Cybermenaces : des élections à la LPM, une année charnière pour l’ANSSI
Le DPI Made in France
Le 18 avril 2018 à 09h15
8 min
Droit
Droit
L’ANSSI a présenté son rapport 2017. Une année marquée par 20 incidents majeurs, mais aussi par l’épisode sensible des présidentielles. Un évènement politique qui a concentré toute l’attention des équipes dirigées par Guillaume Poupard. Aujourd’hui, les yeux sont tournés sur la LPM 2019 - 2025, qui encadre et donc autorise l’usage du DPI.
Cette sentinelle du risque informatique en France annonce la couleur au fil de son rapport : « Des attaques comme WannaCry sont la concrétisation de craintes que nous avions et de scénarios que nous avions imaginés. En 2017, nous avons découvert une nouvelle victime de cyberattaques : la démocratie ! » s’exclame Guillaume Poupard.
Avec de tels faits, a exposé hier le directeur général de l’ANSSI, « on ne cherche pas à détruire, mais à influencer les populations. Nous avons eu un avertissement sans frais lors de la campagne électorale. Nous devons désormais apprendre à vivre de manière à nous assurer que les processus fondamentaux sont bien immunes face aux menaces ».
Et il n’y aucune raison que cela s’arrête, « le rapport coût-bénéfice étant très favorable pour les acteurs criminels ».
Plusieurs campagnes d’information pour les élections
Dans le rapport annuel, présenté avec Claire Landais, la Secrétaire générale de la défense et de la sécurité nationale (SGDSN), on apprend qu’un représentant du ministre de l‘Intérieur a été présent au sein de l’agence lors des deux tours de la présidentielle.
L’agence a aussi mobilisé plusieurs entités, parfois pas toujours au fait du risque : « Des actions ont dû être conduites auprès de publics jusqu’alors peu impliqués face aux cybermenaces (Conseil d’État, Conseil constitutionnel) ou ne faisant pas partie des bénéficiaires de l’agence (partis politiques) ».
D’autres ont profité de cette sensibilisation, comme la Commission Nationale de contrôle de la campagne électorale (CNCCEP) et la Haute Autorité pour la transparence de la vie publique (HATVP). Les candidats ayant dépassé le seuil des 500 parrainages ont également eu droit à cette mise à jour.
L’abandon du vote électronique
L’année a également été marquée par l’abandon du vote électronique pour les Français de l’étranger. Un épisode quelque peu précipité, critiqué, mais assumé par l’ANSSI.
Pour justifier cette décision, l’agence nous avait expliqué qu’« au vu des pièces fournies, le ministère ne sera pas en capacité d’homologuer le système » qui devait être alors déployé.
Toujours dans le document, Vincent Strubel, sous-directeur Expertise (SDE), ajoute que « nous ne disposions pas d’une solution satisfaisante d’authentification sur la plateforme en cours de développement et surtout nous avions identifié un contexte particulier d’augmentation forte de la menace sur le processus électoral comme cela venait d’être vécu durant les élections américaines. Nous voulions à tout prix éviter de générer une défiance sur le vote électronique. »
Le 2 octobre dernier, Emmanuel Macron a néanmoins promis devant l’Assemblée des Français de l’étranger, le retour au vote électronique d’ici les élections consulaires de 2020, non sans gonfler le torse : « Si nous ne sommes pas en capacité pour les prochaines élections de nous organiser pour avoir un système de vote étanche à toute attaque, ça ne s'appelle plus la France, notre pays ! ».
20 incidents majeurs en 2017, 1 000 systèmes d’information vitale
Si l’on quitte le terrain des élections pour plonger dans le risque « cyber », l’ANSSI a reçu 2 435 signalements en 2017. 1 621 ont été traités. Dans le lot, 20 incidents majeurs ont émaillé ses activités, sans grand détail, ces éléments étant classés.
Depuis la loi de programmation militaire, l’agence est montée en capacité juridique, d’abord pour accompagner une protection plus robuste des opérateurs d’importance vitale (OIV), ceux dont une défaillance « risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation » (article L1332-1 du Code de la défense). Les grands noms du nucléaire ou du transport aérien ont dû ainsi identifier « la liste de systèmes d'information d'importance vitale » suite à la publication de plusieurs décrets d’application.
L’idée est connue. « Dans ces secteurs critiques, on ne peut attendre la catastrophe pour réagir », commente Guillaume Poupard. « Ce sont des sujets trop sérieux pour les laisser aux bonnes intentions », ajoute-t-il pour expliquer l’intervention du législateur et des autorités règlementaires afin de créer « un écosystème de confiance » (prestataires labellisés, etc.). Selon le dernier décompte, 1 000 systèmes d’importance vitale ont été identifiés « comme critiques pour la sécurité de l’État, de la Nation, la vôtre, la mienne ».
Dans la queue de la comète de cette loi, « nous sommes dans la mise en œuvre des règles de sécurité. Les OIV travaillent beaucoup, la règlementation est un catalyseur qui les aide à en faire une priorité au-dessus de la pile » a encore commenté le numéro un de l’agence.
Une coopération avec l’ENISA
Sur le terrain européen, l’intéressé a plaidé pour une approche coordonnée avec l’ENISA, l’agence de sécurité informatique européenne. « Nos ennemis font tout pour notamment me faire dire que j’oppose l’autonomie de la stratégie européenne et la souveraineté nationale. Or, nous avons absolument besoin d’une Europe plus forte dans le domaine de la cybersécurité, cela inclut de la recherche et du développement, une politique industrielle et de la règlementation. Les 28 ou 27 doivent se saisir de ces sujets, avec des structures fortes comme l’ENISA ».
Dans son esprit, cette coopération volontariste peut ne pas empiéter sur la souveraineté nationale.
Le sujet sensible de la LPM 2019 - 2015, l'ombre du DPI
L’autre grand dossier de l’ANSSI est évidemment la LPM 2019 - 2025 qui sera examinée en mai au Sénat. L’article 19 va permettre aux opérateurs de communications électroniques à installer d’eux-mêmes, à leur charge, des dispositifs calibrés pour utiliser sur le réseau des « marqueurs techniques » aux fins de cybersécurité.
Cette démarche leur permettra de proposer des offres commerciales taillées pour les besoins de leurs clients, comme nous le plaide depuis de longs mois Orange.
Pour expliquer cette législation, un agent de l’ANSSI a fait hier une démonstration imagée de ce travail de détection à l’entrée d’un ministère. Pour mémoire, ce texte va autoriser les uns et les autres à déployer légalement un système de deep packet inspection dédié à la cybersécurité.
Une intrusion profonde dans les paquets puisqu’il sera par exemple possible de scruter les pièces jointes aux mails ou les URL piégées afin d’actionner les signaux d’alerte.
Pour encadrer ces mesures, le projet de loi prévoit un contrôle par l’Arcep, contrôle qui a d’ailleurs été aiguisé à l’Assemblée nationale.
Pour « vendre » ce projet de loi, Poupard estime que « la détection d’attaque est absolument nécessaire. Si on ne cherche pas, il y a des attaques qu’on ne trouve pas ». D’où l’usage de marqueurs techniques destinés à repérer des traces d’attaques. « On parle bien de détection, pas d’intervention sur le flux de données » a-t-il tenu à préciser.
Sachant qu’il sait le chemin miné : chaque pas dans cette direction peut susciter quelques craintes légitimes sur le secret des correspondances, d’autant que l’histoire nous enseigne qu’une fois la porte ouverte, d’autres entités ne tarderont pas à scruter avec gourmandise de cet avenir sécurisé.
D’une certaine manière, l’enjeu de la nouvelle LPM est de propager le mouvement initié avec celle de 2013 en l’étendant des OIV aux FAI et hébergeurs, et même à tous les opérateurs. « Nous avions senti le besoin d’une évolution règlementaire ».
Côté ANSSI, les hébergeurs sont la cible première de cette législation en gestation, alors que la loi est beaucoup plus ample lorsqu’elle évoque les opérateurs. « Aujourd’hui nous avons une liste d’adresses IP, de serveurs, où on a la quasi-certitude qu’il y a des attaques très hostiles, mais nous n’avons pas les moyens règlementaires d’aller voir ».
Cybermenaces : des élections à la LPM, une année charnière pour l’ANSSI
-
Plusieurs campagnes d’information pour les élections
-
L’abandon du vote électronique
-
20 incidents majeurs en 2017, 1 000 systèmes d’information vitale
-
Une coopération avec l’ENISA
-
Le sujet sensible de la LPM 2019 - 2015, l'ombre du DPI
Commentaires (12)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 18/04/2018 à 15h57
Le 19/04/2018 à 07h07
Le 19/04/2018 à 13h37
Attends, on est dans le cas où le service mail est en Suisse :
Le 19/04/2018 à 13h48
Ca tombe bienb, le fournisseur en question (Infomaniak) propose aussi des VPN ! " />
La France, ce beau pays qui enrichit les entreprises des pays étrangers " />
Le 18/04/2018 à 09h25
Si je fais un parallèle avec le courrier physique. Il y a des scans qui sont faits sur les plis et les colis. Ce ne serait pas idiot que l’ANSSI participe à faire de même pour les flux réseau.
Le 18/04/2018 à 09h49
Et voila on a notre NSA à la française.
Une intrusion profonde dans les paquets puisqu’il sera par exemple possible de scruter les pièces jointes aux mails ou les URL piégées afin d’actionner les signaux d’alerte.
On va devoir se mettre à tous chiffrer maintenant.
Le 18/04/2018 à 10h20
Si je suis chez Orange, et que j’utilise un service e-mail basé en Suisse, est-ce qu’il sera inspecté, ou pas ? Qui est l’opérateurs de communications électroniques, c’est Orange ou le service suisse ?
Le 18/04/2018 à 10h24
Non mais là c’est bien pire, avec le DPI il s’agit de LIRE le contenu, et pas seulement de scanner le contenant (=métadonnées).
Le 18/04/2018 à 10h48
Le 18/04/2018 à 11h42
Merci " />
Mon service est payant donc il doit être chiffré (je vérifierai, au cas où). Pour un service mail, on voit quand même les méta-données, non ? Si tout est chiffré comme l’e-mail peut-il être acheminé ?
Et pour le web, vu que le HTTPS se répand, à quoi sert de faire du DPI ? Désormais on va aller vers du tout chiffré…
Le 18/04/2018 à 12h22
Le 18/04/2018 à 15h30
Ouais Sarko l’avait rêvé maintenant on y est.
Et dans 3 ans ça sera étendue à d’autres services pour diverses raisons toutes fallacieuses terrorismes, banditisme, etc…