INTERVIEW
« Elever le niveau
de sécurité des OIV avec des règles strictes »
Guillaume Poupard, DG de l’ANSSI
Alors que les premiers décrets pour les OIV sont en application depuis le 1er juillet et que le nouveau règlement général de l’UE sur la protection des données (GDPR) a été adopté, Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), nous donne sa lecture des enjeux de cybersécurité.
- Quels liens doivent se tisser entre PME et OIV ?
Aujourd’hui en accord avec la législation, l’ANSSI travaille avec les OIV pour élever leur niveau de sécurité et plus particulièrement ceux de leurs systèmes d’information les plus critiques. En termes cyber cela n’a pas de sens de traiter les OIV et leurs sous-traitants dans un même cadre juridique car chacun pourrait se renvoyer la balle en cas de désaccord. Notre idée est donc d’imposer aux OIV des règles strictes, charge à eux de les répercuter auprès des acteurs de leur propre écosystème. On reste alors dans une relation classique entre industriels et sous-traitants.
- Quel regard portez-vous sur le développement et l’innovation avec les PME du secteur de la cybersécurité ?
Certains industriels réalisent beaucoup de co-développement avec des PME partenaires et apportent leurs propres outils de sécurité à ces PME, typiquement sous la forme de solutions de sécurité intégrées. C’est une piste intéressante que nous encourageons et que nous suivons de près.
- Quel niveau de sécurité doit accompagner l’échange de données stratégiques entre OIV et PME sous-traitantes par exemple ?
Nous avons réalisé avec la CGPME un guide pour sensibiliser les PME aux menaces informatiques et aux bonnes pratiques à mettre en œuvre dans les PME Nous participons aussi au développement de produits dédiés à ces PME en prenant en compte le fait que l’aspect fonctionnel (usage, ergonomie) puisse aujourd’hui compter autant que les aspects purement liés à la performance technique.
L’ANSSI peut également être amenée à intervenir en cas d’« OPA hostiles » dirigées contre des sociétés cyber en s’appuyant sur le décret dit « IEF » introduit par M. Alain Juillet sur les investissements étrangers en France. Il ne s’agit pas tant de protectionnisme français que d’aider les entreprises à se protéger contre des investissements hostiles tout en permettant des investissements vertueux. Attention, nous ne bloquons en général pas les acquisitions mais le dispositif permet d’aménager un cadre rassurant dans lequel les différentes parties s’engagent et qui se traduit typiquement par des engagements et la mise en place des comités de surveillance par exemple. C’est plus un droit de regard qu’autre chose pour conserver un bon équilibre.
- Quelle lecture faites-vous du nouveau règlement général de l’UE sur la protection des données (RGPD) ?
C’est davantage un texte qui concerne la CNIL. Il précise le cadre de protection nécessaire aux données personnelles qui sont traitées au sein des entreprises. La CNIL protège les données. L’ANSSI, le contenant que constituent les systèmes d’information. Je vous accorde que les données étant hébergées par les SI, les deux approches sont intimement liées. Il faut absolument éviter que des positions contradictoires apparaissent : c’est, je crois, le véritable enjeu qui explique d’ailleurs les excellentes relations que nous entretenons entre la CNIL et l’ANSSI.
- Au plan de la cybersécurité, comment les SIIV (Systeme d’information d’importance vitale) connectés des OIV doivent s’adapter aux contraintes de la LPM (Loi de programmation militaire) ?
Ce sont les OIV qui identifient leurs SI les plus critiques, seuls concernés par les règles issues de la LPM. Certains peuvent êtres interconnectés à l’étranger. Des contrôles peuvent y être faits. Ceux parmi les plus critiques sont effectués par les équipes de l’ANSSI, les autres par des profils tels que des prestataires de confiance, qualifiés par l’ANSSI, les PASSI (lire l’encadré : OIV : quelles obligations ?).
- Quelle est la dimension européenne de l’ANSSI et des autres agences en Europe ?
Au niveau des agences en charge des mêmes missions que l’ANSSI, il n’existe pas de G29 comme pour les CNIL européennes. La directive NIS que nous connaissons bien pour avoir participé à sa rédaction précise que les Etats doivent rester responsables de leurs OIV pour des questions de souveraineté nationale. La directive NIS précise également que chaque pays doit avoir une agence dédiée à la cybersécurité. Ce n’est pas le cas aujourd’hui. La directive impose aussi que ces agences travaillent en réseau sur une base volontaire entre elles ainsi qu’avec l’ENISA. A noter qu’un français, Jean Baptiste Demaison, actuellement un agent chargé d’affaires internationales à l’ANSSI, vient d’être nommé à la présidence du conseil d’administration de l’ENISA. Ceci traduit notre volonté d’encore plus impliquer cette agence européenne dans la montée en compétence des différents états membres.
En revanche une entité européenne de type G29 n’est pas nécessaire pour une simple raison : en cas de cyberattaques sur un OIV nous ne voulons pas être dans l’obligation d’en informer systématiquement tous les autres pays, sauf en cas de nécessité. Toutefois, au niveau international cela ne doit pas empêcher une harmonisation des niveaux de sécurité entre les acteurs majeurs de chaque pays de l’Union européenne.
- Vous décrivez une situation paradoxale avec d’un côté un souci de discrétion et de souveraineté, et d’un autre coté une volonté d’échanges techniques sur les cyberattaques entre ingénieurs. Comment gérer en pratique une telle stratégie ?
C’est exact et je ne dis pas que tout est facile dans notre métier. C’est aux agences de trier ce qui doit être dit et ce qui doit être conservé en interne. Notre métier consiste en permanence à se demander : que doit-on communiquer ? Notre rôle c’est aussi de s’assurer que les OIV prennent bien en compte toutes les cyber-menaces possibles et leurs conséquences. Ainsi un DAB peut être seulement bloqué, sans vol d’argent, comme en Corée récemment. La population ne pouvait plus retirer d’argent et en moins de 6h00 les premières scènes d’émeute apparaissaient. C’est aussi cela la cyberprotection.
- Quelle vision avez-vous de la mise en place d’une stratégie européenne de l’ANSSI ?
A ce jour, nous ne sommes que quelques agences à réellement travailler ensemble en Europe, bien loin de 28 ou 27 ! Nos démarches communes consistent avant tout à protéger les biens communs comme ceux de la Commission et du Parlement européen pour qu’ils possèdent un bon niveau de cybersécurité. Dans un autre cadre, l’OTAN et l’interopérabilité entre systèmes militaires est également un autre sujet sur lequel nous travaillons pour que les armées puissent agir en coalition, par exemple via une normalisation des protocoles de chiffrement.
- En matière d’évaluation où en sommes-nous sur les accords de reconnaissance mutuelle ?
Nous avons deux niveaux d’accords : un très large géographiquement, le « CCRA », et par conséquent limitant fortement le niveau de reconnaissance mutuelle ainsi qu’un autre accord intra-européen, le « SOG-IS », qui concerne seulement 10 pays, ce qui permet de reconnaître des évaluations beaucoup plus poussées. Cette approche doit permettre à mon sens d’obtenir un véritable périmètre européen ou chaque membre reconnaît ce que font les autres.
- Pour les acteurs de toutes origines, que veut réellement imposer l’ANSSI en matière de qualification et de certification ?
Il n y a pas d’obligation réelle. Cela dépend de ce que l’on veut faire. Seuls les produits destinés à protéger des informations « classifiées Défense » doivent être qualifiés par l’ANSSI. D’une manière plus globale, certains cherchent à standardiser de l’expertise et c’est très difficile à réaliser. L’évaluation d’un produit de sécurité nécessite une véritable expertise et ne peut pas être réduite à un simple questionnaire à remplir. Les différents dispositifs de l’ANSSI visent à répondre à l’ensemble des besoins.
- Doit-on tout normaliser en matière de cybersécurité ?
Tout non, mais déjà tout ce qui est possible. Nos OIV ont naturellement une forme d’aversion pour ce qui peut sembler original. Et c’est normal. Il faut normaliser la prise en compte du risque cyber pour le traiter le plus possible comme les autres risques. Tant que le cyber est traité par des mesures d’exception on demeure fragile.
Premiers arrêtés sectoriels pour les OIV
Louis Gautier, secrétaire général de la défense et de la sécurité nationale et Guillaume Poupard, directeur général de l’ANSSI ont commenté fin juin la publication des premiers arrêtés sectoriels « Produits de santé », « Alimentation » et « Gestion de l’eau » de l’article 22 de la Loi de programmation militaire (LPM), dont la mise en application a débuté le 1er juillet 2016. Pour Louis Gautier, la publication des premiers arrêtés constitue un « moyen pour l’état de fixer des objectifs aux OIV (opérateurs d’importance vitale) ainsi qu’a leurs partenaires et sous-traitants ». Toutefois ces textes ne concernent pas les PME PMI qui collaborent avec des opérateurs OIV.
En cette période d’état d’urgence, le secrétaire général de la défense et de la sécurité nationale précise que les risques terroristes et pas seulement industriels demeurent en première ligne. Il rappelle avec Guillaume Poupard que le cas de la cyberattaque de TV5 n’est pas a rapprocher d’une menace terroriste. Pour le directeur général de l’ANSSI cette cyber-attaque demeure à ce jour « mystérieuse ». La véritable crainte pour les deux responsables c’est le cybersabotage d’infrastructures critiques.
« L’achat de compétences en ingénierie informatique via DAESH et ses sources financières peut nourrir nos inquiétudes » affirment-ils de concert. En clair, si des cyber-mafias sont approchées par des cyber-terroristes pour utiliser leurs « technologies » à des fins terroristes, le risque sera considéré comme très grave par les agences européennes.
C’est entre autres une des raisons qui poussent l’ANSSI a agir vite en répartissant les 249 OIV actuels en 18 groupes sectoriels pour étudier “ensemble” les modalités des arrêtés sectoriels relatifs à la sécurité des SIIV (Systèmes d’information d’importance vitale).
Entretien avec… Michael Bittan,
Associé responsable des activités gestion des risques cyber chez Deloitte.
OIV : quelles obligations ?
- Combien d’OIV comme clients Deloitte en 2016 ?
Deloitte a une centaine de clients dont une bonne trentaine d’OIV. Nous pouvons considérer que cette trentaine est représentative des OIV.
- Combien d’OIV en ICS/Scada selon vous ?
Je pense que sur le total des OIV, 35 à 40 % disposent d’infrastructures basées sur des architectures ICS/SCADA
- Que demande un projet de mise à niveau LPM (Loi de Programmation Militaire) comme l’impose l’ANSSI pour un OIV ?
Généralement, un projet de mise à niveau d’un SIIV au regard des règles LPM s’étale sur une durée de 2 à 3 ans en fonction du secteur d’activité. Les grandes interrogations présentes chez la majorité de nos clients OIV peuvent s’identifier comme suit :
– Identification des données stratégiques : combien de temps ? Avec quels métiers ?
– Estimation du budget LPM : c’est généralement le double du budget de fonctionnement géré par le RSSI groupe (pas le budget DSI) sur plusieurs années
– Sur ce budget, la partie Audit / Etude / test d’intrusion pour réaliser la mise à niveau de la compatibilité, la LPM représente 40 % du budget annuel
- Vos observations sur les obligations de la LPM auprès des OIV ?
Le problème essentiel des OIV, c’est d’exister à un niveau mondial en termes de services délivrés par les SIIV tout en tenant compte des règles nationales en matière de cybersécurité. Au regard des contraintes de la LPM, certains clients envisagent de créer de nouveaux systèmes. Pour beaucoup de nos clients, c’est plus simple et plus rapide que de réaménager. Sur 15 OIV, 5 envisagent une refonte totale. Pour certains, des solutions Cloud sont envisagées dans un second temps car ils souhaitent dans un premier temps conserver leurs données en interne. Le rôle de Deloitte repose sur une méthode qui privilégie le cas par cas pour chaque client. On adapte à chaque client en fonction de sa maturité, de ses priorités et de ses besoins. Le générique doit se « customizer ».
- Quel rôle veut jouer Deloitte dans la mise en place des protocoles LPM chez les OIV ?
Si Deloitte devient PASSI (Prestataires d’audit de la sécurité des systèmes d’information) totalement en plus de notre entité HSC et que l’ANSSI demande à certains PASSI forcément de confiance d’effectuer pour l’ANSSI des missions de contrôle, dans ce cas nous devrons choisir le conseil ou le contrôle. Nous faisons exactement la même chose lorsque nous conseillons nos clients sur la mise en place d’un SMSI (Système de management de la Sécurité de l’information ISO27001). En France, nous ne certifions pas les entreprises que nous avons conseillées sur la 27001. En cybersécurité “LPM”, Il sera intéressant de connaître les modalités de ces attributions car le Cabinet Deloitte est reconnu pour son métier premier d’auditeur mais aussi pour sa forte expertise sur le Conseil.
JP Bichard a réalisé ces entretiens pour Cyberisques News et Solutions IT.