third
Novembre 2020

Numéro cinq

Retrouvez le numéro cinq de Third : La sécurité dans un monde numérique

Third | Novembre 2020

Le numérique vu au travers de sa sécurité : le prisme de l’ANSSI

Emmanuel Germain, Directeur général adjoint, Agence Nationale de Sécurité des Systèmes d’Information (ANSSI).

 

Présenter un panorama en perspective du numérique relève sans doute d’une quête sans fin, tant les champs d’activités humaines recouverts par ce terme sont nombreux, tant les enjeux de développement et de sécurité qui y sont liés sont divers et tant l’empreinte du numérique s’étend bien au-delà de nos frontières géographiques.

Pour toutefois pouvoir proposer des clés de compréhension du numérique, il est nécessaire de l’explorer successivement sous différents angles d’approche. L’un d’eux, original et concret, consiste à regarder le numérique à travers la vision et l’expérience, acquise depuis plus de dix ans, de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI).

Disposant de 550 agents, essentiellement contractuels, ingénieurs ou experts de très haut niveau, l’ANSSI est un service à compétence nationale, rattaché au secrétaire général de la défense et de la sécurité nationale. Sa raison d’être est la promotion de la sécurité numérique en France et en Europe. Point de vue exceptionnel, l’ANSSI donne à découvrir et à mieux comprendre le numérique à travers ses trois grandes missions que sont la défense, la régulation-prévention et la sensibilisation.

 

Défendre et superviser

 
La première, la plus évidente mais pas toujours la plus visible des missions de l’ANSSI est la défense des Opérateurs d’Importance Vitale (OIV) et des Opérateurs de Services Essentiels (OSE). Ce sont les quelques centaines d’organismes privés et publics dont la défaillance porterait atteinte au potentiel de défense, économique ou social de la Nation. La protection par l’ANSSI de ces opérateurs et en particulier de leurs Systèmes d’Information d’Importance Vitale (SIIV) a été encadrée par les deux dernières Lois de programmation militaire de 2013 et 20181. Disposant d’une sous-direction dédiée aux opérations (SDO) et organisée autour d’un centre opérationnel permanent, l’ANSSI peut compter sur 200 experts de très haut niveau dans les différents métiers opérationnels de la cybersécurité. Exclusivement défensive, l’action opérationnelle est articulée autour des grandes fonctions de connaissance de la menace, de détection et de réponse aux incidents. Ces capacités sont appuyées par les laboratoires de recherche de pointe de la sous-direction expertise (SDE) et par les ressources de la sous-direction stratégie (SDS), en matière de communication et de coordination, à la fois sectorielle, institutionnelle et territoriale.

En 2019, l’ANSSI a ainsi traité 370 incidents et a engagé 16 opérations de cyberdéfense en déployant des agents auprès des victimes. Peu publicisés, ces incidents illustrent la prégnance du risque numérique. En effet, personne n’échappe désormais à celui-ci, particuliers ou collectivités, acteurs privés ou publics, entreprises de toutes tailles. Tous peuvent être victimes directes ou collatérales, par exemple, d’une tentative de rançonnage par chiffrement, d’un vol de données sensibles, d’espionnage ou de sabotage. Mafias ou États, activistes, voleurs mercenaires ou concurrents malveillants rivalisent de ruses et de prouesses technologiques pour utiliser le numérique à des fins malveillantes, portant ainsi atteinte aux activités de l’ensemble de notre société. L’anonymat étant à la portée de tous et quasiment infaillible dans le cyberespace, il est tout naturellement la porte de toutes les transgressions. Se jouant en outre des frontières et des juridictions, un délinquant numérique profite d’un sentiment d’impunité, souvent justifié. Le mythe de Gygès2, cher à Platon, trouve ici à s’appliquer et ainsi, les agressions numériques s’accroissent avec des outils de plus en plus performants et proliférant.

Les efforts réels consentis par nos institutions et par les acteurs privés se concrétisent par de nouvelles offres commerciales de cybersécurité et le déséquilibre en faveur de la menace s’atténue sans doute mais encore insuffisamment. De surcroît, la menace numérique se régénère très vite ; les cycles d’innovation technologique des capacités d’attaque sont inférieurs à deux ans. Enfin, les capacités de continuité d’activité ou de gestion de crise sont encore trop souvent négligées. La planification en amont et l’acculturation de l’ensemble des usagers aux gestes de survie numérique en situation d’attaque, permettant de se prémunir d’attaques majeures, doivent être encouragées.
 

Prévenir et réguler

 
Dans ce contexte, les investissements de long terme pour sécuriser le cyberespace sont essentiels. Une capacité défensive est cruciale mais c’est surtout en amont des crises, par la régulation et par la prévention, que se développera une sécurité du numérique durable et résiliente, et en particulier dans un espace européen de confiance.

L’ANSSI intervient en France et dans les institutions européennes, au sein des enceintes politiques ou législatives qui établissent le cadre normatif du numérique. À l’intersection du droit, des relations internationales et de la technologie, les experts de l’agence co-élaborent des politiques publiques et contribuent à penser et écrire les réglementations nationales ou européennes du numérique : lois de programmation militaire, directive européenne Network Information System (NIS), Cybersecurity Act, réglementation sur l’identité électronique (eIDAS), etc. Elle accompagne également les diplomates français dans les négociations internationales sur le numérique, avec comme objectif la préservation de la paix et de la stabilité du cyberespace dans la lignée de l’ambition énoncée par le Président de la République dans l’Appel de Paris en novembre 2018.

Enfin, le cyberespace, par la porosité de ses frontières, est souvent captif de réglementations extraterritoriales, ce qui affecte indirectement la sécurité du numérique. En effet, bien que ne se recoupant pas parfaitement, sécurité et souveraineté sont intrinsèquement liées. À la charnière de l’expertise technique et du droit, l’ANSSI, dans son champ de la sécurité du numérique, contribue à faire comprendre l’état de la situation technologique aux autorités françaises et à nos partenaires européens. Elle participe ainsi à la construction, à l’échelle de la France et de l’Union européenne, d’un cadre de référence solide et crédible préservant la sécurité et la maîtrise de nos activités numériques.
 

Sensibiliser et former

 
Dans un écosystème numérique complexe et se renouvelant constamment, la sensibilisation revêt une dimension cruciale. L’ANSSI a ainsi pour mission d’éclairer les acteurs du numérique, d’informer les usagers et de développer les réseaux de diffusion des connaissances actualisées pour comprendre le numérique et ses enjeux ainsi que d’aider les décideurs dans leurs choix.

De fait, la plupart des autorités décisionnaires publiques ou privées n’ont pas été acculturées au numérique qui a fait irruption dans nos sociétés depuis quelques années. Les sujets étant complexes et compris techniquement par les seuls experts des différents métiers du numérique, ils méritent d’être traduits en termes de « manœuvres » et synthétisés pour pouvoir prendre place dans les processus stratégiques et de décisions des comités exécutifs en entreprise ou des cabinets politiques.

Cet effort est encore embryonnaire mais il reste permanent du fait du renouvellement fréquent des différents concepts technologiques. Il se doit cependant d’être poursuivi pour faire valoir le risque « cyber » comme un risque systémique, de niveau stratégique qui doit être appréhendé au plus haut niveau. Si cela ne peut être l’unique critère d’appréciation, les enjeux des cyberattaques sont désormais particulièrement mis en évidence par leur coût économique croissant3.

Il ne saurait y avoir de prévention sans formation pour permettre, sur le temps long, aux usagers du numérique de mieux connaître les outils et les comportements adaptés à une activité numérique sécurisée. De surcroît, le marché de la ressource humaine experte en numérique, et en cybersécurité en particulier, est très tendu. La demande est très supérieure à l’offre et le déficit de compétences disponibles s’accroît rapidement dans un marché en expansion permanente. L’ANSSI s’implique donc avec son centre de formation et un réseau d’écoles labellisées (label SecNumedu4) pour promouvoir le développement des offres de formation en cybersécurité. Elle participe aux réflexions destinées à optimiser et renforcer les viviers de personnes compétentes au profit des entreprises et institutions françaises. Pour susciter des vocations auprès des plus jeunes, elle travaille notamment avec le ministère de l’Éducation Nationale et de la Jeunesse en mettant en place des contenus pédagogiques pertinents et actualisés dans les programmes. Elle intervient également dans le cadre du service national universel qui permettra aussi de toucher la majorité des jeunes Français. Enfin, l’agence diffuse des kits de sensibilisation, des guides et propose un cours en ligne gratuit de 25 heures d’initiation à la cybersécurité5.
 

En perspective, le challenge de la transformation numérique de toute la société

 
Le véritable challenge pour la France et plus largement pour l’Union européenne, espace pertinent à l’échelle du numérique, est bien de réussir cette transformation profonde de l’ensemble de ses activités humaines. Celle-ci ne saurait réussir sans un investissement ab initio dans la sécurité des produits et des usages, des infrastructures et des services. Ce mouvement est en cours et offre de nombreuses perspectives. Quelques grands travaux auxquels l’ANSSI contribue de façon active peuvent en donner une illustration.

L’émergence accélérée du cloud dans les entreprises et les administrations s’accompagne d’enjeux majeurs de sécurité et de protection de nos données. À ce jour, les grands fournisseurs de cloud proposant des services et logiciels en ligne sont essentiellement soumis au droit américain et la maîtrise des fonctions de sécurité par des acteurs européens est encore trop peu développée. Or, ces services deviennent incontournables et l’émergence d’un cloud souverain européen est donc devenue une priorité politique et stratégique, qui doit être accompagnée en matière de sécurité.

Le « Campus cyber » est l’initiative de plusieurs industriels, soutenue par l’ANSSI, visant à créer un lieu géographique emblématique de rencontres facilitées et optimisées entre des opérationnels de la cybersécurité, entre des start-ups et des investisseurs ou des clients, entre des chercheurs et des données, entre des DRH et des candidats compétents… La liste est longue des facilités que peut créer un tel centre de mise en commun intelligente de ressources, à l’instar des succès israélien avec CyberSpark6, russe avec Skolkovo7 ou encore américain en Californie et bientôt à New York.

L’émergence d’un nouveau marché de la détection s’impose désormais comme une nécessité pour faire face à la prolifération de nouveaux outils offensifs et à l’adaptation des attaquants aux mesures de défenses mises en œuvre dans nos systèmes. Les antivirus et pare-feux classiques ne suffisent plus. De nouvelles offres commerciales de confiance et souveraines devraient donc voir le jour rapidement. L’ANSSI encourage et promeut ces initiatives incontournables et pierres angulaires d’une sécurité numérique maîtrisée.

Les travaux impliquant l’agence sont nombreux, de l’identité numérique à la coordination opérationnelle interministérielle et internationale en passant par le chiffrement et la supervision des flux internet. Beaucoup de sujets de sécurité du numérique font l’objet d’un avis, d’une orientation ou d’une contribution de ses experts. Fruit d’une belle intuition, construite en 2009 autour de la rencontre de chercheurs, d’opérationnels et d’analystes de très haut niveau, cette entité administrative unique tente de répondre avec toujours plus d’ouverture et d’agilité aux défis d’un environnement instable et menaçant, tout en visant à inspirer les entreprises et les acteurs européens pour la création d’un espace numérique souverain et sûr8.

L’œil de la revue Third

 
La sécurité de l’espace numérique constitue un enjeu majeur tant pour les États, les opérateurs privés et les individus. En France, l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI) s’est vu confier une mission d’autorité nationale en matière de sécurité numérique. Il nous a ainsi semblé pertinent de partager le point de vue inédit de l’ANSSI sur l’état de la sécurité du numérique en France, au travers d’une présentation de ses missions.



1 | Loi n°2018-607 du 13 juillet 2018 relative à la programmation militaire pour les années 2019 à 2025 et portant diverses dispositions intéressant la défense. (Retour au texte 1)
2 | Cette « expérience de pensée » de Platon souligne entre autres choses que dans l’anonymat, la plupart des êtres humains choisissent leur intérêt plutôt que le respect de la loi et de la morale. (Retour au texte 2)
3| À titre d’illustration, la société Saint-Gobain dont le siège a été victime d’une attaque par le virus NotPetya en juin 2017, a annoncé une perte due à l’attaque de 250 millions d’euros sur le chiffre d’affaire de cette année. (Retour au texte 3)
4 | https://www.ssi.gouv.fr/entreprise/formations/secnumedu/. (Retour au texte 4)
5 | https://secnumacademie.gouv.fr/. (Retour au texte 5)
6 | http://cyberspark.org.il/. (Retour au texte 6)
7 | https://www.yumpu.com/en/document/read/62821242/sk-annual-report-2019-eng-web-2. (Retour au texte 7)
8 | Pour en savoir plus sur l’ANSSI : https://www.ssi.gouv.fr/; https://www.ssi.gouv.fr/uploads/2020/01/anssi-manifeste-2020.pdf; https://www.ssi.gouv.fr/agence/missions/papiers-numeriques/. (Retour au texte 8)

partager cet article
Partager sur

Ce site utilise des cookies d'audience afin d'améliorer la navigation et les fonctionnalités.