C’est Guillaume Poupard, patron de l’Anssi, qui ouvrait la quatorzième édition des Assises de la Sécurité. Une quasi « première prise de contact » officielle avec l’industrie infosec, un discours attendu qui devait confirmer (ou non) le cap donné par son prédécesseur Patrick Pailloux.
Un Patrick Pailloux qui s’était montré plus que prudent l’an passé, se contentant de reprendre l’air de son grand succès « Back to Basic / no to Byod », modifiant çà et là quelques paroles pour y glisser des allusions aux OIV (opérateurs d’importance vitale) et à la question des réseaux Scada. Il faut dire que le père spirituel de l’Anssi, sur le départ, ne pouvait politiquement se montrer plus précis et engager la responsabilité de son successeur.
Depuis, la Loi de Programmation Militaire (LPM) a été votée. L’Anssi a été confirmée dans sa mission de défense du Trésor de l’Empire, et naturellement, Poupard revenait sur les thèmes OIV et surtout Scada, « objet de toutes mes craintes » précisait-il. Pourtant, l’on note de subtiles différences dans le ton. Si, politiquement, le Directeur de l’Agence affirme « je m’inscris dans la continuité de Patrick Pailloux », il martèle « Nous ne sommes pas là que pour la protection de l’Etat. Nous ne sommes pas qu’une entité technique, nous ne travaillons pas qu’au profit des grands. Il faut que nous apportions des solutions adaptées pour les PME, il faut une sécurité à destination des citoyens, il faut accompagner les nouveaux usages ».
Des bulles PME et Grand Public
Cette descente des hautes sphères était jusqu’à présent inespérée. L’Anssi, même au cœur des petites collectivités territoriales, est souvent vue comme le bouclier des Ministère et la bulle de sécurité du CAC 40. L’entendre parler des PME, mieux encore envisager (sans préciser encore sous quelle forme) de s’adresser au citoyen, au particulier, dénote d’un profond changement de mentalité. Et mentionner les « nouveaux usages », autrement dit les composants intelligents, les outils de mobilité, l’Internet des Objets, c’est indiquer clairement que l’Agence (accompagnée dans ces missions par d’autres Ministères, d’autres institutions) entend globaliser la vision sécurité de tout système d’information, du plus grand au plus insignifiant. Reste à espérer que ces messages « top-down » de sensibilisation et d’information ne seront ni déformés, ni dilués par les différentes strates, et ne s’achèveront pas dans de vagues opérations de « permis de conduire Internet pour pré-ado » ou des campagnes simplistes à la sauce « Protège ton ordi ».
Si l’on en revient au rôle initial de l’Anssi, garant des fleurons de l’Industrie Nationale, Poupard explique « La loi de programmation militaire a été le bon véhicule qui passait au bon moment. Il fallait une prise en compte des OIV en passant par la loi ». Certes, dit-il en substance, ces dispositions peuvent passer de prime abord comme contraignantes, risquant d’alourdir encore plus la partie « industrielle » de l’Opérateur. Mais ces « contraintes », qui sont de toute manière techniquement définies en collaboration avec les opérateurs eux-mêmes, vont rapidement être acceptées, digérées, puis peu à peu faire tâche d’huile, et déborder sur des secteurs pourtant nettement moins critiques ou stratégiques. En d’autres termes, c’est par l’école des « opérateurs d’importance vitale » et par cette obligation légale d’un certain nombre de procédures normées et certifiées que le gène de la sécurité se transmettra, de proche en proche. Du cœur de l’OIV vers les départements moins sensibles, de ces départements vers les entreprises collaboratrices (sous-traitants, partenaires), puis de ces satellites vers d’autres entreprises de plus petite envergure et ainsi de suite. « Et nous ne serons pas les seuls affirme Guillaume Poupard. Je suis certain que l’on verra des « articles 22 » dans d’autres pays en Europe. »
Détecter, renseigner, gagner du terrain : l’ère post-passi
A peine achevée la première fournée d’entreprises « certifiées » compétentes dans le domaine de l’audit de sécurité (les Passi, prestataires d’audit de la sécurité des systèmes d’information) que l’Anssi entame un nouveau Grand Chantier, celui des spécialistes de la détection. Il y aura donc des « prestataires es-sondes » portant un label Anssi, dont le rôle sera d’installer des systèmes permanents de surveillance, de détection et d’alerte en cas d’attaque. « Il faut améliorer les systèmes de détection, et non plus seulement faire confiance au périmétrique » insiste Poupard. Et de continuer « il ne faut plus pouvoir entendre « l’intrusion doit remonter au moins à trois ans… parce qu’avant, on n’avait pas encore de log ». Allusion transparente aux déboires d’Areva. Détecter mais aussi signaler, remonter l’information à destination des « savants » de l’Agence, pour que le risque puisse être analysé et signalé aux autres entreprises nationales. « Une attaque n’est jamais réellement unique. Les techniques d’intrusion sont employées parfois avec quelques variantes, et en connaître l’empreinte facilitera le déploiement de protections sur d’autres sites ». En d’autres termes, même s’il n’est jamais agréable d’avouer, il faut que les industriels, OIV en tête, divulguent chaque tentative de piratage, par solidarité industrielle et nationale.
Solidarité également du côté des différents professionnels de la sécurité Français qui doivent apprendre à coordonner leurs efforts, aplanir leurs différents pour mieux s’imposer sur les marchés étrangers, Européens tout d’abord, mondiaux ensuite. L’industrie de la protection des S.I. « made in France » est performante, mais ne dispose pas de la même force de frappe que ses homologues d’Outre-Atlantique par exemple. Pour progresser et conquérir réellement des parts de marché, il faut, dit en substance le patron de l’Anssi, que nous cessions de débarquer sur des côtes étrangères comme une tribu gauloise, dans un désordre qui nous dessert.
Etendre le périmètre de l’Agence, multiplier les filières certifiées, protéger les grands vecteurs de recherche et développement, sécuriser le tissus industriel du sol au plafond, développer une « furia francese » de l’industrie infosec tant en France que sur les marchés étrangers, inventorier et protéger les secteurs sensibles, établir des relations « de confiance sans illusion » avec des puissances amies afin d’enrichir les bases de connaissance en matière de sécurité… les missions de l’Anssi deviennent tellement variées qu’il devient parfois difficile de les embrasser toutes.