ANSSI, nouvelle arme de l’Etat - Numéro 404

La création par décret, le 9 juillet 2009, de l’ANSSI participe-t-elle d’une stratégie spécifique en matière de cybercriminalité ?

Michel Benedittini : Oui, mais elle dépasse l’enjeu de la cybercriminalité, pour celui de la cyberdéfense qui l’englobe. Cette création s’inscrit dans la prise de conscience, depuis quelques années, d’une posture de l’Etat insuffisamment puissante face à la montée des risques et à l’enjeu majeur du numérique dans la société, pour la vie économique, sociale, la défense du pays ou le fonctionnement de l’Etat. Ce retard a été souligné par deux rapports parlementaires, celui du député Pierre Lasbordes en décembre 2005 et celui du sénateur  Roger Romani en juillet 2008, qui ont joué un rôle de catalyseur. La DCSSI, direction centrale de la sécurité des systèmes d’information, créée en 2001, avait été un premier signe de l’aptitude de l’Etat à répondre aux enjeux du numérique. Avant de se fondre dans l’ANSSI, elle disposait de cent dix personnes. Mais nos homologues anglais ou allemands sont au nombre de cinq à six cents…

La prise de conscience s’est également traduite dans les travaux du Livre blanc sur la sécurité et la défense nationale publié en juin 2008. Ce document associait pour la première fois les questions de défense à celles de sécurité. On quittait le domaine militaire pour une vision plus large. Les menaces sur nos systèmes d’information ont été considérées comme un risque majeur pour la France dans les quinze ans à venir. A cette occasion, la décision a été prise de créer l’ANSSI, afin de renforcer les capacités nationales et d’irriguer l’ensemble du territoire, avec la création dans chaque zone de défense et de sécurité d’un observatoire zonal de la sécurité des systèmes d’information (OZSSI). Sous les ordres des préfets de zone, ils déclinent et diffusent les règles et les bonnes pratiques, et font remonter l’information.

Quelles sont les missions de l’agence ?

M. B. : L’ANSSI a cinq grandes missions. La première est de former, au Centre de formation à la sécurité des systèmes d’information (CFSSI), les agents de l’Etat. Nous concevons une politique de diffusion d’un corpus pédagogique proposé aux centres de formation publics et privés qui forment nos experts à la SSI, et à l’ensemble des informaticiens, qui, aujourd’hui, n’ont pas tous conscience des menaces.

Parallèlement, l’Agence est organisée en quatre sous-directions, chacune dotée d’une mission spécifique. La sous-direction stratégie et réglementation a une mission de régulation, d’élaboration de règles, de préparation de textes juridiques et réglementaires. Elle délivre des labels à des produits destinés à la protection des informations classifiées. Elle en délivre également à l’usage de la société civile : les cartes à puce bancaire diffusées en France sont certifiées par l’ANSSI au nom du Premier ministre. Nous avons tout un portefeuille de produits de sécurité informatique pour lesquels nous vérifions les fonctions de sécurité. Nous mettons en place un nouveau type de label de qualification pour les échanges électroniques entre les autorités administratives et les usagers.

Nous allons labelliser des prestataires de services dans le domaine informatique (audit, installation, contrôle) qui respectent des règles et recommandations que nous allons établir dans un référentiel général de sécurité. Ce référentiel s’imposera à toutes les autorités administratives de l’Etat. Toujours dans le cadre du volet régalien de la première mission de l’Agence, un bureau, chargé de la stratégie industrielle, conseille les entreprises françaises, particulièrement les PME, qui œuvrent dans le domaine de la pérennité des systèmes d’information.

La deuxième sous-direction a une mission opérationnelle. Le Centre opérationnel de la sécurité des systèmes d’information suit en permanence l’actualité qui concerne notre domaine. Il assure une fonction essentielle de veille sur les attaques informatiques. C’est la vigie de l’agence. Il a également une fonction d’expertise technique pour préparer les défenses, analyser les ordinateurs attaqués, comprendre comment l’attaque s’est produite. Il élabore un dispositif, recommandé par le Livre blanc, de détection des attaques contre les systèmes de l’Etat. L’objectif est de détecter le plus tôt possible, dans les immenses flux qui transitent entre Internet et les intranets des ministères, les signaux faibles, les attaques, et de les stopper au plus vite. Un bureau inspecte les systèmes d’information de l’Etat, afin d’aider les administrations à améliorer la sécurité des dispositifs opérationnels, notamment les plus sensibles.

Déceler les attaques, mettre en place des règles est une chose, assister ceux qui doivent les appliquer en est une autre. Aussi la troisième sous-direction, « Assistance, conseil et expertise », a-t-elle pour mission d’anticiper les évolutions techniques, de proposer les innovations nécessaires en matière de sécurité des systèmes d’information, qu’il s’agisse de protocoles, de microcomposants, de logiciels, d’équipements sans fil.

La quatrième sous-direction, « Systèmes d’information sécurisés », a pour mission de doter l’Etat de systèmes fiables, résilients et hautement confidentiels pour gérer les crises et relier les grands décideurs de l’Etat. L’ « Intranet sécurisé interministériel pour la synergie gouvernementale » (ISIS), inauguré il y a un an, est le premier système d’information sécurisé permettant l’échange et le partage de documents classifiés au titre du secret défense entre acteurs gouvernementaux. Le réseau de téléphonie fixe et de télécopie « Rimbaud » (« Réseau interministériel de base uniformément durci ») compte quatre mille cinq cents abonnés sur le territoire métropolitain et dans les DOM : ministères, services déconcentrés, centres opérationnels et opérateurs chargés d’une mission de service public d’importance vitale. Il permet la continuité de l’action gouvernementale. 

De quels moyens dispose l’agence ?

M. B. : L’objectif, en termes d’effectifs, est de les doubler pour les porter à 250 personnes en 2012, afin de répondre aux besoins d’expertise technique, de conseil et de détection des attaques.

Les nouvelles menaces sont-elles mieux appréhendées aujourd’hui ?

M. B. : Les nouvelles menaces sont bien sûr mieux appréhendées, grâce à un travail de fourmi pour les analyser en permanence,  ainsi que les nouvelles vulnérabilités, et en déduire des règles et des pratiques. Mais les menaces se multiplient aussi vite que les technologies se développent. Qui, hier, pouvait prédire que le téléphone portable serait piraté ?

Quels liens l’ANSSI a-t-elle avec d’autres acteurs institutionnels nationaux et internationaux ?

M. B. : Quel que soit son effectif, une agence, seule, ne peut rien. Son travail doit être décliné et mis en œuvre dans l’administration, les ministères, les entreprises et tous les acteurs du monde numérique. Afin de diffuser l’information utile auprès de tous les utilisateurs de l’informatique et conseiller les PME, souvent démunies, nous avons créé un portail, www.securite-informatique.gouv.fr. Au-delà des dix commandements de la sécurité informatique, il offre plusieurs niveaux d’entrée et des recettes pratiques. Sur le plan de la formation une expérience pilote est menée avec la chambre de commerce et d’industrie de Valenciennes pour labelliser les formations données dans les centres publics et privés.

L’informatique n’a pas de frontière : une équipe est donc chargée de développer les relations avec nos homologues étrangers et de participer aux négociations internationales. Elle participe à la promotion de la confiance dans la société de l’information, dans le cadre européen et mondial, et prépare la position nationale en liaison avec les administrations concernées. L’ANSSI entretient également des collaborations techniques avec ses homologues, et contribue à l’orientation des travaux de recherche et développement au niveau national.