À l’occasion des Assises de la sécurité des systèmes d’information, nous avons pu interroger Guillaume Poupard. Parmi les thèmes abordés, le numéro un de l’ANSSI, agence rattachée au Premier ministre, est revenu sur les contrats passés par les administrations avec Microsoft, ou encore sur le safe harbor.
Lors de votre allocution publique aux Assises, vous avez estimé que la sécurité des systèmes d’information passe aussi par celle de l’information. Quel rôle veut jouer l’ANSSI à ce niveau ?
L’ANSSI a un rôle d’expert étatique gouvernemental au profit d’autres administrations et d’acteurs dont ce n’est pas le métier de faire de la cybersécurité. Tout le monde n’a pas forcément les bonnes bases pour traiter de ces questions. Si je parle de sécurité de l’information, plutôt que de sécurité des systèmes d’information, c’est parce qu’on observe en pratique que ceux qui sécurisent leur « SI » ne savent pas toujours ce qu’il y a dedans. On y trouve du sensible, du pas sensible, des données personnelles, etc.
Nous poussons donc les opérateurs d’infrastructures vitales, notamment, à avoir une véritable maitrise et de leur réseau et de ce qu’il y a dessus, de manière à adapter finement la sécurité de ce qui est stocké ou ce qui transite. Cela va donc jusqu’à la sécurité des données personnelles, par exemple. Très clairement, c’est le travail de la CNIL, avec qui nous avons tissé une relation étroite et de confiance au niveau technique, de manière à être sûr de parler de la même chose. Certes les dispositifs réglementaires qui peuvent être faits ne sont pas de notre ressort, mais au moins nous sommes sur des bases saines et maitrisées.
La justice européenne se demande aujourd’hui si les États-Unis sont toujours un safe harbor, une sphère de sécurité où peuvent être envoyées les données personnelles. Qu’en pensez-vous ?
On sait bien que le safe harbor est très perfectible. Ce côté auto-déclaratif ne nous convient pas, en tout cas, ce n’est pas dans la mentalité française. Nous faisons confiance à nos acteurs, mais la confiance n’exclut pas le contrôle. Quand on ne fait que confiance, il y a quand même le risque d’avoir des dérives. On a un autre problème, ce n’est pas un secret, c’est l’application extraterritoriale du droit américain. Elle pose de vrais soucis, y compris aux industriels américains qui ont du mal à expliquer pourquoi leurs serveurs en Irlande sont de confiance.
C’est quelque chose qu’on devrait faire évoluer, à mon avis, dans l’intérêt général. Des acteurs comprennent cela très bien. Les tenants d’une marchandisation des données personnelles, eux, ne comprennent pas qu’il y ait des barrières économiques dès lors qu’on parle de sécurité ou de données personnelles, ni pourquoi ça ne devrait pas être traité comme n’importe quel bien de consommation. Le débat est assez fort en France et en Europe, d’une envergure extrêmement complexe. Le rôle de l’ANSSI est de continuer à apporter une vision technique, toujours basée sur une véritable analyse de risques, pour souligner les conséquences des engagements.
Sur la question des données personnelles encore, vous estimez encore qu’il est désormais nécessaire d’alerter l’utilisateur sur les risques de Windows 10. Qui doit endosser ce rôle ?
Au risque de passer pour un tenant de la règlementation, les conditions générales d’utilisation illisibles de 50 pages, en petits caractères, c’est quelque chose de scandaleux. Il faut une information claire de l’utilisateur pour qu’il sache vraiment ce qu’il accepte, ce qu’il n’accepte pas. Et ça, je pense qu’on peut l’imposer. Autre chose, il faudrait faire en sorte qu’il y ait une prime à ceux, éditeurs ou applications, qui sont respectueux des données personnelles, avec une politique claire aux yeux des utilisateurs. J’espère ne pas être trop naïf, mais j’ai la prétention de penser que la vertu peut être bénéfique.
Une prime ? Vous pensez à un label qualité, un sceau de confiance ?
Oui, c’est une idée qu’on a dans les cartons. Nous en parlons avec le secrétariat d’Etat au numérique : identifier très clairement ces applications respectueuses des données privées. Après, les questions sont multiples : comment faire pour attribuer un tel label ? Faut-il une évaluation lourde derrière qui risquerait d’être incompatible avec les délais de développement, ou bien un système déclaratif, ou un peu des deux ? Tout reste à construire.
Le citoyen a, à mon avis, besoin d’information claire sur ce qui est fait ou pas fait avec ses données personnelles. On ne peut pas se contenter de lui dire qu’il y a un problème, il faut également lui proposer des outils pour y faire face.
De grandes administrations – la Défense, des hôpitaux, etc. - ont passé des contrats avec Microsoft que certains qualifient d’« open bar ». Ca vous choque ?
Faire de la sécurité informatique en interdisant Windows, ça ne marche pas, pour des raisons techniques notamment. Il est hors de question de bannir Windows. Dans le débat actuel, les restes d’une lutte entre tenants du libre et tenants du logiciel fermé sont plus nocifs qu’autre chose. La question doit être : qu’est-ce que nous « offre » Microsoft ? Quelles sont les alternatives ? Quelles sont les meilleures solutions pour mes besoins, en fonction de mes contraintes ? Partant de là, il peut tout à fait y avoir Windows dans le système. Ce sont des gens qui savent faire des choses sérieuses, ne simplifions pas le débat à l’extrême !
En somme, Windows oui, mais par contre, il faut l’utiliser en ayant une vision claire des menaces potentielles : comment faire pour les contrer par des moyens techniques et organisationnels ? C’est une démarche habituelle d’analyse des risques. Sans dogmatisme. On peut très bien utiliser ces produits, et - pour défendre un peu le ministère de la Défense - il vaut mieux avoir un seul contrat bien négocié, plutôt que 3 000 contrats négociés indépendamment les uns des autres. Au final, on obtient la même chose, mais on a payé dix fois plus cher.
Oui, mais les contrats ont été passés sans marché public ouvert à la concurrence, n’y a-t-il pas un souci d’opacité ?
Cette question n’est pas dans mes compétences.
En février dernier, Cisco a annoncé un partenariat avec plusieurs startups françaises à hauteur de 100 millions d’euros. Salué par Manuel Valls, ce rapprochement a été dézingué par une députée, celle-ci devinant une menace pour la stratégie française en terme « de souveraineté numérique ».
J’ai vu John Chambers louer l’entreprise en France, annoncer qu’il allait intervenir en France. Ce sont de très bonnes choses, mais je n’ai pas vu d’engagement ou de perte de souveraineté à ce moment-là. Quelque part, cela ne me choque pas outre-mesure, même si évidemment, cela éveille une véritable vigilance : le fait que le numéro un de Cisco rencontre le Premier ministre ne veut pas dire que la France ouvre tout, y compris ce qui est très sensible, à Cisco.
Une fois encore, on peut travailler - et heureusement on travaille - avec des industriels étrangers, et le fait d’être respectable ne veut pas dire qu’on peut leur faire une confiance absolue sur tout. Toute la difficulté est de rester dans l’équilibre, la nuance, sans tomber dans l’excès, dans un sens ou dans l’autre.
La loi sur le renseignement permet aux services spécialisés d’injecter des outils de surveillance sur des ordinateurs distants. De votre côté, vous intervenez pour qualifier des biens, services, etc. pour qu’ils assurent un bon niveau de sécurité. Comment gérer ces deux impératifs ?
Nous poussons des produits qui sont robustes, face à tout le monde, d’une certaine manière. Ce qu’autorise la loi, c’est ce qu’on appelait avant des chevaux de Troie. Ces produits sont eux-aussi contrôlés parce qu’on a besoin, paradoxalement, d’une confiance dans ces équipements. Il faut être sûr qu’ils feront ce pour quoi ils sont conçus. Ceci revient dans le champ de nos missions au travers de l’application de l’article R.226-1 du Code pénal qui nous confie le soin de les contrôler. C’est un cas extrêmement particulier où on peut être en interface avec le renseignement.
Aujourd’hui les FAI et même tous les OIV ont l’obligation de notifier les failles de sécurité. Cette obligation pourrait être étendue à d’autres acteurs, dont les opérateurs web. Quelle est votre analyse ?
La notification c’est sain, si c’est bien utilisé. La manière dont on l’envisage dans la loi de programmation militaire l’est aussi puisqu’elle protège la confidentialité des informations, puisque une fuite serait une catastrophe. Ces notifications doivent, selon nous, être faites à des agences nationales et surtout pas à un niveau supra national, typiquement au niveau européen. Quant à l’idée de l’étendre à toutes les infrastructures critiques au sens large me semble plutôt une bonne chose. La question qui se pose est de savoir si les plateformes web sont elles-aussi des infrastructures critiques. La France et l’Allemagne pensent plutôt oui. Il y a une forme de logique.
En juillet 2015, on a annoncé un fix-it numérique, outil permettant aux administrés de signaler les bugs des sites publics...
C’est une idée de l’ANSSI : on veut mettre le citoyen volontaire en situation d’acteur pour avoir un endroit où il est écouté, où ce qu’il dit va être pris en compte. Dans notre évolution, nous étions sur les réseaux de l’Etat, puis les OIV, lesquelles contaminent toute l’industrie. Demain, ce sera les PME, après-demain les citoyens. À un moment, tout le monde est concerné par ces questions de cybersécurité. Nous avons la conviction que les citoyens ont un rôle à jouer dans la détection des problèmes, par exemple le signalement d’un défacement du site web d’une mairie..
Mais quand est-ce que cela sera mis en place ?
Je n’ai pas de calendrier pour l’instant.
La proposition de loi sur la surveillance discutée aujourd’hui va traiter des communications internationales. Qu’est ce qu’une communication internationale ?
Je ne sais pas, il faudra voir précisément, ce n’est pas mon sujet, mais plutôt un travail de légiste.
