« Vive la cybersécurité positive ! » : l’ANSSI pousse son grand cri de Monaco

« Vive la cybersécurité positive ! » : l’ANSSI pousse son grand cri de Monaco

Qui, quoi, Qwant ?

Avatar de l'auteur
Marc Rees

Publié dans

Internet

10/10/2019 10 minutes
10

« Vive la cybersécurité positive ! » : l’ANSSI pousse son grand cri de Monaco

À l’occasion des Assises de la Sécurité à Monaco, Guillaume Poupard, numéro un de l’ANSSI, a dressé un long bilan d’activités, non sans dessiner la route à suivre pour les années à venir : mettre fin à la « politique de la terreur » en matière de cybersécurité. Compte rendu.

L’ANSSI semble de prime abord conquise. Entre l’Enisa (European Union Agency for Cybersecurity), la directive NIS et le Cyber Act européen, toutes ces initiatives « nous permettent d’avancer », indique Guillaume Poupard, lequel aspire toujours à l’avènement d’une Europe de la cybersécurité.

À l’échelle internationale, si « l’agressivité domine », reconnaît-il, le patron de la célèbre Agence pour la sécurité des systèmes d’information se félicite que des États commencent à prendre en compte les questions cybers. 

Pour éviter que cet univers ne soit qu’un lieu de conflits, ses yeux sont tournés vers l’appel de Paris. Ce texte, qui fêtera son premier anniversaire le 12 novembre prochain, est d’apparence « un truc de hippies », puisqu’un appel à la paix dans le cyberespace. En réalité, il aurait plusieurs vertus, dont celle d’identifier ceux qui n’ont pas encore signé le document. Une manière de les mettre face à leurs responsabilités, en contraste avec les 450 signataires actuels.

Un message subliminal adressé aux DSSI

Dans un communiqué publié au même moment, l’ANSSI exhorte à changer de braquet à l’égard des décideurs : « Le concept même de cybersécurité doit évoluer, pour être perçu favorablement par tous. Les professionnels de la sécurité numérique doivent aujourd’hui assumer un rôle de conseil et d’accompagnement des projets, même les plus innovants ».

Pour Guillaume Poupard, durant l’assemblée plénière des Assises de Monaco, « on a longtemps dû ajouter des ressorts de peur et de terreur pour porter les messages de cybersécurité ».

Se contenter d’agiter ces épouvantails serait désormais inefficace. « Ce qu’il faut aujourd’hui, c’est se rapprocher de ceux qui font l’innovation, portent les systèmes et leur apporter notre aide, non des problèmes. (…) On doit porter un discours positif. Il y a une vitalité, une innovation dans ce secteur ».

Guillaume Poupard ANSSI

De cette « cybersécurité positive », on pourrait d’ailleurs dresser un pont avec le RGPD, très souvent présenté comme un empilement de contraintes et de coûts, en repoussant à l’arrière-plan l’importance des données personnelles ou les opportunités nées de leur respect.  « Il faut être optimiste dans nos métiers, sinon on ne s’en sort pas ! »

Cette ligne affichée en plénière est « un message subliminal à l’attention des RSSI » admet Guillaume Poupard quelques instants plus tard, lors d’une conférence de presse à laquelle nous assistions. « On fait rarement rêver un décideur sur la sécurité. Il faut sortir de la politique de la terreur, dépasser le côté anxiogène ».

122 opérateurs de services essentiels (OSE)

122 opérateurs de services essentiels ont été identifiées. Le chiffre est identique à celui révélé en avril 2019. Pour mémoire, l’expression vise des acteurs privés ou publics, dont le rôle est jugé crucial pour le maintien des fonctions sociétales et économiques, ceux dont un incident aurait un effet disruptif important sur la fourniture du service.

On retrouve dans cette besace les points d'échange internet (IXP, Service d'interconnexion pour l'échange de trafic), les fournisseurs de DNS et les registres de noms de domaine de premier niveau (voir cette note de l’ANSSI).

C’est la directive NIS (Network Information System) qui a fixé cette liste minimale dans le secteur des nouvelles technologies. « Il y a beaucoup de discussions à l’échelle européenne, on aimerait savoir comment harmoniser », commente le représentant de l’ANSSI. Et pour cause, « en France, nous allons au-delà de cette liste ». Ainsi, parmi les acteurs importants pour notre économie ou notre société, on trouve Pôle emploi. « Ce n’est pas un opérateur d’importance vitale, mais bien un acteur fondamental pour notre société ».

Certains acteurs ont volontairement contacté l’agence pour être considérés comme OSE. « Ils voient un intérêt à disposer d’une réglementation pour développer leur secteur. D’autres au contraire nous disent ne pas être prêts, notamment au regard des règles à respecter, jugées trop compliquées ».

La lente montée en puissance va se poursuivre. « Il y a un an, désigner 1 000 OSE c’était faire exploser le système ». L’ANSSI a préféré mettre le cap vers une logique d’accompagnement, sachant que dans le même temps, les nouveaux entrants doivent pouvoir profiter d’une offre suffisante aussi bien pour la détection d’incidents, les audits, etc. Autant d’obligations pesant sur ce secteur régulé. « Nous devons avoir un maximum d’opérateurs de services essentiels, mais il faut avancer intelligemment ».

L’ANSSI déçue de l’attaque de la Quadrature du Net contre le décret LPM

L’actualité de l’agence concerne également la loi de programmation militaire qui autorise les acteurs privés ou l’autorité à installer des sondes pour détecter des menaces cyber. Son décret d’application a toutefois été attaqué par la Quadrature du Net, qui dénonce notamment des flous dans le dispositif, avec dans l’ombre, le deep packet inspection.

« Nous avons été déçus d’être attaqués, alors qu’on pensait avoir fait tout ce qui était en notre pouvoir pour expliquer notre démarche », regrette Guillaume Poupard. « Je comprends la logique d’être très prudent avec tout ce qui peut porter atteinte aux libertés individuelles. Je pense qu’on a démontré qu’on n’était pas les derniers à partager les craintes et même d’avoir été un peu en pointe pour éviter que les choses ne délirent».

Selon le responsable de l’ANSSI, la requête portée par la Quadrature du Net contiendrait « beaucoup d’erreurs et de fautes ». Pas de détail supplémentaire, le dossier étant entre les mains du Conseil d’État.

Alicem, l’identité biométrique sous l’œil de l’agence

Autre chantier qui a mobilisé les équipes : Alicem. Avec cette  « Authentification en ligne certifiée sur mobile », les titulaires d’un passeport biométrique ou d’un titre de séjour étranger électronique pourront bientôt s’identifier sur les sites de services publics ou privés.

Le décret publié en mai dernier a toutefois été critiqué dès sa naissance par la CNIL, laquelle regrette en particulier que l’Intérieur n’ait prévu d’alternative. La Quadrature du Net a embrayé avec un nouveau recours devant le Conseil d’État.

« Nous travaillons depuis l’origine avec l’Agence nationale des titres sécurisés [ANTS, ndlr]. C’est un projet intéressant. Nous avons besoin d’une identité numérique. Pour plein de raison, notamment de sécurité numérique. Il faut toutefois bien le faire. Cela ne doit pas être un outil de contrôle des populations, mais là c’est un débat essentiel qui nous dépasse » reconnait Guillaume Poupard.

« L’idée de départ est qu’on a déjà un support d’identité, pas toutes les personnes, ce sont celles qui ont un passeport biométrique, délivré dans des conditions robustes, ajoute-t-il. Parmi elles, nombreuses ont un téléphone Android, qui peut parler avec un passeport. On peut donc en faire un outil d’identité numérique. Nous restons dans notre rôle. On s’assure de la sécurisation du système, qui ne peut être fraudé, qui ne peut avoir d’effet de bord ».

 

L’audit de Qwant se poursuit

Autre question soulevée durant les échanges, celle de la souveraineté.

La doctrine de l’ANSSI sur les offres proposées par les « GAFAM » est empreinte de prudence. « Refuser une technologie, c’est la garantie de disparaître à moyen ou long terme. Nous avons besoin de travailler avec les meilleurs, mais l’enjeu est de savoir faire selon les usages, les applications, pour trouver l’optimum entre souveraineté, sécurité et coûts. Je n’ai pas l’algorithme qui donne la bonne réponse, mais toute démarche trop doctrinale est vouée à l‘échec. C’est dans les extrêmes où l’on se plante ».

Une certitude, « une grande entreprise sensible peut utiliser des systèmes développés par les GAFAM, mais certains systèmes sensibles, d’importance vitale, exigent de redoubler de précautions notamment sur la question des droits ». À l’index, l’application extraterritoriale du système juridique américain.

Sur ce thème, où en est le dossier Qwant ? « Il y a en effet un double audit DINSIC-ANSSI demandé par le secrétaire d’État au numérique. C’est [toujours] en cours, ce qui est déjà une très bonne raison pour ne pas dire ce qu’il en est ». L’enjeu de cet audit est d’installer le moteur sur l’ensemble des postes des administrations (notre actualité).

Guillaume Poupard le concède : « Le sujet n’est pas simple. Tout est déjà dans la presse. Qwant n’est pas un concurrent uniquement français ex nihilo face au moteur de recherche dominant, mais en même temps ce besoin politique et d’avoir une démarche de souveraineté sur le sujet des requêtes est forcément intéressant pour un décideur politique ».

Il juge en tout cas sain « que le politique demande aux administrations compétentes de faire ces vérifications sur l’état réel du système ». Au final, « ce sera à Cédric O de communiquer là-dessus »

Campus de la cybersécurité, Cybermalveillance 

L’actualité de cette entité, qui fête ses 10 ans, est également marquée par le vif intérêt pour le projet de Campus de la cybersécurité, annoncé cet été par le gouvernement.

Michel Van Den Berghe (Orange Cyberdefense) a été chargé d’une mission de préfiguration de ce campus qui réunira des compétences de divers horizons. « L’agence apportera au projet son expertise en matière de sécurité numérique » annonce l’ANSSI. Un tel projet « offre une belle opportunité pour décloisonner les activités publiques et privées. Il jouera un rôle important de catalyseur et de vitrine internationale du dynamisme et de l’engagement de l’écosystème français », s’enchante Guillaume Poupard.

En marge de ces échanges, nous avons encore appris que la plateforme Cybermalveillance évoluera bientôt, sans doute début 2020. Si aujourd’hui cette plateforme d’assistance mise en œuvre par l’ANSSI met en relation les particuliers avec une liste de professionnels situés à proximité, demain la logique sera d’une certaine manière inversée : une fois relatés ces problèmes de cybermalveillance, ce sont les prestataires locaux qui contacteront les victimes.

10

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Un message subliminal adressé aux DSSI

122 opérateurs de services essentiels (OSE)

L’ANSSI déçue de l’attaque de la Quadrature du Net contre le décret LPM

Alicem, l’identité biométrique sous l’œil de l’agence

L’audit de Qwant se poursuit

Campus de la cybersécurité, Cybermalveillance 

Commentaires (10)


“C’est [toujours] en cours, ce qui est déjà une très bonne raison pour ne pas dire ce qu’il en est.”

Et M. POURPARD d’ajouter: “Le sujet n’est pas simple. Tout est déjà dans la presse. Qwant n’est pas un concurrent uniquement français ex nihilo face au moteur de recherche dominant”



Ah ben, on doit comprendre qu’ils répondent un peu non ?


« un téléphone Android […] système qui ne peut être fraudé, qui ne peut avoir d’effet de bord »



<img data-src=" />





« installer le moteur sur l’ensemble des postes des administrations »



Depuis quand ça s’installe un moteur de recherche web ?




« Nous avons été déçus d’être attaqués, alors qu’on pensait avoir fait tout ce qui était en notre pouvoir pour expliquer notre démarche », regrette Guillaume Poupard.



L’ANSSI, oui, très probablement. Mais ce n’est à priori pas l’ANSSI qui rédige les décrets d’application, il me semble.



Dit autrement, il a l’air de prendre à son compte un reproche fait envers une autre entité.



Sujet intéressant quoi qu’il en soit. Pour la partie sur la communication positive, dans la structure dont je fais partie, présenter ça comme “ça permet de faire ça, ça et ça” semble rencontrer beaucoup moins d’écho que “ça va coûter tant (en terme de fric ou de risque juridique/opérationnel)”, hélas. <img data-src=" />



Autant je plussoie pour la communication technicien à technicien (genre un expert sécurité et un dev, par exemple), autant à destination de quelqu’un pour qui l’informatique relève de la magie, je nourris plus de doutes <img data-src=" />



[Captain Obvious] je ne prétends pas généraliser mon expérience perso mais l’impression que j’en retire après en avoir discuter à droite à gauche[/captain]








Mihashi a écrit :



« un téléphone Android […] système qui ne peut être fraudé, qui ne peut avoir d’effet de bord »



<img data-src=" />





« installer le moteur sur l’ensemble des postes des administrations »



Depuis quand ça s’installe un moteur de recherche web ?



Ils le rajoutent sur tous les Firefox des PC de l’Administration, avec un bouton d’accès direct à droite de la barre d’adresse.

Et moi je me fais un plaisir de le virer de mon poste quand je le vois <img data-src=" />



T’es un rebelle, toi !








Mihashi a écrit :



« un téléphone Android , qui peut parler avec un passeport.[…] système qui ne peut être fraudé, qui ne peut avoir d’effet de bord »



<img data-src=" />





Si tu enlèves l’élément clé tu détournes le sens c’est le passeport (lu par un smartphone) qui ne peut pas être fraudé, et là y’a rien de drôle vu que c’est parfaitement vrai…









Mihashi a écrit :



« installer le moteur sur l’ensemble des postes des administrations »



Depuis quand ça s’installe un moteur de recherche web ?



Depuis la nuit des temps il y’a un moteur de recherche par défaut dans les navigateurs et c’est bien un truc que tu installes et déploies en central (via la GPO par ex pour IE)









fofo9012 a écrit :



Si tu enlèves l’élément clé tu détournes le sens c’est le passeport (lu par un smartphone) qui ne peut pas être fraudé, et là y’a rien de drôle vu que c’est parfaitement vrai…





Mais vu que les smartphones sont de vraies passoires…

Et même si leur système parvient quand même à éviter la fraude, l’utilisateur prend lui un gros risque pour ses données sensibles.







fofo9012 a écrit :



Depuis la nuit des temps il y’a un moteur de recherche par défaut dans les navigateurs et c’est bien un truc que tu installes et déploies en central (via la GPO par ex pour IE)





Ça se configure, donc. C’est pas une installation.





“Je comprends la logique d’être très prudent avec tout ce qui peut porter atteinte aux libertés individuelles. Je pense qu’on a démontré qu’on n’était pas les derniers à partager les craintes et même d’avoir été un peu en pointe pour éviter que les choses ne délirent.”





MENTEUR ! <img data-src=" />



Et le fichier génétique des violeurs… que la police aujourd’hui rempli avec l’ADN des opposants politiques pacifistes? (faucheurs d’OGM, gilets jaunes…) <img data-src=" />








Mihashi a écrit :



Mais vu que les smartphones sont de vraies passoires…

Et même si leur système parvient quand même à éviter la fraude, l’utilisateur prend lui un gros risque pour ses données sensibles.



Tu racontes n’importe quoi !









fofo9012 a écrit :



Tu racontes n’importe quoi !



Cette phrase est ce qu’on appelle une argumentation convainquante.