L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a été créée par le décret n° 2009-834 du 7 juillet 2009 (Journal officiel du 8 juillet 2009). Elle se substitue à la Direction Centrale de la Sécurité Informatique (DCSSI). M. Pailloux, directeur général de cette nouvelle structure nous présente tout l’enjeu de la mission de cette agence.
La création de cette structure fait suite aux travaux du Livre blanc sur la défense et la sécurité nationale, publié le 17 juin 2008, qui soulignait l’importance de la cybermenace et considérait le risque d’une attaque informatique contre les infrastructures nationales comme une menace majeure. Pouvez-vous nous présenter votre agence et son rôle dans le dispositif de protection qui vient d’être mis en place ?
Effectivement, la création de l’ANSSI fait suite à l’une des recommandations du Livre Blanc publié en juin 2008 qui souligne qu’une attaque majeure contre les systèmes d’information français et européen est fortement probable dans les quinze années à venir et que cette dernière aurait des conséquences graves. C’est donc l’une des menaces à prendre au sérieux, comme on le fait avec le risque terroriste. Avec la création de l’ANSSI, il s’agit pour l’état français de se doter de capacités de cyberdéfense et de sécurité beaucoup plus importante que ce qui existait auparavant. L’ANSSI constitue aujourd’hui le bras armé de l’État en la matière.
Ses grandes missions sont les suivantes :
– doter la France de capacités permanentes de détection, de veille et de réaction pour faire face à de possibles attaques informatiques. C’est une activité très opérationnelle qui se met en place dès aujourd’hui et qui à terme prendra la forme d’un centre de défense et de vigilance qui aura notamment pour vocation de surveiller les réseaux de l’administration, d’observer l’Internet, de prévenir et de répondre aux attaques informatiques, de gérer les crises potentielles et d’émettre des recommandations ;
– doter l’État et les opérateurs d’infrastructures critiques de moyens de communication sécurisés aptes à répondre aux enjeux actuels. Notre mission est de développer des services, des produits et d’émettre des labels pour orienter les entreprises dans leurs choix de moyens de communication;
– Accompagner les opérateurs d’infrastructures critiques dans la sécurisation de leurs systèmes d’information. Et plus particulièrement les opérateurs de communications électroniques avec lesquels il y a tout un travail à mener pour augmenter la résilience des réseaux;
– Développer la communication extérieure, l’information du public et des entreprises et les relations avec nos homologues internationaux. En effet, on ne peut plus travailler sur ces questions en vase clos.
Pourquoi avoir substitué l’ANSSI à la DCSSI ?
Il y a deux raisons à cela, nous sommes une agence opérationnelle, nous n’avions plus vocation à rester au sein du Secrétariat Général de la Défense Nationale qui est une entité de coordination interministérielle, mais à être une entité en tant que telle. Nous sommes désormais, simplement rattachés à cette structure.
La volonté par cette substitution est aussi d’offrir à cette structure une vraie capacité de communication technique.
Votre budget en est plus important ?
Globalement, nos moyens vont doubler en terme humain et financier par rapport à la DCSSI.
Quels types d’action l’ANSSI a-t-elle vocation à mener auprès des entreprises ?
Notre priorité vis-à-vis des entreprises, qu’elles soient très grandes ou plus petites, c’est de leur apporter du soutien, de l’aide et de l’information. On ne peut, sauf cas exceptionnel, intervenir directement, mais nous sommes en capacité de fournir un grand nombre d’informations. Nous délivrons par exemple des labels afin de guider l’achat de prestation ou de matériel. En outre, nous diffusons des recommandations, des guides, des aides… notamment via le site www.securite-informatique.gouv.fr. Vis-à-vis des grands opérateurs d’infrastructures critiques nous menons aussi une mission d’audit afin de vérifier le niveau de sécurité. Enfin pour les grands acteurs nous pouvons intervenir dans le processus de gestion de crise.
Quelle est selon vous la plus grande menace, dans votre domaine, qui pèse sur les entreprises ?
Pour nous, il y a deux grands types de menaces qui pèsent sur les systèmes d’information, quels qu’ils soient. Il y a tout d’abord le déni de service, c’est-à-dire le blocage du système d’information. Il y a ensuite ce qu’on appelle l’attaque ciblée, qui est beaucoup plus préoccupante. Elle consiste à insérer dans le système un cheval de Troie pour lui voler de l’information. C’est un type d’attaque qui se développe à très grande échelle et qui est rarement détectée. Ce type d’attaques est d’autant plus préoccupant qu’elles ne demandent pas des compétences très importantes pour être mises en place. Elles prennent en général la forme d’une clef USB piégée ou d’un mail piégé.
Pensez-vous que les entreprises ont bien pris conscience de ces menaces ? En effet, une enquête du cabinet Pricewaterhousecoopers publiée en 2009 souligne que les entreprises françaises sont en retard en matière de sécurité informatique. En effet si globalement les risques augmentent, il semble que seuls 35 % des décideurs français souhaitent augmenter le budget de la sécurité informatique en 2010 alors qu’ils sont 63 % au niveau mondial à souhaiter le faire… Qu’en pensez-vous ?
Il me semble très difficile de donner des chiffres fiables sur ce type de sujet.
Il est à mon sens plus intéressant d’observer la dynamique. La prise de conscience progresse à l’étranger comme en France. En France nous ne sommes pas spécialement en avance, c’est certain. Il faut aujourd’hui que les entreprises fassent preuves de maturité dans ce domaine. Aujourd’hui encore, une entreprise victime d’une attaque va malheureusement avoir tendance à le cacher. Les incidents informatiques arrivent dans toutes les entreprises, cela fait désormais partie du quotidien et il est indispensable d’en parler. Dans la sécurité informatique, il faut sortir de la culture du secret. Quand cela touche à des affaires de concurrences, cette volonté peut s’expliquer. Cependant, nous n’arriverons pas à convaincre qu’il faut développer la sécurité si on cache les incidents de sécurité. Certaines très grandes entreprises l’ont bien compris et progresse sur ce sujet, cela reste cependant marginal.
Dans le cadre de l’Observatoire pour la protection des données sensibles des industriels français à l’étranger, vous co-publiez avec le CDSE un passeport de conseil aux voyageurs en matière de sécurité informatique. Pouvez-vous nous présenter cet outil ?
Il faut développer la sensibilisation et la maturité en matière de sécurité informatique. Le passeport rentre dans ce cadre en ciblant les personnes qui voyagent à l’étranger. Ces voyageurs emportent avec eux de plus en plus d’outils informatiques (ordinateurs portables, PDA, téléphones…). Ces outils sont en général utilisés pour stocker des données ou communiquer avec l’entreprise. Malheureusement, nous avons de très nombreux exemples de vol de ces données lors de ces déplacements. Ces vols prennent des formes diverses : vol du matériel, visite des chambres d’hôtel, interception des communications… Ce passeport en plus d’informer sur les risques donne un certain nombre de conseils. Il liste notamment les précautions à prendre avant de partir, sur place, mais aussi au retour.