À l’occasion des Assises de Monaco, l’Agence nationale pour la sécurité des systèmes d’information (ANSSI) inaugure un nouveau point de contact pour signaler les incidents cyber touchant la France, d'abord ceux des opérateurs d’importance vitale, avant une ouverture plus massive.
« C’est un choix opérationnel. Nous avions plusieurs points de contact jusqu’à présent. Cette partie est réorganisée pour plus d’efficacité » nous indique l’ANSSI. Comme relevé sur son site, « pour des raisons historiques », le COSSI ou centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques disposait en effet jusqu’alors de « plusieurs points de contacts (téléphoniques, messageries) en heures ouvrées et heures non ouvrées, pour la prise en compte des signalements d’incidents ou de menaces ».
Pas simple ! Désormais, le CERT-FR, qui joue le rôle de « point de contact privilégié pour les incidents de nature cyber touchant la France », sera en capacité d’exploiter ces alertes 24h sur 24, 7 jours sur 7. Mais à qui s’adresse ce mécanisme d’alerte ? Avant tout aux collectivités et aux opérateurs d’importance vitale, ces acteurs dont une défaillance « risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation » (article L1332-1 du Code de la défense).
La loi Lemaire et les nouvelles compétences de l’ANSSI
Lors des Assises de Monaco, l’ANSSI a surtout annoncé que ce point de contact unique servira également à la mise en œuvre d’une disposition de la loi Lemaire tout juste adoptée mais non encore promulguée.
Elle concerne les découvreurs de failles de sécurité. Le dispositif législatif autorise en effet l'Agence à être informée par eux de l’existence d’une vulnérabilité. Auparavant, l’article 40 du Code de procédure pénale obligeait cette administration à dénoncer automatiquement le nom de cette personne à la justice, quelles que soient ses motivations. Avec la loi Lemaire, celle de bonne foi ne rendant pas publiques ces informations ne subira plus un tel risque.
Face à ces hackers, « certains voient de dangereux acteurs, moi j’y vois plutôt des citoyens outrés par ce qu’ils voient » a commenté Guillaume Poupard. Le numéro un de l’ANSSI a par ailleurs révélé que son agence recevait déjà des signalements, mais sans activer ce fameux article 40... Cela représente « quelques dizaines de signalements par mois émis par des personnes un peu fatiguées d’aller voir directement les acteurs concernés ».
« Une avancée fondamentale »
Cette disposition de la loi Lemaire est vue comme « une avancée fondamentale, faisant entrer dans le cyber des honnêtes gens pas identifiés, non des industriels ou des personnes qui portent le costume cravate ».
Un aveu : l’ANSSI ne sait pas ce que cet aspirateur va représenter en volume. Une fois le texte promulgué, il sera en tout cas possible de signaler des failles de manière anonyme. Pour les autres, l’agence aura l’obligation de préserver la confidentialité des identités et dans toutes les hypothèses, les conditions dans lesquelles la transmission d’informations a été effectuée. Plus ambitieux encore : le Code de la défense l'autorisera à caractériser le risque ou la menace mais uniquement « aux fins d’avertir l’hébergeur, l’opérateur ou le responsable du système d’information ».
« Nous nous contenterons de vérifier que la porte béante est vraiment béante, par exemple un FTP sans mot de passe ». Il faudra qu'elle le soit vraiment : « Un FTP dont le mot de passe sera « toto » ne rentra pas dans le dispositif ». Un guide est attendu afin d’accompagner ce dispositif, « S’improviser chevalier blanc, ce n'est pas tout ! ».
Rappelons cependant, que la personne qui alerte ce point de contact pourra toujours être poursuivie par la victime prétendue. Un amendement qui visait à les exempter de poursuites a été rejeté lors des débats sur le projet de loi relatif au numérique.
