Connexion
Abonnez-vous

Comment l’ANSSI compte muscler la cybersécurité française

LPM phase deux

Comment l'ANSSI compte muscler la cybersécurité française

Le 02 octobre 2014 à 08h50

À l’occasion de l’ouverture des Assises de la Sécurité à Monaco, Guillaume Poupard, directeur de l’Agence nationale de la sécurité des systèmes d’information, a présenté hier les futures étapes de la mise en œuvre d’un des articles phares de la loi de programmation militaire. Celui qui définit les futures compétences de l’ANSSI en matière de cybersécurité. Compte rendu.

« Quand des photos volées dans le cloud se retrouvent sur le Net, cela remplace beaucoup de discours d’évangélisation ». Pour porter la bonne parole de la sécurité informatique, Poupard peut certes citer cet exemple imagé, cependant, l’ANSSI dispose désormais d’une armurerie plus musclée pour former et informer. La récente loi de programmation militaire (LPM) la dote en effet de nouvelles capacités, concentrées surtout sur les opérateurs d’infrastructure vitale. « Cette loi a été le bon véhicule passant au bon moment adapté à ce que l’on voulait faire ».

L'article 22 long rifle de la LPM 

Au ceinturon de l’ANSSI trône désormais un calibre, ou plutôt le fameux article 22 de la LPM. L’idée est de protéger la souveraineté nationale en blindant les opérateurs d’infrastructure vitale, « ces entreprises qui, si elles dysfonctionnent, peuvent générer un vrai problème pour elles-mêmes mais également pour le reste du pays ». Si la liste des OIV est classée, il est simple d’en deviner les grands noms, puisque s’y cachent les gros opérateurs télécoms, des transports, de l’énergie, les hôpitaux, etc.

 

« Il s’agit aussi d’éviter de se faire siphonner notre R&D par nos amis… » La petite phrase fait rire la salle. Cependant, cette disposition permet bien à l’ANSSI de gonfler le torse. Elle lui autorise à fixer les règles de sécurité informatique que ces opérateurs doivent appliquer à leur frais. Parmi elles, sont par exemple évoqués des systèmes de détection d’événements susceptibles d'affecter leur système d’information. 

2015, année d'importance vitale

Où en est justement le déploiement de cet article ? L’ANSSI a commencé à rédiger ces fameuses règles de sécurité qui s’appliqueront aux OIV. Le travail prend du temps puisque « ces règles doivent coller aux spécificités de chacun ». Si l’agence tient le stylo, elle travaille en collaboration étroite avec les autres services de l’État et évidemment les OIV concernés. « Ils connaissent ces règles et vont devoir payer », justifie Poupard. D’ici l’année prochaine, ces préconisations seront donc inscrites dans une série d’arrêtés selon les domaines concernés.

 

Ce n’est pas tout. Les OIV doivent désormais informer l’agence sans délai des incidents affectant le fonctionnement ou la sécurité de leurs systèmes d'information. « Avec la systématisation des remontées d’attaques, on sera en capacité de mieux protéger le pays », puisque ces attaques sont susceptibles d’être reproduites auprès d’autres cibles. D’ailleurs, ces OIV peuvent désormais être soumis à des audits, toujours à leur charge, avec, derrière la loupe, les agents de l’ANSSI, d’autres services de l’État voire des prestataires que l’Agence aura qualifiés. 

Poupard ANSSI
Crédits : Marc Rees

« La confiance n’exclut pas le contrôle. Ils ne seront pas abusifs mais là pour faire un état des lieux après sécurisation voire plus tard puisque tout peut évoluer. On veut s’assurer que les systèmes critiques sont bien protégés ». Un système critique n’est pas le site vitrine d’un opérateur, qui ne pose finalement qu’une problématique d’image en cas de « défacement ». On parle ici du cœur du contrôle des systèmes d’aiguillages dans les transports, des sites informatiques des centrales nucléaires, etc. D’ailleurs, en cas de crise majeure, le Premier ministre, via l’ANSSI, pourra imposer au besoin des mesures d’urgence.

Qualifier des prestataires de confiance français

Outre ces futurs arrêtés, ces prochains mois seront rythmés par la publication de plusieurs appels à commentaires et de référentiels. Ils aideront à l’avènement des futurs prestataires de confiance. Ces publications viseront les activités d’audit, de détection ou de réponse à incident, mais aussi les prestataires de cloud. C’est en effet là une subtilité de la LPM : l’ANSSI est également chargée de qualifier ces prestataires de confiance que les autres acteurs (même non OIV) seront bien inspirés de contacter.

 

« On a tout de même l’espoir caché, commente Poupard, que ces bonnes pratiques apparaissent comme une évidence à appliquer à l’ensemble des systèmes ». Seulement, aussi évidentes que soient ces questions de cybersécurité, ce travail pédagogique engagera les finances des PME. Dans ce milieu, on ne rechignerait évidemment pas à ce que ces mesures soient accompagnées de coups de pouce fiscaux mais l’arbitrage revient évidemment à Bercy. L’Agence a tambouriné son souhait d’entamer cette démarche globale en matière de sécurité informatique, réclamant une collaboration profonde de tous. « Pour beaucoup de PME, l’intérêt, quand on balance les risques de passer par un prestataire non qualifié, mérite de s’y intéresser »

L'article 22 s'exportera, tout comme les produits français

Avec cet article de la LPM, « la France, assure encore Poupard, est le premier pays au monde à avoir fait le choix d’une telle réglementation, forte, dynamique, ambitieuse, pour porter la question de la cybersécurité non seulement dans les réseaux de l’État mais également dans les opérateurs d’infrastructures vitales » De son propre aveu, d’autres pays européens seraient déjà intéressés par l’adoption de mesures similaires.

La Nouvelle France industrielle

Sur le terrain de la politique industrielle, l’ANSSI a également un œil attentif sur l’un des 34 plans de la feuille de route de la « Nouvelle France industrielle » validés en juillet dernier et qui concerne justement la cybersécurité (PDF). 

 

Poupard est d'ailleurs le chef de projet de ce groupe de travail. Celui-ci scrutera les pistes pour prendre en compte la cybersécurité au cœur de la gouvernance des entreprises, avec l’espoir que ces efforts soient porteurs en dehors de nos frontières. Assis sur l’un des plateaux de la balance commerciale, Poupard assure que la France « offre une image de compétence, d’indépendance, de pérennité et de sérieux ». L’un des chapitres de ce plan envisage par exemple de « créer un label France pour les offres nationales, en faire une marque de confiance, de qualité et de performance ». 

 

Cependant, dans le climat post-Snowden, aussi bleu-blanc-rouge soit-il, un label étatique associé à des produits de sécurité peut-il peser ? Poupard y croit, notamment dans les accords entre gouvernements. 

Des marchés publics dopés à la cybersécurité  

Dans cette même veine, l’ANSSI s’apprête à publier un guide d’achat sur les produits de confiance, rédigé avec l’aide des services de l’État compétents en matière de marchés publics. Ce guide expliquera comment privilégier les achats au profit de ces solutions qualifiées dans ces marchés, tout en étant en conformité avec les règles en vigueur. 

 

Deux décrets sont enfin sur le tremplin. Le premier détaillera les différents points évoqués par l’article 22 et le second s’intéressera à la question des produits et des prestataires qualifiés. Des échanges ont lieu actuellement entre les ministères et déboucheront sur une réunion interministérielle en octobre. Après passage obligé devant le Conseil d’État, ils seront publiés d’ici la fin de l’année.

Le 02 octobre 2014 à 08h50

Commentaires (19)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Il s’agit aussi d’éviter de se faire siphonner notre R&D par nos amis…



Quand on sait que les services français et américains du renseignement travaille main dans la main, je ne sais pas comment interpréter cette phrase

votre avatar

A écouter Mr Poupard, il fait enfin la découverte des honeypots et du pentesting, c’est en effet un bon début.

A quand un ISIS utilisant uniquement du matériel dont ils ont la totalité des sources?

votre avatar







zempa a écrit :



Quand on sait que les services français et américains du renseignement travaille main dans la main, je ne sais pas comment interpréter cette phrase







Les services secrets ne s’échange pas de données de R&D (normalement)

C’est juste que les américains sont justement allé plus loin de leur coté que ce simple accord.

C’est pas parce qu’on travaille ensemble que c’est du portes ouvertes :)


votre avatar







zempa a écrit :



Il s’agit aussi d’éviter de se faire siphonner notre R&D par nos amis…



Quand on sait que les services français et américains du renseignement travaille main dans la main, je ne sais pas comment interpréter cette phrase





Il n’y a rien à interpréter. Le renseignement c’est aussi de la diplomatie : je te donne cette information/technologie en échange de celle-ci. Ça n’empêche pas de devoir protéger ses informations/technologies contre tes alliés d’un temps. Au contraire même, plus tu souhaites échanger plus tu dois protéger tes ressources sinon tes informations sont totalement dévaluées.


votre avatar







Northernlights a écrit :



Les services secrets ne s’échange pas de données de R&D (normalement)

C’est juste que les américains sont justement allé plus loin de leur coté que ce simple accord.

C’est pas parce qu’on travaille ensemble que c’est du portes ouvertes :)





Certes, mais quand on utilise du matériel et des logiciels US dont on sait maintenant qu’ils sont backdoorés, c’est risible… voire ridicule, au choix&nbsp;<img data-src=" />


votre avatar

Marc même propal que l année dernier, je serais très heureux de pouvoir partager un verre avec toi sur les assises !

votre avatar







zempa a écrit :



Certes, mais quand on utilise du matériel et des logiciels US dont on sait maintenant qu’ils sont backdoorés, c’est risible… voire ridicule, au choix&nbsp;<img data-src=" />







O.o

Depuis quand la R&D des services secret utilisent des logiciels backdoorés ?

C’est pas parce que le MinDef a accepté l’offre OpenBar de MS qu’il n’y a pas de Linux la bas… Et encore moins que les gens de la R&D utilise du Windows


votre avatar







Jed08 a écrit :



O.o

Depuis quand la R&D des services secret utilisent des logiciels backdoorés ?

C’est pas parce que le MinDef a accepté l’offre OpenBar de MS qu’il n’y a pas de Linux la bas… Et encore moins que les gens de la R&D utilise du Windows





A vérifier.<img data-src=" />


votre avatar







oufledingue a écrit :



Marc même propal que l année dernier, je serais très heureux de pouvoir partager un verre avec toi sur les assises !







avec joie.

donne moi ton phone par mail (marc@ n e x t i n pa c t .com) je serai sur place dans 20 m / 1/2h environ.


votre avatar







Jed08 a écrit :



O.o

Depuis quand la R&D des services secret utilisent des logiciels backdoorés ?

C’est pas parce que le MinDef a accepté l’offre OpenBar de MS qu’il n’y a pas de Linux la bas… Et encore moins que les gens de la R&D utilise du Windows





Et surtout que la R&D est accessible sur Internet.

Tu peux mettre toutes les backdoors que tu veux si le réseau est isolé du reste les backdoors ne servent à rien.


votre avatar







Khalev a écrit :



Et surtout que la R&D est inaccessible sur Internet.

Tu peux mettre toutes les backdoors que tu veux si le réseau est isolé du reste les backdoors ne servent à rien.







Je pense que c’est ce que tu as voulu dire non ? :)


votre avatar







Khalev a écrit :



Tu peux mettre toutes les backdoors que tu veux si le réseau est isolé du reste les backdoors ne servent à rien.







C’est ce que pensaient certains avant de comprendre le mode opératoire de Stuxnet par exemple. Il y’a toujours un point d’entrée.


votre avatar







zempa a écrit :



Il s’agit aussi d’éviter de se faire siphonner notre R&D par nos amis…



Quand on sait que les services français et américains du renseignement travaille main dans la main, je ne sais pas comment interpréter cette phrase









On avait cette discussion avec des amis, qu’est-ce qui différencie la théorie du complot de la réalité. On en était arrivé à la conclusion que certes les services secrets font des choses dans notre dos, et que les médias ne relayent pas forcement la réalité, mais qu’il faut arrêter de croire que toutes ces personnes sont d’accord entre elles.


votre avatar







oufledingue a écrit :



Marc même propal que l année dernier, je serais très heureux de pouvoir partager un verre avec toi sur les assises !









MarcRees a écrit :



Tout ça pour picoler avec Marc <img data-src=" />

avec joie.

donne moi ton phone par mail (marc@ n e x t i n pa c t .com) je serai sur place dans 20 m / 1/2h environ.





Heu, c’est aux assises ou pour dicuter des assises hors des assises ?



Dans le second cas, ce serait bien de faire un peu plus large qu’un diner aux chandelles <img data-src=" />


votre avatar







pufff a écrit :



C’est ce que pensaient certains avant de comprendre le mode opératoire de Stuxnet par exemple. Il y’a toujours un point d’entrée.





La porte <img data-src=" />



Mais c’est pas le point G du système.



Stuxnet avait une mission de sape, la il faut que les données puissent ressortir, cela dit, elle repasseront par la même porte qu’en entrée dans ce cas.

Par contre, si le matériel ne sors pas de l’isolation, rien ne se passera (exit l’USB, le sans fil, …) + cage de faraday <img data-src=" />


votre avatar







lol51 a écrit :



On avait cette discussion avec des amis, qu’est-ce qui différencie la théorie du complot de la réalité. On en était arrivé à la conclusion que certes les services secrets font des choses dans notre dos, et que les médias ne relayent pas forcement la réalité, mais qu’il faut arrêter de croire que toutes ces personnes sont d’accord entre elles.





Ou sinon, il y a des sources comme Snowden qui ont fourni les preuves d’une surveillance généralisée <img data-src=" />



Concernant la citation, ce n’était qu’une boutade pas la peine d’en faire une fromage de complotistes <img data-src=" />


votre avatar

Il me fait un peu rire poupard.

Qu’est qu’il a nous dire quand Éric filliol constate que nous navions une boite qui faisait de superbe appliance de sécurité et que une fois cette société racheté par un big group amerlock ces derniers ont changés tous les algorithmes de cryptage maison par ….. de l’AES ?

votre avatar







zempa a écrit :



Ou sinon, il y a des sources comme Snowden qui ont fourni les preuves d’une surveillance généralisée <img data-src=" />



Concernant la citation, ce n’était qu’une boutade pas la peine d’en faire une fromage de complotistes <img data-src=" />







Oui mais il ne faut pas croire que les services français et américains sont d’accords entre-eux.



Un partisan de la théorie du complot va penser le contraire.



Oui, j’entends bien, mais ici à part faire du fromage je ne vois pas trop ce qu’on peut faire d’autre.


votre avatar







lol51 a écrit :



Oui mais il ne faut pas croire que les services français et américains sont d’accords entre-eux.





Les révélations sur l’accord LUSTRE démontrent tout de même l’existence d’une coopération entre les deux. <img data-src=" />







lol51 a écrit :



Un partisan de la théorie du complot va penser le contraire.





Un complotiste n’a pas besoin de moi pour alimenter ses délires. <img data-src=" />







lol51 a écrit :



Oui, j’entends bien, mais ici à part faire du fromage je ne vois pas trop ce qu’on peut faire d’autre.





Qu’est ce qu’on peut faire d’autre ?

Se renseigner <img data-src=" />


Comment l’ANSSI compte muscler la cybersécurité française

  • L'article 22 long rifle de la LPM 

  • 2015, année d'importance vitale

  • Qualifier des prestataires de confiance français

  • L'article 22 s'exportera, tout comme les produits français

  • La Nouvelle France industrielle

  • Des marchés publics dopés à la cybersécurité  

Fermer