Guillaume Poupard (ANSSI) : ne mélangeons pas Alicem avec la reconnaissance faciale

À l’occasion du Forum international de la cybersécurité (FIC) de Lille, Guillaume Poupard a bien voulu répondre à nos questions. Parmi les sujets, la souveraineté européenne, l’ENISA, ou encore la reconnaissance faciale.

Au FIC, l’ANSSI a plaidé pour « une souveraineté européenne en matière de cybersécurité ». Comment assurer cet objectif dans un secteur si régalien ?

C’est le cœur du sujet. La souveraineté nationale est un sujet de longue date, toujours d’actualité. À côté de cela, il y a trois ans, celui qui parlait de souveraineté européenne, et cela m’est arrivé, se faisait taper sur les doigts, car par définition elle ne peut être que nationale.

Aujourd’hui, cela a changé. Au niveau national, le Président de la République est le premier à parler de ce sujet. La nouvelle Commission est très « pushy » pour l’évoquer. Tout l’enjeu est donc de bien expliquer que ce ne sont pas deux souverainetés qui s’opposent, mais qui se répondent et s’aident mutuellement. En tout cas c’est comme ça que je le comprends et que j’ai envie de le jouer.

Comme je l’ai dit lors de l’ouverture du FIC, de super puissances sont en train de se dégager au niveau du numérique. La volonté de la France est de rester dans le premier cercle de ces super puissances sauf que c’est un petit pays. Grand par plein d’aspects, mais petit pays. Et donc que si on a envie d’y rester, on a absolument besoin de la souveraineté européenne.

La souveraineté nationale française a besoin de l’Europe pour se réaliser dans le domaine cyber. À l’inverse, à un moment où l’EU veut développer sa souveraineté européenne, elle a besoin de la France comme un État membre leader. Ce ne sont pas que des mots. L’idée est de se demander comment faire cela pour mettre cela en œuvre très concrètement.

Des choses ont été faites et où les aspects nationaux et européens s’emboitaient. Ce fut le cas avec la directive NIS, finalement. La LPM et la loi allemande ont été apportées à la commission, puis transformées en directive et ensuite transposées. C’est là où les souverainetés miroitent et où on a toujours veillé à ce cela n’empiète pas sur les souverainetés, mais les renforcent. Voilà pourquoi on a refusé que l’ENISA soit une agence supranationale, mais qu’elle aide les États à travailler ensemble.

Un autre exemple très récent, c’est la 5G. Tous les États européens sont soumis à une pression monstrueuse, et chinoise et américaine, trop forte pour un État tout seul. En France, on arrive encore à résister, et encore. Dans la plupart des pays, cela a créé des clashs. Le fait de reprendre le sujet ensemble, à 28, avec la Commission, de faire une analyse de risques commune, publiée en octobre, de construire une toolbox présentée mercredi dernier… voilà une manière de concilier les intérêts européens et les questions nationales.

Comment faites-vous pour assurer une égalité des chances entre des pays différents ?

En termes de droits, il y a égalité. C’est le même droit qui s’applique. Les valeurs sont les mêmes. C’est plus qu’un marché, il y a vraiment quelque chose en commun. Moi, cela fait longtemps que je dis de faire attention aux idées naïves de protection en Europe des petits par les gros !

Ce n’est pas que les gros ne veuillent pas aider, c’est que cela ne marchera pas. L’idée est de développer des capacités dans chaque État membre, jusqu’aux plus petits, et ensuite se demander comment ces capacités vont s’aider avec cette fois un vrai devoir des gros, ceux en avance, pour protéger les plus mal placés.

On a joué à un exercice début juin à paris avec l’ensemble des États membres et la Commission. Pour la première fois on s’est posé la question : il y a un pépin, une vraie crise européenne niveau cyber, comment fait-on pour jouer ensemble ? C’était très intéressant : on n’est pas prêt au niveau opérationnel.

Chacun a compris qu’il n’y avait pas de bouclier européen. Jusqu’à deux trois ans, en cas de problème, on se disait que l’OTAN nous protègerait. C’est en train de changer en termes d’état d’esprit. On ne cherche pas à avoir 28 pays identiques, chacun est différent, par sa taille, par sa maturité, mais chacun doit avoir sa propre capacité au niveau défensif.

Après la question va se poser de savoir comment faire pour s’aider, envoyer des équipes. L’expérience qu’on avait jusque-là c’est qu’à chaque fois qu’on a essayé cela, cela a été un échec. Lorsqu’un réseau critique au sein d’un État est attaqué, c’est la souveraineté nationale qui se joue. Faire entrer même des alliés européens n’est pas possible.

Qu’est-ce qui a échoué dans le test effectué cet été ?

On sait qu’au niveau technique et tactique, il y a une coopération en place. Elle a été officialisée par la directive NIS, mais préexistait en fait. Les CERT (computer emergency response team, ndlr) des différents pays travaillaient ensemble. C’est dans leur ADN d’échanger de l’information.

Tout en haut, il est aussi prévu des mécanismes d’entraide entre les États membres. Ils sont génériques, non spécifiques cyber. Mais nous savions que le réseau des patrons d’agences n’était pas en place. Il faut le construire. Fixer des règles, des moyens de communication. Il revient aux États membres de faire en sorte que les différentes agences créent elles-mêmes ce réseau opérationnel.

Et l’Agence de l'Union européenne pour la cybersécurité (ENISA) ?

L’ENISA c’est un facilitateur du réseau qui veille à ce que les règles soient en place, mais ce n’est pas un super nœud du réseau qui va ensuite répartir les instructions.

Depuis le départ, on ne veut pas d’une ENISA qui soit une agence supra nationale. D’abord parce qu’il y a une question de moyens et parce que cela empièterait sur les souverainetés nationales. On revient à cet équilibre assez subtil avec la souveraineté européenne.

À l’ENISA, depuis l’arrivée du nouveau directeur général, cela se passe très bien. C’est une personne politique au bon sens du terme. Il était à la Commission européenne et connaît tous ces sujets-là par cœur. Il a vraiment envie de bien faire et est très doué.

Je n’ai aucun état d’âme à afficher le fait qu’on a besoin d’eux, et eux de nous, mais ce n’est pas un qui va être chef de l’autre. Ça n’a pas de sens.

J’ai entendu dire qu’il y avait eu un problème de sécurité avec le fichier TES, possiblement un bug de sauvegarde...

Rien de marquant, rien de majeur, rien qui m’empêche de dormir. Nous ferons un audit de contrôle très bientôt pour s’assurer que, suite à l’audit que nous avions fait il y a plus deux ans, le plan d’action qui avait été décidé et les mesures proactives qui devaient être faites ont réellement été mis en place.

J’ai cru comprendre aussi qu’ALICEM était actuellement ausculté par l’ANSSI. Quel est votre « job » sur ce système biométrique ?

C’est le travail habituel d’un auditeur qui a commencé il y a plusieurs mois. On regarde les systèmes d’information qui sont derrière, pour s’assurer qu’ils sont bien sécurisés, mais aussi l’appli sur le téléphone. Le sujet le plus complexe ? L’efficacité des mécanismes d’appairage par reconnaissance numérique, ausculté par un centre d’évaluation.

Je ne donnerai pas d’agrément tant que les feux ne seront pas au vert. Il y a aujourd’hui une polémique que je trouve un peu contreproductive et dangereuse, une confusion entre reconnaissance faciale et le mécanisme d’Alicem d’appairage entre passeports et téléphone. Le sujet reconnaissance faciale est tout autre.

Les questions sont nombreuses aujourd’hui : que fait-on en termes de reconnaissance faciale ? Qu’autorise-t-on comme technique pour la sécurité publique ? Que déploie-t-on dans les rues ou pour les Jeux olympiques ? Autorise-t-on l’expérimentation ou pas ? Est-ce que, par crainte d’atteinte aux libertés individuelles, on gèle tout comme certains voudraient le faire du côté de Bruxelles ?

Ce sont de vraies questions d’éthique, de droit, d’efficacité et de sécurité. Des questions globales, et même de civilisation pour l’Europe.

À l’inverse, sur Alicem, nous sommes sur une fonctionnalité technique permettant de faire quelque chose de très précis sans créer de base de données biométriques : aller vérifier que la photo dans le passeport correspond bien à la tête devant le téléphone. On n’est pas dans la reconnaissance faciale ou de l’identification de personne. C’est juste ce lien-là.

À mettre dans le même sac tous ces sujets, on risque de passer à côté des débats de fond sur ce qu’on veut, ce qu’on accepte en termes de libertés individuelles et publiques par ce qui est aujourd’hui permis par la technologie.

Alicem c’est une identité de niveau élevé. Aujourd’hui, on a une identité sans le savoir dans notre poche, en tout cas pour 20 millions de Français, via le passeport. L’idée toute bête est d’utiliser cette identité parce qu’on manque cruellement en France de solutions numériques.