Pour l'agence de cybersécurité française, l'année 2016 a été celle de la « prise de conscience », notamment du monde politique, et du renforcement de la coopération européenne. L'institution profite de son rapport pour marteler le besoin d'une agence dédiée à la défense informatique, une exception française défendue par Guillaume Poupard.

Au-delà de ça, l'institution a du pain sur la planche : renforcer la confiance dans le numérique, sensibiliser le public aux enjeux et contribuer au rayonnement mondial du pays. Concrètement, des chantiers comme les contributions aux lois, l'accompagnement des organismes critiques dans leur sécurisation et la réponse constante aux incidents informatiques occupent ses équipes.

Non, l'agence ne parle pas des lois sécuritaires ou de l'état d'urgence permanent . Elle semble plutôt faire référence aux fuites de documents qui ont émaillé les dernières élections américaine et française ; les fameux #MacronLeaks sur lesquels l'agence était mobilisée. Ces actions marqueraient ainsi le resserrement des liens entre réseaux sociaux et action politique.

L'ANSSI insiste d'ailleurs sur la jeunesse de ses effectifs : plus des deux tiers ont moins de 40 ans et plus d'un quart moins de 30 ans. De quoi répondre aux « nouvelles menaces », dont certaines seraient à même de porter atteinte à « la stabilité de nos démocraties ».

2016 a été une année chargée pour l'ANSSI, et 2017 suivrait la même voie. L'Agence nationale de la sécurité des systèmes d’information a présenté son rapport annuel , marqué par la prise de conscience de l'État sur la sécurité numérique, désormais perçue comme « un enjeu fondamental ». Créée en 2009, elle compte désormais 500 agents, avec un positionnement d'expert technique, loin des turpitudes politiques.

Pour résumer son année, l'ANSSI a mis les petites calculettes dans les grandes, pour multiplier les décomptes flatteurs. Sur la confiance dans le numérique, l'agence dit avoir publié 45 publications scientifiques, mené 500 actions en région, avec 22 prestataires qualifiés. Il a continué à conseiller le législateur sur les sujets numériques, tout en accompagnant les opérateurs. Défense des intérêts français oblige, les détails existent peu. Cela n'empêche pas l'utilisation de grands mots (voire d'hyperboles) pour décrire son action.

Améliorer la confiance, c'est aussi sensibiliser et former, avant tout le public et les entreprises. « L’ANSSI a qualifié 16 nouveaux produits et accordé 13 agréments pour la protection d’informations sensibles ou classifiées. Le centre de certification de l’agence a quant à lui certifié 95 produits » écrit-elle. Elle a aussi contribué à la création de la plateforme d'assistance aux victimes de cybermalveillance (Acyma), ouverte fin mai.

Plus récemment, elle a ouvert son cours en ligne SecNumAcadémie. L'agence nous affirmait compter 10 000 inscrits en trois jours. Désormais, elle déclare ici 20 000 utilisateurs en deux semaines.

Les plans et exercices impliquant l'ANSSI en 2016

En parallèle, le sujet de la souveraineté n'en finit plus d'agiter les lobbies et politiques français, que ce soit en matière de fiscalité, de culture ou maintenant de défense informatique. En 2016, l'institution a mené 20 opérations « majeures » de cyberdéfense. Où, quand, pourquoi sont des questions sans réponse.

Elle a répondu à 3 235 signalements d'événements, dont 79 « importants » signalés immédiatement à la hotline du CERT-FR. La surveillance des sondes entre les ministères et Internet a été suivie de « 12 signalements ayant conduit à 159 traitements d’incidents, dont trois qualifiés de critiques ». Concernant les opérateurs d'importance vitale (OIV), dont la défaillance causerait de lourds dégâts au pays, neuf arrêts sectoriels ont été pris, pour 60 réunions.

Rayonnement international et directive NIS

L'ANSSI doit aussi contribuer au rayonnement international de la France sur la sécurité informatique. Elle a noué des liens avec 40 pays et mené 80 missions internationales pour défendre ses positions. Surtout, elle doit aider les acteurs français à se conformer à la directive NIS, adoptée par l'UE en juillet 2016. Celle-ci renforce grandement les pouvoirs de l'État en matière de cybersécurité et les obligations des OIV.

L'agence se targue d'avoir l'expérience de la loi de programmation militaire (LPM) de 2013, dont les mesures ont dû être appliquées dans un délai de trois mois à trois ans, selon leur complexité. « NIS va s'appliquer comme la LPM, avec des délais. On prend le temps de réfléchir, d'identifier les acteurs concernés, on met en place un écosystème industriel capable d'appliquer les règles » nous affirme Guillaume Poupard, le directeur de l'agence.

« C'est urgent, à cause des attaques et non à cause de la réglementation. Donc nous voulons les aider, dans une démarche volontariste, tient-il à préciser. Ce type d'opportunité ne passe pas dix fois. Il faut quelque chose d'efficace, peut-être contraignant (mais à juste titre) et bien accepté par les acteurs. »

Les liens se sont aussi beaucoup renforcés avec l'Allemagne, via le BSI, l'homologue de l'ANSSI. En décembre, cette dernière lançait son label pour prestataires cloud SecNumCloud. Le lendemain était présenté l'équivalent franco-allemand ESCloud. Une initiative qui marque la collaboration entre les deux agences et le besoin de porter ces problèmes à l'échelle européenne. Comme nous le confiait Poupard, ESCloud a vocation à être remis aux mains de la Commission européenne.

Défendre des principes techniques

Pour la suite, l'agence française insiste sur son « ADN technique », notamment face aux politiques qui s'intéressent de plus en plus au sujet. L'ANSSI devrait donc être amenée à donner son avis sur les prochains textes, comme le projet de loi sur le terrorisme, annoncé par Emmanuel Macron.

Sur ce sujet, le message de Guillaume Poupard est d'ailleurs clair : « Nous sommes tous marqués par les attentats, la question n'est pas là. Mais la réaction sous le coup de l'émotion en se disant qu'il n'y a qu'à interdire le chiffrement... On sait très bien que ça ne marche pas, donc notre rôle est de l'expliquer en permanence ».

En matière de cyberdéfense, l'agence estime qu'il « s’agit maintenant pour les États de se réunir autour de ces questions et de créer les conditions d’un dialogue nécessairement international ». Exit, donc, les volontés de solutions franco-françaises.

Un rôle qui se veut sans ambiguïté

À l'étranger, l'ANSSI et Poupard se veulent d'ailleurs les VRP d'un modèle français assez unique, fleurant presque l'exception culturelle. Le pays dispose d'une agence dédiée à la défense informatique de l'État, contrairement à d'autres où les agences de renseignement ont à la fois la charge de l'attaque et de la défense.

« C’est en effet sur la scène européenne que l’on mesure toute la portée du modèle français. En séparant la défense, la protection et la prévention de l’offensif, la France a opéré un choix distinctif qui aspire à faire référence à l’échelle européenne » écrit sans détour l'institution dans son rapport.

Les intérêts seraient multiples, mais le plus évident est que l'ANSSI peut tenir des positions fortes sur des sujets techniques, comme le chiffrement. N'ayant pas à attaquer, mais devant défendre l'État et les infrastructures vitales, elle peut clamer tout son amour pour le chiffrement fort. Une position moins évidente pour d'autres agences.

Surtout, des agences anglo-saxonnes subissent le feu des critiques pour l'ambiguïté de leur rôle, que ce soit la CIA, la NSA ou le GCHQ britannique. Celles-ci sont habituées à conserver des vulnérabilités pour leur propre usage, plutôt que de les signaler aux éditeurs, avec le risque de les voir récupérées et publiées.

C'est ce qui est arrivé à des outils de la CIA, sortis par WikiLeaks ces dernières semaines, sous le nom Vault 7. La NSA, elle, alimente le fonds de commerce des pirates de Shadow Brokers qui ont mis la main sur ses créations, dont une a servi de base technique au ransomware WannaCrypt. Microsoft aurait été prévenu de certaines failles par la NSA, une fois que celle-ci a compris que ses outils étaient dans la nature. Un vrai jeu d'équilibriste.

« Elles ont ce double rôle, mais quand on regarde les budgets, on voit bien de quel côté elles penchent » tranche tout de même un connaisseur de ces agences. La distinction française doit donc éliminer ce genre de soucis, spectaculaires, alimentant facilement la communication hexagonale.