Cybersécurité : dans les coulisses de l’ANSSI

C’est dans un haut immeuble en bord de Seine, au 31 Quai de Grenelle, que Patrick Pailloux, encore directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), a fait visiter une partie de ses nouveaux locaux à un groupe de journalistes. PC INpact était présent pour l’occasion. Compte-rendu.

Dans ce nouveau centre opérationnel, « on retrouve des salles informatiques, des laboratoires, des cages de faraday, des experts de tout domaine, que ce soit le chiffrement, les logiciels, les téléphones portables » commente Patrick Pailloux. « Certains ont le métier de pompier afin de gérer les attaques informatiques. D’autres ont aussi pour mission de faire du conseil et d’assister les entreprises, les administrations et les citoyens à sécuriser leurs systèmes d’information. »

La cellule de veille

La visite commence par le Centre de crise, chargé de repérer les attaques informatiques. « Pour essayer d’illustrer notre activité, il y a trois ateliers. Au cœur du cœur de la défense nationale, le centre opérationnel, il y a d’abord la cellule de veille opérationnelle 24 heures sur 24. Là, tout arrive et tout repart ».

La cellule de veille.

Téléphonie, courriel, mais également « des moyens plus résilients comme le réseau Bravo avec son téléphone Teorem ». Une zone est également prévue pour faire des échanges avec les homologues internationaux « pour pouvoir à tout moment échanger si le besoin se fait sentir ». La cellule en question a également pour mission « de veiller à tout ce qui se dit dans le domaine de la cybersécurité. Les pirates revendiquent, parfois même préviennent, qu’ils vont mener leurs attaques. » Sur les écrans, ainsi, une vulnérabilité zéro day (non corrigée) sur Internet Explorer annoncée par Microsoft scintille.

« Cette cellule surveille aussi plus de 1 000 sites de l’administration, ministères, collectivités locales, au sens large du terme, pour vérifier leur état technique. L’an passé, on a traité plus de 400 attaques de cette nature, dont les défacements ou les attaques par déni de service » qui vise à noyer un site par un lot incalculable de requêtes.

Lorsqu’une attaque est effectivement vérifiée, la personne concernée est directement prévenue par l’ANSSI. « Cette cellule ne veille que sur ce qui se voit ; mais évidemment une grosse partie de la menace ne se voit pas. Ces moyens-là ne sont donc pas suffisants ».

Le centre de détection

« Pour parer des attaques à des fins d’espionnage ou de préparation de fin de sabotage, il faut parfois détecter des phénomènes beaucoup moins visibles. C’est le rôle du centre de détection. L’ANSSI dispose de 25 sondes aux frontières des réseaux d’administration avec Internet dont la fonction est de détecter, sans regarder le contenu, s’il ne se passe pas des choses un peu curieuses qui seraient le signe d’attaque ».

Le centre de détection.

Sur les écrans, des exemples d’alertes sont affichés afin d’illustrer ce type d’attaque. Des fichiers attachés à des emails un peu curieux, où la machine du destinataire va se connecter sur une machine distante qui n’a pas lieu d’être. « Peu de temps après, on a vu que le flux de données dépassait de 65 fois le flux habituel observé. »

Dans un graphique, on voit le débit des données informatiques qui sortent d’une administration avec des vagues représentants les phases actives – le jour – ou passives – la nuit ou entre midi et quatorze heures. « Si vous regardez cette courbe, vous voyez un pic de données colossales. Cela peut représenter une opération de sauvegarde mais le travail de l’équipe sera avant tout de qualifier ces évènements, regarder ce qu’il en est. »

Sur un autre écran, un voit l’ensemble des flux qui sortent d’une administration avec leur destination (Google, Facebook, OVH, etc.)

350 personnes en 2013, 500 en 2014

« L’an dernier, les équipes ont traité plus de 15 millions de signalements qui ont déclenché plus de 1 500 tickets d’incidents après qualification ». Ces tickets, une fois édités, remontent dans les autres étages de l’ANSSI pour voir ce qu’il en est, avec prise de contact de l’administration concernée, etc.

« Cette cellule est assez confidentielle d’abord parce que les gens qui connaitraient notre façon de travailler, ce qu’il y a dans nos sondes, etc. évidemment sauraient la façon de les contourner. Deuxièmement, nos capacités reposent sur des signatures qu’il y a dans ces sondes et donc notre connaissance extrême de la menace. D’où la nécessite pour nous d’avoir les meilleurs extrêmes possibles ».

Dans les équipes, une majorité d’hommes, avec une moyenne d’âge de 32 ans, avec une moyenne de Bac + 5. « Mais on a aussi des docteurs, des thésards,... » précise Patrick Pailloux. Ce service du Premier ministre qui a pour fonction la défense des systèmes d’information compte désormais 350 personnes et même 500 personnes fin 2014 en ajoutant le site des Invalides, devenu désormais trop étroit. Les nouvelles capacités de l’ANSSI face aux opérateurs d’infrastructure vitale (OIV) et la loi de programmation militaire poussent l'institution à revoir ses effectifs à la hausse. « Il va falloir identifier les systèmes critiques, mener les audits, analyser les évènements. Voilà pourquoi nous recrutons ».

Patrick Pailloux reconnait cependant que « pour les OIV, l’ANSSI, quel que soit ses moyens, ne pourra jamais répondre à l’ensemble des attaques auxquelles nous sommes confrontées. Notre stratégie est aussi de développer l’offre des entreprises privées pour aider les acteurs à se sécuriser ».

Le centre de situation et d'analyse

Dans une dernière cellule, proche de la salle de décision qui se réunit en cas de crise - notamment d’une attaque face à un opérateur d’infrastructure vital (centrale nucléaire, communication, etc.), se tient la salle de situation et d’analyse.

« L’une des fonctions de l’ANSSI est d’être pompier, intervenir en cas d’attaque. Généralement une entreprise ou une administration est désarmée face à ces situations. Notre rôle va être de les aider y compris en projetant des équipes – de une à trente personnes - sur le terrain. La première chose est de comprendre où ils sont en demandant les plans, l’architecture du réseau, les portes d’entrée sorties avec Internet. La deuxième activité sera de comprendre ce qui se passe, comment communiquent les pirates qui sont à l’intérieur, où sont les chevaux de Troie et connaitre leur fonctionnement. Bref, avoir une compréhension intime. »

Une fois cette étape effectuée, « on passe à la partie ‘violente’ de l’opération, au sens informatique du terme, où on va les « foutre dehors » après avoir tout coupé, nettoyé et resécuriser le réseau. »

La cellule situation et analyse va piloter toutes ces opérations, parfois menées sur le terrain. « Ici, l’ensemble des informations arrive. C’est ici qu’on fait une image globale du problème. Ce sont ces personnes qui vont également fournir des notes aux autorités. Dans la partie analyse, elle va aussi tenter de comprendre ce qui se passe, faire un travail de corrélation avec d’autres attaques déjà observées afin de rapprocher les attaques et anticiper, enfin, contextualiser cette attaque avec une vulnérabilité en cours ou parce qu’il y a tel évènement géopolitique ou économique, par exemple la négociation d’un marché par une entreprise déterminée ». À ce jour cependant, « sur l’Ukraine on n’a rien vu, mais nos opérations au Mali ont, elles, déclenché des attaques. »