Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Guillaume Poupard (ANSSI) : « Il est hors de question de bannir Windows »

Bannir un jour, sans retour…
Droit 8 min
Guillaume Poupard (ANSSI) : « Il est hors de question de bannir Windows »
Crédits : Marc Rees

À l’occasion des Assises de la sécurité des systèmes d’information, nous avons pu interroger Guillaume Poupard. Parmi les thèmes abordés, le numéro un de l’ANSSI, agence rattachée au Premier ministre, est revenu sur les contrats passés par les administrations avec Microsoft, ou encore sur le safe harbor.

Lors de votre allocution publique aux Assises, vous avez estimé que la sécurité des systèmes d’information passe aussi par celle de l’information. Quel rôle veut jouer l’ANSSI à ce niveau ?

L’ANSSI a un rôle d’expert étatique gouvernemental au profit d’autres administrations et d’acteurs dont ce n’est pas le métier de faire de la cybersécurité. Tout le monde n’a pas forcément les bonnes bases pour traiter de ces questions. Si je parle de sécurité de l’information, plutôt que de sécurité des systèmes d’information, c’est parce qu’on observe en pratique que ceux qui sécurisent leur « SI » ne savent pas toujours ce qu’il y a dedans. On y trouve du sensible, du pas sensible, des données personnelles, etc.

Nous poussons donc les opérateurs d’infrastructures vitales, notamment, à avoir une véritable maitrise et de leur réseau et de ce qu’il y a dessus, de manière à adapter finement la sécurité de ce qui est stocké ou ce qui transite. Cela va donc jusqu’à la sécurité des données personnelles, par exemple. Très clairement, c’est le travail de la CNIL, avec qui nous avons tissé une relation étroite et de confiance au niveau technique, de manière à être sûr de parler de la même chose. Certes les dispositifs réglementaires qui peuvent être faits ne sont pas de notre ressort, mais au moins nous sommes sur des bases saines et maitrisées.

La justice européenne se demande aujourd’hui si les États-Unis sont toujours un safe harbor, une sphère de sécurité où peuvent être envoyées les données personnelles. Qu’en pensez-vous ?

On sait bien que le safe harbor est très perfectible. Ce côté auto-déclaratif ne nous convient pas, en tout cas, ce n’est pas dans la mentalité française. Nous faisons confiance à nos acteurs, mais la confiance n’exclut pas le contrôle. Quand on ne fait que confiance, il y a quand même le risque d’avoir des dérives. On a un autre problème, ce n’est pas un secret, c’est l’application extraterritoriale du droit américain. Elle pose de vrais soucis, y compris aux industriels américains qui ont du mal à expliquer pourquoi leurs serveurs en Irlande sont de confiance.

C’est quelque chose qu’on devrait faire évoluer, à mon avis, dans l’intérêt général. Des acteurs comprennent cela très bien. Les tenants d’une marchandisation des données personnelles, eux, ne comprennent pas qu’il y ait des barrières économiques dès lors qu’on parle de sécurité ou de données personnelles, ni pourquoi ça ne devrait pas être traité comme n’importe quel bien de consommation. Le débat est assez fort en France et en Europe, d’une envergure extrêmement complexe. Le rôle de l’ANSSI est de continuer à apporter une vision technique, toujours basée sur une véritable analyse de risques, pour souligner les conséquences des engagements.

Sur la question des données personnelles encore, vous estimez encore qu’il est désormais nécessaire d’alerter l’utilisateur sur les risques de Windows 10. Qui doit endosser ce rôle ?

Au risque de passer pour un tenant de la règlementation, les conditions générales d’utilisation illisibles de 50 pages, en petits caractères, c’est quelque chose de scandaleux. Il faut une information claire de l’utilisateur pour qu’il sache vraiment ce qu’il accepte, ce qu’il n’accepte pas. Et ça, je pense qu’on peut l’imposer. Autre chose, il faudrait faire en sorte qu’il y ait une prime à ceux, éditeurs ou applications, qui sont respectueux des données personnelles, avec une politique claire aux yeux des utilisateurs. J’espère ne pas être trop naïf, mais j’ai la prétention de penser que la vertu peut être bénéfique.

Une prime ? Vous pensez à un label qualité, un sceau de confiance ?

Oui, c’est une idée qu’on a dans les cartons. Nous en parlons avec le secrétariat d’Etat au numérique : identifier très clairement ces applications respectueuses des données privées. Après, les questions sont multiples : comment faire pour attribuer un tel label ? Faut-il une évaluation lourde derrière qui risquerait d’être incompatible avec les délais de développement, ou bien un système déclaratif, ou un peu des deux ? Tout reste à construire.

Le citoyen a, à mon avis, besoin d’information claire sur ce qui est fait ou pas fait avec ses données personnelles. On ne peut pas se contenter de lui dire qu’il y a un problème, il faut également lui proposer des outils pour y faire face.

De grandes administrations – la Défense, des hôpitaux, etc. - ont passé des contrats avec Microsoft que certains qualifient d’« open bar ». Ca vous choque ?

Faire de la sécurité informatique en interdisant Windows, ça ne marche pas, pour des raisons techniques notamment. Il est hors de question de bannir Windows. Dans le débat actuel, les restes d’une lutte entre tenants du libre et tenants du logiciel fermé sont plus nocifs qu’autre chose. La question doit être : qu’est-ce que nous « offre » Microsoft ? Quelles sont les alternatives ? Quelles sont les meilleures solutions pour mes besoins, en fonction de mes contraintes ? Partant de là, il peut tout à fait y avoir Windows dans le système. Ce sont des gens qui savent faire des choses sérieuses, ne simplifions pas le débat à l’extrême !

En somme, Windows oui, mais par contre, il faut l’utiliser en ayant une vision claire des menaces potentielles : comment faire pour les contrer par des moyens techniques et organisationnels ? C’est une démarche habituelle d’analyse des risques. Sans dogmatisme. On peut très bien utiliser ces produits, et - pour défendre un peu le ministère de la Défense - il vaut mieux avoir un seul contrat bien négocié, plutôt que 3 000 contrats négociés indépendamment les uns des autres. Au final, on obtient la même chose, mais on a payé dix fois plus cher.

Oui, mais les contrats ont été passés sans marché public ouvert à la concurrence, n’y a-t-il pas un souci d’opacité ?

Cette question n’est pas dans mes compétences.

En février dernier, Cisco a annoncé un partenariat avec plusieurs startups françaises à hauteur de 100 millions d’euros. Salué par Manuel Valls, ce rapprochement a été dézingué par une députée, celle-ci devinant une menace pour la stratégie française en terme « de souveraineté numérique ».

J’ai vu John Chambers louer l’entreprise en France, annoncer qu’il allait intervenir en France. Ce sont de très bonnes choses, mais je n’ai pas vu d’engagement ou de perte de souveraineté à ce moment-là. Quelque part, cela ne me choque pas outre-mesure, même si évidemment, cela éveille une véritable vigilance : le fait que le numéro un de Cisco rencontre le Premier ministre ne veut pas dire que la France ouvre tout, y compris ce qui est très sensible, à Cisco.

Une fois encore, on peut travailler - et heureusement on travaille - avec des industriels étrangers, et le fait d’être respectable ne veut pas dire qu’on peut leur faire une confiance absolue sur tout. Toute la difficulté est de rester dans l’équilibre, la nuance, sans tomber dans l’excès, dans un sens ou dans l’autre.

La loi sur le renseignement permet aux services spécialisés d’injecter des outils de surveillance sur des ordinateurs distants. De votre côté, vous intervenez pour qualifier des biens, services, etc. pour qu’ils assurent un bon niveau de sécurité. Comment gérer ces deux impératifs ?

Nous poussons des produits qui sont robustes, face à tout le monde, d’une certaine manière. Ce qu’autorise la loi, c’est ce qu’on appelait avant des chevaux de Troie. Ces produits sont eux-aussi contrôlés parce qu’on a besoin, paradoxalement, d’une confiance dans ces équipements. Il faut être sûr qu’ils feront ce pour quoi ils sont conçus. Ceci revient dans le champ de nos missions au travers de l’application de l’article R.226-1 du Code pénal qui nous confie le soin de les contrôler. C’est un cas extrêmement particulier où on peut être en interface avec le renseignement.

Aujourd’hui les FAI et même tous les OIV ont l’obligation de notifier les failles de sécurité. Cette obligation pourrait être étendue à d’autres acteurs, dont les opérateurs web. Quelle est votre analyse ?

La notification c’est sain, si c’est bien utilisé. La manière dont on l’envisage dans la loi de programmation militaire l’est aussi puisqu’elle protège la confidentialité des informations, puisque une fuite serait une catastrophe. Ces notifications doivent, selon nous, être faites à des agences nationales et surtout pas à un niveau supra national, typiquement au niveau européen. Quant à l’idée de l’étendre à toutes les infrastructures critiques au sens large me semble plutôt une bonne chose. La question qui se pose est de savoir si les plateformes web sont elles-aussi des infrastructures critiques. La France et l’Allemagne pensent plutôt oui. Il y a une forme de logique.

En juillet 2015, on a annoncé un fix-it numérique, outil permettant aux administrés de signaler les bugs des sites publics...  

C’est une idée de l’ANSSI : on veut mettre le citoyen volontaire en situation d’acteur pour avoir un endroit où il est écouté, où ce qu’il dit va être pris en compte. Dans notre évolution, nous étions sur les réseaux de l’Etat, puis les OIV, lesquelles contaminent toute l’industrie. Demain, ce sera les PME, après-demain les citoyens. À un moment, tout le monde est concerné par ces questions de cybersécurité. Nous avons la conviction que les citoyens ont un rôle à jouer dans la détection des problèmes, par exemple le signalement d’un défacement du site web d’une mairie..

Mais quand est-ce que cela sera mis en place ?

Je n’ai pas de calendrier pour l’instant.

La proposition de loi sur la surveillance discutée aujourd’hui va traiter des communications internationales. Qu’est ce qu’une communication internationale ?

Je ne sais pas, il faudra voir précisément, ce n’est pas mon sujet, mais plutôt un travail de légiste.

113 commentaires
Avatar de garn INpactien
Avatar de garngarn- 01/10/15 à 13:39:56

De grandes administrations – la Défense, des hôpitaux, etc. - ont passé des contrats avec Microsoft que certains qualifient d’« open bar ». Ca vous choque ?

Faire de la sécurité informatique en interdisant Windows, ça ne marche pas, pour des raisons techniques notamment. Il est hors de question de bannir Windows. Dans le débat actuel, les restes d’une lutte entre tenants du libre et tenants du logiciel fermé sont plus nocifs qu’autre chose. La question doit être : qu’est-ce que nous « offre » Microsoft ? Quelles sont les alternatives ? Quelles sont les meilleures solutions pour mes besoins, en fonction de mes contraintes ? Partant de là, il peut tout à fait y avoir Windows dans le système. Ce sont des gens qui savent faire des choses sérieuses, ne simplifions pas le débat à l’extrême !

Euh, dans les contrats en question y a pas office?

pourquoi le monsieur il parle que de windows? Il a pas compris, ou il veut pas répondre, ou il assimile microsoft = windows uniquement ?

parceque bannir windows, c'est une bêtise, mais ne pas passer en "tout microsoft" à coup de millions d'euros, ca peut se faire, y a une marge entre les deux il me semble

Édité par garn le 01/10/2015 à 13:40
Avatar de anonyme_69736061fe834a059975aa425bebeb6d INpactien

Du coup, nous voyons qu'il ne sait pas réellement de quoi il parle ...il mélange tout.

Avatar de garn INpactien
Avatar de garngarn- 01/10/15 à 13:55:47

ben c'est un peu mon impression

on dirait bien un politique qui évite une question en parlant d'autre chose, en se focalisant sur un point évident. Méthode de communication classique : bien sur, on va pas répondre "virez windows", donc on se sent d'accord avec lui

sauf qu'au final il répond à coté de la plaque

Avatar de Gilbert_Gosseyn Abonné
Avatar de Gilbert_GosseynGilbert_Gosseyn- 01/10/15 à 13:57:45

Ce monsieur sait-il que des acteurs d'Etat (membres de l'EN et du MEDDE/METL mais également gendarmes) dévelopent et utilisent des solutions serveur voire bureautique basées sur du libre ? Petite liste :

  • ensemble de serveurs (contrôleurs de domaines, applicatifs, fichiers, sécurité) EOLE avec système de configuration et tenue de mise à jour Zephir (origine EN puis MEDDE/METL) ?

  • postes sous Linux à la Gendarmerie Nationale ?

  • courielleur basé sur du libre "système "Mélanie2" utilisé tant au MEDDE/METL qu'à la Santé ?

  • versions packagées de LibreOffice "MiMo" ?

  • utilisation massive de Firefox ESR ?

    Et je ne cite pas les nombreuses solutions "web based" basées sur des solutions libres développées par des acteurs de l'Etat, abouties et fonctionelles tout en ayant un vrai suivi transparent.

    Oui, aujourd'hui, nous avons de vraies alternatives à Microsoft Windows. A 98% du temps tout du moins.

Édité par Gilbert_Gosseyn le 01/10/2015 à 13:58
Avatar de anonyme_97254becd5c5b064755d6772703ed968 INpactien

J'adore :

Oui, mais les contrats ont été passés sans marché public ouvert à la concurrence, n’y a-t-il pas un souci d’opacité ?
Cette question n’est pas dans mes compétences.

et les écoutes de la NSA c'est dans le compétences du monsieur ? (responsable de l'anssi rien de moins)

Tout comme le contenu du code proprio sur des ordi durci pour le mindef ... pas dans ses compétences !

Avatar de MuadJC INpactien
Avatar de MuadJCMuadJC- 01/10/15 à 14:01:25

garn a écrit :

on dirait bien un politique qui évite une question en parlant d'autre chose, en se focalisant sur un point évident. Méthode de communication classique : bien sur, on va pas répondre "virez windows", donc on se sent d'accord avec lui

Mouais, peut-être, j'ai plutôt pris cela comme un exemple.
D'ailleurs, virer Windows, pourquoi ça serait évident que non?

Il prend Windows, mais ce qu'il dit s'adapte à Office (puisque tu insistes sur cet autre exemple): ça a des avantages, mais il faut tenir compte des "menaces potentielles" (sic).

Pour le coup il ne prend pas parti mais développe son exemple.

(Mais ta vision est peut-être tout aussi valide malgré tout)

Avatar de anonyme_97254becd5c5b064755d6772703ed968 INpactien

Quand tu es acheté par une boite qui a plus de 30 milliard de trésorerie , ben tu dis ce qu'on te dit de dire : est-ce plus compliqué à comprendre que cela ?

Avatar de anonyme_751eb151a3e6ce065481d43bf0d18298 INpactien

Faut pas lui en vouloir au gars, ce n'est pas son taf de faire de la politique, et là, le débat libre/proprio, au delà de l'aspect technique, est surtout politique.

Avatar de Hoper Abonné
Avatar de HoperHoper- 01/10/15 à 14:03:56

". Ce qu’autorise la loi, c’est ce qu’on appelait avant des chevaux de
Troie. Ces produits sont eux-aussi contrôlés parce qu’on a besoin,
paradoxalement, d’une confiance dans ces équipements. Il faut être sûr
qu’ils feront ce pour quoi ils sont conçus. Ceci revient dans le champ
de nos missions au travers de l’application de l’article R.226-1 du Code pénal qui
nous confie le soin de les contrôler. C’est un cas extrêmement
particulier où on peut être en interface avec le renseignement."
 
J'ai ben compris ?  il nous explique que l'ANSSI contrôle la "fiabilité" de chevaux de troie !? C'est du délire...

Avatar de anonyme_97254becd5c5b064755d6772703ed968 INpactien

ben, les libristes comme moi, ils disent souvent : "on fout Microsoft dehors" mais on sait pertinemment que l'on devra cohabiter avec eux !

Par contre il va falloir , il faudra que leurs méthodes d'escrocs cessent, elles sont ne sont pas dans les valeurs françaises. Du moins jusqu'à ce jour.

Il n'est plus possible de commenter cette actualité.
Page 1 / 12