ANSSI : « La cybersécurité est un écosystème en pleine expansion »

Dossier : CybersécuritéMagazine N°773 Mars 2022
Par Mathieu FEUILLET (2004)

Explo­sion de la menace et des risques cyber, enjeux de sou­ve­rai­ne­té natio­nale et euro­péenne, ren­for­ce­ment et déve­lop­pe­ment des capa­ci­tés, créa­tion d’un éco­sys­tème fran­çais et euro­péen, besoins en com­pé­tences et en talents… Mathieu Feuillet (2004), Sous-direc­teur Opé­ra­tions de l’ANSSI (Agence Natio­nale de la Sécu­ri­té des Sys­tèmes d’information), dresse pour nous un état des lieux du monde de la cyber­sé­cu­ri­té et revient sur l’ensemble des sujets liés à la cyber­sé­cu­ri­té aujourd’hui.

Quels sont le rôle et les missions de l’ANSSI ?

L’ANSSI est l’autorité natio­nale en matière de cyber­sé­cu­ri­té et de cyber­dé­fense. Nous accom­pa­gnons et sécu­ri­sons le déve­lop­pe­ment numé­rique en France pour que les citoyens et les entre­prises puissent avoir confiance dans le numérique. 

Nous avons un posi­tion­ne­ment par­ti­cu­lier au sein de l’État. Nous fai­sons par­tie des ser­vices du Pre­mier ministre au sein du Secré­ta­riat géné­ral de la sécu­ri­té et de la défense natio­nale. Notre rôle et nos mis­sions sont exclu­si­ve­ment défen­sifs. Nous nous adres­sons à l’ensemble du tis­su natio­nal afin de garan­tir la cyber­sé­cu­ri­té de tous et de trou­ver les solu­tions les plus adé­quates pour les par­ti­cu­liers, les entre­prises et les admi­nis­tra­tions. Nous accom­pa­gnons prin­ci­pa­le­ment deux types de béné­fi­ciaires : les admi­nis­tra­tions et les opé­ra­teurs régu­lés (opé­ra­teurs d’importance vitale et les opé­ra­teurs de ser­vices essen­tiels), dont le sta­tut est défi­ni par la loi. 

Avec ses 575 agents, l’ANSSI assure au quo­ti­dien une mis­sion de :

  • Pré­ven­tion : entra­ver les attaques infor­ma­tiques en aidant les entre­prises et admi­nis­tra­tion à aug­men­ter leur niveau de sécu­ri­té. Cela passe par dif­fé­rentes actions concrètes comme le conseil pour opti­mi­ser et aug­men­ter le niveau de sécu­ri­té des sys­tèmes d’informations. L’enjeu est de faire en sorte que, dans l’écosystème natio­nal, nous dis­po­sions de bons pro­duits et ser­vices pour garan­tir la sécu­ri­té. Pour ce faire, nous menons un tra­vail de qua­li­fi­ca­tion et de cer­ti­fi­ca­tion des pro­duits et de pres­ta­taires qui reçoivent de la part de l’ANSSI un label, appe­lé visa, pour attes­ter de leur bon niveau de sécurité ;
  • Stra­té­gie et négo­cia­tion inter­na­tio­nale : l’ANSSI déve­loppe une doc­trine et assure le sui­vi de stra­té­gie de cyber­dé­fense dans les com­po­santes indus­trielles et éco­no­miques les plus stra­té­giques pour l’État. L’ANSSI est aus­si en charge d’élaborer les posi­tions et sou­vent conduire, pour la France, les négo­cia­tions inter­na­tio­nales en matière de cyber­sé­cu­ri­té. Elle est ain­si en pre­mière ligne au sein des ins­tances euro­péennes et des rela­tions bi et multi-latérales. 
  • Infor­ma­tion et de sen­si­bi­li­sa­tion : l’ANSSI com­mu­nique beau­coup en menant un impor­tant tra­vail de péda­go­gie pour dif­fu­ser et pro­mou­voir les bonnes pra­tiques. Ces actions visent le grand public, mais aus­si des hauts cadres d’entreprises ou d’administrations afin qu’ils incluent le risque numé­rique dans leurs sché­mas de déci­sion. Tous les ans, en octobre, pen­dant le Cyber­mois, en France et en Europe, nous menons diverses opé­ra­tions. Sur le site de l’ANSSI, de nom­breuses res­sources sont consul­tables et télé­char­geables (affiches, guides de bonnes pra­tiques…). Les visi­teurs du site peuvent aus­si com­plé­ter un MOOC pour tes­ter et déve­lop­per leurs connais­sances sur ce sujet ;
  • Inter­ven­tion en cas d’incident : je suis, par ailleurs, en charge de ce volet au sein de l’ANSSI. Dans ce cadre, nos enjeux sont de mieux com­prendre la menace qui cherche à por­ter atteinte aux inté­rêts fran­çais ; détec­ter les attaques, notam­ment celles visant l’État ; inter­ve­nir en cas d’incident pour y mettre fin, remettre le sys­tème d’information en état accep­table pour main­te­nir l’activité. Sur ce der­nier point, nous pou­vons four­nir un sou­tien à dis­tance, diri­ger vers des pres­ta­taires adap­tés ou inter­ve­nir sur place avec le déta­che­ment d’une équipe dédiée si la situa­tion est grave. 

Au cours des dernières décennies, la cybersécurité est devenue un sujet central et stratégique. Quelles sont selon vous les évolutions qui ont marqué ce secteur ? 

Aujourd’hui, le numé­rique est omni­pré­sent. Il n’y a plus ou très peu d’organismes capables de fonc­tion­ner sans infor­ma­tique. En paral­lèle, la don­née est de plus en plus impor­tante. Au cœur du modèle éco­no­mique des géants de l’information, les GAFAM, qui génèrent des chiffres d’affaires impres­sion­nants, elle est deve­nue au cours des der­nières décen­nies un bien pré­cieux très convoi­té. De plus en plus, elle repré­sente un enjeu en matière de sécu­ri­té natio­nale. Les risques de désta­bi­li­sa­tion aug­mentent et une cri­mi­na­li­té spé­ci­fique se développe.

Dans le cybe­res­pace, les règles du jeu sont dif­fé­rentes du monde réel. Contrai­re­ment aux conflits et à la cri­mi­na­li­té tra­di­tion­nels, nous sommes face à une qua­si-ins­tan­ta­néi­té des actions menées. Une opé­ra­tion mal­veillante peut être menée de bout en bout en quelques secondes. À cela s’ajoute un affai­blis­se­ment des fron­tières et des espaces juri­diques. En effet, il n’y a pas de fron­tières que l’on pour­rait contrô­ler sur des réseaux comme Inter­net. Tout comme il est com­plexe de déter­mi­ner de quelle juri­dic­tion relève un inci­dent. En outre, nous nous retrou­vons très sou­vent face à l’anonymisation des actions. 

Il est très dif­fi­cile de remon­ter jusqu’à l’auteur de faits mal­veillants et de mener les actions juri­diques et diplo­ma­tiques néces­saires en fonc­tion de l’attaquant. Enfin, c’est un com­bat asy­mé­trique. Le défen­seur d’un sys­tème d’information doit tout sécu­ri­ser de manière simul­ta­née, alors qu’il suf­fit à l’adversaire de trou­ver un seul che­min d’attaque. Les oppor­tu­ni­tés d’attaques sont mul­tiples et donc très attractives. 

His­to­ri­que­ment, l’espionnage stra­té­gique et éco­no­mique entre États ou entre­prises repré­sente le prin­ci­pal type d’incident. Avant le numé­rique, il s’agissait de cor­rompre un indi­vi­du pour arri­ver à obte­nir des infor­ma­tions, une action ris­quée avec un fort risque d’exposition. Avec le numé­rique, c’est-à-dire l’anonymisation des actions et la dif­fi­cul­té de remon­ter aux auteurs des faits, cela devient beau­coup plus atti­rant et le risque est plus faible. Ain­si, il y a de plus en plus d’opérations d’espionnage très sophis­ti­quées et fur­tives que nous détec­tons mal­heu­reu­se­ment tardivement. 

Plus récem­ment, nous avons vu appa­raître des attaques sur la chaîne d’approvisionnement. Les atta­quants s’en prennent aux sous-trai­tants, aux four­nis­seurs de pro­duits infor­ma­tiques… pour atteindre leur cible finale. Tout le monde se sou­vient encore de l’attaque spec­ta­cu­laire menée contre l’entreprise amé­ri­caine Solar­Winds révé­lée en décembre 2020. Les atta­quants ont pié­gé un pro­duit de l’entreprise qui leur aurait poten­tiel­le­ment per­mis de tou­cher plus 18 000 enti­tés dans le monde qui avaient ins­tal­lé la ver­sion pié­gée du pro­duit. Fina­le­ment, une cin­quan­taine d’entités aux États-Unis ont été atta­quées. Ce genre d’incident a un effet démul­ti­pli­ca­teur très impressionnant.

On assiste éga­le­ment au ciblage d’infrastructures cri­tiques d’un pays à des fins de sabo­tage. En 2020 et 2021, Israël et l’Iran s’étaient mutuel­le­ment accu­sés de mener ce genre d’attaques contre des usines de pro­duc­tion d’eau potable avec des ten­ta­tives de modi­fier le taux de chlore afin de rendre l’eau impropre à la consom­ma­tion. Cer­tains états vont encore plus loin en menant des cam­pagnes de pré­po­si­tion­ne­ment qui s’étendent sur des mois, voire des années. L’idée est de se pré­po­si­tion­ner dans des pays cibles pour être en capa­ci­té, si les enjeux poli­tiques et géo­po­li­tiques le jus­ti­fient, de mener des actions pou­vant por­ter atteinte aux infra­struc­tures critiques.

Au cours des der­nières années, nous avons aus­si assis­té à l’explosion des cam­pagnes d’influence et de désta­bi­li­sa­tion. Ces inci­dents, à la fron­tière entre la cyber­sé­cu­ri­té et la mani­pu­la­tion d’informations (les fake news), visent à extraire des infor­ma­tions, les mani­pu­ler et les redif­fu­ser pour désta­bi­li­ser une orga­ni­sa­tion, comme cela avait été le cas, en 2016, lors des élec­tions amé­ri­caines, avec le pira­tage des infra­struc­tures du Par­ti démocrate. 

Et bien évi­dem­ment, la cyber­cri­mi­na­li­té aug­mente tou­jours. Depuis quatre ans, il y a une recru­des­cence des attaques par ran­çon­gi­ciel. On peut notam­ment citer l’attaque, début 2021, contre l’entreprise Colo­nial Pipe­line avec la mise à l’arrêt d’un oléo­duc qui ali­mente la côte est des États-Unis. D’ailleurs, entre 2019 et 2020, à l’ANSSI, nous avons trai­té quatre fois plus d’attaques de ce type.

États, admi­nis­tra­tions, col­lec­ti­vi­tés, grands groupes, indus­tries, PME sont tous expo­sés aux risques cyber et peuvent être la cible des cybe­rat­ta­quants. Il est plus que jamais essen­tiel, voire vital, de prendre les mesures néces­saires pour se pro­té­ger au moins contre les menaces basiques. Pour cela, ils peuvent s’appuyer sur les res­sources pro­duites par l’ANSSI en com­men­çant par notre Guide d’hygiène infor­ma­tique qui liste les 42 mesures essen­tielles pour garan­tir la sécu­ri­té du sys­tème d’information et les moyens de les mettre en œuvre, outils pra­tiques à l’appui.

D’ailleurs, le Plan de Relance prévoit un volet cybersécurité. Que faut-il en retenir ? Et à quel niveau allez-vous intervenir ?

Le plan de relance, dont l’objectif est de redres­ser dura­ble­ment l’économie, pré­voit un volet cyber­sé­cu­ri­té que nous pilo­tons et qui dis­pose d’un bud­get de 136 mil­lions d’euros pour la période 2021 et 2022. L’objectif est de ren­for­cer la sécu­ri­té des admi­nis­tra­tions, des col­lec­ti­vi­tés ter­ri­to­riales et des orga­nismes qui ont un rôle de ser­vice public en dyna­mi­sant l’écosystème indus­triel de la cyber­sé­cu­ri­té. Dans ce cadre, nous sub­ven­tion­nons un grand nombre d’acteurs publics pour une sécu­ri­sa­tion glo­bale de leurs sys­tèmes et l’acquisition de pres­ta­tions, pro­duits, sen­si­bi­li­sa­tion et for­ma­tion. Ain­si, plus de 600 enti­tés (dont 70 % de col­lec­ti­vi­tés ter­ri­to­riales, 20 % d’établissements de san­té et 10 % d’établissements publics) vont béné­fi­cier de ces aides pour for­mer leurs agents, mais aus­si pour déployer des solu­tions de sécurité.


Activité opérationnelle de l’ANSSI en 2020 

  • 2 287 signalements
  • 759 inci­dents
  • 7 inci­dents majeurs 
  • 20 opé­ra­tions de cyberdéfense

En paral­lèle, nous déve­lop­pons les capa­ci­tés cyber de l’État, mais éga­le­ment les nôtres, notam­ment en termes de détec­tion des menaces pour agir le plus rapi­de­ment en cas d’incident. Pour accom­pa­gner en région, les PME, les ETI et les col­lec­ti­vi­tés ter­ri­to­riales, nous avons récem­ment annon­cé la signa­ture avec sept régions d’une conven­tion pour la créa­tion de centres régio­naux de réponse aux inci­dents cyber (CSIRT : Com­pu­ter Secu­ri­ty Inci­dent Res­ponse Team). Ces centres doivent sou­te­nir le tis­su éco­no­mique et social de chaque ter­ri­toire face aux cyber­me­naces, pour répondre de manière per­ti­nente et effi­cace aux besoins identifiés. 

Pour déployer en France et en Europe une stratégie de cybersécurité, quels sont les principaux enjeux selon vous ? 

En février 2020, le Pré­sident de la Répu­blique a pré­sen­té la stra­té­gie de cyber­sé­cu­ri­té du pays. Au niveau euro­péen, de nom­breuses ini­tia­tives sont menées. Il y a plu­sieurs direc­tives impor­tantes et struc­tu­rantes, comme la direc­tive Net­work and Infor­ma­tion Sys­tem Secu­ri­ty (NIS), dont la ver­sion 2 est en cours de négo­cia­tion et qui vise à aug­men­ter le niveau de sécu­ri­té du tis­su éco­no­mique euro­péen de manière générale. 

Par ailleurs, l’Europe s’est dotée de moyens de réponse si une agres­sion exté­rieure sur­vient, avec notam­ment la boîte à outils cyber­di­plo­ma­tique, uti­li­sable en cas d’atteinte aux inté­rêts euro­péens, que soit tou­ché un État ou une ins­ti­tu­tion euro­péenne. En paral­lèle, il s’agit aus­si de réduire notre dépen­dance vis-à-vis du reste du monde et de mettre en place les moyens et les actions qui nous per­met­tront de for­mer les com­pé­tences et les talents dans ce domaine où il y a une très forte pénu­rie et com­pé­ti­tion à une échelle mondiale. 

Dans ce contexte, votre organisation et maillage national sur ce sujet ont vocation à évoluer. Qu’en est-il ? 

En effet ! Et cette démarche va se tra­duire au tra­vers de deux pro­jets essen­tiel­le­ment. Le pre­mier est le Cam­pus Cyber dont l’activité démarre cette année. Au sein de cette enti­té, nous allons ins­tal­ler une équipe afin d’être au contact des autres acteurs de l’écosystème natio­nal du cyber et être une des par­ties pre­nantes de ce cam­pus. Et le second est la créa­tion d’une antenne de l’ANSSI à Rennes qui va accueillir près de 200 per­sonnes à terme. Si le bâti­ment dans lequel nous nous ins­tal­le­rons est encore en cours de construc­tion, nous avons déjà plu­sieurs per­sonnes sur place qui pré­parent l’ouverture de cette antenne, pré­vue pour début 2023. 

Les centres régio­naux de réponse à inci­dent cyber, que j’ai men­tion­nés pré­cé­dem­ment, sont des­ti­nés à toutes les enti­tés du ter­ri­toire tou­chées par la menace cyber. Nous accom­pa­gnons éga­le­ment des ini­tia­tives au niveau de cer­tains sec­teurs d’activités : avec des auto­ri­tés de régu­la­tion sec­to­rielle, des asso­cia­tions, des indus­tries, nous tra­vaillons ensemble ain­si sur la créa­tion de capa­ci­té de trai­te­ment d’incident dans un sec­teur don­né. Nous inci­tons aus­si les grandes entre­prises à se doter et à déve­lop­per leur propre capa­ci­té d’intervention en interne. 

L’ensemble de ces actions, qui visent à déve­lop­per un maillage et un éco­sys­tème de la cyber­sé­cu­ri­té, a pour objec­tif de pou­voir réagir au plus vite et au mieux en cas d’incident et de limi­ter les dégâts ain­si qu’une éven­tuelle pro­pa­ga­tion de la menace. 

Pour relever le défi de la cybersécurité, les compétences et expertises sont clés. Quelles sont celles que vous recherchez et qui vous intéressent plus particulièrement ?

La cyber­sé­cu­ri­té n’est pas uni­que­ment un pro­blème tech­nique. C’est un enjeu stra­té­gique, éco­no­mique, poli­tique… Pour y faire face, nous avons besoin de tech­ni­ciens et d’ingénieurs, notam­ment en sécu­ri­té des sys­tèmes d’information des logi­ciels ou des com­po­sants, en cryp­to­lo­gie, en data science et en machine lear­ning… Mais nous avons aus­si besoin d’experts en poli­tique, en géo­po­li­tique, ain­si que des per­sonnes capables de com­prendre les conflic­tua­li­tés et les risques à l’international. Et pour sen­si­bi­li­ser la diver­si­té des publics, nous recher­chons des per­sonnes qui maî­trisent les outils de la com­mu­ni­ca­tion, du marketing. 

Plus que jamais, nous avons besoin de femmes et d’hommes venant de tous les horizons. 

Et au fil de la struc­tu­ra­tion de cet éco­sys­tème, nous avons besoin de pou­voir nous appuyer sur des cadres et des mana­gers pour accom­pa­gner la mon­tée en com­pé­tence de l’ensemble de ces talents. Des pro­fils, comme les diplô­més de Poly­tech­nique notam­ment, pour­ront s’épanouir dans l’univers de la cyber­sé­cu­ri­té et plus par­ti­cu­liè­re­ment au sein de l’ANSSI, une enti­té trans­verse à la croi­sée de sujets tech­niques, éco­no­miques, humaines et poli­tiques passionnants… 

Et c’est l’ensemble de ces dimen­sions qui font la richesse du ser­vice public, ain­si que son attrait en aidant concrè­te­ment des vic­times à évi­ter ou à se remettre d’une cyberattaque. 

Quelles pistes de réflexion pourriez-vous partagez avec nos lecteurs ?

La cyber­sé­cu­ri­té est un éco­sys­tème en constante expan­sion qui est encore en pleine struc­tu­ra­tion aus­si bien à l’échelle fran­çaise et euro­péenne que mon­diale. Il y a encore beau­coup à faire en matière de régu­la­tion, de sou­ve­rai­ne­té numé­rique, de déve­lop­pe­ment des capa­ci­tés tech­niques et tech­no­lo­giques, de pré­ser­va­tion des inté­rêts fran­çais et européens. 

L’ère qui s’ouvre est por­teuse d’une conflic­tua­li­té encore gran­dis­sante : nous devons pour­suivre et redou­bler notre effort col­lec­tif de struc­tu­ra­tion pour y faire face et l’ANSSI est l’acteur majeur si ce n’est prin­ci­pal de cette dyna­mique. Il est cer­tain que les talents qui vont opter pour une car­rière dans ce sec­teur ne s’ennuieront pas dans les pro­chaines décennies !


Formation

Le constat est par­ta­gé depuis plu­sieurs années par l’ensemble de l’écosystème : il y a un cruel manque de can­di­dats. La sécu­ri­té du numé­rique est pour­tant une filière d’avenir ! La for­ma­tion et l’attractivité des métiers de la cyber­sé­cu­ri­té est un enjeu essen­tiel pour les pro­chaines années.

En 2017, l’ANSSI a lan­cé un pre­mier pro­jet : la label­li­sa­tion des for­ma­tions ini­tiales en cyber­sé­cu­ri­té de l’enseignement supé­rieur. L’objectif est d’aider les jeunes à choi­sir par­mi les for­ma­tions actuelles, avec les labels Sec­Nu­me­du & Cybe­re­du. En 2020, on compte plus de 60 for­ma­tions ini­tiales label­li­sées Sec­Nu­me­du, répar­ties sur tout le ter­ri­toire. L’ANSSI a ensuite lan­cé Sec­Nu­me­du For­ma­tion Conti­nue, label pour les for­ma­tions conti­nues courtes. En 2020, on compte plus de 70 for­ma­tions label­li­sées Sec­Nu­me­du FC .

La for­ma­tion est un pro­ces­sus conti­nu : les actions de sen­si­bi­li­sa­tion et de for­ma­tion à la sécu­ri­té du numé­rique pour les déci­deurs, les agents publics, les acteurs éco­no­miques et les citoyens doivent se poursuivre.


Poster un commentaire