Face aux routeurs chinois, l’ANSSI oppose l’analyse de risque

En direct depuis Monaco. Dans le rapport sur la Cyberdéfense, le sénateur Jean-Marie Bockel avait mis en cause les équipements chinois placés dans le cœur du réseau. Aux Assises de la sécurité, Patrick Pailloux, directeur de l’ANSSI a été interrogé sur la question.

Le parlementaire du Haut Rhin avait créé l’émoi chez les géants chinois de l’électronique :  il voudrait « interdire sur le territoire national et à l’échelle européenne le déploiement et l’utilisation de « routeurs » ou d’autres équipements de coeur de réseaux qui présentent un risque pour la sécurité nationale, en particulier les « routeurs » et certains équipements d’origine chinoise ». Il pointe du doigt, nommément, les géants Huawei et ZTE, craignant qu’un pays producteur puisse placer dans ces produits des dispositifs de surveillance ou d’interception en cœur de réseau.

De l’analyse de risque

Interrogé aux assises de la sécurité à Monaco, Patrick Pailloux, numéro un de l’ANSSI, refusera de commenter la proposition du législateur… ou plutôt, concentrera sa réponse sur les fondamentaux de l’analyse de risque. « La question qu’il faut se poser c’est, quand vous avez des systèmes essentiels, comment vous assurez que vos systèmes font exactement ce pour quoi ils sont faits et qu’ils fonctionnent correctement ? C’est un problème d’analyse de risque. »

Plutôt qu’une réponse frontale, le représentant de l’autorité donnera un exemple concret, qualifié d’extrême. « Dans le domaine du secret défense, quand on veut protéger des informations essentielles à la survie de la nation, on s’adresse à des industriels pour exiger que la totalité du matériel soit sous contrôle national. Typiquement, on a un nouveau téléphone ‘secret défense’. Il s’appelle Théorème et a été conçu par Thales - je passe sur le jeu de mot. Il a été fabriqué 100% en France. Un tel téléphone ne coûte pas le même prix que celui que vous avez à la maison et est évidemment d’un degré de convivialité moindre… »
 

Si l’Anssi, émanation du pouvoir exécutif refuse de commenter la proposition du législateur, elle appelle cependant la communauté à mener ce travail d’analyse de risque. Une analyse qui passe nécessairement par la prise de précautions importantes, notamment au regard du fournisseur.

Maitrise des règles

Patrick Pailloux rebondira sur Facebook. « Indépendamment de savoir si le réseau social a bien ou mal géré la protection des données personnelles, Facebook offre un service gratuit que l’utilisateur ne maitrise pas. Bon, pas bon, utile, pas utile, ce n’est pas mon débat ; les règles qui s’appliquent sont celles proposées par l’entreprise. Personne ne vous oblige à l’utiliser simplement vous ne les maitrisez pas. Est-ce grave ou est-ce que cela ne l’est pas ? Ce qu’on répète à longueur de journée est que quand vous êtes une entreprise et que vous avez des données sensibles, il faut que vous puissiez, d’une certaine limite, garder la maitrise de votre système d’information ; et donc vous ne pouvez pas faire appel à des solutions dans lesquelles vous n’avez pas les moyens de négocier a minima un certain nombre de clauses. »
 

L’ANSSI avait d’ailleurs publié un guide sur l’externationalisation riche d’une liste de clauses qu’un client peut exiger du prestataire. « Face à Google sur le cloud, face à Gmail ou Facebook, ce travail ne peut pas être fait. Ce n’est pas un reproche : ils ont défini un certain niveau de sécurité - bon ou pas bon, ce n’est pas mon débat - c’est eux qui ont choisi, ce n’est pas vous. Et donc quand vous avez des informations sensibles à protéger, il vous appartient de définir votre besoin de sécurité, pas à un tiers. »