À l’occasion de l’ouverture des Assises de la Sécurité à Monaco, Guillaume Poupard, directeur de l’Agence nationale de la sécurité des systèmes d’information, a présenté hier les futures étapes de la mise en œuvre d’un des articles phares de la loi de programmation militaire. Celui qui définit les futures compétences de l’ANSSI en matière de cybersécurité. Compte rendu.

« Quand des photos volées dans le cloud se retrouvent sur le Net, cela remplace beaucoup de discours d’évangélisation ». Pour porter la bonne parole de la sécurité informatique, Poupard peut certes citer cet exemple imagé, cependant, l’ANSSI dispose désormais d’une armurerie plus musclée pour former et informer. La récente loi de programmation militaire (LPM) la dote en effet de nouvelles capacités, concentrées surtout sur les opérateurs d’infrastructure vitale. « Cette loi a été le bon véhicule passant au bon moment adapté à ce que l’on voulait faire ».

L'article 22 long rifle de la LPM 

Au ceinturon de l’ANSSI trône désormais un calibre, ou plutôt le fameux article 22 de la LPM. L’idée est de protéger la souveraineté nationale en blindant les opérateurs d’infrastructure vitale, « ces entreprises qui, si elles dysfonctionnent, peuvent générer un vrai problème pour elles-mêmes mais également pour le reste du pays ». Si la liste des OIV est classée, il est simple d’en deviner les grands noms, puisque s’y cachent les gros opérateurs télécoms, des transports, de l’énergie, les hôpitaux, etc.

« Il s’agit aussi d’éviter de se faire siphonner notre R&D par nos amis… » La petite phrase fait rire la salle. Cependant, cette disposition permet bien à l’ANSSI de gonfler le torse. Elle lui autorise à fixer les règles de sécurité informatique que ces opérateurs doivent appliquer à leur frais. Parmi elles, sont par exemple évoqués des systèmes de détection d’événements susceptibles d'affecter leur système d’information. 

2015, année d'importance vitale

Où en est justement le déploiement de cet article ? L’ANSSI a commencé à rédiger ces fameuses règles de sécurité qui s’appliqueront aux OIV. Le travail prend du temps puisque « ces règles doivent coller aux spécificités de chacun ». Si l’agence tient le stylo, elle travaille en collaboration étroite avec les autres services de l’État et évidemment les OIV concernés. « Ils connaissent ces règles et vont devoir payer », justifie Poupard. D’ici l’année prochaine, ces préconisations seront donc inscrites dans une série d’arrêtés selon les domaines concernés.

Ce n’est pas tout. Les OIV doivent désormais informer l’agence sans délai des incidents affectant le fonctionnement ou la sécurité de leurs systèmes d'information. « Avec la systématisation des remontées d’attaques, on sera en capacité de mieux protéger le pays », puisque ces attaques sont susceptibles d’être reproduites auprès d’autres cibles. D’ailleurs, ces OIV peuvent désormais être soumis à des audits, toujours à leur charge, avec, derrière la loupe, les agents de l’ANSSI, d’autres services de l’État voire des prestataires que l’Agence aura qualifiés. 

« La confiance n’exclut pas le contrôle. Ils ne seront pas abusifs mais là pour faire un état des lieux après sécurisation voire plus tard puisque tout peut évoluer. On veut s’assurer que les systèmes critiques sont bien protégés ». Un système critique n’est pas le site vitrine d’un opérateur, qui ne pose finalement qu’une problématique d’image en cas de « défacement ». On parle ici du cœur du contrôle des systèmes d’aiguillages dans les transports, des sites informatiques des centrales nucléaires, etc. D’ailleurs, en cas de crise majeure, le Premier ministre, via l’ANSSI, pourra imposer au besoin des mesures d’urgence.

Qualifier des prestataires de confiance français

Outre ces futurs arrêtés, ces prochains mois seront rythmés par la publication de plusieurs appels à commentaires et de référentiels. Ils aideront à l’avènement des futurs prestataires de confiance. Ces publications viseront les activités d’audit, de détection ou de réponse à incident, mais aussi les prestataires de cloud. C’est en effet là une subtilité de la LPM : l’ANSSI est également chargée de qualifier ces prestataires de confiance que les autres acteurs (même non OIV) seront bien inspirés de contacter.

« On a tout de même l’espoir caché, commente Poupard, que ces bonnes pratiques apparaissent comme une évidence à appliquer à l’ensemble des systèmes ». Seulement, aussi évidentes que soient ces questions de cybersécurité, ce travail pédagogique engagera les finances des PME. Dans ce milieu, on ne rechignerait évidemment pas à ce que ces mesures soient accompagnées de coups de pouce fiscaux mais l’arbitrage revient évidemment à Bercy. L’Agence a tambouriné son souhait d’entamer cette démarche globale en matière de sécurité informatique, réclamant une collaboration profonde de tous. « Pour beaucoup de PME, l’intérêt, quand on balance les risques de passer par un prestataire non qualifié, mérite de s’y intéresser »

L'article 22 s'exportera, tout comme les produits français

Avec cet article de la LPM, « la France, assure encore Poupard, est le premier pays au monde à avoir fait le choix d’une telle réglementation, forte, dynamique, ambitieuse, pour porter la question de la cybersécurité non seulement dans les réseaux de l’État mais également dans les opérateurs d’infrastructures vitales » De son propre aveu, d’autres pays européens seraient déjà intéressés par l’adoption de mesures similaires.

La Nouvelle France industrielle

Sur le terrain de la politique industrielle, l’ANSSI a également un œil attentif sur l’un des 34 plans de la feuille de route de la « Nouvelle France industrielle » validés en juillet dernier et qui concerne justement la cybersécurité (PDF). 

Poupard est d'ailleurs le chef de projet de ce groupe de travail. Celui-ci scrutera les pistes pour prendre en compte la cybersécurité au cœur de la gouvernance des entreprises, avec l’espoir que ces efforts soient porteurs en dehors de nos frontières. Assis sur l’un des plateaux de la balance commerciale, Poupard assure que la France « offre une image de compétence, d’indépendance, de pérennité et de sérieux ». L’un des chapitres de ce plan envisage par exemple de « créer un label France pour les offres nationales, en faire une marque de confiance, de qualité et de performance ». 

Cependant, dans le climat post-Snowden, aussi bleu-blanc-rouge soit-il, un label étatique associé à des produits de sécurité peut-il peser ? Poupard y croit, notamment dans les accords entre gouvernements. 

Des marchés publics dopés à la cybersécurité  

Dans cette même veine, l’ANSSI s’apprête à publier un guide d’achat sur les produits de confiance, rédigé avec l’aide des services de l’État compétents en matière de marchés publics. Ce guide expliquera comment privilégier les achats au profit de ces solutions qualifiées dans ces marchés, tout en étant en conformité avec les règles en vigueur. 

Deux décrets sont enfin sur le tremplin. Le premier détaillera les différents points évoqués par l’article 22 et le second s’intéressera à la question des produits et des prestataires qualifiés. Des échanges ont lieu actuellement entre les ministères et déboucheront sur une réunion interministérielle en octobre. Après passage obligé devant le Conseil d’État, ils seront publiés d’ici la fin de l’année.