, suite à une attaque ou une avarie, ne pourrait plus être manoeuvré. Les moyens mécaniques de secours disparaissent. Une panne informatique peut aujourd'hui bloquer un bateau. L'humain est toujours la cheville ouvrière dans ces situations. Ce dernier peut-il se passer aujourd'hui des systèmes informatiques à bord ? Nos intervenants de répondre que non. 

 

Faits qui ne manqueront pas de relancer le débat dans la dialectique entre les normes militaires et civiles, les secondes s'appliquant de plus en plus souvent à une partie des flottes militaires.

 

Plus que la panne informatique, il est aussi question de la cyberattaque. La Marine nationale, par exemple, utilise des logiciels SCADA, presque identiques à ceux visés par Stuxnet. Rappelons que cette catégorie de logiciels apparaît dans tous les secteurs industriels, aussi bien les installations et équipement des navires militaires et civils que dans toutes les industries. En 1983, un gazoduc soviétique explosait, vraissemblablement, suite à une malfaçon placée au sein d'un logiciel de type SCADA. Stuxnet visait la même logique mais à l'échelle d'une usine d'enrichissement d'uranium. Le degré de complexité est sans commune mesure en une trentaine d'années.

 

La Marine nationale, par la voix du capitaine de corvette Malbec, présentait ses actions en matière de marétique. La Royale émet des certifications cyber avant d'autoriser un navire à naviguer.

Entre parenthèses, la Marine nationale communiquait sur ce point à propos du programme FREMM où la problématique semble avoir été prise en compte dès la conception.

 

La DGA de faire savoir que des simulations de cyberattaques sont menées pour tester les systèmes mais cela n'écarte pas les risques inhérent aux cyberattaques d'opportunités. Considérations qui nous renvoie aux réflexions actuelles sur le nécessaire développement d'une capacité de réponse face à une intrusion dans les systèmes.

 

Enfin, nos intervenants concluaient cette table ronde en affirmant que le niveau le plus pertinent pour lutter contre la cybercriminalité est l'international. Notamment pour unifier et concerter la réponse des armateurs face à ces menaces.

 

La cybersécurité des infrastructures portuaires : une dimension fondamentale de sécurité 

 

Succédant au vice-amiral Coustillière, le directeur général de l'ANSSI, Guillaume Poupard, venait présider la seconde table ronde dédiée aux infrastructures portuaires. Deux ports civils (Marseille et le Havre) et les bases navales par la voie de la Marine présentaient ces questions.

 

Le port de Marseille insistait sur la nécessité d'identifier les systèmes critiques interconnectés puis leur vulnérabilité. Toutefois, le représent du grand port du Levant ne pouvait que revenir sur cette vulnérabilité humaine des systèmes d'informations et de commandement. Une négligence du personnel peut conduire à fragiliser toute l'architecture de sécurité. C'est pourquoi des solutions d'analyse comportementales sont utilisées sur les portes de travail.

 

Le port du Havre mettait en avant l'omniprésence de l'informatique dans les infrastructures portuaires. C'est pourquoi la cybersécurité est intégrée en amont des projets informatiques.

 

 

Deux questions transversales aux ports civils étaient posés. D'un côté, une des personnes qui suivait la conférence remarquait que la question des bornes wifi dans les ports est aussi une source potentielle de vulnérabilités. Elles peuvent potentiellement donner accès aux systèmes d'information du port. Les navigants s'y connectent régulièrement tant avec leurs moyens professionnels que personnels. Pirater les systèmes du port est une porte ouverte aux cyberattaques d'altération et d'infiltration mais aussi de destruction. Ensuite, le PDG de Securymind demandait qui est propriétaire de l'information, ce qui revient à demander qui doit la protéger ? Une matérialisation des cyberattaques pouvant toucher un port est l'exemple récent du port d'Anvers, l'un des premiers ports européens et du monde.

 

Le capitaine de vaisseau de Foucauld commençait son intervention en rappelant que la Royale ne part pas de zéro sur ces questions. L'habitude de la protection du secret initiait une culture de protection et de gestion de l'information qui n'est pas sans rapport avec la marétique. La Marine investit sur la sensibilité et la formation à la cyberdéfense. L'hygiène numérique concerne tous les militaires !

Les enjeux ne sont pas les mêmes entre les ports militaires et civils. Ils sont différents par la nature des activités qui s'y déroulent. Cela se traduit par des flux différents tant en nature qu'en rythme. Dans un port militaire, beaucoup d'opérations de maintenance nécessitent l'emploi des systèmes informatiques, ils constituent dès facto une cible. L'un des principaux enjeux réside dans la nécessaire cartographie des systèmes équipant les ports et les navires. L'attention doit aussi se porter sur l'interface navires/port.

Reprenant le large, l'officier d'avancer que plus jamais de bateaux seront lancés sans dispositif de cybersécurité, peu importe le coût !  Aussi, le CV de Foucaud de s'inquiéter à propos du système AIS qui n'est absolmument pas sécurisé. Le système LRIT peut être un palliatif mais il a un coût. 

 

L'ANSSI s'exprimait au cours de cette table ronde. L'agence ne pouvait pas faire l'économie de la citation de l'article 22 de la loi de programmation militaire qui lui donne de nouvelles responsabilités et prérogatives dans la protection des Opérateurs d'Importance Vitale (OIV). Nouveauté qui aide l'ANSSI à harmoniser les systèmes et les pratiques. Une liste comptabilise 218 opérateurs, son contenu est secret. Peut être quelques infrastructures portuaires ou quelques navires peuvent être concernés. L'ANSSI partageait son expérience, notamment sur des cas où des infrastructures portuaires servaient de relais pour des cyberattaques. Elles étaient victimes mais à titre collatéral. L'autre volet concerne aussi la nécessaire émergence d'un tissu industriel de confiance pour répondre à une partie des vulnérabilités identifiés, notamment au cours des deux tables rondes. La sécurité des systèmes d'informations et de commandement a un coût, les investissements doivent se faire dans cette voie. Et ils doivent être réalisés intelligemment car un logicel de sécurité mal utilisé n'est plus un investissement mais un coût.

Repost 0
29 janvier 2015 4 29 /01 /janvier /2015 16:55
Géopolitique des systèmes d’information

 

29.01.2015 par Jean-François Fiorina - notes-geopolitiques.com

 

Polytechnicien, spécialiste de cryptographie, Guillaume Poupard est le directeur de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), service interministériel redoutablement efficace rattaché au Premier ministre. 

Face aux multiples menaces cybernétiques, l’ANSSI défend non seulement nos intérêts vitaux, mais aide les entreprises françaises à relever les défis de la guerre économique. Car contrairement à certaines idées reçues, Internet et le monde informatique n’ont pas effacé les frontières.

Et c’est bien à une naissance d’une géopolitique du cyberespace, ancrée dans le réel, que nous assistons. Les récents et tragiques événements de ce mois de janvier le confirment.


 

Quel est votre parcours et comment êtes-vous arrivé à la tête de cette prestigieuse institution qu’est l’ANSSI ? Quelle est votre mission ?

Polytechnicien et ingénieur de l’armement option recherche, j’ai toujours été passionné par la cryptographie, au point d’avoir soutenu une thèse de doctorat en 2000 en ce domaine à l’École normale supérieure de Paris. J’ai tout naturellement commencé ma carrière comme expert puis chef de laboratoire de cryptographie à la Direction centrale de la sécurité des systèmes d’information, l’ancêtre de l’actuelle Anssi, Agence nationale de la sécurité des systèmes d’information. En 2006, j’ai rejoint le ministère de la Défense, en me spécialisant dans la cyberdéfense, avant de rejoindre la Direction générale de l’armement (DGA) comme responsable du pôle « Sécurité des systèmes d’information ». En mars 2014, j’ai eu le plaisir de revenir à mes origines en étant nommé directeur général de l’ANSSI.

S’il est vrai que nous comptons beaucoup d’ingénieurs dans les rangs de l’ANSSI, nous nous efforçons cependant d’ouvrir nos rangs à des spécialistes venant d’autres horizons. Le domaine de la sécurité est certes marqué du sceau de la technique, mais l’on ne peut se cantonner à la seule logique du technicien. Il est au contraire souhaitable de bénéficier du savoir-faire et de l’expérience de spécialistes issus d’autres champs d’activités, comme les sciences humaines par exemple.

D’autant que la mission de l’ANSSI couvre de larges domaines. En effet, autorité nationale en matière de sécurité et défense des systèmes d’information, l’ANSSI est interministérielle, placée sous l’autorité du Premier ministre.

De la sorte, notre perception est globale et notre sphère d’activité s’étend bien au-delà des traditionnelles questions de défense et de sécurité. Nous travaillons ainsi en étroite collaboration avec différents ministères – comme Bercy ou les Affaires étrangères – qui ont les uns et les autres de plus en plus de choses à nous apporter.

Les menaces cybernétiques s’étendent désormais tous azimuts. Nos industries – qu’elles soient grandes ou petites – sont toutes concernées, car leur savoir-faire comme leur patrimoine peuvent être pillés.

La sécurité informatique est vitale. D’ailleurs, nous observons le développement d’une industrie dédiée à ces questions, non seulement en France mais également en Europe, à même d’apporter des réponses concrètes. Notre action vise donc tout à la fois à susciter une offre en ciblant la réalité des menaces et à répondre à la demande avec des produits et services appropriés. Enfin, nous pouvons être amenés à conduire nous-mêmes des opérations très concrètes. Raison pour laquelle, au-delà des fonctions de prévention et de conseil, nous avons ajouté une capacité opérationnelle à nos compétences.

 

Dans notre monde globalisé, les menaces sont nombreuses et en perpétuelle évolution, ce qui doit singulièrement compliquer votre tâche…

Les menaces évoluent sans relâche, à l’échelle planétaire. D’où la nécessité de les déceler au plus tôt, voire de les anticiper, pour que les usages soient sécurisés. Nous avons d’excellents experts, qui sont tout à la fois capables de gérer des dossiers confidentiels, voire classifiés, tout en gardant une très grande ouverture sur le monde extérieur.

C’est un positionnement quasiment schizophrénique pas toujours aisé à assumer j’en conviens, mais nos experts sont solides et recrutés sur des critères très précis. D’autant que nous les incitons simultanément

à consacrer une large part de leur temps à la recherche et à publier dans des revues académiques, ce qui nous permet de les maintenir à bon niveau. Voilà pour l’aspect expertise. Nous offrons aussi des prestations de conseil à toutes sortes d’interlocuteurs, ce qui nous oblige à moduler et adapter notre discours.

Les dirigeants, dans leur immense majorité, sont réceptifs à notre discours, ils savent que si leur entreprise a une valeur, c’est qu’elle détient de l’information, un savoir-faire, qu’il convient de protéger. Si l’entreprise est pillée ou attaquée, il y a un impact souvent capital pour sa survie.

Longtemps, le sujet de la sécurité a été cantonné aux seuls techniciens. La tendance s’est inversée. On observe une prise de conscience des dirigeants qui sentent bien que le monde a évolué. À nous de fournir la réponse adaptée à la taille et aux activités de l’entreprise. On n’agira donc pas sur le même mode pour une PME ou pour une entreprise d’envergure internationale œuvrant sur un créneau stratégique.

De même, nous notons un vrai intérêt de la part des parlementaires pour notre travail. Ils contribuent à faire évoluer la loi pour que nous puissions agir efficacement dans un cadre juridique approprié. La loi ne doit pas être un frein à la cyberdéfense, bien au contraire, démarche fort bien comprise par les parlementaires français.

Enfin, dans l’univers complexe de la sécurité des systèmes d’information, notre rôle est aussi d’orienter ces dirigeants sur des produits ou des prestataires de confiance.

Nous leur proposons des labels officiels, des qualifications. À cet égard, nous ne faisons preuve d’aucun manichéisme : certaines offres françaises sont refusées et d’autres, étrangères, sont validées. C’est la compétence et la confiance qui sont retenues comme critères-clés. Cette sélection se fait sous notre responsabilité.

 

Suite de l'entretien

 

 

Pour en savoir plus sur Guillaume Poupard

Depuis mars 2014, Guillaume Poupard est le directeur général de l’ Agence nationale de la sécurité des systèmes d’information ( ANSSI).

Ancien élève de l’École polytechnique (promotion X92), ingénieur de l’armement (option recherche), il est titulaire d’une thèse de doctorat en cryptographie réalisée sous la direction de Jacques Stern à l’École normale supérieure de Paris, soutenue en 2000. Il est également diplômé de l’enseignement supérieur en psychologie.

Guillaume Poupard débute sa carrière comme expert puis chef du laboratoire de cryptographie de la Direction centrale de la sécurité des systèmes d’informa- tion (DCSSI), qui deviendra en 2009 l’ANSSI.

Il rejoint en 2006 le ministère de la Défense, toujours dans le domaine de la cryptographie gouvernementale puis de la cyberdéfense.

En novembre 2010, il devient responsable du pôle « sécurité des systèmes d’information » au sein de la direction technique de la Direction générale de l’armement (DGA), responsable de l’expertise et de la politique technique dans le domaine de la cybersécurité.

L’ ANSSI assure la mission d’autorité nationale en matière de sécurité des systèmes d’information. À ce titre elle propose les règles à appliquer pour la protection des systèmes d’information de l’État et de vérifier l’application des mesures adoptées.

Dans le domaine de la défense des systèmes d’information, elle assure un service de veille, de détection, d’alerte et de réaction aux attaques informatiques, notamment sur les réseaux de l’État.

Elle a notamment pour mission de : détecter et réagir au plus tôt en cas d’attaque informatique, grâce à un centre de détection chargé de la surveillance permanente des réseaux sensibles et de la mise en œuvre de mécanismes de défense adaptés aux attaques ; prévenir la menace, en contribuant au développement d’une offre de produits de très haute sécurité ainsi que de produits et services de confiance pour les administrations et les acteurs économiques ; jouer un rôle de conseil et de soutien aux administrations et aux opérateurs d’importance vitale ; informer régulièrement le public sur les menaces, notamment par le biais du site Internet gouvernemental de la sécurité informatique, lancé en 2008, qui a vocation à être le portail Internet de référence en matière de sécurité des systèmes d’informations.

S’agissant des produits et des réseaux de sécurité, elle est chargée : de développer et d’acquérir les produits essentiels à la protection des réseaux interministériels les plus sensibles de l’État ; de mettre en œuvre les moyens gouvernementaux de commandement et de liaison en matière de défense et de sécurité nationale, notamment le réseau Rimbaud et l’intranet Isis ; de délivrer des labels aux produits de sécurité.

 

 

Repost 1
21 janvier 2015 3 21 /01 /janvier /2015 19:00
Guillaume Poupard, Directeur général de l’ANSSI

Guillaume Poupard, Directeur général de l’ANSSI

 

21/01/2015 Par Jules Darmanin - LeFigaro.fr

 

INTERVIEW - Guillaume Poupard dirige depuis près d'un an l'Anssi, l'agence interministérielle en charge de la protection informatique de la France. Il revient sur les attaques informatiques qui ont visé des milliers de sites français ces derniers jours.

 

LE FIGARO. - De quelle nature étaient les attaques de ces dix derniers jours?

 

GUILLAUME POUPARD. - Nous observons une augmentation du nombre de sites web attaqués. Les contenus de ces sites techniquement faibles ont été modifiés par des personnes qui voulaient porter un message, en général pro-djihadiste ou anti-Charlie. Le chiffre de 1300 attaques du ministre de l'Intérieur est tout à fait cohérent avec ce que l'on observe à l'Anssi. C'est important, mais ce n'est pas hors de proportion avec ce que l'on peut observer à la suite, par exemple, d'une déclaration de politique internationale majeure.

Sans que cela soit péjoratif, il s'agit de petits sites: des sites de petites communes, d'écoles qui n'avaient pas mis les moyens dans leur sécurisation. En avaient-ils vraiment besoin? La question sera probablement reposée, avec une autre acuité. Mais il n'y a pas eu de vraies attaques.

 

Suite de l’entretien

Repost 0
16 décembre 2014 2 16 /12 /décembre /2014 15:55
ITW de Guillaume Poupard, Directeur général de l’ANSSI

 

16.12.2014 parAlain Establier –SECURITY DEFENSE Business Review n°118

 

SDBR : 9 mois après votre nomination au poste dedirecteur général de l’Agence nationale de la sécurité des systèmes d’information, quel regard portez-vous sur l’ANSSI * ?

 

GP : J’ai trouvé en l’ANSSI une maison remarquable par son dynamisme et la qualité de ses collaborateurs, une maison en ordre de marche qui a su trouver sa place dans son écosystème, comme entité interministérielle faisant en sorte que chacun puisse apporter sa pierre à un édifice de la cybersécurité devenu priorité nationale. La plupart des décideurs publics et privés a compris que le risque est réel, à la hauteur des opportunités portées par le numérique. Mais la tâche est gigantesque, car nous sommes tous concernés par les problèmes de cybersécurité: l’État, les entreprises petites et grandes, les collectivités territoriales, les organisations non gouvernementales et les citoyens. Nous sommes tous devenus des cibles et chaque type de cible requiert des attentions particulières et adaptées.

 

Y a-t-il des pistes de progrès identifiées ?

 

Nous travaillons au service du gouvernement et des administrations de l’État et nous avons étendu notre action aux opérateurs d’importance vitale (OIV) depuis que la loi nous en a ouvert la possibilité en décembre 2013**. Télécoms, énergie, transports…nous travaillons avec tous les secteurs importants pour la Nation et la vie quotidienne des Français afin d’augmenter la sécurité de leur infrastructure informatique la plus sensible. Nous nous employons aussi à ouvrir le champ d’intérêt de l’ANSSI, au-delà de l’État et des «opérateurs d’importance vitale », mais nous avançons à la vitesse de nos capacités, avec comme objectif de répondre aux attentes des responsables et de leur apporter des solutions.

 

Quelles solutions leur apportez-vous ?

 

Un des volets de notre mission est de pouvoir présenter des produits de confiance aux opérateurs concernés, ce qui implique une politique industrielle sous-jacente destinée à aider à la conception de ces produits et évaluer leur sécurité. Un volet tout aussi important est de pouvoir identifier des prestataires compétents et de confiance, car la cybersécurité repose également sur des services. Aujourd’hui, un client doit pouvoir se tourner vers des prestataires de confiance qui s’engagent à respecter une charte de confiance et sont compétents pour intervenir. En France, nous avons des prestataires présentant ces deux caractéristiques et nous avons la charge de les identifier en toute transparence et de les labelliser.

 

Est-ce que l’organisation de l’ANSSI vous convient ?

 

L’ANSSI a été créée en 2009, avec 100 collaborateurs au départ. Fin 2014 nous serons 400, ce qui est une croissance extrêmement très rapide, et nous serons près de 600 en 2017. Le recrutement et l’intégration des compétences sont donc une priorité qui mobilise l’encadrement. En 2014, nous avons accueilli une centaine de personnes, avec une attention particulière portée à l’intégration et à la fluidité du fonctionnement. Donc nous adaptons en permanence les procédures, pour aller de pair avec cette croissance forte. Il faut noter qu’il s’agit de métiers nouveaux: nous n’avons pas de référence sur ce que serait une agence de cybersécurité efficace, donc nous nous adaptons avec l’objectif de professionnaliser notre organisation pour être en mesure d’accomplir nos missions.

 

Aux Assises de la sécurité et des SI, en octobre à Monaco, vous disiez que «la période d’évangélisation à la cyber menace était passée et qu’il fallait maintenant réagir et passer à l’action». Qu’entendez-vous par là ?

 

Nous sommes déjà dans l’action car, aujourd’hui, l’ANSSI a une activité opérationnelle sur les réseaux sensibles qui comprend la détection des attaques informatiques, leur traitement et le renforcement de la sécurité des systèmes d’information visés. En matière d’évangélisation, l’ANSSI et d’autres ont fait beaucoup pour expliciter les risques, la réalité nous ayant bien aidés d’ailleurs à cette prise de conscience. Pour vraiment convaincre d’éventuelles réticences, il convient de parler avec les dirigeants de l’entreprise ou de l’organisation pour leur expliquer que le retour sur investissement en matière de cybersécurité doit être géré différemment des autres investissements, mais qu’il fait néanmoins partie des mécanismes de bonne gestion, car une attaque informatique porte sur l’ensemble de la chaîne de valeur de l’entreprise. La difficulté est de valoriser ce risque, mais le sujet progresse, par exemple grâce aux travaux des assureurs.

 

«Arrêter de se faire siphonner par nos amis», disiez-vous à Monaco… Pensez-vous qu’il y ait une différence entre se faire pirater par un «ami» ou un «non-ami» (puisque la France n’a pas d’ennemi déclaré) ?

 

Nous n’avons ni ennemi ni ami dans le cyberespace. Nous avons des alliés dont nous avons besoin, mais ces alliés s’intéressent parfois de près à ce que nous faisons. Nous sommes dans un contexte géopolitique complexe, avec des États ou des groupes qui sont actifs dans les réseaux de communications électroniques et qui peuvent faire appel à des capacités offensives pour nous nuire. Dans le domaine du renseignement, les révélations faites par Edward Snowden depuis deux ans montrent que la France est une cible. Ce qui importe, c’est de se défendre à la hauteur du risque, en y consacrant les moyens nécessaires. Donc soyons crédibles en matière de cybersécurité, défendons nos biens matériels et immatériels les plus précieux, qu’il s’agisse d’informations de souveraineté, de patrimoine intellectuel, de capacités économiques et militaires, ou plus largement de la vie numérique des Français.

 

Le nouveau supercalculateur baptisé OCCIGEN, fourni par Bull à GENCI (l’Agence française pour le calcul intensif), repose sur la solution Lustre d’Intel. N’est-ce pas dangereux pour un outil qui va voir passer des masses de données sensibles ?

 

Là encore, je reste optimiste grâce à mon expérience dans le domaine de la Défense. Il y a un certain temps qu’on ne fabrique plus de microprocesseurs et qu’on ne maîtrise plus le silicium à 100 %, à part ce que la direction générale de l’armement (DGA) fabrique en toute petite échelle pour le cœur de certains systèmes d’armes. Mis à part cette exception anecdotique, les serveurs que l’administration et les entreprises achètent, et quantité de briques intégrées dans des systèmes très sensibles, ne sont pas fabriqués en France. Pour autant, a-t-on abandonné notre souveraineté dans ce domaine? Je ne le pense pas et je ne suis pas le seul de cet avis. En effet, si nous raisonnons en termes d’architecture, il y a des briques que l’on peut acheter n’importe où, d’autres qu’il faut acquérir chez des partenaires de confiance, d’autres qu’il faut faire fabriquer en France par des entreprises habilitées et enfin ces briques tellement sensibles que leur fabrication n’est pas déléguée et reste le fait d’équipes étatiques très spécialisées. Les algorithmes cryptographiques classifiés Défense sont ainsi fabriqués par des équipes de la DGA et évalués par les cryptographes de l’ANSSI. Avec ces deux petites équipes, nous sommes au cœur de la souveraineté. La question se pose pour les briques sensibles nécessitant de la confiance et pour les architectures: est-on capable de les fabriquer en France ? C’est tout l’enjeu de la politique industrielle, du ministère de la Défense entre autres, de faire en sorte de conserver cette capacité sur le territoire.

 

D’une façon générale, est-ce que pour vous la notion de souveraineté va de pair avec le label open source ?

 

Il n’y a pas pour moi d’opposition entre open source et souveraineté. L’open source est un modèle, qui a de nombreuses vertus dont il faut utiliser les avantages et éviter les défauts. En général, nous ajoutons à une base open source des développements complémentaires qui ne sont pas en segments partagés: c’est le cas des SIEM de l’État par exemple. Participer à des communautés open source permet de bénéficier des travaux réalisés par d’autres éditeurs, d’autant que ces communautés peuvent être réduites à quelques acteurs autour de l’État. La modèle open source doit donc être adapté et utilisé en fonction de nos contraintes. Je suis par ailleurs conscient de la nécessité de reverser du code à la communauté. Nous avons sans doute quelques progrès à effectuer en ce domaine.

 

La filière numérique française est-elle vraiment encouragée par des commandes concrètes de l’administration ?

 

Ne nous plaignons pas d’avoir en France un code des marchés publics qui oblige les marchés à se dérouler de façon transparente. Ce code n’indique pas qu’il faut systématiquement acheter auprès de celui qui vend le moins cher, ou qu’il faut obligatoirement mettre en concurrence tous les acteurs de la planète. Si on a la volonté d’acheter des produits de confiance qualifiés par l’ANSSI, c’est tout à fait réalisable. Il faut donc d’une part évangéliser encore les administrations et d’autre part expliquer aux acheteurs la méthode à adopter pour sélectionner des produits qualifiés dans le cadre des marchés publics. C’est pourquoi nous avons produit, avec le ministère de l’économie, des finances et de l’industrie un guide détaillant la marche à suivre. Il est disponible sur le site de l’ANSSI. Je comprends donc très bien que des PME, comme celles du groupement Hexatrust, dont le lancement a été soutenu, souhaitent désormais accéder à des commandes de l’administration. Non seulement la commande publique crée du chiffre d’affaires pour les PME - c’est essentiel - mais elle crée également une référence qui a une valeur, notamment à l’export.

 

Quand on regarde la liste des produits certifiés par l’ANSSI et qu’on écarte les produits de Thales, Bull, Safran, Airbus Defence and Space et leurs filiales, il ne reste pas grand-chose. L’encouragement de la filière PME/TPE ne passe-t-il pas simplement par-là ?

 

Oui ! Il faut clairement encourager la qualification des PME. Pour autant, la qualification doit refléter une vraie confiance dans le produit et l’entreprise, ce qui sous-entend un travail de l’ANSSI approfondi, long et des tests nombreux. Cela prend du temps et coûte cher. Les grands groupes disposent d’équipes dédiées habituées à pratiquer ce type de démarche qualificative. C’est beaucoup plus compliqué pour une PME de 10 personnes de détacher un collaborateur à la démarche d’évaluation. Je pense également qu’il est souhaitable de conseiller les PME en amont, dès la conception des produits, cela permet d’ailleurs de mieux préparer l’évaluation.

 

«Relocaliser les données en France» disiez-vous à Monaco. N’y va-t-il pas un problème de coûts ?

 

Peut-être un peu, encore faut-il regarder précisément de combien. Aujourd’hui, dans un Data Centre, il n’y a pratiquement aucun humain, donc pourquoi l’implanter dans un pays à la main d’œuvre peu chère? Autant les activités à forte présence humaine peuvent entrainer des surcoûts importants attachés aux salaires et aux taxes sur les salaires, autant quand il n’y a pratiquement personne on peut se demander quelle est la justification économique d’une délocalisation? Si le surcoût est minime, on doit pouvoir l’assumer. Un dumping trop accentué doit nous conduire à nous interroger sur d’éventuelles arrière-pensées obscures…

 

Où en est le groupe de travail sur la protection des SCADA*** ?

 

Le sujet est essentiel. Le groupe de travail fonctionne et la coopération avec les clients et les équipementiers, français comme étrangers, se passe très bien. Le constat est clair: la cybersécurité n’a pas été prise en compte sur les systèmes industriels, dont les SCADA sont une composante. Nous allons devoir défendre les SCADA existants chez les OIV, ce qui nécessite une volonté financière de leurs responsables, et par ailleurs élaborer des solutions nouvelles qui répondent aux besoins, de façon à très rapidement élever le niveau de sécurité des systèmes industriels avant que n’arrive une catastrophe. Les arrêtés concernant l’article 22 de la loi de programmation militaire vont être publiés en 2015 sur ce sujet pour les différents secteurs. Nous développons actuellement des pilotes de SCADA avec les opérateurs. Les nouveaux équipements, incluant des mécanismes de sécurité robustes, passent par une logique d’évaluation.

 

Quel est votre objectif pour l’année 2015 ?

 

C’est clairement la définition précise des règles de sécurité, dans le cadre de la loi de programmation militaire, pour les opérateurs d’importance vitale. Ce ne sont pas que des mots, puisqu’il est impératif de définir en collaboration avec eux les règles de sécurité qui vont significativement élever leur niveau de sécurité tout en restant soutenable humainement et financièrement. L’autre objectif est de continuer à développer une politique industrielle afin de doter la France d’une industrie de la cybersécurité forte et sérieuse. Elle devra offrir des solutions fonctionnelles de bon niveau de confiance, sans pour autant être enfermée en France, ce qui signifie que la coopération doit rester ouverte avec des partenaires hors de France pour pouvoir aborder la compétition internationale.

 

*ANSSI : Agence Nationale de la Sécurité des Systèmes d’Information www.ssi.gouv.fr

** Articles 21 à 25 de la loi n°2013-1168 du 19 décembre 2013.

***SCADA : Supervisory Control And Data Acquisition. Système de télégestion permettant de contrôler à distance des installations techniques

 

Repost 0
4 octobre 2014 6 04 /10 /octobre /2014 11:55
Une cyberdéfense ambitieuse pour la France

 

 

03 octobre 2014 - Juliette Paoli - solutions-logiciels.com

 

Guillaume Poupard, le directeur général de l’Agence nationale de la sécurité des systèmes d’information, a ouvert à Monaco la 14e édition des Assises de la sécurité et des systèmes d'information, l’événement mondial incontournable des professionnels de la sécurité du monde entier.

 

L’Agence nationale de la sécurité des systèmes d’information (ANSSI), qui a été créée en 2009, est rattachée au Secrétaire général de la défense et de la sécurité nationale (SGDSN), autorité chargée d’assister le Premier ministre dans l’exercice de ses responsabilités en matière de défense et de sécurité nationale. C’est son directeur général depuis mars 2014, Guillaume Poupard, qui a ouvert les Assises de la sécurité à Monaco, tout un symbole face à une cybermenace qui continue à se développer, tout aussi bien envers l’Etat que dans l’industrie.

 

Suite de l’article

Repost 0
1 octobre 2014 3 01 /10 /octobre /2014 11:55
Cybersécurité : l'Etat plaide pour une consolidation de l'offre industrielle

 

01.10.2014 par Nicolas Arpagian - JDN

 

Guillaume Poupard, DG de l'Agence Nationale de la Sécurité des Systèmes d'Information, ouvre ce matin les Assises de la Sécurité en présentant la vision ès-cybersécurité de l'État.

 

"La cybersécurité est une cause d'union nationale", martèle Guillaume Poupard, directeur général de l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) depuis le printemps dernier. "Et dans un budget de DSI, elle ne peut plus être marginale et devra encore progresser". Le propos, s'il a tout pour séduire les deux mille professionnels réunis depuis ce matin à Monaco pour la 14ème édition des Assises de la Sécurité, correspond à la reconnaissance par les autorités françaises du caractère stratégique de la sécurité numérique. L'été 2014 ayant été marqué par la publication de la circulaire signée le 17 juillet par Manuel Valls qui dote l'Etat français d'une Politique globale de sécurité des systèmes d'information (PSSIE). Son public ? L'ensemble des agents de l'Etat. Son ambition ? "Assurer la continuité des activités régaliennes, prévenir la fuite d'informations sensibles et renforcer la confiance des citoyens et des entreprises dans les téléprocédures". Vaste programme !

 

Suite de l'article

Repost 0
18 juillet 2014 5 18 /07 /juillet /2014 16:55
Le directeur général de l’ANSSI  invité de la Lettre Entreprises & Défense

 

source : Lettre Entreprises & Défense

 

Le directeur général de l’Agence nationale de la sécurité des systèmes d’information invité de la Lettre Entreprises & Défense

 

Guillaume Poupard, le directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) est l'invité du nouveau numéro d'Entreprises & Défense, la Lettre trimestrielle de l'Association des entreprises partenaires de la Défense.

Au sommaire également de ce numéro :

  • la soirée-débat « La Défense, outil de puissance de la France »

  • une présentation de la Cellule d’aide aux blessés de l’armée de Terre (CABAT)

  • la nouvelle plaquette du Centre de transfusion sanguine des armées (CTSA)

  • l’édition 2014 du « Prix de la reconversion des militaires ».

Pour télécharger ce numéro d'Entreprises & Défense : pdfLIEN

Repost 0
28 mars 2014 5 28 /03 /mars /2014 08:55
Un cryptographe à la tête de la cyberdéfense française

 

27/03/2014 de Guerric Poncet Le Web en lignes / Le Point.fr

 

Guillaume Poupard, ingénieur en chef de l'armement, prend la tête de l'Anssi. Il succède à Patrick Pailloux, nommé directeur technique de la DGSE.

 

Le Point.fr l'évoquait dès janvier dernier : avec le départ de Patrick Pailloux à la Direction générale de la sécurité extérieure (DGSE), l'Agence nationale de la sécurité des systèmes d'information (Anssi) se trouvait sans patron. Le Conseil des ministres n'aura mis que quelques semaines pour combler le vide à la tête de cette agence de cyberdéfense, avec la nomination de Guillaume Poupard, comme le précise le compte-rendu du 26 mars.

Ingénieur en chef de l'armement et responsable jusqu'à aujourd'hui du pôle sécurité des systèmes d'information à la Direction générale de l'armement (DGA), Guillaume Poupard est un expert des technologies de cyberguerre et de cyberdéfense. Le Point.fr l'avait rencontré en janvier au Forum international sur la cybercriminalité (FIC) de Lille. Il nous avait notamment déclaré que nos armes informatiques sont depuis peu "opérationnelles, et nous avons fait de gros progrès". "Le livre blanc de la Défense de 2008 a posé des bases de travail, vous imaginez bien que les choses ont bougé depuis six ans !" avait-il ironisé.

 

Du développement des armes à l'opérationnel

"Je ne peux pas vous dire où les armements cyber (français) sont développés : nous n'avons aujourd'hui aucun intérêt à le dire", nous avait par ailleurs expliqué Guillaume Poupard. Pas plus de succès lorsque nous avions essayé de connaître le nombre de personnes impliquées dans le secteur : "Je peux simplement vous dire que tout dépend du ministère de la Défense dans ce domaine", glissait-il. Un ministère qu'il quitte donc pour rejoindre le terrain, à l'Anssi. L'Agence dépend du Secrétariat général de la défense et de la sécurité nationale (SGDSN), lui-même directement rattaché au Premier ministre.

S'il quitte le développement des armes informatiques pour passer du côté opérationnel non pas de la cyberguerre, mais de la cyberdéfense (la nuance est importante : on ne parle pas ici d'offensif), Guillaume Poupard n'est pas un novice dans le domaine : docteur en cryptographie, il avait dirigé le laboratoire de la DCSSI, l'ancêtre de l'agence dont il prend les rênes aujourd'hui, comme le rappelle l'Informaticien.com. Qu'importe le passé de l'heureux élu, son origine va à coup sûr faire grincer des dents au ministère de l'Intérieur, exaspéré par la mainmise de la Défense sur l'Agence. Comme nous l'avions craint en janvier, la place Beauvau pourrait bien user de sa marge de manoeuvre et profiter des faibles pouvoirs de sanction de l'agence pour se désolidariser de l'action de l'Anssi.

De son côté, Patrick Pailloux devient directeur technique de la DGSE, une position stratégique et polémique, puisque c'est ce service qui dirige les opérations de surveillance massive des télécommunications. Une activité qui vaut à la "piscine" son nouveau surnom - abusif - de "NSA à la française".

Repost 0
26 mars 2014 3 26 /03 /mars /2014 18:55
L'ingénieur de la DGA Guillaume Poupard à la tête de l'Agence nationale de la sécurité des systèmes d'information

 

26.03.2014 Par Olivier Berger, grand reporter à La Voix du Nord.


L'ingénieur en chef de l'armement, Guillaume Poupard (au centre de la photo), a été nommé en conseil des ministres ce mercredi 26 mars directeur général de l'Agence nationale de la sécurité des systèmes d'information (ANSSI). Il succède à Patrick Pailloux parti pour la direction technique de la DGSE.

Ça tombe bien, nous avions rencontré Guillaume Poupard en janvier au forum de la cybersécurité à Lille, où il nous parlait de l'implication technique de la Direction générale de l'armement (DGA) en matière de cyberdéfense... et de l'imbrication dans ce domaine entre le civil et le militaire.

 

L'ingénieur était alors responsable du pôle de sécurité des systèmes d'informations à la DGA, situé à Bruz près de Rennes (lire ici le texte de l'époque consacré au rôle de la DGA en cyber). Le pendant technique du CALID, le centre d'analyse en lutte informatique défensive de l'état-major des armées.

Lors d'une audition devant la Commission de Défense de l'Assemblée nationale en juillet 2013, Guillaume Poupard avait aussi évoqué les liens avec l'Agence nationale de la sécurité des systèmes d'information qu'il va donc diriger : " Nos liens avec l’ANSSI sont forts et anciens : il n’y a pas là de séparation entre civils et militaires. Nous travaillons ensemble pour concevoir et réaliser des produits de sécurité, notamment en réponse à des besoins de souveraineté, en matière de cryptographie par exemple. Le développement est réalisé par la DGA, avec des industriels et l’approbation, en vue de classification défense, est faite par l’ANSSI : cette organisation est bien rodée. "

Cette nomination n'a donc rien d'illogique d'autant que ce docteur en cryptologie passa avant 2010 chez le prédécesseur de l'ANSSI, la direction centrale de la sécurité des systèmes d'information. Et comme Patrick Pailloux, il est un acharné de " l'hygiène informatique " : " Ce n’est pas si facile : nous faisons tous des erreurs de sécurité. Ce travail sur l’hygiène informatique est pourtant essentiel ; il faut le mener dans les entreprises, mais aussi dès l’école (...) S’agissant des entreprises, la protection du patrimoine scientifique et technique est absolument essentielle. "

L'Agence nationale de la sécurité des systèmes d'information (ANSSI) a publié mardi 21 janvier des classifications, des modalités pour renforcer la cybersécurité des systèmes industriels. Après la définition de douze secteurs d'importance vitale (lire le détail dans cette note de janvier), l'ANSSI a identifié 218 opérateurs français, publics et privés, à cyberprotéger en priorité...

Repost 0
24 octobre 2011 1 24 /10 /octobre /2011 11:55
Smart-SIC Analyzer : la crypto-analyse au service de la sécurité


24/10/2011  Clémentine Lerat-Vivien

 

Protéger les secrets et vérifier la fiabilité des systèmes de cryptographie embarqués, voici les missions du Smart-SIC Analyzer développé par la société Secure-IC, en collaboration avec la DGA. Commercialisé depuis mars 2011, ce logiciel est une parade aux attaques des « crypto-criminels ».

 

Téléphones, cartes bancaires, passeports électroniques, missiles… tous les produits qui contiennent des informations sensibles sont aujourd’hui protégés grâce à la cryptographie. Cette science permet d’encoder des informations pour les protéger. Cependant, qu’ils soient civils ou militaires, ces crypto-systèmes sont des cibles de choix pour des personnes mal intentionnées. Il est donc indispensable de vérifier leur robustesse face aux attaques.

 

DGA, Secure-IC, un partenariat gagnant-gagnant

« Dans le cadre d’une procédure Rapid avec la DGA sur un projet qui consistait à concevoir des mécanismes de protection pour des passeports électroniques, nous avons dû réfléchir à un moyen de vérifier la robustesse de ces mécanismes », explique Guillaume Poupard, responsable du pôle sécurité des systèmes d'information à la DGA. En 2009, Secure-IC a donc décidé de développer, en collaboration étroite avec la DGA un système permettant de répondre à ce besoin exprimé. Deux ans plus tard, en mars 2011, le Smart-SIC Analyzer était né.

 

Une plate-forme logicielle très performante

« Dans la plupart des réseaux de haut niveau de sécurité comme celui de la défense, on utilise des chiffreurs dans le but de masquer l’information afin de la rendre non intelligible par quelqu’un qui l’intercepterait », explique Guillaume Poupard. Le Smart-SIC Analyzer permet de vérifier que les composants cryptographiques, comme ces chiffreurs, sont inviolables. « Par exemple, pour tester une carte à puce, on l’insère dans un lecteur spécial appareillé de différentes sondes. Nous envoyons simultanément des commandes à la carte et nous regardons via ces sondes comment elle réagit », détaille Guillaume Poupard. « Nous allons même plus loin ! complète Hassan Triqui, cofondateur et président de Secure-IC. Il ne faut pas se contenter de dire si le système est sûr ou pas ! Notre analyse permet de quantifier la fuite du système, avec une précision en bits par seconde. » Effectivement, chaque équipement appareillé d’un système de carte à puce émet plus ou moins de « bruit », c’est ce qu’on appelle la fuite. Une des attaques les plus critiques consiste à enregistrer et analyser ces émissions électromagnétiques (consommation et variation de courant d’une puce) car leur simple étude peut amener à la découverte des informations qu’elle renferme. Ce logiciel analyse ainsi toutes ces mesures afin d’observer si de l’information intelligente, compréhensible et exploitable peut en être extraite. Une analyse très précise en termes de « métrique sécurité » qui quantifie l’ampleur de la fuite et permet de mettre en échec les « crypto-criminels » qui rivalisent d’imagination pour extraire des informations sensibles (conversations téléphoniques, coordonnées bancaires, coordonnées géographiques stratégiques…).

 

Toujours en pointe

Face aux énergies considérables qui sont déployées par les attaquants, Secure-IC doit soutenir un effort constant de R&D afin d’être en pointe et proposer toujours plus de sécurité. C’est pourquoi l’achat de ce système inclut la maintenance et les mises à jour. Le Smart-SIC Analyzer permet de tester les algorithmes de chiffrement avant qu’ils ne soient embarqués à bord d’un missile comme d’un téléphone, mais ces systèmes doivent être constamment remis en question. « Nous avons très récemment vendu le Smart-SIC Analyzer à un opérateur télécom. Cette société pourra ainsi proposer très prochainement à ses clients plus de sécurité, en matière de communications ou de paiements électroniques. Nous l’accompagnerons tout au long de sa démarche », explique Hassan Triqui.

 

Coopérer sans tout divulguer

Hormis la précision du logiciel et l’assistance à sa clientèle, Secure-IC se démarque de la concurrence par sa simplicité d’utilisation. « Nous avons énormément travaillé sur l’ergonomie avec, par exemple, la mise en œuvre d’applications tactiles sur nos appareils », indique Hassan Triqui. Toujours dans un souci de satisfaire sa clientèle, Secure-IC a conçu le Smart-SIC Analyzer de façon à ce qu’il soit parfaitement adapté à chaque demande. Les utilisateurs peuvent ainsi enrichir eux-mêmes le logiciel grâce à des interfaces modulables et la possibilité d’y apporter leurs propres algorithmes. Ainsi les secrets de fabrication des produits testés sont bien gardés. Seul l’industriel en garde les clefs. Un atout non négligeable pour le Smart-SIC Analyzer qui est déjà promis à un brillant avenir !

Repost 0

Présentation

  • : RP Defense
  • RP Defense
  • : Web review defence industry - Revue du web industrie de défense - company information - news in France, Europe and elsewhere ...
  • Contact

Recherche

Articles Récents

Categories