Patrick Pailloux, directeur général de l’ANSSI, l'Agence Nationale de la Sécurité des Systèmes d'Information, nous a accordé une interview croisée avec nos confères de 01Net.
Depuis le tout récent décret du 11 février 2011, l’agence en question a été désignée officiellement autorité nationale de défense des systèmes d’information, en France. Objectif : répondre rapidement à des situations de « crises » touchant ou menaçant la sécurité des systèmes d’information des autorités publiques et des opérateurs d’importance vitale. En clair : c’est la cyberdéfense française.
Pour mémoire, l’ANSSI avait été créé en juillet 2009 en remplacement de la DCSSI. Cette autorité est rattachée au Secrétariat Général de la Défense et de la Sécurité Nationale (SGDSN), qui dépend directement du Premier Ministre. L'objet de cet entretien est ainsi d'éclairer ces nouveaux "super" pouvoirs et d'apporter des réponses aux problématiques qu'ils soulèvent.
Pourquoi ce texte a-t-il été pris ? (01Net)
La raison tient aux constats qu’on a pu faire sur les attaques informatiques et sur les exercices que l’on mène, notamment dans le cadre de Piranet, le plan de réponse gouvernemental aux attaques informatiques. Nous nous sommes rendu compte qu’on avait deux problèmes à résoudre.
D’une part, un problème de vitesse de réaction. On a comparé cela aux attaques aériennes. La vitesse de propagation des attaques informatiques, c’est presque celle de la lumière et on a donc une problématique de cinétique qui ne permet pas d’organiser une réponse en faisant des réunions, avec les méthodes habituelles de gestion de crise. On avait besoin d’identifier une autorité qui, s’il y a vraiment besoin de prendre des mesures extrêmement urgentes, puisse le faire.
D’autre part, c’est la nécessité de déterminer qui édicte les règles en cas d’attaque pour que, lorsqu’on demande à quelqu’un de prendre une mesure de déconnexion, de filtrage, etc. on ne se pose pas juridiquement la question pendant trois heures de savoir qui doit édicter cette règle. On s’est rendu compte lorsqu’on simulait des exercices d’attaques majeures que parfois, en accélérant de deux heures une telle prise de décision, on pouvait réduire la propagation d’un ver ou d’une attaque.
Quels sont les critères qui permettent de déclencher ces mesures ? Qui décide de qualifier, jauger ces menaces ? (PC INpact)
C’est une décision qui relève du Premier ministre. Les critères de déclenchement sont extrêmement clairs. Le décret parle de « crises affectant ou menaçant la sécurité des systèmes d’information ». Nous sommes vraiment dans une situation de crise qui, dans le corpus réglementaire, fait référence à quelque chose de précis : une situation d’exception où, d’une certaine façon, la survie de la Nation est en jeu.
De plus, on parle de la sécurité des systèmes d’information, ce qui fait référence à une attaque sur les systèmes eux-mêmes, non sur leur contenu. Cela concerne des attaques qui viseraient soit les autorités publiques, donc le cœur de fonctionnement de l’État, soit les opérateurs d’importance vitale. La définition légale est précise : ce sont des acteurs « dont le dommage ou l'indisponibilité ou la destruction risquerait d'obérer gravement le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ou de mettre gravement en cause la santé ou la vie de la population ». On est vraiment dans une situation de crise où le Premier ministre décide que l'ANSSI doit prendre des mesures.
Qui contrôle quoi ? Est-ce que l’ANSSI a carte blanche ? (01Net)
On est dans le fonctionnement traditionnel de l’État. L’ensemble des actions des autorités publiques est toujours sous le contrôle politique. Cela va dépendre du degré de délégation et de la gravité des mesures éventuelles.
Comprenez-vous que cela puisse faire peur ? (01Net)
Je comprends et je ne comprends pas, si j’ose dire. Je comprends parce qu’on se pose toujours la question d’un point de vue théorique. Je ne comprends pas, car nous sommes dans une situation similaire à celle d’un incendie de forêt. Probablement, on va fermer la route pour éviter que les voitures circulent où cela brûle. On fermera le trafic ferroviaire en raison du risque de chute d’arbres sur les voies. Et ça, cela ne choque personne, car on est dans une situation de crise. Dans le cas d'une attaque comme celle qu’a connue l’Estonie, compte tenu du risque de paralysie, on pourrait déconnecter l’administration d’Internet, par exemple. Voilà le type de mesures qu’on pourrait imaginer en cas d’attaque majeure.
Mais je comprends qu’en théorie on puisse se poser des questions. Dans la pratique, j’ai plus de mal à imaginer la difficulté. Quand il y a un accident de voiture et que les pompiers font fermer la circulation, on ne considère pas qu’il y a une restriction à la liberté de circulation. C’est juste une question de protection en phase d’événements extraordinaires.
Ces réponses avaient été réclamées dans un rapport sénatorial du 8 juillet 2008. Pourquoi a-t-on attendu deux ans pour avoir un tel texte ? (PC Inpact)
La mission de mon agence est d’organiser la défense informatique du pays. C’est une mission assez nouvelle où on apprend en avançant. On fait des exercices, des simulations, on adapte notre posture à la menace. Je serai très surpris que quiconque ait résolu la question de la défense informatique d’un pays. On a fait plusieurs exercices avant d’arriver à disposer d’une organisation de gestion de crise qui commence à être satisfaisante. Protéger un pays contre les attaques informatiques n’est pas un sujet complètement trivial et vous pouvez aller chercher dans les grandes bibliothèques des livres qui vous expliquent comment le faire, vous n’en trouverez pas beaucoup.
Nos observations montrent que la menace croit, menace que nous classons en espionnage, perturbation et destruction. Plus il y a d'événements sur la planète, plus on voit qu’on s’attaque à Internet d’une façon ou d’une autre. Et en terme de destruction, on a l'exemple du ver Stuxnet.
Plusieurs lois préconisent des mesures de blocage (ARJEL, LOPPSI) voire de filtrage (Hadopi). Constatez-vous un recours massif à des réseaux privés ou de renforcement des systèmes de chiffrement ? (PC Inpact)
Ce n’est pas mon sujet. Je ne fais pas une observation d’Internet pour voir s’il y a un recours plus large des moyens de chiffrement. Nous, on recommande l’utilisation des moyens de chiffrement pour protéger l’information. L’utilisation de la crypto est libre en France. Est-ce qu’on en utilise plus ou pas ? Je n’ai pas de thermomètre qui permet de dire cela. Il y a quantité de systèmes de chiffrement qui se développent.
Mais craignez-vous ce recours ? (PC Inpact)
Je passe mon temps à dire qu’il faut chiffrer. Je le recommande même ! Je serais dans une situation schizophrénique si je le craignais.
Ce qui est dit est que dans l’observation des flux chiffrés, plus ces flux sont importants, plus difficile est l’analyse exacte des contenus qui y sont déversés. (PC Inpact)
Il y a deux cas : l’utilisation standard, et l’utilisation criminelle. Quand on est dans une utilisation standard, c’est plutôt bien que les flux soient chiffrés, je pense. Et quand on est dans une utilisation criminelle, il faut que les lois permettent aux autorités, sous contrôle du juge, d'accéder au contenu de l’information.
Pouvez-vous nous donner quelques exemples même théoriques d’attaques de grande ampleur ? (01net)
La seule vraie attaque de grande ampleur qu’il y a eu est celle contre l’Estonie en 2007. Maintenant, on observe une tendance réelle à l'aggravation des attaques, ce qui nous fait craindre que les exemples se multiplient. Le ver Stuxnet par exemple montre bien que les attaques contre les systèmes de contrôle industriels (SCADA) ne sont pas un fantasme.
D’où proviennent-elles ? (01net)
Géographiquement, on a toujours des idées, mais le problème de l’attribution est toujours compliqué. Techniquement, la majeure partie des attaques que l’on constate, c’est de l’intrusion, de l’espionnage par courriel piégé pour ensuite s’introduire dans les systèmes. On a un peu de dénis de service, mais cela reste dans des proportions assez faibles.
D'ici l'été, il est prévu qu’une ordonnance permette à l’ANSSI d'intervenir directement auprès des opérateurs de communications électroniques. Pourquoi la voie de l’ordonnance ? Que pourra exiger l’ANSSI ? (PC Inpact)
La voie de l’ordonnance, car cela se fait dans le cadre de la transposition du paquet télécom, texte extrêmement technique. D’ailleurs, le Paquet Télécom recommande aux États de renforcer leur dispositif de protection des réseaux de communications électroniques. La loi d’habilitation telle qu’elle a été votée dit que les opérateurs sont soumis au respect de règles portant sur les « prescriptions nécessaires pour répondre aux menaces et prévenir et réparer les atteintes graves à la sécurité des systèmes d’information des autorités publiques et des opérateurs ».
Sur la question des mesures qui peuvent être prises, c’est une discussion qui a lieu et doit se poursuivre avec les opérateurs. Filtrer les attaques d'un botnet, filtrer une liste d’adresses IP sont quelques exemples.
On a déjà un rôle de conseil et de certification de produits en direction des administrations. Là, on parle de réaction en cas d’attaques graves et majeures vis-à-vis des infrastructures critiques. Vis-à-vis de l’administration, nos moyens d’action n’étaient pas aussi limpides que cela, c’est pour cela qu’on a tenu à le préciser. Vis-à-vis des opérateurs, il y aura des mesures qui seront rendues nécessaires pour contenir l’attaque. Toutes les mesures ne seront pas détaillées, car elles peuvent dépendre du type d’attaque. On peut imaginer des cas comme un botnet très actif et des machines qui vont télécharger des charges utiles auprès d’un serveur.
On parle de réaction curative face à une menace impérieuse. Vous avez également un rôle préventif, un rôle de conseil auprès des administrations (PC INpact)
C’est une grosse partie de notre activité, oui ;
Que préconisez-vous à ces grandes administrations ? Des solutions libres, tel ou tel logiciel, etc. ? (PC INpact)
Difficile de résumer cette question. Ce qu’on recommande en termes de produits de sécurité est d’utiliser des produits qui ont passé une certification voire une qualification (outils de sécurité, firewall, outils de chiffrement, etc.). Les administrations doivent également appliquer le référentiel général de sécurité (RGS) dans lequel vous avez un certain nombre de règles. Le principe général de ce RGS est que les administrations doivent faire une analyse de risque, regarder quelle est globalement la menace pour leurs systèmes. La démarche s’achève avec une homologation accompagnée de plusieurs audits.
Après il y a toutes les règles d’« hygiène informatique », qui dépassent le cadre des « bonnes pratiques ». De la même façon qu’on se lave les mains avant d’aller manger, on ne doit pas installer un serveur sans activer les logs, sans changer les mots de passe par défaut, etc. Cela doit devenir un réflexe.
Ce que vous avez obtenu finalement c’est d’être un acteur référent dans le cadre d’une attaque majeure , pour organiser la défense ? (01net)
C’est exactement cela. C’est pour qu’on puisse ne pas se poser de question à la fois sur d’où viennent les recommandations et si juridiquement c’est solide.
Merci Patrick Pailloux.
Quelques liens complémentaires
Portail de la sécurité informatique (bonnes pratiques notamment):
Qualification
Certification :
L'exercice PIRANET 10
Depuis le tout récent décret du 11 février 2011, l’agence en question a été désignée officiellement autorité nationale de défense des systèmes d’information, en France. Objectif : répondre rapidement à des situations de « crises » touchant ou menaçant la sécurité des systèmes d’information des autorités publiques et des opérateurs d’importance vitale. En clair : c’est la cyberdéfense française.
Pour mémoire, l’ANSSI avait été créé en juillet 2009 en remplacement de la DCSSI. Cette autorité est rattachée au Secrétariat Général de la Défense et de la Sécurité Nationale (SGDSN), qui dépend directement du Premier Ministre. L'objet de cet entretien est ainsi d'éclairer ces nouveaux "super" pouvoirs et d'apporter des réponses aux problématiques qu'ils soulèvent.
Pourquoi ce texte a-t-il été pris ? (01Net)
La raison tient aux constats qu’on a pu faire sur les attaques informatiques et sur les exercices que l’on mène, notamment dans le cadre de Piranet, le plan de réponse gouvernemental aux attaques informatiques. Nous nous sommes rendu compte qu’on avait deux problèmes à résoudre.
D’une part, un problème de vitesse de réaction. On a comparé cela aux attaques aériennes. La vitesse de propagation des attaques informatiques, c’est presque celle de la lumière et on a donc une problématique de cinétique qui ne permet pas d’organiser une réponse en faisant des réunions, avec les méthodes habituelles de gestion de crise. On avait besoin d’identifier une autorité qui, s’il y a vraiment besoin de prendre des mesures extrêmement urgentes, puisse le faire.
D’autre part, c’est la nécessité de déterminer qui édicte les règles en cas d’attaque pour que, lorsqu’on demande à quelqu’un de prendre une mesure de déconnexion, de filtrage, etc. on ne se pose pas juridiquement la question pendant trois heures de savoir qui doit édicter cette règle. On s’est rendu compte lorsqu’on simulait des exercices d’attaques majeures que parfois, en accélérant de deux heures une telle prise de décision, on pouvait réduire la propagation d’un ver ou d’une attaque.
Quels sont les critères qui permettent de déclencher ces mesures ? Qui décide de qualifier, jauger ces menaces ? (PC INpact)
C’est une décision qui relève du Premier ministre. Les critères de déclenchement sont extrêmement clairs. Le décret parle de « crises affectant ou menaçant la sécurité des systèmes d’information ». Nous sommes vraiment dans une situation de crise qui, dans le corpus réglementaire, fait référence à quelque chose de précis : une situation d’exception où, d’une certaine façon, la survie de la Nation est en jeu.
De plus, on parle de la sécurité des systèmes d’information, ce qui fait référence à une attaque sur les systèmes eux-mêmes, non sur leur contenu. Cela concerne des attaques qui viseraient soit les autorités publiques, donc le cœur de fonctionnement de l’État, soit les opérateurs d’importance vitale. La définition légale est précise : ce sont des acteurs « dont le dommage ou l'indisponibilité ou la destruction risquerait d'obérer gravement le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ou de mettre gravement en cause la santé ou la vie de la population ». On est vraiment dans une situation de crise où le Premier ministre décide que l'ANSSI doit prendre des mesures.
Qui contrôle quoi ? Est-ce que l’ANSSI a carte blanche ? (01Net)
On est dans le fonctionnement traditionnel de l’État. L’ensemble des actions des autorités publiques est toujours sous le contrôle politique. Cela va dépendre du degré de délégation et de la gravité des mesures éventuelles.
Comprenez-vous que cela puisse faire peur ? (01Net)
Je comprends et je ne comprends pas, si j’ose dire. Je comprends parce qu’on se pose toujours la question d’un point de vue théorique. Je ne comprends pas, car nous sommes dans une situation similaire à celle d’un incendie de forêt. Probablement, on va fermer la route pour éviter que les voitures circulent où cela brûle. On fermera le trafic ferroviaire en raison du risque de chute d’arbres sur les voies. Et ça, cela ne choque personne, car on est dans une situation de crise. Dans le cas d'une attaque comme celle qu’a connue l’Estonie, compte tenu du risque de paralysie, on pourrait déconnecter l’administration d’Internet, par exemple. Voilà le type de mesures qu’on pourrait imaginer en cas d’attaque majeure.
Mais je comprends qu’en théorie on puisse se poser des questions. Dans la pratique, j’ai plus de mal à imaginer la difficulté. Quand il y a un accident de voiture et que les pompiers font fermer la circulation, on ne considère pas qu’il y a une restriction à la liberté de circulation. C’est juste une question de protection en phase d’événements extraordinaires.
Ces réponses avaient été réclamées dans un rapport sénatorial du 8 juillet 2008. Pourquoi a-t-on attendu deux ans pour avoir un tel texte ? (PC Inpact)
La mission de mon agence est d’organiser la défense informatique du pays. C’est une mission assez nouvelle où on apprend en avançant. On fait des exercices, des simulations, on adapte notre posture à la menace. Je serai très surpris que quiconque ait résolu la question de la défense informatique d’un pays. On a fait plusieurs exercices avant d’arriver à disposer d’une organisation de gestion de crise qui commence à être satisfaisante. Protéger un pays contre les attaques informatiques n’est pas un sujet complètement trivial et vous pouvez aller chercher dans les grandes bibliothèques des livres qui vous expliquent comment le faire, vous n’en trouverez pas beaucoup.
Nos observations montrent que la menace croit, menace que nous classons en espionnage, perturbation et destruction. Plus il y a d'événements sur la planète, plus on voit qu’on s’attaque à Internet d’une façon ou d’une autre. Et en terme de destruction, on a l'exemple du ver Stuxnet.
Plusieurs lois préconisent des mesures de blocage (ARJEL, LOPPSI) voire de filtrage (Hadopi). Constatez-vous un recours massif à des réseaux privés ou de renforcement des systèmes de chiffrement ? (PC Inpact)
Ce n’est pas mon sujet. Je ne fais pas une observation d’Internet pour voir s’il y a un recours plus large des moyens de chiffrement. Nous, on recommande l’utilisation des moyens de chiffrement pour protéger l’information. L’utilisation de la crypto est libre en France. Est-ce qu’on en utilise plus ou pas ? Je n’ai pas de thermomètre qui permet de dire cela. Il y a quantité de systèmes de chiffrement qui se développent.
Mais craignez-vous ce recours ? (PC Inpact)
Je passe mon temps à dire qu’il faut chiffrer. Je le recommande même ! Je serais dans une situation schizophrénique si je le craignais.
Ce qui est dit est que dans l’observation des flux chiffrés, plus ces flux sont importants, plus difficile est l’analyse exacte des contenus qui y sont déversés. (PC Inpact)
Il y a deux cas : l’utilisation standard, et l’utilisation criminelle. Quand on est dans une utilisation standard, c’est plutôt bien que les flux soient chiffrés, je pense. Et quand on est dans une utilisation criminelle, il faut que les lois permettent aux autorités, sous contrôle du juge, d'accéder au contenu de l’information.
Pouvez-vous nous donner quelques exemples même théoriques d’attaques de grande ampleur ? (01net)
La seule vraie attaque de grande ampleur qu’il y a eu est celle contre l’Estonie en 2007. Maintenant, on observe une tendance réelle à l'aggravation des attaques, ce qui nous fait craindre que les exemples se multiplient. Le ver Stuxnet par exemple montre bien que les attaques contre les systèmes de contrôle industriels (SCADA) ne sont pas un fantasme.
D’où proviennent-elles ? (01net)
Géographiquement, on a toujours des idées, mais le problème de l’attribution est toujours compliqué. Techniquement, la majeure partie des attaques que l’on constate, c’est de l’intrusion, de l’espionnage par courriel piégé pour ensuite s’introduire dans les systèmes. On a un peu de dénis de service, mais cela reste dans des proportions assez faibles.
D'ici l'été, il est prévu qu’une ordonnance permette à l’ANSSI d'intervenir directement auprès des opérateurs de communications électroniques. Pourquoi la voie de l’ordonnance ? Que pourra exiger l’ANSSI ? (PC Inpact)
La voie de l’ordonnance, car cela se fait dans le cadre de la transposition du paquet télécom, texte extrêmement technique. D’ailleurs, le Paquet Télécom recommande aux États de renforcer leur dispositif de protection des réseaux de communications électroniques. La loi d’habilitation telle qu’elle a été votée dit que les opérateurs sont soumis au respect de règles portant sur les « prescriptions nécessaires pour répondre aux menaces et prévenir et réparer les atteintes graves à la sécurité des systèmes d’information des autorités publiques et des opérateurs ».
Sur la question des mesures qui peuvent être prises, c’est une discussion qui a lieu et doit se poursuivre avec les opérateurs. Filtrer les attaques d'un botnet, filtrer une liste d’adresses IP sont quelques exemples.
On a déjà un rôle de conseil et de certification de produits en direction des administrations. Là, on parle de réaction en cas d’attaques graves et majeures vis-à-vis des infrastructures critiques. Vis-à-vis de l’administration, nos moyens d’action n’étaient pas aussi limpides que cela, c’est pour cela qu’on a tenu à le préciser. Vis-à-vis des opérateurs, il y aura des mesures qui seront rendues nécessaires pour contenir l’attaque. Toutes les mesures ne seront pas détaillées, car elles peuvent dépendre du type d’attaque. On peut imaginer des cas comme un botnet très actif et des machines qui vont télécharger des charges utiles auprès d’un serveur.
On parle de réaction curative face à une menace impérieuse. Vous avez également un rôle préventif, un rôle de conseil auprès des administrations (PC INpact)
C’est une grosse partie de notre activité, oui ;
Que préconisez-vous à ces grandes administrations ? Des solutions libres, tel ou tel logiciel, etc. ? (PC INpact)
Difficile de résumer cette question. Ce qu’on recommande en termes de produits de sécurité est d’utiliser des produits qui ont passé une certification voire une qualification (outils de sécurité, firewall, outils de chiffrement, etc.). Les administrations doivent également appliquer le référentiel général de sécurité (RGS) dans lequel vous avez un certain nombre de règles. Le principe général de ce RGS est que les administrations doivent faire une analyse de risque, regarder quelle est globalement la menace pour leurs systèmes. La démarche s’achève avec une homologation accompagnée de plusieurs audits.
Après il y a toutes les règles d’« hygiène informatique », qui dépassent le cadre des « bonnes pratiques ». De la même façon qu’on se lave les mains avant d’aller manger, on ne doit pas installer un serveur sans activer les logs, sans changer les mots de passe par défaut, etc. Cela doit devenir un réflexe.
Ce que vous avez obtenu finalement c’est d’être un acteur référent dans le cadre d’une attaque majeure , pour organiser la défense ? (01net)
C’est exactement cela. C’est pour qu’on puisse ne pas se poser de question à la fois sur d’où viennent les recommandations et si juridiquement c’est solide.
Merci Patrick Pailloux.
Quelques liens complémentaires
Portail de la sécurité informatique (bonnes pratiques notamment):
Qualification
Certification :
L'exercice PIRANET 10
