Guillaume Poupard, directeur général de l'Agence nationale de la sécurité des systèmes d'information (ANSSI): « Il faut normaliser le risque cyber »

G-Poupard-PM

 

Guillaume Poupard, directeur général de l'Agence nationale de la sécurité des systèmes d'information (ANSSI): 

 

« Nous attachons beaucoup d’importance à notre neutralité »

 

 

Derniers jours de juin. Ciel bas boulevard de la Tour Maubourg dans le 7ème arrondissement de Paris derrière les Invalides. Guillaume Poupard, directeur général de l’ANSSI se tient assis à la table de réunion devant son bureau. Ce haut serviteur de l’État ne baisse jamais la garde. Bien que franche sa parole demeure extrêmement mesurée. Il aurait pu opter pour la diplomatie, il a préféré la cryptographie à sa sortie de Polytechnique. Tout est en place. L'interview « soft battle » entre interviewé et intervieweur peut commencer.

 

ANSSI et conflit d’intérêt ?

Avec les PASSI (Prestataires d'Audits en Sécurité des Systèmes d'information), il n’y en a pas. On ne choisit pas ceux qui font les contrôles mais nous qualifions les entreprises qui contrôlent car elles doivent être compétentes et de confiance. Nous attachons beaucoup d’importance à notre neutralité, même si cela signifie refuser des demandes de labellisation.  

 

Auriez-vous déjà refusé des certifications à des grands industriels français ?

Vous seriez surpris par certaines décisions. Le but de la labellisation n’est pas de refuser mais d’accompagner les industriels dans la sécurisation de leurs produits. Lorsqu'il y a refus, il faut savoir que tout a été mis en œuvre pour permettre au candidat à la qualification d’être en phase avec les exigences de l’ANSSI mais qu’au final, le processus n’a pas pu aboutir pour diverses raisons. Nous nous devons d’être irréprochables : pas de label de complaisance dans le domaine de la confiance, ce serait insulter l’avenir.

 

Confiance et Brexit, quel est votre avis sur l'éventuel départ de la Grande Bretagne de la zone de confiance européenne ?

Je ne me précipite pas sur ce type de sujet. Le Brexit va soulever un très grand nombre de questions, selon un calendrier que nous ne maîtrisons pas. Concernant la certification EU cela ne mettra pas fin à nos relations bilatérales avec le Royaume-Uni qui fait partie de nos grands partenaires, notamment sur le plan opérationnel. Il est indispensable que cela continue, sans naïveté aucune bien évidemment.

 

PME et OIV ?

Aujourd’hui en accord avec la législation, l’ANSSI travaille avec les OIV pour élever leur niveau de sécurité et plus particulièrement ceux de leurs systèmes d’information les plus critiques. En termes cyber cela n'a pas de sens de traiter les OIV et leurs sous-traitants dans un même cadre juridique car chacun pourrait se renvoyer la balle en cas de désaccord. Notre idée est donc d'imposer aux OIV des règles strictes, charge à eux de les répercuter auprès des acteurs de leur propre écosystème. On reste alors dans une relation classique entre industriels et sous-traitants.

 

Développement et innovation avec les PME ?

Certains industriels réalisent beaucoup de co-développement avec des PME partenaires et apportent leurs propres outils de sécurité aux PME partenaires, typiquement sous la forme de solutions de sécurité intégrées. C'est une piste intéressante que nous encourageons et que nous suivons de près.

 

Données stratégiques partagées entre OIV et PME ?

Nous avons réalisé avec la CGPME un guide pour sensibiliser les PME aux menaces informatiques et aux bonnes pratiques à mettre en œuvre dans les PME Nous participons aussi au développement de produits dédiés à ces PME en prenant en compte le fait que l’aspect fonctionnel (usage, ergonomie) puissent aujourd’hui compter autant que les aspects purement liés à la performance technique.

L’ANSSI peut également être amenée à intervenir en cas d’ « OPA hostiles » dirigées contre des sociétés cyber en s’appuyant que le décret dit « IEF » introduit par M. Alain Juillet sur les investissements étrangers en France. Il ne s’agit pas tant de protectionnisme français que d’aider les entreprises à se protéger contre des investissements hostiles tout en permettant des investissements vertueux. Attention, nous ne bloquons en général pas les acquisitions mais le dispositif permet d’aménager un cadre rassurant dans lequel les différentes parties s’engagent et qui se traduit typiquement par des engagements et la mise en place des comités de surveillance existent par exemple. C'est plus un droit de regard qu'autre chose pour conserver un bon équilibre.

 

J'ai le sentiment que l'ANSSI qui pratique beaucoup l'essaimage veut se positionner comme chef d'orchestre d'un écosystème aux ramifications multiples allant des aspects techniques avec la qualification aux aspects organisationnels voire économiques avec les contrôles sur la résilience de SIIV d'acteurs cotés en bourse et donc sensibles à la protection de leur patrimoine.

Vous avez parfaitement raison. On ne peut pas se contenter de dire : « c'est mon domaine et le reste ne me concerne pas ». De plus, le rôle d’autorité nationale confère un véritable rôle d’animation de l’écosystème. Mais méfions-nous des idées reçues. La fuite des cerveaux dans le domaine de la cybersécurité n'est pas aussi grave que l’on voudrait le faire croire par exemple. Beaucoup de jeunes diplômés qui ont fait le choix de démarrer leur carrière en France après leurs études restent en France. De notre côté, après quelques années passées à l’ANSSI, nos ingénieurs peuvent rejoindre d'autres organisations. Ce n'est pas un problème.

 

Quelle lecture faites-vous du RGPD ?

C'est davantage un texte qui concerne la CNIL. Il précise le cadre de protection nécessaire aux données personnelles qui sont traitées au sein des entreprises. La CNIL protège les données. L'ANSSI, le contenant que constituent les systèmes d’information. Je vous accorde que les données étant hébergées par les SI, les deux approches sont intimement liées. Il faut absolument éviter que des positions contradictoires apparaissent : c'est, je crois, le véritable enjeu qui explique d’ailleurs les excellentes relations que nous entretenons entre la CNIL et l’ANSSI.

 

L'ANSSI a participé à l’élaboration de ce règlement européen ?

Non. En revanche la CNIL peut être amenée à nous solliciter pour des avis techniques.

 

Entre l'ANSSI et la CNIL, ce sont deux philosophies différentes qui se rencontrent : une CNIL « voltairienne » et une ANSSI « bonapartiste » par exemple ?

Nous sommes très proches mais nous pouvons, si vous insistez, trouver une approche différente sur un seul point : la diffusion d'information suite à une cyber-attaque. La CNIL est favorable à une communication large alors que nous préférons protéger l'anonymat des OIV concernés. Nous veillons à ce que ces deux approchent restent compatibles dans les cas opérationnels que nous traitons.

 

TV5 désormais OIV ?

Rappelons qu’un OIV se définit comme un opérateur qui exploite ou utilise des installations jugées indispensables pour la survie de la Nation. Tv5 Monde n’entre pas dans cette définition, ce qui n’enlève rien à son importance et à l’impact en termes d’image pour la France que peuvent avoir des attaques contre de telles entités. Ce type d’acteurs pourraient éventuellement s’intégrer sans êtres concernés par la directive NIS dont les modalités d’application restent à définir (lire encadré).

 

 OIV et SI connectés ?

Ce sont les OIV qui identifient leurs SI les plus critiques, seuls concernés par les règles issues de la LPM. Certains peuvent êtres interconnectés à l'étranger. Des contrôles peuvent être faits à l'étranger. Les contrôles parmi les plus critiques sont effectués par les équipes de l’ANSSI, les autres par des profils tels que des prestataires de confiance, qualifiés par l’ANSSI, les PASSI.

 

Dimension européenne de l'ANSSI et des autres agences en Europe ?

Au niveau des agences en charge des mêmes missions que l'ANSSI, il n'existe pas de G29 comme pour les CNIL européennes. La directive NIS que nous connaissons bien pour avoir participé à sa rédaction (cf encadré) précise que les Etats doivent rester responsables n’ont pas à de leurs OIV pour des questions de souveraineté nationale. La directive NIS précise également que chaque pays doit avoir une agence dédiée à la cybersécurité. Ce n'est pas le cas aujourd'hui. La directive impose aussi que ces agences travaillent en réseau sur une base volontaire entre elles ainsi qu’avec l'ENISA. A noter qu’un français, Jean Baptiste Demaison, actuellement un agent chargé d’affaires internationales à l’ANSSI, vient d'être nommé à la présidence du conseil d'administration de l'ENISA. Ceci traduit notre volonté d’encore plus impliquer cette agence européenne dans la montée en compétence des différents états membres.

En revanche une entité européenne de type G29 n'est pas nécessaire pour une simple raison : en cas de cyberattaques sur un OIV nous ne voulons pas être dans l’obligation d’en informer systématiquement tous les autres pays, sauf en cas de nécessité. Toutefois, au niveau international cela ne doit pas empêcher une harmonisation des niveaux de sécurité entre les acteurs majeurs de chaque pays de l'Union européenne.

 

Vous décrivez une situation paradoxale avec d'un côté un souci de discrétion et de souveraineté et d'un autre coté une volonté d'échanges techniques sur les cyberattaques entre ingénieurs. Comment gérer en pratique une telle stratégie ?

C'est exact et je ne dis pas que tout est facile dans notre métier. C'est aux agences de trier ce qui doit être dit et ce qui doit être conservé en interne. Notre métier consiste en permanence à se demander : que doit-on communiquer ? Notre rôle c'est aussi de s'assurer que les OIV prennent bien en compte toutes les cyber-menaces possibles et leurs conséquences. Ainsi un DAB peut être seulement bloqué, sans vol d’argent, comme en Corée récemment. La population ne pouvait plus retirer d'argent et en moins de 6h00 les premières scènes d'émeute apparaissaient. C'est aussi cela la cyberprotection.

 

Vision d'une stratégie européenne de l'ANSSI ?

A ce jour, nous ne sommes que quelques agences à réellement travailler ensemble en Europe, bien loin de 28 ou 27 ! Nos démarches communes consistent avant tout à protéger les biens communs comme ceux de la Commission et du Parlement européen pour qu’ils possèdent un bon niveau de cybersécurité. Dans un autre cadre, l’OTAN et l'interopérabilité entre systèmes militaires est également un autre sujet sur lequel nous travaillons pour que les armées puissent agir en coalition, par exemple via une normalisation des protocoles de chiffrement.

 

Une école crypto existe en Europe ?

Oui, en France évidemment mais également en Allemagne et dans quelques autres pays mais la recherche académique ne suffit pas et il faut une industrie en soutien, ce qui réduit fortement les pays maîtrisant cette science.

 

En matière d’évaluation où en sommes-nous sur les accords de reconnaissance mutuelle ?

Nous avons deux niveaux d'accords : un très large géographiquement, le « CCRA », et par conséquent limitant fortement le niveau de reconnaissance mutuelle ainsi qu’où un autre accord intra-européen, le « SOG-IS », qui concerne seulement 10 pays , ce qui permet de reconnaître des évaluations beaucoup plus poussées d’évaluer de confiance plus important. Cette approche doit permettre à mon sens d'obtenir un véritable périmètre européen ou chaque membre reconnaît ce que font les autres.

 

Pour les acteurs de toutes origines, que veut réellement imposer l'ANSSI en matière de qualification et de certification ?

Il n y a pas d'obligation réelle. Cela dépend de ce que l'on veut faire. Seuls les produits destinés à protéger des informations « classifiées Défense » doivent être qualifiés par l’ANSSI. D'une manière plus globale, certains cherchent à standardiser de l'expertise et c'est très difficile à réaliser. L'évaluation d'un produit de sécurité nécessite une véritable expertise et ne peut pas être réduite à un simple questionnaire à remplir. Les différents dispositifs de l’ANSSI visent à répondre à l’ensemble des besoins.

 

Doit-on tout normaliser en matière de cybersécurité ?

Tout non, mais déjà tout ce qui est possible. Nos OIV ont naturellement une forme d’aversion pour ce qui peut sembler original. Et c'est normal. Il faut normaliser la prise en compte du risque cyber pour le traiter le plus possible comme les autres risques. Tant que le cyber est traité par des mesures d'exception on demeure fragile.

 Propos recueillis par @jpbichard

 

 

BONUS:

 1 - OIV et LPM (loi de programmation militaire): Le point de vue de Deloitte avec Michael Bittan, Associé responsable des activités gestion des risques cyber chez Deloitte.

 

"Sur 15 OIV, 5 envisagent une refonte totale"

 

 Cyberisques NEWS: Combien d'OIV comme clients Deloitte en 2016 ? 

 Deloitte a une centaine de clients dont une bonne trentaine d’OIV. Nous pouvons considérer que cette trentaine est représentative des OIV.

 

Combien d'OIV en ICS/Scada selon Vous ?  

Je pense que sur le total des OIV, 35 à 40% disposent d'infrastructures basées sur des architectures ICS/SCADA

 

Que demande un projet de mise a niveau LPM comme l'impose l'ANSSI pour un OIV ?  

Généralement, un projet de mise à niveau d'un SIIV au regard des règles LPM s'étale sur une durée de 2 à 3 ans en fonction du secteur d’activité. Les grandes interrogations présentes chez la majorité de nos clients OIV peuvent s'identifier comme suit :

- identification des données stratégiques : combien de temps ? avec quels métiers ?

- estimation du budget LPM : c’est généralement le double du budget de fonctionnement géré par le RSSI groupe (pas le budget DSI) sur plusieurs années

- sur ce budget, la partie Audit / Etude / test d'intrusion pour réaliser la mise à niveau de la compatibilité avec les recos, la LPM représente 40% du budget annuel

 

Vos observations sur les obligations de la LPM aupres des OIV ? 

Le problème essentiel des OIV, c'est d'exister à un niveau mondial en termes de services délivrés par les SIIV tout en tenant compte des règles nationales en matière de cybersécurité. Au regard des contraintes de la LPM, certains clients envisagent de créer de nouveaux systèmes. Pour beaucoup de nos clients, c'est plus simple et plus rapide que de réaménager. Surs 15 OIV, 5 envisagent une refonte totale. Pour certains des solutions Cloud sont envisagées dans un second temps car il souhaitent dans un premier temps conserver leurs données en interne. Le rôle de Deloitte repose sur une méthode qui privilégie le cas par cas pour chaque client. On adapte à chaque client en fonction de sa maturité, de ses priorités et de ses besoins. Le générique doit se « customizer ».

 

Quel rôle veut jouer Deloitte dans la mise en place des protocoles LPM chez les OIV ?  

Si Deloitte devient PASSI totalement en plus de notre entité HSC et que l'ANSSI demande à certains PASSI forcément de confiance d’effectuer pour l'ANSSI des missions de contrôle, dans ce cas nous devrons choisir le conseil ou le contrôle. Nous faisons exactement la même chose lorsque nous conseillons nos clients sur la mise en place d’un SMSI (Système de management de la Sécurité de l’information ISO27001). En France, nous ne certifions pas les entreprises que nous avons conseillé sur la 27001. En cybersécurité "LPM", Il sera intéressant de connaitre les modalités de ces attributions car le Cabinet Deloitte est reconnu pour son métier premier d’auditeur mais aussi pour sa forte expertise sur le Conseil.

 @jpbichard

 

 

2 - NIS : La stratégie de cybersécurité imposée aux Etats de l’UE d’ici 2018*

En février 2013, la Commission européenne a proposé aux Etats membres et au Parlement européen d’adopter une directive « Network Security and Information » (NIS) qui a été approuvée en décembre 2015 et adoptée en première lecture par le Conseil de l’Europe en mai 2016. Celle-ci prévoit des mesures visant à assurer un haut niveau de confiance dans les systèmes de réseaux et d’informations de l’Union.
Cette directive NIS est en fait le support nécessaire du règlement beaucoup plus général relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. Le but est à long terme d’obtenir un espace numérique sécurisé et performant au sein duquel les Etats membres coopèrent de manière harmonieuse pour lutter contre la cybercriminalité.

Au niveau national, l’Union prévoit que tous les Etats membres devront créer une « computer emergency response team » (CERT), c’est-à-dire un centre d’alerte et de réaction aux attaques informatiques qui aurait pour mission de surveiller, analyser, avertir des risques et intervenir a posteriori.

Au niveau communautaire, la directive NIS prévoit la mise en place d’un réseau de communication interétatique afin de favoriser la circulation des alertes, la cybercriminalité n’ayant pas de frontières. La coopération paneuropéenne se fera sur la base du volontariat et du partage d’information des différents acteurs. Face à la cyber-menace, notamment de nature terroriste, la solidarité entre Etats apparaît en effet indispensable.

*Antoine CHERON, avocat associé, est docteur en droit de la propriété intellectuelle, avocat au barreau de PARIS et au barreau de BRUXELLES et chargé d’enseignement en Master de droit à l’Université de Assas (Paris II). Il est le fondateur du cabinet d'avocats ACBM (http://www.acbm-avocats.com)

 

 

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires