Malgré sa réserve, Guillaume Poupard, le directeur de l’ANSSI (Agence nationale de la sécurité des systèmes d'information), n’a pas mâché ses mots pour répondre à certaines questions lors du traditionnel point presse au FIC de Lille. Le premier sujet concerne les obligations faites aux 200 OIV (opérateurs d’importance vitale) quant à leur cybersécurité. « Les règles que nous imposons sont de simples mesures de bon sens et de bonne gouvernance. Et les opérateurs nous disent par exemple qu’une fois appliquées en France, ces règles ne sont pas loin de celles des Allemands ». L’axe franco-allemand semble d’ailleurs constituer la base de la nouvelle cyberdéfense européenne.
Si les décrets d’applications relatifs aux OIV ont commencé à être publiés suite au vote de la loi de programmation militaire 2015 (PLM) appliquée à la cybersécurité, ils ne sont pas tous consultables car certaines informations de la PLM font l’objet de restriction de diffusion. On peut néanmoins consulter le rapport préalable qui a servi de base à la rédaction de la PLM. Plusieurs certifications portant sur des produits de sécurité (matériels, logiciels et services) ont été définies par l’ANSSI avec des industriels de confiance.
Le cloud de Microsoft bientôt certifié par l'ANSSI ?
La première certification concerne l’agrément secret-défense qui prend des années pour devenir un fournisseur de confiance. Le second niveau, le certificat produit qualifié, est imposé aux OIV avec une exigence différente pour le matériel et le logiciel. « Il est de niveau élevé pour une carte à puce et on peut descendre en qualification avec le logiciel », a indiqué le responsable de l’ANSSI. « Nous avons beaucoup de problèmes avec les industriels étrangers car ils sont incapables de passer certaines certifications pour des raisons économiques mais aussi car il nous faut regarder dans les produits. Dans notre catalogue, nous avons toutefois des fournisseurs étrangers pour le matériel, le logiciel et les services. J’aimerais par exemple que Microsoft entre au catalogue pour son service cloud ».
La troisième certification, dite de 1er niveau, est assurée par des laboratoires indépendants alors que la quatrième, le label FranceSecurity, rassemble des produits reconnus par un panel rassemblant le ministère de l’Économie, l’ANSSI, la DGA, la DGE, l’ACN, l’HexaTrust, le Cigref, le Cesin et le Gitsis. A cela s’ajoutent des accords de reconnaissance mutuelle au niveau européen avec l’Espagne, l’Autriche, la Finlande, l’Italie, la Norvège, les Pays-Bas, le Royaume-Uni, la Suède et bien sûr l’Allemagne. Le problème de la localisation des données est toujours d’actualité et même si les clouds souverains ont pris l’eau, de nombreux acteurs français proposent des solutions d’hébergement et des services PaaS et IaaS. « Quand je vois que des données [françaises] sont stockées aux États-Unis, j’ai du mal à croire que personne ne va regarder dedans ».
Un OS souverain : une aberration
Au sujet de la réanimation du projet d’OS souverain par des parlementaires de gauche (Delphine Balto et Laurent Grandguillaume) et de droite (Nathalie Kosciusko-Morizet et d’autres), le directeur de l’ANSSI a été très clair : « Un OS souverain développé à partir de rien, je n’y crois pas du tout, c’est une aberration technologique. Et s’il s’agit d’un OS au service du gouvernement avec des backdoors partout dedans, je m’y opposerai. Nous ne sommes pas en Corée du Nord. Il y a déjà des OS sécurisés sur base Linux avec des souches de confiance. Ils peuvent encore y avoir des bugs mais ils sont globalement maitrisés ». Interrogé sur les contributions des parlementaires au débat sur la cybersécurité, Guillaume Poupard se félicite du travail accompli par certains à l’image d’un Jean-Marie Bockel, pour d’autres son silence est éloquent.
Les prochains chantiers de l’ANSSI concerneront la sécurité des ministères et des établissements où les solutions de chiffrement ne sont pas assez utilisées. « Nous avons décidé d’acheter des logiciels chez Prim’X pour chiffrer les emails, les disques durs et les volumes réseau. Et pour passer outre les problèmes financiers, nous avons négocié une licence globale pour installer ces solutions […] Il est nécessaire de promouvoir le chiffrement pour protéger les informations en transit ». Serge Binet, PDG et cofondateur de Prim’X, nous a détaillé les outils retenus par l’ANSSI sans toutefois aller jusqu’à préciser le montant du contrat négocié. « Le contrat global avec l’ANSSI porte sur la version Windows de nos solutions de chiffrement AES-256 bits (Linux viendra plus tard mais OS X a été écarté) pour le chiffrement des emails, des disques durs et des NAS/SAN ». En attendant des développements pour OVH, Numergy et Dropbox, le service de stockage et de partage de documents chiffrés en ligne repose aujourd’hui sur Sharepoint. Mais cette solution n’a pas été retenue par les ministères. Si des services ministériels utilisaient déjà la solution de Prim’X, d’autres ont profité de cet accord négocié pour chiffrer leurs données. Des OIV dans le transport, l’eau et l’aviation ont aussi retenu la solution de Prim’x. Parmi les clients de Prim’X, on peut citer le groupe Safran, Renault, Orange, le CEA, Thales, le Crédit Agricole et la Société Générale.
Un cheval de Troie avec gyrophare
Autres chantiers en cours à l’ANSSI : accompagner et protéger les PME contre des menaces comme Cryptolocker, travailler avec les fournisseurs pour fournir un keylogger et un cheval de Troie souverain avec gyrophare (commission R226) aux forces de l’ordre, sécuriser l’IoT, les voitures et objets connectés. « Avec des yeux d’informaticien en cybersécurité, il est effrayant de penser aux attaques et aux attentats ciblés. Contre des pacemakers par exemple. Ce qui est compliqué, c’est de parler sécurité avec des sociétés qui développent ces produits et qui veulent aller vite. On arrive à des cas surprenant avec des objets à bas coût impactant significativement la vie des utilisateurs notamment dans le domaine de la santé. » Autre souci d’inquiétude omniprésent sur le salon : Daesh. « Ils ont des moyens de l’argent et ils peuvent trouver des compétences pour faire du terrorisme en France. Il faut impérativement se protéger ».
@Arsene Lupin,
Signaler un abusJe vous cite: " excusez-moi, comme vous répondiez ("pour info") à mon commentaire, je pensais que vous l'aviez compris."
Que j'avais compris quoi plus exactement ?
@Visiteur9041: excusez-moi, comme vous répondiez ("pour info") à mon commentaire, je pensais que vous l'aviez compris.
Signaler un abus@Arsene Lupin,
Signaler un abusVous me posez la question suivante: " en quoi la localisation géographique desdits SI intervient-elle ? "
Étrange question puisque je ne vois absolument pas en quoi une localisation géographique desdits SI pourrait intervenir ?
Visiteur9033, si, comme vous le dites "la NSA est la seule institution gouvernementale au monde à POUVOIR TOUT déchiffrer et s'infiltrer dans n'importe quel système informatique (Data Center notamment) connecté sur le Web", en quoi la localisation géographique desdits SI intervient-elle ?
Signaler un abus(Pour info, hein ?)
Ne pas oublier aussi Visiteur9032 que c'est notamment pour cette raison que la NSA fait la "guerre" aux distributions Linux du genre "Tails" qui ne leur donne pas ou quasiment pas les moyens de "pénétrer" ce type de "système furtif"...
Signaler un abusArsene Lupin,
Signaler un abusPour info, je rappelle que la NSA est la seule institution gouvernementale au monde à POUVOIR TOUT déchiffrer et s'infiltrer dans n'importe quel système informatique (Data Center notamment) connecté sur le Web.
Trés bon article d'une personne compétente.
Signaler un abusdes bases sécuritaire à ne pas oublier.
les commentaires sont de personnes qui manquent de recul et manque donc de bon sens.
Je fais souvent parti de cette cathégorie.
Merci pour ce petit rappel de quelques bases à ne pas oublier.
Bonjour,
Signaler un abusJe crois que trop d'information tue l'information. Ici il s'agit du cadre législatif et des mesures de sécurité prises contre les cybermenaces, et de leur mise en application.
Concrètement, pensez-vous que des données sensibles ou ultra confidentielles soient aussi simples à pirater ? Soyons logique avec un peu de bon sens. Si j'avais en charge la sécurité de telles données, la première action que je déploierais serait des plateformes virtuelles ayant pour seuls objectifs d'être attaquées.
Dites-vous bien que si vous mettez les moyens financiers et HUMAINS pour assurer une haute sécurité de données ultra confidentielles et sensibles, vous serez hors d'atteinte de toute attaque potentiellement dangereuse.
Tout est une question de moyens financiers et humains. Le monde d'aujourd'hui veut tout automatiser dans un cyberespace où tout se mélange, se détruit et se reconstruit en perpétuel mouvement.
Vous voulez vraiment sécuriser toutes les données d'un Ministère de la Défense, il existe une solution très simple. Utiliser uniquement le support papier comme moyen de stockage dans une chambre forte enterrée 100 mètres sous terre et gardée par l'Armée :)
Ensuite pour ce qui est de l'utilisation du papier, on emploiera la bonne vieille méthode. Ca prendra plus de temps mais ca coûtera moins cher et avec beaucoup moins de problème de sécurité :)
« Quand je vois que des données [françaises] sont stockées aux États-Unis, j’ai du mal à croire que personne ne va regarder dedans »
Signaler un abusJ'avoue avoir un peu de mal à comprendre en quoi la localisation des supports physiques intervient dans le débat. Accéder au contenu d'une baie de stockage située en France, mais détenue par une société de droit américain me semble plus facile pour la NSA qu'accéder au contenu d'une autre, localisée dans un Data Center aux US, mais contrôlée par une société chinoise ou française.
Ce n'est pas tant la localisation géographique qui garantit la confidentialité des données, mais le niveau de confiance qu'on a dans l'hébergeur: tant sur sa capacité à se protéger contre les intrusions, qu'en sa légitimité à résister aux injonctions des différents organismes gouvernementaux trop curieux...