03.10.2015 par Alain Establier SECURITY DEFENSE Business Review n°157

A la veille de l’ouverture des 16^ème Assises de la sécurité et des systèmes d’information, SDBR a interviewé Guillaume Poupard qui doit y prononcer le discours d’ouverture

SDBR : Envisagez-vous d’étendre le champ d’intervention de l’ANSSI ?

GP : Très clairement la sécurité de l’Etat, la sécurité de la Nation, la sécurité des Opérateurs d’Importance Vitale (OIV), tout étant étroitement lié, restent notre priorité car c’est la raison d’être de l’ANSSI. Beaucoup a été fait dans le prolongement de la Loi de Programmation Militaire (LPM) pour la protection des OIV. Sans faire de l’autosatisfaction, je suis ravi de la qualité du dialogue qui s’est instauré avec les ministères et avec les OIV. Pour autant, le reste du champ économique n’est que partiellement couvert par le dispositif national de cybersécurité. Ce qui n’est pas satisfaisant : par exemple, des PME ont fermé suite à des attaques de type « ransomware », car d’un jour à l’autre ces PME n’ont plus eu accès à leurs données ; des hôpitaux sont aussi la cible de ce type d’attaques. Il nous faut donc continuer à travailler sur ces sujets, car l’environnement des OIV est lui-même constitué d’une multitude de PME pouvant devenir des cibles. Se pose également la question de la protection de nos concitoyens, qui n’entre pas dans la mission de l’ANSSI mais pour lesquels l’ANSSI se sent tout de même une vraie responsabilité pour les aider face à la menace informatique, d’où l’idée lancée en octobre 2015 de développer un dispositif d’assistance aux victimes d’actes de cyber-malveillance.

Comment se concrétise ce dispositif d’assistance aux victimes d’actes de cyber-malveillance ?

C’est une véritable start-up  pour laquelle l’ANSSI joue le rôle d’incubateur, en collaboration avec le ministère de l’Intérieur. Son but est de devenir autonome, pour apporter des messages de prévention auprès du grand public et des TPE et pour leur apporter des solutions en cas de problèmes. La première étape va être de constituer un site Internet de réponses pratiques aux questions et d’adresses de prestataires informatiques référencés, capables de fournir une aide de proximité. L’autre point important de cette démarche est de pouvoir collecter des chiffres sur les attaques visant les petites structures pour avoir une idée plus précise du risque et pouvoir faire entrer dans le jeu les assureurs, des représentants des victimes et des représentants des entreprises. Ce dispositif permettra d’avoir une sorte d’observatoire de la cybercriminalité. Sa mise en place progressive se fera en 2017.

Pensez-vous que la France avance plus vite que ses voisins dans la mise en place de protection ?

Par rapport à ce que j’observe à l’Etranger, il y a eu en France une prise de conscience relativement ancienne qui se concrétise aujourd’hui selon un modèle positif : tous les acteurs (publics ou privés) poussent dans le même sens. L’équilibre trouvé entre les différents acteurs fonctionne très bien à mon sens, ce qui ne signifie pas pour autant que nous soyons en risque zéro.

Que pensez-vous des chiffres d’attaques qui circulent ici ou là ?

Nous avons mis quelques chiffres dans notre rapport d’activité 2015 : plus de 2300 codes malveillants collectés, 4000 signalements reçus (50% de plus qu’en 2014), une vingtaine d’incidents majeurs de sécurité traités, 15 alertes sur des vulnérabilités critiques. Aujourd’hui, personne n’a d’observatoire fiable en termes d’attaques mais le nombre de sinistres augmente. Il y a aussi toutes les attaques que personne ne voit car les victimes ignorent qu’elles ont été attaquées, ce qui à mon avis représente la grande masse des victimes ! Ce dont nous sommes sûrs, c’est que le domaine des attaques informatiques est un domaine en croissance. Les attaquants sont plus nombreux, plus organisés et plus forts, même si, en même temps, les entreprises sont mieux armées pour détecter les attaques et la sensibilisation des personnels y est plus forte. Le business des attaquants est très rentable, que ce soit en matière d’espionnage étatique ou économique, et le numérique va devenir un moyen d’action privilégié, seul ou en combinaison avec des moyens classiques. Les attaques sur les entreprises peuvent aussi être indirectes pour les atteindre ou les déstabiliser : exemple, nous constatons des attaques sur les agences de notation économique, ce qui n’a a priori rien à voir avec telle ou telle entreprise, pour obtenir des informations avec 48H d’avance et faire ensuite des opérations de bourse avec délit d’initié !    

Quid des données personnelles dans tout ça ?

Quand des données personnelles sont compromises dans le cadre d’une attaque, il y a souvent un dilemme entre prévenir les employés et préserver l’entreprise en gardant le secret sur l’attaque. Il faut donc trouver un bon équilibre entre la protection des données et la protection de l’entreprise.

Considérez-vous que le parcours de certification, pour une PME, soit plus facile aujourd’hui ?

En France, nous avons d’excellentes PME qui produisent des services de qualité, qui sont des tiers de confiance mais qui ne se prêtent pas bien à la démarche de certification : elles ne savent pas quoi faire évaluer, le processus d’évaluation est assez difficile et coûteux pour elles. Pour autant, ces PME constituent des briques intéressantes qui contribuent au développement de l’écosystème, même si ces PME ne sont pas dans la liste qualifiée par l’ANSSI. Il faut donc admettre que le processus de certification / qualification n’est pas adapté à l’ensemble des acteurs. Cependant, la signature de certification du directeur général de l’ANSSI est donnée en délégation du Premier ministre, c’est donc un acte fort qui correspond à une démarche importante qui ne peut être dégradée pour des raisons de convenance. Nous avons essayé de couvrir l’ensemble du champ des acteurs avec la Certification de Sécurité de Premier Niveau (CSPN), beaucoup plus légère (20 à 30 jours d’expertise) et à des coûts plus accessibles : c’est une réponse en termes de confiance pour certaines sociétés. En matière de label, nous avons contribué à développer le label « France Cyber security » qui permet de montrer les nombreuses offres françaises et de valoriser le savoir-faire national. Ce label a été attribué à 70 entreprises, petites et grandes, et c’est un moyen pour les petits acteurs du marché d’être plus visibles. Dans certains cas, lorsque nous considérons qu’une PME mérite d’être aidée à faire le parcours de certification, l’ANSSI et la BPI financent le coût du certificateur (labo CESTI), l’entreprise n’ayant plus à sa charge que le détachement d’un collaborateur pour constituer le dossier de certification. C’est notre façon d’encourager quatre ou cinq fois par an des entreprises prometteuses.

Vous avez dit lors de l’Université d’été Hexatrust, le 01/09/2016, qu’il fallait sûrement « marketer » la démarche de certification de l’ANSSI… Qu’entendez-vous par là ?

Cette démarche avait été conçue autour des cartes à puces, qui ont des durées de vie relativement longues. Aujourd’hui, avec le développement des logiciels qui ont une durée de vie parfois extrêmement courte, il est vrai que nous devons adapter la certification à la durée de vie de ces produits tout en lui gardant un sens. Nous devons probablement mieux expliquer les différents niveaux de certification (CSPN, certification Critères Communs, qualification, label France Cybersecurity) et ce qu’ils apportent à l’entreprise. Pour beaucoup de clients qui ne vivent pas dans notre écosystème, il serait souhaitable de leur donner une plus grande simplicité de lecture et de compréhension de ces certificats. Nous devons faire un effort d’explication, certainement grâce à des visuels simplificateurs.

A propos de la directive NIS, vous avez appelé à être vigilant sur les disparités qui pourraient intervenir en Europe créant des sortes de « franchise sécuritaire ». Comment ?

Nous disposons de l’accord SOG-IS signé entre dix pays européens ayant une approche commune de la notion de certification via les « critères communs ». C’est un accord de reconnaissance mutuelle, y compris à de hauts niveaux d’évaluation, qui permet de reconnaître le travail accompli dans les autres pays signataires. Il est vrai que 10 sur 27 est insuffisant et nous appelons à une démarche commune de certification réellement européenne. La Commission y est favorable et cette démarche doit donc être étendue aux 27 pays. Dans les dix pays de l’accord SOG-IS, il n’y a pas de franchise sécuritaire et les signataires sont vigilants à vérifier la qualité des travaux de chacun. La transposition de la directive NIS sera harmonisée dans chaque pays et il faudra veiller à ce que les travaux effectués dans les autres pays ne créent pas de distorsions de sécurité et de concurrence.

Vous avez évoqué récemment l’idée d’une sorte de showroom permanent de la filière numérique. Qu’entendez-vous par là ?

J’observe que certains pays vendent très bien leurs solutions, savent recevoir les délégations étrangères et leurs font des shows formidables pour qu’ils repartent avec des étoiles plein les yeux. En France, nous avons plutôt une démarche d’ingénieur, très technique, où l’aspect marketing est souvent négligé. Face à des clients étrangers qui veulent acheter français, nous ne sommes pas toujours capables de faire la démonstration des produits français et de montrer qu’ils peuvent fonctionner ensemble. C’est le but d’un showroom. L’ANSSI n’a pas vocation à faire du marketing, mais notre position nous amène à constater un vrai manque dans ce domaine. Il manque à Paris une capacité d’accueil VIP à qui montrer, en confidentialité, des solutions françaises compatibles dans un showroom cybersécurité. Il faut donc un espace, un financement et la volonté des différents acteurs à montrer non pas des briques mais des solutions intégrées répondant à des problématiques.     

L’été a été animé par un débat sur d’éventuels backdoors pour lire les communications chiffrées. Quel est votre avis ?

Nous sommes face à un vrai problème. Tout le monde est d’accord pour dire qu’il faut développer les technologies de sécurité, qu’il faut protéger nos Etats, notre industrie, nos concitoyens face à une multitude de menaces, ce qui passe entre autres par une technologie de chiffrement. On n’a donc pas à être pour ou contre le chiffrement : c’est une technologie dont nous avons besoin pour une multitude d’usages ! A la limite, ces technologies efficaces peuvent être utilisées par des individus malfaisants et par des ennemis de la France. Se pose la question de la façon de pérenniser les dispositifs d’interception légale (de sécurité et judiciaire) ciblée, dont nous avons besoin, en évitant les interceptions de masse illégales : s’il y avait des solutions simples, elles seraient mises en œuvre depuis longtemps et il n’y aurait pas de débat… Toute solution caricaturale restera donc caricaturale et inefficace. Avec les opérateurs classiques, il existe un dispositif qui fonctionne dans le respect de la Démocratie. La question est : comment pérenniser ce dispositif qui donne satisfaction dans le cadre de l’évolution technologique ? Les entreprises qui chiffrent leurs messages ont des solutions, en cas de nécessité, pour accéder au contenu de leur messagerie. Il faut sûrement s’en inspirer même si leur périmètre est restreint. Les discussions interministérielles avancent sur ce sujet, mais ce sera long.