Pour ne rien manquer de la transformation digitale

Abonnez-vous au Digest
Recherche
Quelles cybermenaces pèsent sur la France ? Comment y faire face ? Quid des entreprises et des grands opérateurs ? A l’occasion du Forum international sur la cybercriminalité qui s’est tenu à Lille, Microsoft Ideas a interrogé Guillaume Poupard, directeur général de l’Agence nationale pour la sécurité des systèmes d’information (ANSSI).

Quels sont les différents types de cybermenaces auxquelles la France fait actuellement face ?

Guillaume Poupard : On peut distinguer trois grandes catégories de cybermenaces : la cybercriminalité, le renseignement, notamment économique avec des vols d’informations stratégiques, et l’atteinte voire la destruction des systèmes informatiques.

Afin d’éviter que cela se produise, nous mettons tout en œuvre pour protéger les systèmes en amont. C’est le cœur de mission de l’ANSSI : savoir d’où vient la menace nous intéresse moins que savoir s’en protéger efficacement avant qu’elle ne frappe.

18657246306_d8d6b6148c_b

« Savoir d’où vient la menace nous intéresse moins que savoir s’en protéger avant qu’elle ne frappe »


Crédit image : Perspecsys photos/ Flickr/ CC BY SA 2.0

L’ANSSI vient de lancer un grand plan de recrutement, cela signifie-t-il que l’agence manque actuellement des moyens pour faire face à la cybermenace ?

Nous savons protéger des systèmes informatiques de façon efficace mais évidemment, plus il y a de systèmes à protéger et plus nous avons besoin de moyens, financiers comme humains.

A sa création en 2009, l’ANSSI comptait une centaine de personnes. Aujourd’hui, nous sommes 500. Nous sommes une agence essentiellement technique donc nous avons et recherchons toujours beaucoup d’ingénieurs, de docteurs, de bac +5 dans des métiers liés à l’informatique et à la technologie même si nous comptons également dans nos effectifs des personnalités « transverses », issues du droit ou des sciences politiques.

Un de nos rôles est d’accompagner les grands opérateurs dans leur transformation digitale mais sans la motivation des acteurs, la protection ne peut être efficace à 100%. On le sait : la protection se réfléchit très en amont, dans l’architecture même du SI, dans le cloisonnement… Et elle passe par de l’analyse de risque, pas nécessairement réalisée par nos services mais qui doit venir des acteurs eux-mêmes.

C’est pourquoi même en ayant les moyens technologiques – et nous les avons -, le facteur humain reste très important. C’est dans cette optique que nous avons également tout un volet de sensibilisation, de prévention et que nous essayons de faire en sorte qu’il y ait une démarche collective en ce sens au sein des entreprises.

cyber-attacks

« Nous savons protéger des systèmes informatiques mais plus il y a de systèmes à protéger et plus nous avons besoin de moyens »


Crédit image : capture d’écran map.norsecorp.com

Comment définiriez-vous les piliers d’une stratégie de sécurité efficace ? 

Le premier pilier, c’est la protection, qui passe par de l’analyse de risque, par la mise en place de systèmes sécurisés.

Le deuxième, c’est la détection : une bonne protection ne dispensera jamais d’une capacité à détecter les attaques quand elles se produisent. Il ne faut pas se leurrer : la protection à 100% n’existe pas.

Le troisième pilier, enfin, c’est l’organisation humaine, et la mise en place d’une véritable gouvernance au sein de l’entreprise. C’est cela, la doctrine de la cybersécurité.

Cette protection est-elle renforcée sur nos infrastructures d’importance vitales, telles que les centrales nucléaires ? La récente panne d’électricité provoquée par une attaque informatique en Ukraine a été, de l’avis de nombreux analystes, un précédent.

C’est un vrai sujet, en effet, et cet événement nous rappelle que c’est exactement le genre de cas que nous cherchons à prévenir. Et aujourd’hui, je suis confiant pour le cas de la France.

Pour nos systèmes les plus critiques, la protection passe par la loi de programmation militaire de décembre 2013, ce qui nous permet d’imposer des règles de sécurité informatique et de contrôler leur application. L’idée est  de mettre en œuvre cette loi en coopération étroite avec les ministères coordinateurs et les opérateurs concernés, de manière à ce que nos règles soient efficaces et cohérentes. Mais c’est bien aux opérateurs eux-mêmes d’assurer leur protection, avec leur propre budget, en s’appuyant sur des prestataires qualifiés pour tout ce qui est audit, analyse de risque et détection des incidents.

Pour certaines infrastructures d’importance vitale telles que les centrales nucléaires, l’ANSSI réalise des audits elle-même, et les résultats sont rassurants. J’observe que les choses se font très sérieusement à ce niveau-là, et que la question de la sécurité est prise suffisamment en amont, c’est-à-dire dans l’architecture même du SI, qui est très robuste.

Je ne suis donc pas inquiet mais cela ne veut pas dire que le risque n’existe pas et que qu’un secteur comme celui de l’énergie est intouchable : il ne faut pas uniquement se focaliser sur les centrales nucléaires, d’autres maillons de la chaîne énergétique peuvent constituer des cibles, comme les compteurs intelligents par exemple. Encore une fois, si l’ANSSI est très impliquée dans la protection des opérateurs d’importance vitale, il est primordial de penser la sécurité très en amont et de réaliser des audits réguliers.

* Entretien réalisé en partenariat avec Regards sur le Numérique