En 2020, l’ANSSI n’a pas chômé avec des cyberattaques toujours plus nombreuses (notamment avec les rançongiciels), preuve en est avec le nombre d’incidents qui a quasiment doublé par rapport à 2019. L’Agence dresse le bilan de ses actions sur l’année écoulée, avec les yeux déjà tournés vers 2022 et l’Europe.
L’Agence nationale de la sécurité des systèmes d'information (ANSSI) publie aujourd’hui son rapport d’activité pour l’année 2020. Nul besoin de le préciser, mais elle était très particulière avec la pandémie de Covid-19 qui a entrainé des bouleversements importants aussi bien dans notre vie « physique » que numérique.
La crise sanitaire nous a conduits à « renouveler nos habitudes de travail », explique Guillaume Poupard dans son édito. En conséquence, « l’activité "cyber" n’a pas faibli, bien au contraire », ajoute-t-il. 2020 a été marqué par de nombreuses cyberattaques, notamment en direction des hôpitaux.
Moins d’agents ? C’est « un effet d’optique » explique Poupard
Fin 2020, l’ANSSI comptait 548 agents, dont 105 nouvelles recrues, pour mener à bien ses missions. Des chiffres en baisse sur un an puisqu’il y avait 610 agents fin 2019 (avec 118 nouvelles recrues) et même 568 agents fin 2018. L’âge moyen de son personnel est de 37 ans, un chiffre qui ne change quasiment pas depuis quelques années.
Durant la conférence de presse, Guillaume Poupard nous explique que cette baisse est « un effet d’optique ». Au sein de l’ANSSI, il y avait une sous-direction – d’une centaine de personnes – qui s’occupait notamment des communications de niveau classifié. « Le choix a été fait de les fusionner avec une autre entité du SGDSN », ajoute le patron de l’Agence en précisant qu’on ne lui a pas forcé la main
« On va créer un nouvel opérateur à côté de l’ANSSI qui s’appelle l’Opérateur des systèmes d’information interministériels classifiés (OSIIC) qui a mécaniquement retiré 100 agents à l’ANSSI […] En pratique c’est bien une croissance de 50 agents » et d’un point de vue des moyens c’est plutôt positif pour Guillaume Poupard.
Sur l’année 2020, l’Agence disposait d’un budget de 21 millions d’euros pour son fonctionnement, hors masse salariale.
L’année 2020 passée était placée sous le signe de l’ouverture, avec de nombreuses annonces allant en ce sens. En janvier 2020, l’Agence publiait ainsi son manifeste (d’une quarantaine de pages) pour les dix prochaines années, avec neuf axes d’orientations stratégiques.
Elle y indique vouloir jouer pleinement son « rôle d’éclaireur des transformations numériques », renforcer son efficacité opérationnelle, se mettre davantage au service de la formation en cybersécurité, développer des synergies opérationnelles, renforcer son engagement européen, etc.
En juillet, c’était la création de l’Opérateur des systèmes d’information interministériels classifiés (OSIIC) au sein du Secrétariat général de la défense et de la sécurité nationale (SGDSN). Son but est de « développer et de mettre en œuvre les moyens de communication sécurisés ; de concevoir et de déployer les systèmes d’information classifiés interministériels ».
Dans l’objectif d’une plus grande ouverture, elle publiait ses « Papiers numériques », dans lesquels il était notamment question du nouveau Campus Cyber. Elle préparait aussi l’ouverture de son antenne à Rennes, prévue à partir de septembre de cette année avec 200 personnes à terme. L’ANSSI a aussi lancé sa plateforme talents.ssi.gouv.fr dédiée au recrutement en juin 2020.
- Cybersécurité : l’ANSSI joue la carte de l’ouverture avec ses « Papiers numériques »
- Campus Cyber en France : « Mon objectif est de construire un porte-avion »
Des participations dans StopCovid et le plan France Relance
Dès le début de la pandémie, l’ANSSI a participé à la sécurisation des systèmes d’information de gestion de crise, notamment dans le cadre de l’application StopCovid, devenue par la suite TousAntiCovid. L’Agence a aussi en charge le pilotage du volet cybersécurité de 136 millions d’euros du plan France Relance.
Elle s’implique aussi au niveau européen où elle apportera son expertise sur des travaux de la Commission européenne afin de « proposer un règlement visant à renforcer la cybersécurité des institutions » sur le vieux continent.
Des signalements stables, le nombre d’incidents double
Un gros morceau du rapport concerne la défense et la réaction face aux menaces cyber. Si elles sont toujours plus nombreuses, elles ne sont pas spécialement surprenantes pour autant : « Les tendances observées en 2019 se sont confirmées en 2020 ».
En tout, 2 287 signalements et 759 incidents ont été adressés à l’ANSSI, soit une moyenne de deux par jour tout de même. Dans le lot, il y en a sept qui sont considérés comme « majeurs », sans plus de précisions. En 2019, il y avait eu 2 296 signalements, mais « seulement » 370 incidents dont neuf classés comme « majeurs ».
Enfin, 20 opérations de défenses se sont déroulées, contre 16 un an auparavant.
Arrivée des indicateurs de compromission
Dans la longue liste des cybermenaces, le rançongiciel a le vent en poupe : le nombre de signalements a été multiplié par quatre. Si aucun secteur n’est épargné, les victimes sont principalement des collectivités territoriales, des établissements de santé et des entreprises du secteur de l’industrie. Selon l’ANSSI, il n’y aurait qu’une petite poignée de groupe et chacun ne comporterait pas des centaines de membres.
Face à cette vague, le premier indicateur de compromission était mis en ligne début 2020 après l’attaque par le rançongiciel Maze sur le groupe Bouygues Construction. Il s’agit d’informations – « qualifiées ou non par l'ANSSI » – et partagées publiquement à des fins de prévention. Ces marqueurs techniques « peuvent être utilisés à des fins de détection et de blocage de cette menace ».
Cinq indicateurs de compromission ont été mis en ligne en 2020, et pour le moment trois cette année. Le dernier date de février et concerne les attaques « ciblant le logiciel de supervision Centreon ».
« Des dispositifs de détection système »
« Les menaces stratégiques, l’espionnage et les attaques par chaîne d’approvisionnement constituent également les
phénomènes les plus observés durant l’année écoulée », explique l’Agence. Afin de limiter les dégâts, « l’année 2020 a été marquée par l’émergence des dispositifs de détection système, qui viennent compléter les moyens de détection existants. Ces nouveaux dispositifs ont notamment montré leur plus-value dans le cadre d’opérations de réponse à incident en permettant de suivre les actions de l’attaquant et de vérifier l’efficacité des mesures ».
En septembre s’est déroulée la seconde édition de l'exercice Blue OLEx (Blue Blueprint Operational Level Exercise). Son but était de « renforcer la coordination entre les acteurs de la cybersécurité en Europe », avec notamment la création officielle du réseau CyCLONe (Cyber Crisis Liaison Organisation Network) « pour la préparation et la gestion des crises cyber par les États membres ».
SecNumedu(-FC), SecNumacadémie et Cybermoi/s
Enfin le dernier point mis en avant concerne l’éducation au sens large. 64 formations labellisées SecNumedu (57 en 2019) – un programme visant à labelliser des formations supérieures en sécurité du numérique – se sont déroulées en 2020 et 76 SecNumedu-FC, avec FC pour Formation Continue. Selon l’Agence, « ces deux labels connaissent un succès croissant. En 2020, 29 formations supplémentaires ont été labellisées ».
Elle rappelle au passage qu’elle dispose d’un programme en ligne de sensibilisation à la sécurité du numérique qui s’adresse à tous : SecNumacadémie. Du changement se prépare : « La plateforme du MOOC SecNumacadémie va évoluer dans les mois à venir. Aussi, nous vous recommandons de terminer tous vos modules en cours et de télécharger votre attestation de réussite avant le 30 juin 2021 ».
L’ANSSI annonce avoir enregistré « 45 000 visites sur le site Internet du Cybermoi/s durant le mois d’octobre 2020 ». Il s’agit pour rappel de la version française du Mois européen de la cybersécurité. L’année dernière, le site a fait peau neuve.
Se préparer pour des enjeux européens début 2022
Guillaume Poupard a déjà les yeux tournés vers l’avenir, plus précisément le premier semestre 2022 quand la France présidera le Conseil de l’Union européenne. Pendant six mois, l’hexagone en profitera pour essayer de pousser plusieurs sujets. Des députés veulent par exemple en profiter pour essayer d’unifier l’Europe « contre » les géants du Net (nous y reviendrons dans une prochaine actualité).
De son côté, l’ANSSI « est déjà pleinement mobilisée pour contribuer à la réussite de cette présidence ainsi qu’aux échéances qui permettront le développement de la sécurité et de la confiance numériques de notre pays dans les années à venir ».
