Pour l'agence de cybersécurité française, il faut que les États conservent le monopole de l'armement informatique, pour éviter un chaos numérique. Elle s'inquiète aussi d'une centralisation européenne de la défense, à court terme, alors que certains pays de l'Union seraient trop en retard pour compter uniquement sur une agence communautaire.
Les entreprises ne doivent pas répliquer elles-mêmes face aux attaques informatiques, selon l'Agence nationale de la sécurité des systèmes d'information (ANSSI). Dans un discours aux Assises de la sécurité de Monaco, son directeur Guillaume Poupard a insisté sur son aversion à un armement du secteur privé, porte ouverte à toutes les dérives selon lui.
« Je suis très inquiet des propositions faites par certains d'autoriser le « hack back », c'est-à-dire reconnaitre la faillite des États à protéger leurs entreprises et citoyens, et autoriser les entreprises à s'armer et à répondre aux attaques. Je suis parfaitement opposé et effrayé par ce genre d'idée » a-t-il déclaré.
Plus globalement, « nous sommes très inquiets de voir la pente naturelle des choses, qui nous emmène vers un espace numérique devenant de plus en plus un espace de conflit » ajoute le numéro un de l'ANSSI. Ce, alors que la Commission européenne pense centraliser une large part de la cybersécurité au niveau communautaire, un projet auquel l'agence française s'oppose, notamment en matière de certification.
L'armement des entreprises ? « Une abomination »
En soi, l'alerte de l'ANSSI sur les contre-attaques informatiques par les entreprises n'est pas nouvelle. Lors d'une conférence organisée en avril à l'Unesco, son directeur affirmait déjà que « les États doivent impérativement garder le monopole de la violence légitime dans le cyberespace, leur responsabilité unique ».
Garantir une paix dans le numérique deviendrait très difficile si chaque entreprise a les capacités d'attaquer à vue ceux qu'ils voient comme des agresseurs. D'autant qu'attribuer une attaque est encore très difficile aujourd'hui, les risques d'erreurs étant importants, comme l'ont encore montré récemment deux chercheurs de Kaspersky. « Répliquer » peut donc vouloir dire se créer un nouvel ennemi.
Dans un entretien à Libération, le numéro un de l'ANSSI craignait d'entrer dans « un Far West totalement aveugle ».
Le discours sur l'armement des entreprises à 21 minutes
Pour lui, le « hack back » mènerait « à des délires qui nous coûteront extrêmement cher si on n'y met pas un point d'arrêt immédiatement, avant même que cela se développe ». Le sujet est aujourd'hui sensible pour le secteur privé, qui s'étend peu dessus. Le service de messagerie ProtonMail, qui annonçait avoir attaqué un site de phishing en août, a rapidement retiré son message devant l'interrogation d'internautes.
Cette semaine à Monaco, les mots sont devenus encore plus durs, de la part de l'ANSSI. « Autoriser le « hack back », donc des entités privées à contre-attaquer, c'est une abomination. Si on autorise ça, on va vivre des moments extrêmement difficiles », là aussi en raison de la complexité d'attribuer les agressions.
Impliquer l'industrie contre le « hack back »
Devant un parterre d'industriels de la cybersécurité, Guillaume Poupard a demandé des efforts pour garantir les conditions d'une paix numérique. Au-delà du simple fait de transposer le droit de la guerre sur ce nouveau terrain, il estime que le travail reste encore à mener pour le développement de la (sacro-sainte) confiance et de l'économie.
« C'est une bouteille à la mer, à la Méditerranée, que je lance ici. Vous avez un rôle un jouer dans ces domaines, qui sont compliqués. Mais si les spécialistes ne sont pas les premiers à porter une conviction, un message, ce sera extrêmement compliqué. Il y a un vrai sujet à traiter » a appuyé le responsable de l'agence.
Rappelons que les services de l'État peuvent déjà répliquer au nom de certaines entreprises. C'est l'objet de l'article 21 de la Loi de programmation militaire (LPM) de 2013, qui autorise « répondre à une attaque informatique qui vise les systèmes d'information affectant le potentiel de guerre ou économique ».
La France affiche ses capacités offensives, quand l'armée recrute des « combattants numériques » à tours de bras pour ses besoins de cyberdéfense, DGSE incluse. Les éventuelles répliques de l'État à des attaques de sociétés bleu blanc rouge n'ont pas encore émergé, les pouvoirs publics préférant communiquer sur la défense.
Axe franco-allemand en Europe
L'ANSSI exploite sa légitimité en matière de défense informatique, en tant qu'entité dédiée. La séparation de l'attaque (au ministère des Armées) et de la défense (au sein des Armées mais surtout à l'agence) fait la fierté de la France, face au « mélange des genres » pratiqué par la NSA ou le GCHQ, coincés entre leurs besoins offensifs et défensifs.
C'est surtout le modèle défendu en Europe, où la France vante un alignement franco-allemand sur la cybersécurité, entre ANSSI et BSI. Les deux pays seraient les plus avancés sur la question. Comme nous l'expliquions récemment, le nouveau plan de la Commission européenne pour centraliser de nombreuses tâches de défense via l'agence de cybersécurité communautaire (Enisa) alarme Paris.
Selon l'agence hexagonale, l'Enisa n'est pas prête. « Si elle était amenée à reprendre ce rôle, qui plus est à l'échelle européenne, il faudrait des moyens sans commune mesure avec ceux qu'ils ont aujourd'hui » estime Poupard, avec 120 employés contre 540 pour la seule institution française.
Il serait irréaliste que l'agence européenne devienne une équipe de « pompiers volants » envoyée partout en Europe. « Sans les contacts préalables et l'entrainement, [une telle équipe] va regarder les trains passer, les victimes mourir. Je ne vois pas comment cela peut fonctionner à court terme. »
Il fustige la tentation qu'auraient certains États, peu avancés sur la cyberdéfense, de se reposer sur une seule agence européenne. Pour lui, l'ensemble des pays de l'Union doivent assurer leur propre défense informatique, avec justement l'aide de l'Enisa.
Sa crainte est que des pays européens bien protégés soient attaqués via des voisins bien moins prêts. Il insiste encore sur l'échange d'informations, qui doit être renforcé au niveau de l'équipe de réponse à incident de l'ANSSI (le CERT-FR).
Bientôt un « Visa de sécurité ANSSI »
L'autre alarme face à la Commission européenne est la certification des produits de sécurité, une question ô combien sensible pour la France. En parallèle de l'Allemagne, le pays mène des programmes de certification depuis deux décennies, et ne compte pas lâcher à l'Enisa une telle responsabilité, souveraineté oblige.
Pour certains professionnels rencontrés lors des Assises de la sécurité de Monaco, des labels européens auraient pourtant un avantage certain, évitant d'être passé au crible par chacun des États membres. Sur l'événement, nombre de stands et d'interlocuteurs évoquent une (future) certification par l'agence française, Graal pour entrer dans les recoins sensibles de réseaux de grands groupes et de l'État.

Le directeur de l'ANSSI s'est réaffirmé en faveur de l'auto-certification des objets connectés, pourtant laissée de côté par la Commission européenne dans son plan officiel. La bataille sur le sujet ne semble donc pas encore terminée.
Enfin, l'agence a annoncé un futur « Visa de sécurité ANSSI », pour simplifier la présentation de ses certifications et qualifications de produits de sécurité. L'entité n'avait pas de détails à fournir, ceux-ci devant arriver début 2018. Un diagramme devrait être fourni pour diriger entreprises et administrations vers le niveau de contrôle qui convient.
À noter :
Cet article a été rédigé dans le cadre de notre participation aux Assises de la sécurité de Monaco, du 11 au 13 octobre, où nous avons été conviés par les organisateurs. Ces derniers ont pris en charge nos billets d'avion, notre hébergement et la restauration sur place. Conformément à nos engagements déontologiques, cela s'est fait sans aucune obligation éditoriale de notre part, et sans ingérence de la part des organisateurs.