Sécurité : l'ANSSI voit une prise de conscience politique et défend le modèle français

Sécurité : l’ANSSI voit une prise de conscience politique et défend le modèle français

Les cyberpompiers sont sympas

Avatar de l'auteur

Guénaël Pépin

Publié dansInternet

08/06/2017
9
Sécurité : l'ANSSI voit une prise de conscience politique et défend le modèle français

Pour l'agence de cybersécurité française, l'année 2016 a été celle de la « prise de conscience », notamment du monde politique, et du renforcement de la coopération européenne. L'institution profite de son rapport pour marteler le besoin d'une agence dédiée à la défense informatique, une exception française défendue par Guillaume Poupard.

2016 a été une année chargée pour l'ANSSI, et 2017 suivrait la même voie. L'Agence nationale de la sécurité des systèmes d’information a présenté son rapport annuel, marqué par la prise de conscience de l'État sur la sécurité numérique, désormais perçue comme « un enjeu fondamental ». Créée en 2009, elle compte désormais 500 agents, avec un positionnement d'expert technique, loin des turpitudes politiques.

L'ANSSI insiste d'ailleurs sur la jeunesse de ses effectifs : plus des deux tiers ont moins de 40 ans et plus d'un quart moins de 30 ans. De quoi répondre aux « nouvelles menaces », dont certaines seraient à même de porter atteinte à « la stabilité de nos démocraties ».

Non, l'agence ne parle pas des lois sécuritaires ou de l'état d'urgence permanent. Elle semble plutôt faire référence aux fuites de documents qui ont émaillé les dernières élections américaine et française ; les fameux #MacronLeaks sur lesquels l'agence était mobilisée. Ces actions marqueraient ainsi le resserrement des liens entre réseaux sociaux et action politique.

Au-delà de ça, l'institution a du pain sur la planche : renforcer la confiance dans le numérique, sensibiliser le public aux enjeux et contribuer au rayonnement mondial du pays. Concrètement, des chantiers comme les contributions aux lois, l'accompagnement des organismes critiques dans leur sécurisation et la réponse constante aux incidents informatiques occupent ses équipes.

La politique du chiffre, pas des détails

Pour résumer son année, l'ANSSI a mis les petites calculettes dans les grandes, pour multiplier les décomptes flatteurs. Sur la confiance dans le numérique, l'agence dit avoir publié 45 publications scientifiques, mené 500 actions en région, avec 22 prestataires qualifiés. Il a continué à conseiller le législateur sur les sujets numériques, tout en accompagnant les opérateurs. Défense des intérêts français oblige, les détails existent peu. Cela n'empêche pas l'utilisation de grands mots (voire d'hyperboles) pour décrire son action.

Améliorer la confiance, c'est aussi sensibiliser et former, avant tout le public et les entreprises. « L’ANSSI a qualifié 16 nouveaux produits et accordé 13 agréments pour la protection d’informations sensibles ou classifiées. Le centre de certification de l’agence a quant à lui certifié 95 produits » écrit-elle. Elle a aussi contribué à la création de la plateforme d'assistance aux victimes de cybermalveillance (Acyma), ouverte fin mai.

Plus récemment, elle a ouvert son cours en ligne SecNumAcadémie. L'agence nous affirmait compter 10 000 inscrits en trois jours. Désormais, elle déclare ici 20 000 utilisateurs en deux semaines.

ANSSI exercices 2016
Les plans et exercices impliquant l'ANSSI en 2016

En parallèle, le sujet de la souveraineté n'en finit plus d'agiter les lobbies et politiques français, que ce soit en matière de fiscalité, de culture ou maintenant de défense informatique. En 2016, l'institution a mené 20 opérations « majeures » de cyberdéfense. Où, quand, pourquoi sont des questions sans réponse.

Elle a répondu à 3 235 signalements d'événements, dont 79 « importants » signalés immédiatement à la hotline du CERT-FR. La surveillance des sondes entre les ministères et Internet a été suivie de « 12 signalements ayant conduit à 159 traitements d’incidents, dont trois qualifiés de critiques ». Concernant les opérateurs d'importance vitale (OIV), dont la défaillance causerait de lourds dégâts au pays, neuf arrêts sectoriels ont été pris, pour 60 réunions.

Rayonnement international et directive NIS

L'ANSSI doit aussi contribuer au rayonnement international de la France sur la sécurité informatique. Elle a noué des liens avec 40 pays et mené 80 missions internationales pour défendre ses positions. Surtout, elle doit aider les acteurs français à se conformer à la directive NIS, adoptée par l'UE en juillet 2016. Celle-ci renforce grandement les pouvoirs de l'État en matière de cybersécurité et les obligations des OIV.

L'agence se targue d'avoir l'expérience de la loi de programmation militaire (LPM) de 2013, dont les mesures ont dû être appliquées dans un délai de trois mois à trois ans, selon leur complexité. « NIS va s'appliquer comme la LPM, avec des délais. On prend le temps de réfléchir, d'identifier les acteurs concernés, on met en place un écosystème industriel capable d'appliquer les règles » nous affirme Guillaume Poupard, le directeur de l'agence.

« C'est urgent, à cause des attaques et non à cause de la réglementation. Donc nous voulons les aider, dans une démarche volontariste, tient-il à préciser. Ce type d'opportunité ne passe pas dix fois. Il faut quelque chose d'efficace, peut-être contraignant (mais à juste titre) et bien accepté par les acteurs. » 

Les liens se sont aussi beaucoup renforcés avec l'Allemagne, via le BSI, l'homologue de l'ANSSI. En décembre, cette dernière lançait son label pour prestataires cloud SecNumCloud. Le lendemain était présenté l'équivalent franco-allemand ESCloud. Une initiative qui marque la collaboration entre les deux agences et le besoin de porter ces problèmes à l'échelle européenne. Comme nous le confiait Poupard, ESCloud a vocation à être remis aux mains de la Commission européenne. 

Défendre des principes techniques

Pour la suite, l'agence française insiste sur son « ADN technique », notamment face aux politiques qui s'intéressent de plus en plus au sujet. L'ANSSI devrait donc être amenée à donner son avis sur les prochains textes, comme le projet de loi sur le terrorisme, annoncé par Emmanuel Macron.

Sur ce sujet, le message de Guillaume Poupard est d'ailleurs clair : « Nous sommes tous marqués par les attentats, la question n'est pas là. Mais la réaction sous le coup de l'émotion en se disant qu'il n'y a qu'à interdire le chiffrement... On sait très bien que ça ne marche pas, donc notre rôle est de l'expliquer en permanence ».

En matière de cyberdéfense, l'agence estime qu'il « s’agit maintenant pour les États de se réunir autour de ces questions et de créer les conditions d’un dialogue nécessairement international ». Exit, donc, les volontés de solutions franco-françaises. 

Un rôle qui se veut sans ambiguïté

À l'étranger, l'ANSSI et Poupard se veulent d'ailleurs les VRP d'un modèle français assez unique, fleurant presque l'exception culturelle. Le pays dispose d'une agence dédiée à la défense informatique de l'État, contrairement à d'autres où les agences de renseignement ont à la fois la charge de l'attaque et de la défense.

« C’est en effet sur la scène européenne que l’on mesure toute la portée du modèle français. En séparant la défense, la protection et la prévention de l’offensif, la France a opéré un choix distinctif qui aspire à faire référence à l’échelle européenne » écrit sans détour l'institution dans son rapport.

Les intérêts seraient multiples, mais le plus évident est que l'ANSSI peut tenir des positions fortes sur des sujets techniques, comme le chiffrement. N'ayant pas à attaquer, mais devant défendre l'État et les infrastructures vitales, elle peut clamer tout son amour pour le chiffrement fort. Une position moins évidente pour d'autres agences.

Surtout, des agences anglo-saxonnes subissent le feu des critiques pour l'ambiguïté de leur rôle, que ce soit la CIA, la NSA ou le GCHQ britannique. Celles-ci sont habituées à conserver des vulnérabilités pour leur propre usage, plutôt que de les signaler aux éditeurs, avec le risque de les voir récupérées et publiées.

C'est ce qui est arrivé à des outils de la CIA, sortis par WikiLeaks ces dernières semaines, sous le nom Vault 7. La NSA, elle, alimente le fonds de commerce des pirates de Shadow Brokers qui ont mis la main sur ses créations, dont une a servi de base technique au ransomware WannaCrypt. Microsoft aurait été prévenu de certaines failles par la NSA, une fois que celle-ci a compris que ses outils étaient dans la nature. Un vrai jeu d'équilibriste.

« Elles ont ce double rôle, mais quand on regarde les budgets, on voit bien de quel côté elles penchent » tranche tout de même un connaisseur de ces agences. La distinction française doit donc éliminer ce genre de soucis, spectaculaires, alimentant facilement la communication hexagonale.

9
Avatar de l'auteur

Écrit par Guénaël Pépin

Tiens, en parlant de ça :

Guacamole sur un plateau

Guacamole sur un plateau (1/5) : on monte un bastion sécurisé

Vous cherchez le bastion ?

17:13 WebSécu 4
Mur d’OVHcloud à Roubaix, avec le logo OVHcloud

Projet européen sur le cloud : OVHcloud s’est retirée au dernier moment et s’explique

Tu me vois, tu ne me vois plus

16:45 IAWeb 2
IA Act

AI Act européen : un compromis de haute lutte, de rares interdictions

Un bon compromis, ça laisse tout le monde mécontent ?

16:35 DroitIA 0

Sommaire de l'article

Introduction

La politique du chiffre, pas des détails

Rayonnement international et directive NIS

Défendre des principes techniques

Un rôle qui se veut sans ambiguïté

Guacamole sur un plateau

Guacamole sur un plateau (1/5) : on monte un bastion sécurisé

WebSécu 4
Mur d’OVHcloud à Roubaix, avec le logo OVHcloud

Projet européen sur le cloud : OVHcloud s’est retirée au dernier moment et s’explique

IAWeb 2
IA Act

AI Act européen : un compromis de haute lutte, de rares interdictions

DroitIA 0
Panneau stop

Apple bloque Beeper, qui permettait d’utiliser iMessage sur Android

WebSoft 14

#LeBrief : faux avis sur Internet, enquêtes sur l’accord Microsoft et OpenAI, cybersécurité aux États-Unis

Un mélange entre une réunion d’Anonymous et de tête d’ampoules, pour le meilleur et le pire

652e édition des LIDD : Liens Intelligents Du Dimanche

Next 9
dessin de Flock

#Flock distribue des mandales tous azimuts

Flock 14
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #11 et résumé de la semaine

Next 43
Carte graphique AMD GeForce

Cartes graphiques : 30 ans d’évolution des GPU

Hard 28

Google lance son opération de communications Gemini pour rivaliser avec OpenAI

IA 6
Ecran bleu de Windows

Linux : le composant systemd se dote d’un écran bleu de la mort

Soft 41
Une petite fille en train d'apprendre à programmer et hacker logiciels et appareils électroniques

Un roman graphique explique les logiciels libres aux enfants

SoftSociété 21
Nouveautés pour Messenger

Meta lance (enfin) le chiffrement de bout en bout de Messenger, entre autres

Socials 5

#LeBrief : cloud européen, OSIRIS-REx a frôlée la catastrophe, CPU AMD Ryzen 8040

Windows en 2024 : beaucoup d’IA, mais pas forcément un « 12 »

Soft 21
Einstein avec des qubits en arrière plan

Informatique quantique, qubits : avez-vous les bases ?

HardScience 9
Notifications iPhone

Surveillance des notifications : un sénateur américain demande la fin du secret

DroitSécu 18

En ligne, les promos foireuses restent d’actualité

DroitWeb 19

#LeBrief : modalité des amendes RGPD, cyberattaque agricole, hallucinations d’Amazon Q, 25 ans d’ISS

Logo Twitch

Citant des « coûts prohibitifs », Twitch quitte la Corée du Sud

ÉcoWeb 31
Formation aux cryptomonnaies par Binance à Pôle Emploi

Binance fait son marketing pendant des formations sur la blockchain destinées aux chômeurs

Éco 10
Consommation électrique du CERN

L’empreinte écologique CERN en 2022 : 1 215 GWh, 184 173 teqCO₂, 3 234 Ml…

Science 8
station électrique pour voitures

Voitures électriques : dans la jungle, terrible jungle, des bornes de recharge publiques

Société 78

#LeBrief : intelligence artificielle à tous les étages, fichier biométrique EURODAC

KDE Plasma 6

KDE Plasma 6 a sa première bêta, le tour des nouveautés

Soft 13
Un homme noir regarde la caméra. Sur son visage, des traits blancs suggèrent un traitement algorithmique.

AI Act et reconnaissance faciale : la France interpelée par 45 eurodéputés

DroitSociété 4
Api

La CNIL préconise l’utilisation des API pour le partage de données personnelles entre organismes

SécuSociété 3
Fouet de l’Arcep avec de la fibre

Orange sanctionnée sur la fibre : l’argumentaire de l’opérateur démonté par l’Arcep

DroitWeb 25
Bombes

Israël – Hamas : comment l’IA intensifie les attaques contre Gaza

IA 22

#LeBrief : bande-annonce GTA VI, guerre électronique, Spotify licencie massivement

Acheter sur Internet et payer avec sa carte bancaire

La DGCCRF traque les faux avis sur Internet avec son Polygraphe

ÉcoWeb 16

Logo OpenAI

Au Royaume-Uni et aux États-Unis, l’accord entre Microsoft et OpenAI à la loupe

Droit 4

Une main tenant de gros paquets de dollars

87 % des agences états-uniennes ne parviennent pas à respecter les normes de cybersécurité

DroitSécu 3

Florie Marie démissionne de la présidence du Parti Pirate International

Société 8

Commentaires (9)


tpeg5stan Abonné
Le 08/06/2017 à 15h00

Plan Piranet.

J’ai appris un truc aujourd’hui.<img data-src=" />


jackjack2
Le 08/06/2017 à 15h02


L’ANSSI devrait donc être amenée à donner son avis sur les prochains textes, comme le projet de loi sur le terrorisme, annoncé par Emmanuel Macron.

Et ça sert à quoi?
L’ANSSI a bien donné son avis sur TES (entre beaucoup d’autres d’ailleurs…) et on a vu le résultat


Sur ce sujet, le message de Guillaume Poupard est d’ailleurs clair : « Nous sommes tous marqués par les attentats, la question n’est pas là. Mais la réaction sous le coup de l’émotion en se disant qu’il n’y a qu’à interdire le chiffrement… On sait très bien que ça ne marche pas, donc notre rôle est de l’expliquer en permanence ».



Les organisations qui nous menacent abusent des facilités offertes par la cryptologie moderne pour dissimuler leur projet. Ils utilisent des messageries instantanées fortement cryptées pour prendre des contacts, donner des ordres. Une grande partie de ce trafic Internet, parce qu’il est crypté, échappe ainsi aux services de sécurité. […] Jusqu’à présent, les grands groupes ont refusés de communiquer leur clef de chiffrement ou de donner accès aux contenus au motif qu’ils ont garanti contractuellement à leur client que leur communication était protégées. Cette situation n’est plus acceptable […] Il est essentiel que ces entreprises acceptent un système de réquisition légale de leurs services cryptés, comparable à celui qui existe aujourd’hui pour le secteur des opérateurs de télécoms […] Pour ma part je mettrai en place (…) une obligation de livrer ces codes.

Emmanuel Macron, 10 avril 2017


Jarodd Abonné
Le 08/06/2017 à 15h03

Une agence qui fait son boulot, qui n’est pas dans la comm’ de buzz, et qui assure la pédagogie : je suis justement en train de participer à leur MOOC, il est vraiment bien fait (à part quelques erreurs mineures, du genre le bluetooth qui passe par l’ADSL).

Et j’ignorais qu’elle était différente des autres, en étant seulement sur lechamp défensif. C’est plutôt bien puisque cela lui permet de défendre le chiffrement bec et ongle sans avoir à tenir un double discours pour ses activités de “surveillance”, comme les autres agences.


Exit, donc, les volontés de solutions franco-françaises


Vous faites référence à l’OS souverain ?


Obidoub
Le 08/06/2017 à 15h32

L’ANSSI fait tache en France, en effet ce sont des gens compétents, trop compétents pour avoir le droit de conseiller le gouvernement qui n’attend que des prétextes pour resserrer la vis sécuritaire sur internet.

Je ne peux qu’espérer qu’ils soient écoutés et que leur rôle ne soit pas qu’informatif. En attendant ils ont pas mal de docs et de guides pour sécuriser vos infras, par exemple sur le routage.


bloossom
Le 08/06/2017 à 15h34

il me semble que l’ANSSI plaide pour le chiffrement, les systèmes de sécurité robustes sans backdoors pour les Etats dans les entreprises, pour la garantie de la vie privée et contre les politiques visant à obliger les sociétés à casser leur sécurité parce que c’est un des facteurs qui brise la confiance dans le numérique….

C’est presque l’antithèse de la vision des choses des politiques…


hellmut Abonné
Le 08/06/2017 à 15h36

Une bien belle agence que l’ANSSI, avec des cerveaux entiers dedans. <img data-src=" />


Mimoza Abonné
Le 08/06/2017 à 21h25

Rien que leur logo qui est un casse-tête a déchiffrer entièrement ça montre que ce n’est pas vraiment des politicard pur souche qui mène la barque. J’ai juste peur qu’on leur place un branquignole a sa tête car ils auront un peu trop contre-dit le gouvernement.


anonyme_47da8d4ad4eb955aa025af080b0387df
Le 09/06/2017 à 03h21

Mr Poupard est-ce qu’on aura aussi un Vault francais avec un leak majeur nos barbouzes locaux ?

“le pays dispose d’une agence dédiée à la défense informatique de l’État, contrairement à d’autres pays où les agences de renseignement ont à la fois la charge de l’attaque et de la défense.” Soyons clair, l’ANSSI tombe sur un trou pas connu ils le filent illico à leurs potes des renseignements int et externe. C’est poreux. Et mieux que ça : ils vont même pas aller le remonter à l’éditeur si des produits sont impliqués. De mémoire j’ai jamais vu de CERT/Patch and co avec l’ANSSI en crédit.


jackjack2
Le 09/06/2017 à 06h59






Fyr a écrit :

Mr Poupard est-ce qu’on aura aussi un Vault francais avec un leak majeur nos barbouzes locaux ?

“le pays dispose d’une agence dédiée à la défense informatique de l’État, contrairement à d’autres pays où les agences de renseignement ont à la fois la charge de l’attaque et de la défense.” Soyons clair, l’ANSSI tombe sur un trou pas connu ils le filent illico à leurs potes des renseignements int et externe. C’est poreux. Et mieux que ça : ils vont même pas aller le remonter à l’éditeur si des produits sont impliqués. De mémoire j’ai jamais vu de CERT/Patch and co avec l’ANSSI en crédit.


T’as des sources sur le fait qu’ils refilent ça aux renseignements et qu’ils préviennent pas l’éditeur?
Parce que moi j’ai des échos exactement opposés