"Nos entreprises ne sont pas assez protégées contre les cyberattaques"

29 novembre 2012 Par Ridha Loukil - Usinenouvelle.com

Si l’Elysée peut être attaqué, comme l'a révélé l'Express, quid des entreprises hexagonales. Sont-elles bien protégées ? L’industrie française de cybersécurité est-elle au bon niveau ? Le débat sur la souveraineté numérique a-t-il un sens ? Réponses de Patrick Pailloux, patron de l’ANSSI , l'Agence Nationale de la Sécurité des Systèmes d’Information.

L'Usine Nouvelle - La France a-t-elle aujourd’hui les moyens de sa défense ?

Patrick Pailloux - A part les systèmes militaires, qui incluent des dispositifs de haute sécurité très onéreux, personne ne peut garantir qu’il est totalement protégé contre les cyberattaques. A la suite du livre blanc sur la défense et la sécurité nationale, publié en juin 2008, la France a décidé de se doter d'une stratégie de cyberdéfense en créant en 2009 l’ANSSI. Depuis, les moyens consacrés par l'Etat à ce sujet n'ont cessé de croitre. De 100 personnes au départ, nous sommes passés à 250 personnes aujourd’hui et nous devons atteindre 360 personnes à la fin de 2013. Face à la menace, nous renforçons sans cesse nos moyens de prévention et de réaction. Si nous nous approchons globalement de pays comme l’Allemagne ou la Grande Bretagne, nos entreprises sont en retard en matière de protection des systèmes d’information. Nous continuerons à nous renforcer de façon à rester au top niveau européen dans ce domaine.

Qu’est-ce qui manque aujourd’hui pour avoir une sécurité plus efficace ?

Croire qu’il suffit d’acheter des pare-feu, antivirus et autres équipements pour que le système d’information soit sécurisé est une erreur. En caricaturant un peu, peu importe le degré de sophistication des équipements de sécurité mis en place, à eux seuls ils ne peuvent pas garantir la sécurité. Il faut aussi appliquer une hygiène informatique, analyser les risques auxquels l’entreprise est exposée, et surveiller son système d’information en faisant appel si nécessaire à un prestataire de service de sécurité. Je suis convaincu qu’on peut améliorer la sécurité juste par l’hygiène informatique, des règles élémentaires qui ne coûtent pas cher mais qui changent drastiquement les choses. Nous avons publié en octobre 2012 un guide de l’hygiène informatique avec 40 règles simples à appliquer par les entreprises pour mieux se protéger. Ce guide est téléchargeable sur notre site à cette adresse. Il faut enfin éduquer, éduquer et éduquer tant les informaticiens que les utilisateurs pour faire bouger les lignes.

L’industrie française de cyberdéfense dispose-t-elle de toutes les technologies clés dans ce domaine ?

Nous avons la chance de maîtriser en France toute la chaîne de cybersécurité, depuis les puces avec STMicroelectronics jusqu’aux logiciels. Nous disposons de champions comme Thales, EADS, Sagem ou Bull, leaders mondiaux dans ce domaine, et d’un tissu dense de PME aux solutions pointues mais à la surface insuffisante pour décoller sur le marché. Ce qui manque, c’est le tissu intermédiaire d’acteurs capables de fournir des solutions de haut niveau. L’offre française dans les pare-feu, le VPN ou la mobilité est réelle mais trop petite pour concurrencer les mastodontes du secteur. La bataille n’est pas perdue pour autant, les industriels français peuvent progresser dans ces domaines.

Que fait l’ANSSI pour aider les industriels français de cette filière?

Nous délivrons des labels aux produits de sécurité selon les Critères Communs, sorte de standard mondial. Une puce agréée en France pour une application de passeport biométrique est ainsi commercialisable sans autre agrément en Grande-Bretagne ou Allemagne. Nous aidons aussi les industriels dans le développement technique, dans le domaine des algorithmes de cryptage notamment. Enfin, nous soutenons financièrement les PME innovantes à travers OSEO. En dehors des investissements d’avenir, nous allouons un budget de 300 000 euros à cet effet en 2012. Mais la vraie réponse réside dans le marché. Seule une demande plus forte pourra aider les PMI à se développer.

Pour ses équipements de cybersécutité, faut-il privilégier des solutions françaises chaque fois que cela est possible?

Dans les applications confidentiel-défense, oui. Ce sont des solutions françaises qui sont systématiquement choisies. Dans les applications civiles, le choix dépend du niveau de sécurité voulu. Plus on veut de la sécurité, plus on doit faire confiance au fournisseur ou prestataire. Ceci étant, les produits labellisés par l’ANSSI garantissent le même niveau de sécurité que le fournisseur soit français ou étranger.

Quelles opportunités de développement voyez-vous pour l’industrie française ?

J’en vois deux. La première concerne la mobilité. Des solutions françaises existent dans ce domaine. Mais elles ne sont pas à l’échelle pour attaquer le marché mondial. La seconde réside dans les services. Les entreprises n’ont pas toujours les compétences pour surveiller au jour le jour leurs systèmes d’information, détecter les cyberattaques et les traiter. Les prestations dans ce domaine méritent d’être développées davantage car la demande va croître.

La souveraineté des données était-elle une bonne  justification à la création de Cloudwatt et Numergy ?

La souveraineté de données numériques constitue un vrai sujet de préoccupation. Nous n’avons pas l’intention de nous battre contre le cloud, qui est une technologie d’avenir. Mais est-il raisonnable de confier toutes ses données à un prestataire cloud sans vrai contrôle ou se laisser dicter les règles de sécurité par des prestataires aussi gros soient-ils. La sécurité des données c’est la même chose que pour les bijoux de famille. Une entreprise a un patrimoine informationnel et des données sensibles : fichiers clients, secrets de fabrication, dossiers du personnel, etc. Il lui appartient de décider à qui les confier et quelles règles de sécurité leur appliquer. Pour certains types de données, il peut être légitime de ne pas être tributaire d’un prestataire étranger. Quand les données sont localisées en France, les choses sont claires : c’est la loi française qui s’y applique. Mais quelle loi est applicable quand elles sont à l’étranger ? Le pays autorise-t-il le transfert des données ? Les questions qui se posent sont nombreuses.

Le Patriot Act est-il vraiment une menace pour la sécurité des données confiées à des prestataires américains ?

Tous les Etats du monde disposent d’un accès aux données localisées sur leurs territoires pour des besoins de police ou sécurité. Mais la demande de cloud souverain, avec des prestataires en France et en Europe offrant des garanties de sécurité maîtrisées, est légitime. On peut comprendre qu’une entreprise, qui investit beaucoup en R&D, prenne toutes ses précautions pour éviter le risque de fuites d’information. Nous proposons aux entreprises une liste détaillée de questions à poser au prestataire avant de lui confier leurs données.

Patrick Pailloux, expert de cyberdéfense

Ingénieur X-Télécom Paris, Patrick Pailloux, 46 ans, a démarré sa carrière chez France Telecom avant de travailler dans le domaine des systèmes d’information et de télécommunications au Ministère de la Défense. Il a été ensuite conseiller aux affaires scientifiques et techniques du secrétaire général de la défense nationale puis directeur central de la sécurité des systèmes d’information. Il est le directeur général de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) depuis sa création en juillet 2009. Chevalier de l’ordre national du mérite et de l’ordre national de la Légion d’Honneur, il est membre du conseil d’administration de l’ENISA (European network and information security agency), l’équivalent de l’ANSSI au niveau européen.