Malgré sa réserve, Guillaume Poupard, le directeur de l’ANSSI (Agence nationale de la sécurité des systèmes d'information), n’a pas mâché ses mots pour répondre à certaines questions lors du traditionnel point presse au FIC de Lille. Le premier sujet concerne les obligations faites aux 200 OIV (opérateurs d’importance vitale) quant à leur cybersécurité. « Les règles que nous imposons sont de simples mesures de bon sens et de bonne gouvernance. Et les opérateurs nous disent par exemple qu’une fois appliquées en France, ces règles ne sont pas loin de celles des Allemands ». L’axe franco-allemand semble d’ailleurs constituer la base de la nouvelle cyberdéfense européenne.

Si les décrets d’applications relatifs aux OIV ont commencé à être publiés suite au vote de la loi de programmation militaire 2015 (PLM) appliquée à la cybersécurité, ils ne sont pas tous consultables car certaines informations de la PLM font l’objet de restriction de diffusion. On peut néanmoins consulter le rapport préalable qui a servi de base à la rédaction de la PLM. Plusieurs certifications portant sur des produits de sécurité (matériels, logiciels et services) ont été définies par l’ANSSI avec des industriels de confiance.

Le cloud de Microsoft bientôt certifié par l'ANSSI ?

La première certification concerne l’agrément secret-défense qui prend des années pour devenir un fournisseur de confiance. Le second niveau, le certificat produit qualifié, est imposé aux OIV avec une exigence différente pour le matériel et le logiciel. « Il est de niveau élevé pour une carte à puce et on peut descendre en qualification avec le logiciel », a indiqué le responsable de l’ANSSI. « Nous avons beaucoup de problèmes avec les industriels étrangers car ils sont incapables de passer certaines certifications pour des raisons économiques mais aussi car il nous faut regarder dans les produits. Dans notre catalogue, nous avons toutefois des fournisseurs étrangers pour le matériel, le logiciel et les services. J’aimerais par exemple que Microsoft entre au catalogue pour son service cloud ».

La troisième certification, dite de 1er niveau, est assurée par des laboratoires indépendants alors que la quatrième, le label FranceSecurity, rassemble des produits reconnus par un panel rassemblant le ministère de l’Économie, l’ANSSI, la DGA, la DGE, l’ACN, l’HexaTrust, le Cigref, le Cesin et le Gitsis. A cela s’ajoutent des accords de reconnaissance mutuelle au niveau européen avec l’Espagne, l’Autriche, la Finlande, l’Italie, la Norvège, les Pays-Bas, le Royaume-Uni, la Suède et bien sûr l’Allemagne. Le problème de la localisation des données est toujours d’actualité et même si les clouds souverains ont pris l’eau, de nombreux acteurs français proposent des solutions d’hébergement et des services PaaS et IaaS. « Quand je vois que des données [françaises] sont stockées aux États-Unis, j’ai du mal à croire que personne ne va regarder dedans ».

Un OS souverain : une aberration

Au sujet de la réanimation du projet d’OS souverain par des parlementaires de gauche (Delphine Balto et Laurent Grandguillaume) et de droite (Nathalie Kosciusko-Morizet et d’autres), le directeur de l’ANSSI a été très clair : « Un OS souverain développé à partir de rien, je n’y crois pas du tout, c’est une aberration technologique. Et s’il s’agit d’un OS au service du gouvernement avec des backdoors partout dedans, je m’y opposerai. Nous ne sommes pas en Corée du Nord. Il y a déjà des OS sécurisés sur base Linux avec des souches de confiance. Ils peuvent encore y avoir des bugs mais ils sont globalement maitrisés ». Interrogé sur les contributions des parlementaires au débat sur la cybersécurité, Guillaume Poupard se félicite du travail accompli par certains à l’image d’un Jean-Marie Bockel, pour d’autres son silence est éloquent.

Les prochains chantiers de l’ANSSI concerneront la sécurité des ministères et des établissements où les solutions de chiffrement ne sont pas assez utilisées. « Nous avons décidé d’acheter des logiciels chez Prim’X pour chiffrer les emails, les disques durs et les volumes réseau. Et pour passer outre les problèmes financiers, nous avons négocié une licence globale pour installer ces solutions […] Il est nécessaire de promouvoir le chiffrement pour protéger les informations en transit ». Serge Binet, PDG et cofondateur de Prim’X, nous a détaillé les outils retenus par l’ANSSI sans toutefois aller jusqu’à préciser le montant du contrat négocié. « Le contrat global avec l’ANSSI porte sur la version Windows de nos solutions de chiffrement AES-256 bits (Linux viendra plus tard mais OS X a été écarté) pour le chiffrement des emails, des disques durs et des NAS/SAN ». En attendant des développements pour OVH, Numergy et Dropbox, le service de stockage et de partage de documents chiffrés en ligne repose aujourd’hui sur Sharepoint. Mais cette solution n’a pas été retenue par les ministères. Si des services ministériels utilisaient déjà la solution de Prim’X, d’autres ont profité de cet accord négocié pour chiffrer leurs données. Des OIV dans le transport, l’eau et l’aviation ont aussi retenu la solution de Prim’x. Parmi les clients de Prim’X, on peut citer le groupe Safran, Renault, Orange, le CEA, Thales, le Crédit Agricole et la Société Générale.

Un cheval de Troie avec gyrophare

Autres chantiers en cours à l’ANSSI : accompagner et protéger les PME contre des menaces comme Cryptolocker, travailler avec les fournisseurs pour fournir un keylogger et un cheval de Troie souverain avec gyrophare (commission R226) aux forces de l’ordre, sécuriser l’IoT, les voitures et objets connectés. « Avec des yeux d’informaticien en cybersécurité, il est effrayant de penser aux attaques et aux attentats ciblés. Contre des pacemakers par exemple. Ce qui est compliqué, c’est de parler sécurité avec des sociétés qui développent ces produits et qui veulent aller vite. On arrive à des cas surprenant avec des objets à bas coût impactant significativement la vie des utilisateurs notamment dans le domaine de la santé. » Autre souci d’inquiétude omniprésent sur le salon : Daesh. « Ils ont des moyens de l’argent et ils peuvent trouver des compétences pour faire du terrorisme en France. Il faut impérativement se protéger ».