Cybermenaces : des élections à la LPM, une année charnière pour l’ANSSI

L’ANSSI a présenté son rapport 2017. Une année marquée par 20 incidents majeurs, mais aussi par l’épisode sensible des présidentielles. Un évènement politique qui a concentré toute l’attention des équipes dirigées par Guillaume Poupard. Aujourd’hui, les yeux sont tournés sur la LPM 2019-2025, qui encadre et donc autorise l’usage du DPI.

Cette sentinelle du risque informatique en France annonce la couleur au fil de son rapport : « Des attaques comme WannaCry sont la concrétisation de craintes que nous avions et de scénarios que nous avions imaginés. En 2017, nous avons découvert une nouvelle victime de cyberattaques : la démocratie ! » s’exclame Guillaume Poupard.

Avec de tels faits, a exposé hier le directeur général de l’ANSSI, « on ne cherche pas à détruire, mais à influencer les populations. Nous avons eu un avertissement sans frais lors de la campagne électorale. Nous devons désormais apprendre à vivre de manière à nous assurer que les processus fondamentaux sont bien immunes face aux menaces ».

Et il n’y aucune raison que cela s’arrête, « le rapport coût-bénéfice étant très favorable pour les acteurs criminels ».

Plusieurs campagnes d’information pour les élections

Dans le rapport annuel, présenté avec Claire Landais, la Secrétaire générale de la défense et de la sécurité nationale (SGDSN), on apprend qu’un représentant du ministre de l‘Intérieur a été présent au sein de l’agence lors des deux tours de la présidentielle.

L’agence a aussi mobilisé plusieurs entités, parfois pas toujours au fait du risque : « Des actions ont dû être conduites auprès de publics jusqu’alors peu impliqués face aux cybermenaces (Conseil d’État, Conseil constitutionnel) ou ne faisant pas partie des bénéficiaires de l’agence (partis politiques) ».

D’autres ont profité de cette sensibilisation, comme la Commission Nationale de contrôle de la campagne électorale (CNCCEP) et la Haute Autorité pour la transparence de la vie publique (HATVP). Les candidats ayant dépassé le seuil des 500 parrainages ont également eu droit à cette mise à jour. 

L’abandon du vote électronique

L’année a également été marquée par l’abandon du vote électronique pour les Français de l’étranger. Un épisode quelque peu précipité, critiqué, mais assumé par l’ANSSI.

Pour justifier cette décision, l’agence nous avait expliqué qu’« au vu des pièces fournies, le ministère ne sera pas en capacité d’homologuer le système » qui devait être alors déployé.

Toujours dans le document, Vincent Strubel, sous-directeur Expertise (SDE), ajoute que « nous ne disposions pas d’une solution satisfaisante d’authentification sur la plateforme en cours de développement et surtout nous avions identifié un contexte particulier d’augmentation forte de la menace sur le processus électoral comme cela venait d’être vécu durant les élections américaines. Nous voulions à tout prix éviter de générer une défiance sur le vote électronique. »

Le 2 octobre dernier, Emmanuel Macron a néanmoins promis devant l’Assemblée des Français de l’étranger, le retour au vote électronique d’ici les élections consulaires de 2020, non sans gonfler le torse : « Si nous ne sommes pas en capacité pour les prochaines élections de nous organiser pour avoir un système de vote étanche à toute attaque, ça ne s'appelle plus la France, notre pays ! ».

20 incidents majeurs en 2017, 1 000 systèmes d’information vitale

Si l’on quitte le terrain des élections pour plonger dans le risque « cyber », l’ANSSI a reçu 2 435 signalements en 2017. 1 621 ont été traités. Dans le lot, 20 incidents majeurs ont émaillé ses activités, sans grand détail, ces éléments étant classés.

Depuis la loi de programmation militaire, l’agence est montée en capacité juridique, d’abord pour accompagner une protection plus robuste des opérateurs d’importance vitale (OIV), ceux dont une défaillance « risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation » (article L1332-1 du Code de la défense). Les grands noms du nucléaire ou du transport aérien ont dû ainsi identifier « la liste de systèmes d'information d'importance vitale » suite à la publication de plusieurs décrets d’application.

L’idée est connue. « Dans ces secteurs critiques, on ne peut attendre la catastrophe pour réagir », commente Guillaume Poupard. « Ce sont des sujets trop sérieux pour les laisser aux bonnes intentions », ajoute-t-il pour expliquer l’intervention du législateur et des autorités règlementaires afin de créer « un écosystème de confiance » (prestataires labellisés, etc.). Selon le dernier décompte, 1 000 systèmes d’importance vitale ont été identifiés « comme critiques pour la sécurité de l’État, de la Nation, la vôtre, la mienne ».

Dans la queue de la comète de cette loi, « nous sommes dans la mise en œuvre des règles de sécurité. Les OIV travaillent beaucoup, la règlementation est un catalyseur qui les aide à en faire une priorité au-dessus de la pile » a encore commenté le numéro un de l’agence.

Une coopération avec l’ENISA

Sur le terrain européen, l’intéressé a plaidé pour une approche coordonnée avec l’ENISA, l’agence de sécurité informatique européenne. « Nos ennemis font tout pour notamment me faire dire que j’oppose l’autonomie de la stratégie européenne et la souveraineté nationale. Or, nous avons absolument besoin d’une Europe plus forte dans le domaine de la cybersécurité, cela inclut de la recherche et du développement, une politique industrielle et de la règlementation. Les 28 ou 27 doivent se saisir de ces sujets, avec des structures fortes comme l’ENISA ».

Dans son esprit, cette coopération volontariste peut ne pas empiéter sur la souveraineté nationale.

Le sujet sensible de la LPM 2019-2015, l'ombre du DPI

L’autre grand dossier de l’ANSSI est évidemment la LPM 2019-2025 qui sera examinée en mai au Sénat.  L’article 19 va permettre aux opérateurs de communications électroniques à installer d’eux-mêmes, à leur charge, des dispositifs calibrés pour utiliser sur le réseau des « marqueurs techniques » aux fins de cybersécurité.

Cette démarche leur permettra de proposer des offres commerciales taillées pour les besoins de leurs clients, comme nous le plaide depuis de longs mois Orange.

Pour expliquer cette législation, un agent de l’ANSSI a fait hier une démonstration imagée de ce travail de détection à l’entrée d’un ministère. Pour mémoire, ce texte va autoriser les uns et les autres à déployer légalement un système de deep packet inspection dédié à la cybersécurité.

Une intrusion profonde dans les paquets puisqu’il sera par exemple possible de scruter les pièces jointes aux mails ou les URL piégées afin d’actionner les signaux d’alerte.

Pour encadrer ces mesures, le projet de loi prévoit un contrôle par l’Arcep, contrôle qui a d’ailleurs été aiguisé à l’Assemblée nationale.

Pour « vendre » ce projet de loi, Poupard estime que « la détection d’attaque est absolument nécessaire. Si on ne cherche pas, il y a des attaques qu’on ne trouve pas ». D’où l’usage de marqueurs techniques destinés à repérer des traces d’attaques. « On parle bien de détection, pas d’intervention sur le flux de données » a-t-il tenu à préciser.

Sachant qu’il sait le chemin miné : chaque pas dans cette direction peut susciter quelques craintes légitimes sur le secret des correspondances, d’autant que l’histoire nous enseigne qu’une fois la porte ouverte, d’autres entités ne tarderont pas à scruter avec gourmandise de cet avenir sécurisé.

D’une certaine manière, l’enjeu de la nouvelle LPM est de propager le mouvement initié avec celle de 2013 en l’étendant des OIV aux FAI et hébergeurs, et même à tous les opérateurs. « Nous avions senti le besoin d’une évolution règlementaire ».

Côté ANSSI, les hébergeurs sont la cible première de cette législation en gestation, alors que la loi est beaucoup plus ample lorsqu’elle évoque les opérateurs. « Aujourd’hui nous avons une liste d’adresses IP, de serveurs, où on a la quasi-certitude qu’il y a des attaques très hostiles, mais nous n’avons pas les moyens règlementaires d’aller voir ».