Pour Orange, l’arrivée de l’ANSSI chez les opérateurs sera « une bonne chose »

La future Loi de programmation militaire se prépare à obliger les opérateurs à détecter des flux suspects pour le compte de l'ANSSI. Cette collaboration enthousiasme Orange Cyberdefense, qui y décèle un intérêt commercial certain.

Il y a quelques jours, le gouvernement a dévoilé son projet de Loi de programmation militaire (LPM) 2019-2025 (voir notre analyse). Par son biais, les opérateurs gagnent de nouvelles responsabilités. Ils doivent être en mesure de repérer toute activité suspecte via des « marqueurs » fournis par l'Agence nationale de sécurité des systèmes d'information (ANSSI).

Une fois une attaque détectée susceptible de frapper une autorité publique ou un opérateur d'infrastructure vitale (OIV), comme un grand hôpital ou un acteur du nucléaire, l'opérateur doit prévenir l'ANSSI. Charge à cette dernière d'agir en conséquence, voire d'installer ses propres sondes sur le réseau de l'opérateur, si elle le juge nécessaire. Le tout dans un temps limité, sous contrôle du régulateur des télécoms, l'Arcep.

Les plans gouvernementaux, pour la protection de ses infrastructures, accompagnent ceux d'Orange pour ses clients. En octobre, l'ANSSI nous déclarait vouloir travailler avec les opérateurs sur la détection (et le blocage) des cyberattaques. Le mois suivant, l'opérateur historique nous détaillait ses plans pour prévenir ses clients grand public qu'ils contribuent à des attaques (par exemple de déni de service) et nettoyer le trafic d'entreprises souscrivant à une option spécifique.

Malgré cette coïncidence, « les deux projets sont distincts » nous assure Michel Van Den Berghe, le patron d'Orange Cyberdefense, interrogé hier. Il revient avec nous sur les mesures prévues par la LPM et ce qu'elles signifient pour ses affaires.

Un nouveau flux de données pour l'opérateur historique

« On a été reçus par le Secrétariat général de la Défense et de la Sécurité nationale (SGDSN) il y a une quinzaine de jours » déclare Orange Cyberdefense. Cela pour donner son avis sur l'article 19 de la LPM, qui introduit les nouvelles relations avec l'ANSSI.

Pour l'opérateur historique, détecter des cyberattaques pour le compte de l'ANSSI ne consisterait qu'à ajouter une source d'indicateurs de compromission (« marqueurs » dans le langage étatique) aux outils existants d'Orange Cyberdefense. « C'est une bonne chose. Ce n'est qu'utiliser des marqueurs complémentaires » résume Michel Van Den Berghe.

Ces « données techniques pertinentes » en resteront formellement aux métadonnées des paquets, assure encore une fois le groupe.

« Si la cloche sonne via leurs marqueurs, on remonte [à l'ANSSI], et l'investigation à mettre en œuvre est leur décision » poursuit-il simplement. Dans le cas où l'ANSSI décide de s'installer un temps sur le réseau d'Orange, « c'est de leur responsabilité. Nous serons toujours conformes à la loi. À partir du moment où ils installeront leur matériel pour tracer la provenance d'une attaque, sans se faire remarquer, c'est leur intervention dans un cadre légal ». Jusqu'ici, aucune sonde de l'ANSSI n'a été posée sur le réseau de l'opérateur, promet-il.

C'est la ligne martelée par Van Den Berghe : dans tous les cas, le groupe restera dans les limites légales, dont celles de la neutralité du Net... Alors que cette brèche sécuritaire peut ouvrir la porte à d'autres intérêts, par exemple le droit d'auteur.

Analyser ou bloquer un protocole, comme BitTorrent, pour le compte d'ayants droit est-il envisageable ? « Ça c'est niet. C'est illégal dans le cadre de la neutralité du Net, on ne le fera jamais » à cadre légal constant, affirme le patron d'Orange Cyberdefense.

Du « donnant donnant » entre ANSSI et Orange

Si un opérateur doit engager des frais pour une mission confiée par l'État, ses coûts reviennent à la puissance publique. Selon Orange, le montant de cette surveillance pour un opérateur non préparé serait « minime ». Il n'aurait pas encore discuté de la facture avec le SGDSN ou l'ANSSI. Par contre, il a trouvé une manière de se rémunérer... en nature.

« On a suggéré que ces traceurs soient mis à la disposition de l'ensemble de nos clients. Eux les utilisent pour protéger l'État et les OIV. Si nous voyons qu'un client non-OIV est attaqué, on lui dira quand même. Ça fait partie du donnant donnant » nous conte Michel Van Den Berghe. De toute façon, « nos outils détectent ce qui passe sur nos réseaux. Nous n'avons pas le choix techniquement ».

Le flux de marqueurs estampillé ANSSI rejoindrait donc les sources habituelles d'Orange, remontant du réseau de l'opérateur, du laboratoire d'épidémiologie d'Orange et de ceux achetés à des éditeurs tiers.

Ces indicateurs marqués du sceau de l'agence nationale seraient un bon argument commercial pour Orange : « La volonté de Stéphane Richard est de faire d'Orange un opérateur de confiance, [donc] sortir du simple rôle de transporteur, pour sécuriser les flux transportés. Ces outils de détection et cette bibliothèque sont créés chez nous depuis trois ans ».

Une IA israélienne sur le réseau d'Orange Cyberdefense

Le grand nom de la cybersécurité cocoriquesque continue, en parallèle, les travaux sur ses offres commerciales, dont Cyberfiltre prévu pour l'été. « On a un avis très positif de l'ANSSI » sur ces projets, assure encore Michel Van Den Berghe. Fin 2017, le groupe et l'agence pointaient vers une modification de la neutralité du Net pour permettre le nettoyage du trafic. Or, il semble que le droit le permette déjà.

À nouveau interrogée sur la question, la branche cybersécurité d'Orange estime qu'une modification de la neutralité du Net n'est pas forcément nécessaire. Même à droit constant, elle cherche surtout des garanties des régulateurs. Selon Orange, ses projets correspondent « à ce qui se fait déjà, comme de l'antivirus, de l'anti-rançongiciel ou du pare-feu ».

En attendant, la détection des cyberattaques est un grand axe de développement de la société. Pour elle, la relative tranquilité de la France en matière de cyberattaques pourrait traduire une déficience dans le repérage des attaques.

« On a signé un partenariat avec une société israélienne, SecBI, qui fait de l'intelligence augmentée. C'est une machine qui inspecte les flux de proxies et détecte les anomalies comportementales » annonce fièrement Orange, qui a investi dans l'entreprise en septembre 2016. « L'intelligence artificielle sait détecter des choses qu'un humain ne voit pas », a-t-elle constaté lors d'un essai récent sur le réseau d'Orange Cyberdefense.

L'opérateur historique a été le seul acteur sollicité à répondre à nos questions. Signe que le sens du vent emmène le secteur dans une direction qui lui convient, si le doute subsistait encore. L'ANSSI, le secrétariat d'État au Numérique, Free et SFR n'ont pas répondu à nos sollicitations. L'Arcep n'était pas encore sûre de pouvoir nous répondre, à l'heure de la publication. Bouygues Telecom a refusé de commenter le sujet.