Sécurité : l'ANSSI voit une prise de conscience politique et défend le modèle français

Sécurité : l’ANSSI voit une prise de conscience politique et défend le modèle français

Les cyberpompiers sont sympas

9

Sécurité : l'ANSSI voit une prise de conscience politique et défend le modèle français

Pour l'agence de cybersécurité française, l'année 2016 a été celle de la « prise de conscience », notamment du monde politique, et du renforcement de la coopération européenne. L'institution profite de son rapport pour marteler le besoin d'une agence dédiée à la défense informatique, une exception française défendue par Guillaume Poupard.

2016 a été une année chargée pour l'ANSSI, et 2017 suivrait la même voie. L'Agence nationale de la sécurité des systèmes d’information a présenté son rapport annuel, marqué par la prise de conscience de l'État sur la sécurité numérique, désormais perçue comme « un enjeu fondamental ». Créée en 2009, elle compte désormais 500 agents, avec un positionnement d'expert technique, loin des turpitudes politiques.

L'ANSSI insiste d'ailleurs sur la jeunesse de ses effectifs : plus des deux tiers ont moins de 40 ans et plus d'un quart moins de 30 ans. De quoi répondre aux « nouvelles menaces », dont certaines seraient à même de porter atteinte à « la stabilité de nos démocraties ».

Non, l'agence ne parle pas des lois sécuritaires ou de l'état d'urgence permanent. Elle semble plutôt faire référence aux fuites de documents qui ont émaillé les dernières élections américaine et française ; les fameux #MacronLeaks sur lesquels l'agence était mobilisée. Ces actions marqueraient ainsi le resserrement des liens entre réseaux sociaux et action politique.

Au-delà de ça, l'institution a du pain sur la planche : renforcer la confiance dans le numérique, sensibiliser le public aux enjeux et contribuer au rayonnement mondial du pays. Concrètement, des chantiers comme les contributions aux lois, l'accompagnement des organismes critiques dans leur sécurisation et la réponse constante aux incidents informatiques occupent ses équipes.

La politique du chiffre, pas des détails

Pour résumer son année, l'ANSSI a mis les petites calculettes dans les grandes, pour multiplier les décomptes flatteurs. Sur la confiance dans le numérique, l'agence dit avoir publié 45 publications scientifiques, mené 500 actions en région, avec 22 prestataires qualifiés. Il a continué à conseiller le législateur sur les sujets numériques, tout en accompagnant les opérateurs. Défense des intérêts français oblige, les détails existent peu. Cela n'empêche pas l'utilisation de grands mots (voire d'hyperboles) pour décrire son action.

Améliorer la confiance, c'est aussi sensibiliser et former, avant tout le public et les entreprises. « L’ANSSI a qualifié 16 nouveaux produits et accordé 13 agréments pour la protection d’informations sensibles ou classifiées. Le centre de certification de l’agence a quant à lui certifié 95 produits » écrit-elle. Elle a aussi contribué à la création de la plateforme d'assistance aux victimes de cybermalveillance (Acyma), ouverte fin mai.

Plus récemment, elle a ouvert son cours en ligne SecNumAcadémie. L'agence nous affirmait compter 10 000 inscrits en trois jours. Désormais, elle déclare ici 20 000 utilisateurs en deux semaines.

ANSSI exercices 2016
Les plans et exercices impliquant l'ANSSI en 2016

En parallèle, le sujet de la souveraineté n'en finit plus d'agiter les lobbies et politiques français, que ce soit en matière de fiscalité, de culture ou maintenant de défense informatique. En 2016, l'institution a mené 20 opérations « majeures » de cyberdéfense. Où, quand, pourquoi sont des questions sans réponse.

Elle a répondu à 3 235 signalements d'événements, dont 79 « importants » signalés immédiatement à la hotline du CERT-FR. La surveillance des sondes entre les ministères et Internet a été suivie de « 12 signalements ayant conduit à 159 traitements d’incidents, dont trois qualifiés de critiques ». Concernant les opérateurs d'importance vitale (OIV), dont la défaillance causerait de lourds dégâts au pays, neuf arrêts sectoriels ont été pris, pour 60 réunions.

Rayonnement international et directive NIS

L'ANSSI doit aussi contribuer au rayonnement international de la France sur la sécurité informatique. Elle a noué des liens avec 40 pays et mené 80 missions internationales pour défendre ses positions. Surtout, elle doit aider les acteurs français à se conformer à la directive NIS, adoptée par l'UE en juillet 2016. Celle-ci renforce grandement les pouvoirs de l'État en matière de cybersécurité et les obligations des OIV.

L'agence se targue d'avoir l'expérience de la loi de programmation militaire (LPM) de 2013, dont les mesures ont dû être appliquées dans un délai de trois mois à trois ans, selon leur complexité. « NIS va s'appliquer comme la LPM, avec des délais. On prend le temps de réfléchir, d'identifier les acteurs concernés, on met en place un écosystème industriel capable d'appliquer les règles » nous affirme Guillaume Poupard, le directeur de l'agence.

« C'est urgent, à cause des attaques et non à cause de la réglementation. Donc nous voulons les aider, dans une démarche volontariste, tient-il à préciser. Ce type d'opportunité ne passe pas dix fois. Il faut quelque chose d'efficace, peut-être contraignant (mais à juste titre) et bien accepté par les acteurs. » 

Les liens se sont aussi beaucoup renforcés avec l'Allemagne, via le BSI, l'homologue de l'ANSSI. En décembre, cette dernière lançait son label pour prestataires cloud SecNumCloud. Le lendemain était présenté l'équivalent franco-allemand ESCloud. Une initiative qui marque la collaboration entre les deux agences et le besoin de porter ces problèmes à l'échelle européenne. Comme nous le confiait Poupard, ESCloud a vocation à être remis aux mains de la Commission européenne. 

Défendre des principes techniques

Pour la suite, l'agence française insiste sur son « ADN technique », notamment face aux politiques qui s'intéressent de plus en plus au sujet. L'ANSSI devrait donc être amenée à donner son avis sur les prochains textes, comme le projet de loi sur le terrorisme, annoncé par Emmanuel Macron.

Sur ce sujet, le message de Guillaume Poupard est d'ailleurs clair : « Nous sommes tous marqués par les attentats, la question n'est pas là. Mais la réaction sous le coup de l'émotion en se disant qu'il n'y a qu'à interdire le chiffrement... On sait très bien que ça ne marche pas, donc notre rôle est de l'expliquer en permanence ».

En matière de cyberdéfense, l'agence estime qu'il « s’agit maintenant pour les États de se réunir autour de ces questions et de créer les conditions d’un dialogue nécessairement international ». Exit, donc, les volontés de solutions franco-françaises. 

Un rôle qui se veut sans ambiguïté

À l'étranger, l'ANSSI et Poupard se veulent d'ailleurs les VRP d'un modèle français assez unique, fleurant presque l'exception culturelle. Le pays dispose d'une agence dédiée à la défense informatique de l'État, contrairement à d'autres où les agences de renseignement ont à la fois la charge de l'attaque et de la défense.

« C’est en effet sur la scène européenne que l’on mesure toute la portée du modèle français. En séparant la défense, la protection et la prévention de l’offensif, la France a opéré un choix distinctif qui aspire à faire référence à l’échelle européenne » écrit sans détour l'institution dans son rapport.

Les intérêts seraient multiples, mais le plus évident est que l'ANSSI peut tenir des positions fortes sur des sujets techniques, comme le chiffrement. N'ayant pas à attaquer, mais devant défendre l'État et les infrastructures vitales, elle peut clamer tout son amour pour le chiffrement fort. Une position moins évidente pour d'autres agences.

Surtout, des agences anglo-saxonnes subissent le feu des critiques pour l'ambiguïté de leur rôle, que ce soit la CIA, la NSA ou le GCHQ britannique. Celles-ci sont habituées à conserver des vulnérabilités pour leur propre usage, plutôt que de les signaler aux éditeurs, avec le risque de les voir récupérées et publiées.

C'est ce qui est arrivé à des outils de la CIA, sortis par WikiLeaks ces dernières semaines, sous le nom Vault 7. La NSA, elle, alimente le fonds de commerce des pirates de Shadow Brokers qui ont mis la main sur ses créations, dont une a servi de base technique au ransomware WannaCrypt. Microsoft aurait été prévenu de certaines failles par la NSA, une fois que celle-ci a compris que ses outils étaient dans la nature. Un vrai jeu d'équilibriste.

« Elles ont ce double rôle, mais quand on regarde les budgets, on voit bien de quel côté elles penchent » tranche tout de même un connaisseur de ces agences. La distinction française doit donc éliminer ce genre de soucis, spectaculaires, alimentant facilement la communication hexagonale.

Commentaires (9)


Plan Piranet.



J’ai appris un truc aujourd’hui.<img data-src=" />




L’ANSSI devrait donc être amenée à donner son avis sur les prochains textes, comme le projet de loi sur le terrorisme, annoncé par Emmanuel Macron.



Et ça sert à quoi?

L’ANSSI a bien donné son avis sur TES (entre beaucoup d’autres d’ailleurs…) et on a vu le résultat





Sur ce sujet, le message de Guillaume Poupard est d’ailleurs clair : « Nous sommes tous marqués par les attentats, la question n’est pas là. Mais la réaction sous le coup de l’émotion en se disant qu’il n’y a qu’à interdire le chiffrement… On sait très bien que ça ne marche pas, donc notre rôle est de l’expliquer en permanence ».







Les organisations qui nous menacent abusent des facilités offertes par la cryptologie moderne pour dissimuler leur projet. Ils utilisent des messageries instantanées fortement cryptées pour prendre des contacts, donner des ordres. Une grande partie de ce trafic Internet, parce qu’il est crypté, échappe ainsi aux services de sécurité. […] Jusqu’à présent, les grands groupes ont refusés de communiquer leur clef de chiffrement ou de donner accès aux contenus au motif qu’ils ont garanti contractuellement à leur client que leur communication était protégées. Cette situation n’est plus acceptable […] Il est essentiel que ces entreprises acceptent un système de réquisition légale de leurs services cryptés, comparable à celui qui existe aujourd’hui pour le secteur des opérateurs de télécoms […] Pour ma part je mettrai en place (…) une obligation de livrer ces codes.



Emmanuel Macron, 10 avril 2017


Une agence qui fait son boulot, qui n’est pas dans la comm’ de buzz, et qui assure la pédagogie : je suis justement en train de participer à leur MOOC, il est vraiment bien fait (à part quelques erreurs mineures, du genre le bluetooth qui passe par l’ADSL).



Et j’ignorais qu’elle était différente des autres, en étant seulement sur lechamp défensif. C’est plutôt bien puisque cela lui permet de défendre le chiffrement bec et ongle sans avoir à tenir un double discours pour ses activités de “surveillance”, comme les autres agences.





Exit, donc, les volontés de solutions franco-françaises





Vous faites référence à l’OS souverain ?


L’ANSSI fait tache en France, en effet ce sont des gens compétents, trop compétents pour avoir le droit de conseiller le gouvernement qui n’attend que des prétextes pour resserrer la vis sécuritaire sur internet.



Je ne peux qu’espérer qu’ils soient écoutés et que leur rôle ne soit pas qu’informatif. En attendant ils ont pas mal de docs et de guides pour sécuriser vos infras, par exemple sur le routage.


il me semble que l’ANSSI plaide pour le chiffrement, les systèmes de sécurité robustes sans backdoors pour les Etats dans les entreprises, pour la garantie de la vie privée et contre les politiques visant à obliger les sociétés à casser leur sécurité parce que c’est un des facteurs qui brise la confiance dans le numérique….



C’est presque l’antithèse de la vision des choses des politiques…


Une bien belle agence que l’ANSSI, avec des cerveaux entiers dedans. <img data-src=" />


Rien que leur logo qui est un casse-tête a déchiffrer entièrement ça montre que ce n’est pas vraiment des politicard pur souche qui mène la barque. J’ai juste peur qu’on leur place un branquignole a sa tête car ils auront un peu trop contre-dit le gouvernement.


Mr Poupard est-ce qu’on aura aussi un Vault francais avec un leak majeur nos barbouzes locaux ?



“le pays dispose d’une agence dédiée à la défense informatique de l’État, contrairement à d’autres pays où les agences de renseignement ont à la fois la charge de l’attaque et de la défense.” Soyons clair, l’ANSSI tombe sur un trou pas connu ils le filent illico à leurs potes des renseignements int et externe. C’est poreux. Et mieux que ça : ils vont même pas aller le remonter à l’éditeur si des produits sont impliqués. De mémoire j’ai jamais vu de CERT/Patch and co avec l’ANSSI en crédit.








Fyr a écrit :



Mr Poupard est-ce qu’on aura aussi un Vault francais avec un leak majeur nos barbouzes locaux ?



“le pays dispose d’une agence dédiée à la défense informatique de l’État, contrairement à d’autres pays où les agences de renseignement ont à la fois la charge de l’attaque et de la défense.” Soyons clair, l’ANSSI tombe sur un trou pas connu ils le filent illico à leurs potes des renseignements int et externe. C’est poreux. Et mieux que ça : ils vont même pas aller le remonter à l’éditeur si des produits sont impliqués. De mémoire j’ai jamais vu de CERT/Patch and co avec l’ANSSI en crédit.





T’as des sources sur le fait qu’ils refilent ça aux renseignements et qu’ils préviennent pas l’éditeur?

Parce que moi j’ai des échos exactement opposés



Fermer