L’agence française dédiée à la cybersécurité fête cette semaine ses 10 ans. A occasion de son Cyber Festival, l’ANSSI a réuni tous l’écosystème cyber français. Son directeur, Guillaume Poupard, a dressé les grandes lignes d’une action qui ne fera que s’intensifier ces prochaines années : formation, Open Source et ouverture des données techniques.
C’est au Ground Control, lieu branché du XIIe arrondissement de Paris, que l’ANSSI a choisi de fêter ses dix années d’existence. L’agence de cybersécurité française aujourd’hui dirigée par Guillaume Poupard a organisé un événement qui a notamment vu se succéder les interventions d’Henri Verdier, ambassadeur pour le numérique, Cédric Villani, député et ancien directeur de l’Institut Henri-Poincaré, Bruno Sportisse, le président de l’INRIA et Cédric O, secrétaire d’Etat chargé du numérique.
L’ANSSI, une naissance plutôt compliquée
Patrick Pailloux, premier directeur général de l’ANSSI était présent pour commémorer les 10 ans de l’agence qu’il a fondée en 2009. Il est revenu sur les débuts de l’agence : « J’ai été nommé patron non pas de l’ANSSI, mais de ce que l’on appelait la DCSSI (direction centrale de la sécurité des systèmes d’information) à l’époque. C’était en 2005. » Ce pionnier de la cybersécurité de l’Etat français a rappelé qu’alors la grande problématique était le chiffrement, notamment les règles d’usage très restrictives à l’époque. La lutte contre les cyberattaques n’en était alors qu’à ses débuts. « Le CERTA (Centre d’Expertise gouvernemental de Réponse et de Traitement des Attaques informatiques) ne comptait que 10 personnes chargées de contrer les attaques informatiques, une équipe inquiète car on s’imaginait déjà ce qui allait se passer. Nous devions convaincre des gens qui ne savaient pas ce dont on parlait. Les deux références étaient le virus informatique ILOVEYOU et quelques films de hackers. Nous voyions les vagues d’attaques arriver et avec Francis Delon, secrétaire général de la défense nationale de l’époque, ce ne fut pas si simple que cela de créer l’ANSSI et nous avons dû nous y prendre à trois fois avant. Ce ne fut pas un long fleuve tranquille. »
« Ce qui a façonné l’ANSSI, ce sont les premières grandes attaques qui ont touchées les administrations, les grandes entreprises, des attaques pour certaines médiatisées, d’autres pas » Patrick Pailloux
Guillaume Poupard fixe 3 priorités à l’agence pour l’avenir
Au moment de sa création, l’ANSSI comptait 80 personnes et le CERTA 10 autres personnes, l’agence compte aujourd’hui 600 personnes. Si la mission initiale de l’ANSSI ne change pas, celle de protéger le périmètre régalien de l’Etat, Guillaume Poupard a souligné sa volonté d’ouverture : « Les grandes orientations de l’ANSSI se structurent autour de trois axes. Il s’agit d’une part de la formation. Nous devons aller plus avant dans la formation d’experts mais pas seulement. Il nous faut corriger l’idée qu’il y a d’un côté des gens qui développent des solutions mal fichues et de l’autre des gens qui font de la sécurité et qui passent leur temps à râler. C’est un modèle qui ne fonctionne pas, et il faut renverser cette logique, reprendre les choses à la base. Nous devons travailler avec l’Education Nationale, faire de la formation mais aussi faire ce que l’on met sous le vocable de co-construction, c’est-à-dire partager beaucoup plus ce que nous faisons avec la recherche, créer des équipes de recherche communes. » Au niveau développement, le directeur de l’ANSSI a rappelé son attachement à l’Open Source. L’agence a notamment publié CLIP OS, sa distribution Linux ultra-sécurisée officiellement dévoilée en 2018 mais sur laquelle l’agence travaillait de longue date. Plus récemment, l’agence proposait Wookey, un disque dur chiffré, en Open Hardware. « Nous allons continuer à développer de l’Open Source avec une règle à laquelle je tiens : on publie tout en Open Source, sauf ce que l’on ne peut pas y mettre, et pas l’inverse. Vous verrez de plus en plus de productions de l’ANSSI partagées en Open Source car c’est aussi une manière de rechercher des effets de levier pour mieux sécuriser l’écosystème. »
Ouvrir les données techniques collectées par l’agence, une problématique complexe
Autre sujet chaud pour l’agence, celui de l’exploitation des données techniques. L’agence s’est dotée d’un Data Lake pour collecter des données et dispose du droit de poser des sondes réseaux chez des hébergeurs, dans les limites de la législation. Exploiter les données de ce Data Lake au moyen d’algorithmes d’Intelligence Artificielle ou des nouvelles solutions pour détecter des APT ou déjouer des attaques en tous genres est un enjeu clé pour Guillaume Poupard. « Nous avons mis en place un Data Lake il y a assez longtemps, avant que cela soit à la mode. L’idée est d’avoir de plus en plus d’informations techniques dans lesquelles nous allons chercher à détecter des anomalies. Le Big Data, c’est chercher des aiguilles dans des bottes de foin. Nous le faisons en interne sur nos infrastructures comme la réglementation nous permet de le faire car nous devons être très prudents dès lors que l’on manipule de la donnée. Nous voulons inviter nos partenaires industriels et des startups à venir tester leurs idées chez nous. Plutôt que de distribuer à l’extérieur des données qui sont trop sensibles, nous allons maintenir ces données chez nous, mais permettre à des acteurs extérieurs de venir travailler sur ces données dans des conditions maîtrisées. »
« L’idée est d’ouvrir l’action de l’agence lE plus fort possible auprès de nos partenaires actuels, mais aussi de l’écosystème des startups » Guillaume Poupard
Durant toute la manifestation, le leitmotiv du directeur de l’ANSSI a bien été de pousser en faveur de l’ouverture de l’agence à l’écosystème cybersécurité français. Un renforcement du partenariat avec l’INRIA ira probablement jusqu’à la mise en place d’équipes communes. Le responsable devra trouver le bon équilibre entre innovation et protection.
L’ANSSI, une petite entreprise qui ne connaît pas la crise
Pour l’heure, alors que l’Etat français serre la ceinture de ses administrations, l’ANSSI ne connaît pas la crise. L’agence compte 600 personnes aujourd’hui et va continuer à croître au rythme de 50 postes par an pour quelques années encore. « C’est un véritable effort qui est fait au niveau de l’Etat » reconnaît aisément Guillaume Poupard. « L’idée n’est pas de passer de 600 à 1 000 personnes avec une capacité proportionnelle, ce serait un échec. L’idée est d’utiliser ces nouvelles ressources pour aller vers l’ouverture, cette co-construction pour que l’efficacité croisse de manière exponentielle. Ces nouvelles ressources vont nous permettre de faire de la formation, travailler à l’extérieur, travailler différemment et ne pas simplement doubler l’existant, ce qui serait une erreur. »
Partie émergée de l’action de l’ANSSI, notamment du côté des fournisseurs, la qualification et la certification des solutions et services de cybersécurité. Philippe Blot, chef de la division produits et services de sécurité de l’ANSSI a expliqué que 80 acteurs possèdent aujourd’hui une ou plusieurs qualifications de l’ANSSI. « Une centaine de certificats délivrés par an et 174 visas délivrés en 2018 et 14 centres d’évaluation. C’est un écosystème d’offreurs et aussi des partenaires que sont les centres d’évaluation CESTI. » Cette démarche de certification va s’élargir à l’échelle européenne puisque Philippe Blot a révélé que le règlement relatif à la certification européenne doit être publié au journal officiel le 7 juin prochain. La France aura alors 20 jours pour sa mise en application. « La certification européenne devient une réalité » a-t-il ajouté. « L’ENISA et la commission européenne vont lancer des procédures d’appel afin de constituer les stakeholders groups, c’est-à-dire les gens qui vont pouvoir influencer le programme de travail de l’Europe en manière de certification de sécurité. Nous allons essayer d’organiser une concertation française donc n’hésitez pas à consulter les appels de l’Europe et nous informer de votre intérêt à participer aux débats. »
ce Cyber Festival de l’ANSSI aura permis par ailleurs de découvrir de multiples aspects de la cybersécurité moderne, notamment des démonstrations sur la sécurité des objets et véhicules connectés. L’occasion aussi de découvrir le Cyber Range, l’installation de simulation utilisé par les experts de l’ANSSI pour tester les solutions que leur soumettent les éditeurs (photo ci-dessus).
Auteur : Alain Clapaud