Stratégie

2017 : cybersécurité, année zéro

Claire Landais, secrétaire générale de la défense et de la sécurité nationale, et Guillaume Poupard, directeur général de l’ANSSI, ont tenu une conférence de presse le 17 avril 2018.

La présentation du rapport annuel de l'ANSSI a été l'occasion de tirer un bilan des cybermenaces et des contre-mesures prises ou en cours. Guillaume Poupard, directeur général de l'ANSSI, s'est surtout réjoui du fait que la prise de conscience des cyber-risques est aujourd'hui une réalité, 2017 étant de ce point de vue une année zéro, celle d'un nouveau départ.

Publicité« Wanacry et Notpetia ont amené une réelle prise de conscience » a indiqué Claire Landais, la nouvelle secrétaire générale de la défense et de la sécurité nationale, successeur de Louis Gautier, en introduisant la présentation du rapport d'activité 2017 de l'ANSSI (Agence nationale de la sécurité des systèmes d'information), le 17 avril 2018. D'une certaine manière, 2017 a été une année charnière, une année de bascule vers un nouvel état de la cybermenace. Si, auparavant, il y avait des actions de cyber-espionnage, des menaces économiques, etc., désormais il faut compter avec des cyber-attaques visant à obtenir des informations, à détruire des pans entiers de l'économie et aussi à lancer des opérations massives de déstabilisation. Les exemples de récentes élections présidentielles en France et aux Etats-Unis ont ainsi montré la capacité d'acteurs à interférer dans les processus démocratiques et donc à menacer directement les fondements des démocraties occidentales.
Pour Claire Landais, « le cybermonde n'est pas dangereux par nature mais par la volonté de certains. C'est un lieu important d'action pour le secrétariat général de la défense et de la sécurité nationale [SGDSN]. » Elle s'inscrit donc dans la continuité de son prédécesseur. La cheville ouvrière (et stratégique) du SGDSN en matière de cybersécurité est l'ANSSI. Guillaume Poupard, son directeur, a donc eu à sacrifier au « côté rituel de la présentation du rapport d'activité ». 2017 a ainsi vu se concrétiser des scénarios anticipés dont beaucoup pensaient qu'ils resteraient des cauchemars. « Bien entendu, il y a des attaques dont on ne parlera pas » a souri Guillaume Poupard. Il eut été, de fait, particulièrement cocasse de voir le responsable de la cybersécurité s'affranchir du secret défense...

Beaucoup de mystères autour d'attaquants redoutables

Mais Guillaume Poupard a tout de même dénoncé les actes d'attaquants aux moyens redoutables, reconnaissant que les attaques Notpetya et Wanacry ont bien occupé l'agence. Mais, à côté de ces attaques médiatisées, d'autres ont semblé être liés à des conflits plus ou moins déclarés. Mais le succès relatif des opérations massives de manipulation dans le cadre des élections a conforté Guillaume Poupard dans son approche de prévention. Il a insisté : « le credo, en France, reste de mettre la priorité sur la défense. Les approches de type 'on réagira en cas d'attaque' ou 'l'attaque est la meilleure défense' sont impossibles. Il faut empêcher des attaques contre des secteurs sensibles tels que le nucléaire, pas réagir, ce qui serait par définition trop tard. Ces secteurs sensibles ne sont pas vulnérables mais une attaque ne peut pas y être acceptée. La meilleure défense est la défense ! »
Le développement des cybermenaces est aussi lié à une évidence : « le rapport coût/bénéfice/risque est très favorable au criminel » a rappelé Guillaume Poupard. L'attribution des attaques n'est pas le rôle de l'ANSSI et Guillaume Poupard s'est bien gardé de prendre position sur d'éventuelles implications étatiques qui font l'objet de nombreuses rumeurs. Cette attribution suppose souvent des compétences autres que celles de l'ANSSI (sans précision) et Guillaume Poupard a rappelé qu'il convenait d'être très prudent : l'absence de certitude est la règle, avec un fort risque d'attaques sous faux pavillons pour envenimer ou créer des conflits. Il y a une dimension politique dans le fait d'attribuer la paternité des attaques. La préoccupation majeure actuelle de l'ANSSI est l'existence d'attaques de hauts niveaux sans objectifs identifiés, pouvant aboutir par exemple à cartographier des infrastructures. Il pourrait s'agir d'opérations préparatoires à des attaques futures.

PublicitéUne prise de conscience réelle

Une semaine avant cette présentation, Guillaume Poupard a participé à la création d'un conseil de cybersécurité sectoriel dans le transport aérien, secteur sensible par nature. Ce conseil réunit autant des constructeurs que des gestionnaires d'aéroports, la DGAC (Direction Générale de l'Aviation Civile), etc. Le directeur de l'ANSSI s'est réjoui de la maturité des différents acteurs en matière de cyber-sécurité. De la même façon, les acteurs de grands secteurs industriels comme l'aéronautique ou l'automobile ont compris la nécessité de garantir non seulement leur propre cybersécurité mais aussi celle de leur écosystème, souvent composé de PME voire de TPE. Par contre, d'autres acteurs ont parfois une architecture IT assez curieuse aux fragilités insoupçonnées. Guillaume Poupard a ainsi cité le cas d'un casino qui a été attaqué via le piratage d'un thermomètre d'aquarium... Le charme de l'IoT sans précaution, sans doute. Parfois, certains autres industriels découvrent, sur des salons, leurs futurs prototypes sur des stands de concurrents et ne peuvent que constater que « quelque chose a dû avoir lieu ». Constat un peu tardif, bien sûr, démontrant la nécessité de détecter.
Certes, a-t-il reconnu, « les messages nécessaires ont parfois été portés de façon un peu autoritaire, réglementaire ou législative, sur les OIV [Opérateurs d'Importance Vitale] notamment. Mais cette réglementation a permis de mettre la priorité 'cybersécurité' au sommet de la pile. A ce jour, un millier de SI d'importance vitale ont été déclarés à l'ANSSI. » De la même façon, l'ANSSI contribue à une plate-forme dédiée à la cyber-malveillance pour la sensibilisation générale mais aussi apporter une aide aux victimes. Cette plate-forme, incubée au sein de l'ANSSI, est aujourd'hui entre les mains d'un groupement d'intérêt public. L'ANSSI a aussi mis en place un MOOC qui a dépassé les 65 000 inscrits (avec 1500 « diplômés »). Ce MOOC, selon Guillaume Poupard, serait devenu le premier en France, dépassant le précédent titulaire, un MOOC de cuisine, ce qui est sans aucun doute un exploit dans notre pays. Un kit de sensibilisation sortira également d'ici l'été.

Des actions concrètes

Mais l'ANSSI ne veut pas être seulement un oiseau de mauvais augure. A côté de messages anxiogènes, l'ANSSI mène des travaux techniques comme la qualification de produits. « Nos ennemis attaquent un côté inutile et bureaucratique de cette démarche mais la qualification est une démarche simple et utile qui démontre d'ailleurs que l'écosystème français n'est pas mauvais » a dénoncé Guillaume Poupard. De la même façon, certains acteurs hostiles opposent la souveraineté nationale et l'Europe. Or, comme l'a rappelé le directeur de l'ANSSI, l'Europe est nécessaire pour la stratégie, la réglementation, la certification... L'efficacité repose sur une complémentarité des deux niveaux. L'équivalent européen de l'ANSSI, l'ENISA, devrait d'ailleurs voir son rôle renforcé via un règlement en cours de négociations. Pour Guillaume Poupard, il est nécessaire de trouver un bon équilibre entre les agences d'Etat, l'Europe, l'industrie... Et il a rappelé : « la prévention à 100 % n'existe pas, ceux qui s'en réclament sont des escrocs. »
L'ANSSI contribue d'ailleurs au développement de certains produits. C'est notamment le cas du projet de messagerie sécurisée porté par la DINSIC. Il n'y a pas de fatalité à utiliser des produits violant les règles de confiance selon le directeur. Ce développement s'effectue à partir de produits open-source existant. L'ANSSI qualifiera le résultat final. Parfois, il faut également que l'ANSSI sensibilise des décideurs politiques ou des négociateurs internationaux afin, dans des négociations de traités, de « ne pas échanger des bananes contre la libre circulation des données personnelles ». La consultation de l'ANSSI resterait naturelle quand ce genre de sujets arrive sur la table.

Des chantiers législatifs et internationaux sensibles

Parmi les chantiers en cours, la prochaine Loi de Programmation Militaire comporte un article 19 qui focalise l'attention. En premier lieu, il vise à autoriser les opérateurs de communication électronique à détecter les attaques (mais pas à intervenir directement de leur propre initiative), sous le contrôle de l'ARCEP. « Permission ne signifie pas obligation et, surtout, les opérateurs ont déjà les outils traitant les données nécessaires, pour simplement assurer le bon fonctionnement de leurs réseaux » a tempéré Guillaume Poupard. Les opérateurs auraient réagi positivement, même si des voix discordantes se font entendre en interne à chacun, craignant des coûts ou des responsabilités trop lourdes.
Le deuxième point soulevé par l'article 19 est la capacité de l'ANSSI de placer des outils de qualification des attaques au plus près des serveurs. Certes, le texte est très vague et pourrait aboutir à aussi contrôleur les opérateurs télécoms en cas d'évolution de la menace mais l'ANSSI n'a de cas concret, pour l'heure, que concernant les hébergeurs. Les outils seraient plus ou moins les mêmes que ceux servant à analyser les flux entrants et sortants sur les sites sensibles, avec remontée et mutualisation des caractéristiques des tentatives d'attaques.
Malgré tout, les bonnes pratiques ne sont pas encore forcément bien partagées. Une question a ainsi été posée sur l'hébergement par Youtube d'une vidéo explicative mise en avant sur le site impots.gouv.fr. Pas au courant du sujet, Guillaume Poupard n'a pas souhaité commenter. Obliger les contribuables français à se faire tracer par un acteur étranger n'était peut-être pas très pertinent.

L'ANSSI a été très active en 2017

Le rapport d'activité 2017 de l'ANSSI (Agence nationale de la sécurité des systèmes d'information) fait bien sûr le bilan de « l'année des cybermenaces » avec la déstabilisation des processus démocratiques, la déstabilisation de l'ordre économique, la sophistication des modes opératoires, le caractère indirect de nombreuses attaques, leur caractère non-discriminant, la résurgence d'effets destructeurs... Sur 2435 signalements, l'ANSSI en a traité 1621. 794 ont été qualifiés d'incidents (hors OIV), dont 20 d'incidents majeurs. 12 opérations de cyberdéfense ont été menées et 3 événements ont été qualifiés de « crises ».
L'ANSSI compte à la fin 2017 un total de 550 agents. Elle a reçu 8000 CV pour la réjoindre et a opéré 140 recrutements en 2017, 77 % étant des contractuels. En moyenne, l'agent type a 35 ans et a reçu 29 heures de formation dans l'année pour un total de 14 500 heures.
L'agence a aussi contribué au noyau et aux distribution Linux et à 34 projets référencés sur le Github de l'ANSSI. 46 articles scientifiques dans des revues à comité de lecture et des présentations dans une vingtaine de conférences nationales ou internationales ont également été réalisées. Son activité a également consisté en la mise en place d'Osiris, une téléphonie fixe de niveau « confidentiel défense » déployée dans 10 ministères sur 384 postes. D'autres types de communications sécurisées ont continué d'être déployées, comme les terminaux mobiles Secdroid.