S3 1 Tio
S3 1 Tio
Connexion Premium
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

« Nous ne pouvons pas tout contrôler » : l’ANSSI face à la complexité des systèmes de l’État

Débranche, débranche, débranche tout. Revenons à nous.

« Nous ne pouvons pas tout contrôler » : l’ANSSI face à la complexité des systèmes de l’État

Face aux quasi-incessantes fuites de données en France, notamment sur des institutions, l’ANSSI serait sur la sellette ? Son directeur général Vincent Strubel réfute et revient sur les travaux de pilotage du numérique, avec une future autorité « Ariane ». Il en profite pour mettre en face des milliers de systèmes d’information de l’État la capacité de l’Agence à mener… 50 contrôles par an.

La semaine dernière, le Canard enchainé a publié un article intitulé « Lecornu débranche l’Anssi, accusée de ne pas avoir sécurisé des sites sensibles de l’État ». Le Palmipède y explique que le premier ministre Sébastien Lecornu chercherait un fusible. En cause, les fuites de données à répétition. « Cela pourrait déboucher sur le limogeage de Vincent Strubel, le directeur général de l’Agence nationale de la sécurité des systèmes d’information (Anssi) », indiquent nos confrères.

« Il n’y a pas de remise en cause des missions de l’ANSSI »

Hasard ou pas du calendrier, ce même Vincent Strubel était auditionné par la Commission de la défense de l’Assemblée nationale le lendemain dans le cadre du cycle Guerre hybride et continuum de conflictualités. Le rendez-vous était déjà fixé avant la publication de l’article de nos confrères. Après un discours introductif sur l’état de la cybermenace en France, des questions sont rapidement arrivées sur l’article du Canard et le piratage de l’ANTS. C’est la dernière institution en date à avoir subi une fuite massive de données : au moins 11,7 millions de comptes ont été compromis. Dans cette affaire, un ado de 15 ans a été placé en garde à vue fin avril.

« Non, il n’y a pas de tension entre le Premier ministre et l’ANSSI. Je réfute ce qui est dit dans l’article », affirme sans détour Vincent Strubel. Il en veut pour « preuve » sa présence encore au poste de directeur général de l’ANSSI.

Il en profite pour rappeler que ses équipes ne ménagent pas leurs efforts en matière de cybersécurité et joue lui aussi de l’analogie des cyberpompiers : « Je trouve que là on est dans le même registre que jeter des cailloux sur les camions de pompiers qui viennent éteindre des incendies et je le trouve parfaitement abject. »

« Je pense qu’il y a une mécompréhension fondamentale de la réforme annoncée, non pas de l’ANSSI mais du pilotage numérique. Il n’y a pas de remise en cause des missions de l’ANSSI, il n’y a pas de remise en cause de l’efficacité de son travail », ajoute-t-il.

Une réforme du pilotage du numérique, pas de la cybersécurité

Il reste 77% de l'article à découvrir.

Cadenas en colère - Contenu premium

Soutenez un journalisme indépendant,
libre de ton, sans pub et sans reproche.

Accédez en illimité aux articles

Profitez d'un média expert et unique

Intégrez la communauté et prenez part aux débats

Partagez des articles premium à vos contacts

Commentaires (16)

votre avatar
Comme toujours en France on adore légiférer, sans mettre les moyens de contrôle nécessaires en face... 🤔
votre avatar
Pour moi c'est pas qu'un problème de moyens de contrôle. Créer des textes, des commissions, des groupes de travail, des certifications, des labels, .... c'est aussi un moyen de s'agiter pour montrer (et uniquement montrer) que des choses avance quand petit à petit on perds les compétences et le savoir-faire à force de prendre la relève pour des moins que rien sous-payés & sous-formés (cf financement universités).

C'est à mon avis aussi une des conséquences du papy-boom - le "décalage vers le vieux" comme on dit en astronomie (ou pas ? :francais: )
votre avatar
Je ne peux, hélas, qu'approuver... 😵‍💫
votre avatar
votre avatar
"On est mauvais sur toute la ligne, mais c'est pas grave, c'est vous qui payez, les pigeons !".
votre avatar
Commentaire injuste qui se révèlera pertinent lorsque l'ANSSI elle-même se fera piratée. L'ANSSI n'est pas responsable de la sécurité des entités privées ou publiques qui implémentent mal leur recommendations. L'article parle bien de ses moyens plus que limités.
votre avatar
Ce sont les mêmes débats qu'en entreprise où la sécurité est considérée comme une charge, donc on ne veut pas y mettre de moyens. Tout en imaginant que les équipes sécurités sont omniscientes.
votre avatar
Imposer des bonne pratiques serait une bonne choses si cela permet de s'en prendre aux responsables en cas de non respects.

Qu'attendent-ils pour imposer le 2FA et les gestionnaires de mot de passe dans la sphère publique ?
(rappel: le 2FA si c'est du TOTP ne protège pas du hameçonnage contrairement au gestionnaire de mots de passe ou aux passkeys)

et ce n'est pas la seule bonne pratique critique à imposer.
votre avatar
Et 2FA qui ne passe pas par des solutions uniquement contrôlées par les GAFAM, je pense notamment au passkeys sur les smartphones.
votre avatar
Carrément. J'utilise Aegis, installé depuis F-droid (Reste qu'à un moment il faut bien faire confiance à l'éditeur du programme, et aussi au distributeur (ici f-droid, mais c'est pareil si on download l'APK depuis github). Avec les histoires de supply-chain qu'on lis ici même, ça reste un problème complexe à résoudre (et plus encore de manière user-friendly)... Les store propriétaires n'apportent pas de solution, juste de l’offuscation.
votre avatar
C'est pas encore imposé, mais ça arrive doucement (ça fait qql années que c'est fortement conseillé à l'université, mais les RSSI resserrent de plus en plus la vis, à un rythme qui évite les levées de bouclier)
votre avatar
En fait, la sécurité IT, c'est comme le FinOps.

De mon expérience en entreprise, souvent le FinOps c'est une ou deux personnes qui vont régulièrement regarder les consos et aller taper sur les doigts des services qui ont des ressources qui finissent par coûter 2 ou 3 jours d'ETP mensuels pour rien. On a pas accès aux tableaux de bord de billing sur les CSP ou ceux-ci sont incompréhensibles à cause des éventuels saving plans.
Bref, les équipes ne sont pas impliquées en dehors de quelques initiatives personnelles.

La sécu IT en entreprise, c'est à peu près la même chose quand elle est mal pensée. On croit que c'est un service sécu qui fait de la sécu, alors que c'est l'affaire de tous.

Sécurité IT comme le FinOps (et d'autres aspects aussi) sont à prendre en considération de bout en bout d'un projet et de son run pour s'assurer que toutes les bonnes pratiques sont incluses par conception.

Hélas, quand l'IT est considéré comme un centre de coûts et qu'il faut délivrer les projets vite vite vite vite, on se retrouve avec de nombreux raccourcis pris, le fameux "lot 2" qui ne verra jamais le jour, et j'en passe.

Bref, c'est aussi un très gros problème de culture dans les DSI.
votre avatar
Des systèmes d’information « critiques » par milliers
Conséquence logique du poids de l'état en France
votre avatar
Bah si le service est requis, il n'y a que 2 solutions : Soit c'est l'état qui le prends en charge, soit c'est le privé.
(Et bien souvent on a les 2, l'état sous-traite au privé). Il y aussi l'URSAFF, qui est entreprise privée avec une mission de service public.... (comme quoi on est créatif !)

Mais fondamentalement, je ne vois pas vraiment de différence entre les 2.
Dans le cas public il y a des gaspillages lié par exemple aux appels d'offres & à des règles comptables pas très inspirée (je pense à l'UGAP...) et dans le cas privé c'est (censé être) efficace mais les gains servent surtout à satisfaire les exigences des actionnaires.

Après c'est sur qu'on a énormément de commissions de contrôle et de réglementation en tous genre.
Est-ce que c'est pas lié au fait qu'il y a toujours des gens prêts à faire n'importe quoi pour un peu de fric en plus ou de taxes en moins ? Même en suisse ils ont pas mal de ces excroissances administratives...
votre avatar
Le caractère public ou privé ne change pas vraiment la sensibilité de ces systèmes critiques ni leur nombre.
La quantité est plutôt à voir dans la numérisation croissante de nos activités en général. On rend accessible de plus en plus de données sensibles, nous dépendons de plus en plus de services informatiques, tous cela sans réelle séparation des réseaux.
Une défaillance sur un réseau bancaires, hospitaliers, télécom ou énergétique, peu très vite devenir catastrophique

L'état pourrait néanmoins contraindre à minimiser l'accumulation excessive de données personnelles.
votre avatar
La quantité est plutôt à voir dans la numérisation croissante de nos activités en général
Ca je suis bien d'accord... Chaque année il y en a un peu plus.

On a un gros problème de résilience à mon avis, sauf qu'on en prendra conscience que lorsque des pannes critiques et très longue arriveront.

A ce sujet, je reste impressionné en Espagne qu'après la panne électrique qu'ils ont subit ils aient réussi à relancer le réseau national aussi vite , et resynchroniser le tout au reste de l'Europe.

(Ce n'était qu'une panne, rien d'intentionnel)