Cybersécurité : "Certains Etats et entreprises nous apprécient faibles" (Guillaume Poupard, Anssi)

Présent aux Assises de la Sécurité de Monaco, le rendez-vous annuel des entreprises du secteur cybersécurité, Guillaume Poupard, le patron de l'Agence nationale de la sécurité des systèmes d'information (Anssi), s'est confié à "La Tribune" sur la nécessité d'une régulation forte pour pousser les PME à mieux prendre en compte le risque cyber. Il affiche aussi son scepticisme sur le vote électronique totalement sécurisé réclamé par Emmanuel Macron d'ici à 2022. Et dénonce les conflits de souveraineté entre les États européens et Bruxelles sur les enjeux de sécurité.
Sylvain Rolland
Guillaume Poupard, le patron de l'Agence nationale de la sécurité des systèmes d'information (ANSSI).

LA TRIBUNE - Les cyberattaques du printemps dernier, WannaCry et NotPetya, ont montré que les grands groupes ne sont pas les seuls visés par les cybercriminels. Les TPE/PME sont aussi, et de plus en plus, des cibles. Or, la prise de conscience du risque cyber est faible parmi ces entreprises, en partie car les acteurs du secteur s'adressent peu à elles. Est-ce un sujet que vous portez au niveau de l'Anssi ?

GUILLAUME POUPARD - Absolument. On le voit très bien à Monaco : dans le monde de la cybersécurité, les grands parlent aux grands. Les entreprises du secteur réalisent la quasi-totalité de leur chiffre d'affaires avec les sociétés de plus de 500 salariés, laissant les PME et les TPE sans solutions adaptées à leurs besoins, notamment en terme de prix. C'est une vraie carence. Or, comme l'ont montré les cyberattaques mondiales que vous mentionnez, les conséquences d'une attaque sur une PME peuvent être dévastatrices. Si un grand groupe est touché, cela peut lui coûter très cher, financièrement et en termes d'image, mais il ne va pas en mourir. Mais une PME ou une TPE peut mettre la clé sous la porte si son activité est paralysée. C'est inacceptable.

Il faut donc que l'État fasse comprendre aux PME/TPE, qui sont en pleine transformation numérique, que la sécurité fait partie du package de l'entreprise du XXIe siècle. La question n'est plus de savoir si on va être attaqué. Ce débat-là est dépassé. L'enjeu, c'est de réaliser qu'il n'y a que deux types d'entreprises : celles qui ont déjà été attaquées, et celles qui ne le savent pas encore. La "fraude au président", les campagnes de phishing, les malwares ou encore les ransomwares concernent tout le monde.

Le sens de l'histoire voudrait que les TPE/PME s'engagent sur une externalisation forte de leur système informatique. Autrement dit, que leur sécurité soit prise en charge par des entreprises qui leur proposent des offres dans le cloud en mode SaaS [Software as a Service, Ndlr], à des prix compétitifs. Le seul cap cohérent est que la sécurité des PME devienne un service parmi d'autres.

Mais pour qu'une PME accepte d'externaliser ses systèmes informatiques, il faut de la confiance...

C'est pour cela que l'Anssi a mis en place un système de certification et de qualification pour les éditeurs de solutions de sécurité dans le cloud. Pour l'obtenir, les entreprises doivent répondre à des exigences de sécurité très élevées. De manière générale, il est difficile d'imposer la certification. Certains gros éditeurs, qui sont en situation de quasi-monopole, s'en plaignent car ils voient cela comme une contrainte supplémentaire. Ils se demandent pourquoi ils devraient faire un effort particulier pour le marché français. C'est là où l'Europe a un rôle essentiel à jouer pour mettre la pression sur les éditeurs, car le marché est énorme. Le chantier de la certification doit être une priorité pour l'Europe. Avec une régulation plus forte, les entreprises seront forcées de considérer la sécurité comme une préoccupation majeure, surtout avec l'éclosion de l'Internet des Objets.

De son côté, l'Anssi soutient depuis plusieurs années des initiatives concrètes pour mieux protéger les TPE/PME. Nous avons lancé des appels à candidatures pour lancer des projets subventionnés dans le cadre du Plan d'investissement d'avenir (PIA), comme le développement de box sécurisées par exemple. Nous fédérons aussi des démarches portées par des grands groupes, comme Airbus, qui ont besoin que leurs sous-traitants soient très bien sécurisés. L'initiative Cybermalveillance.gouv.fr, qui vise à offrir aux particuliers, aux TPE et aux PME des outils en cas d'attaque, a été incubée à l'Anssi.

La France va également transposer la directive européenne NIS, qui vise à imposer des obligations de sécurité à d'autres acteurs. Pourquoi est-ce nécessaire ?

La directive NIS vise à élargir la notion d'opérateurs d'importance vitale (OIV), qui sont des organisations ou des entreprises considérés comme stratégiques, dans des secteurs comme la défense ou l'énergie. La notion « d'opérateurs de services essentiels » va être créée. Les acteurs concernés devront respecter des obligations de sécurité plus strictes. Ce sont des acteurs très importants, avec un impact économique ou sociétal majeur, mais dont l'activité n'est pas considérée comme vitale pour le bon fonctionnement de la France. Normalement, ce texte sera voté d'ici à mai 2018. Il est actuellement en phase de validation finale à Matignon.

La Commission européenne a présenté il y a deux semaines un « paquet cyber », un ensemble de mesures de lutte contre les cyberattaques à l'encontre des entreprises. Bruxelles veut que l'agence européenne de cybersécurité, l'ENISA, devienne le pilier de ce dispositif. Mais cela réduit de fait le rôle des agences nationales, donc de l'Anssi...

C'est vrai. Ce n'est pas pour prêcher pour ma paroisse, mais je ne pense pas que l'ENISA [une agence européenne de 80 personnes dotée d'un budget de 11 millions d'euros, NDLR], soit en capacité de mener cette mission, même avec des moyens financiers doublés. La priorité est d'abord d'élever le niveau de la sécurité dans chaque pays européen, car il y a de très fortes inégalités dans la conscience du risque cyber entre les différents Etats. La France, l'Allemagne ou encore l'Estonie sont en pointe. Il faut donc plutôt encourager le partage d'informations et d'expertises, qui sont aujourd'hui insuffisants, plutôt que de créer une équipe de pompiers volants à l'ENISA.

C'est une harmonisation par le bas. Je le dis : donner à l'ENISA la responsabilité de la gestion de crise et de la réponse en cas de cyberattaque sur les entreprises ne marchera pas. Si les pays en retard comptent sur l'ENISA pour les protéger au lieu d'investir eux-mêmes pour leur propre sécurité, ils seront déçus.

Comment interprétez-vous alors la décision de Bruxelles ?

Il faut prendre conscience du fait qu'on oscille en permanence entre des enjeux de souveraineté nationale et de souveraineté européenne. Certains sujets doivent être traités au niveau européen, d'autres au niveau national. C'est une séparation très subtile, et tout ce qui ne la respecte pas est voué à l'échec. La Commission a envie d'unifier la politique cyber et a logiquement pensé à l'ENISA pour porter cette harmonisation. Ce raisonnement est naturel, mais il court-circuite l'idée que la sécurité est un domaine régalien avant tout.

Pourquoi n'avez-vous pas été entendu ?

Premièrement, la Commission manque peut-être de recul et de connaissance pointue du sujet pour en saisir toutes les subtilités. Deuxièmement, il ne faut pas nier les conflits de souveraineté entre les États de l'UE et Bruxelles. La Commission est tentée par l'idée de faire basculer dans le champ européen de plus en plus de choses qui relevaient de la compétence nationale. Enfin, au risque d'être un peu cru, il y a aussi le rôle à ne pas négliger des lobbys, portés par des industriels ou des pays non-européens. Ces acteurs ne veulent pas d'un renforcement des capacités cyber des pays européens. Ils nous tirent dans le dos. On connaît ce genre de lobbys dans de nombreux domaines, mais ils existent aussi dans le cadre de la cyber et ils sont dangereux. Certains États nous apprécient faibles. Certains industriels non-européens ne veulent pas qu'on mettre des exigences dans le niveau de sécurité de leur équipement. Il faut donc lutter, via beaucoup de pédagogie.

Malgré tout, 80% du paquet cyber est intéressant. Seuls 20% me paraissent inadaptés, pas assez ambitieux et inefficaces au niveau opérationnel. Je ne prête pas de mauvaise intention à la Commission, d'autant plus qu'il existe en ce moment un foisonnement d'initiatives vraiment ambitieuses, comme la directive Nis, le règlement Eidas, celui sur la protection des données personnelles (RGPD). Mais les sujets cyber méritent encore d'être mieux compris, pour que leur complexité soit mieux traduite dans les textes. Tout reste encore à inventer dans certains domaines, comme la diplomatie cyber, par exemple.

Autre sujet chaud : le vote électronique. Emmanuel Macron a réclamé début octobre le retour du vote par Internet d'ici à 2022 pour les Français de l'étranger. Celui-ci était disponible en 2012, mais a été annulé en 2017 pour des raisons de sécurité. Cela vous-semble-t-il possible, par exemple en utilisant la blockchain, que beaucoup voient comme la solution pour des transactions totalement sécurisées ?

La blockchain est une technologie parmi d'autres, mais ce n'est pas la solution à tous les problèmes de l'humanité, malgré ce que certains veulent faire croire. Elle n'est pas exemple de vulnérabilités. Si 51% de ses utilisateurs se liguent ensemble, elle est compromise. Le problème du vote électronique est qu'il faut aussi que l'ordinateur, la tablette ou le smartphone sur lequel on vote soit sécurisé. Mais des millions de personnes votent chacun sur leur propre outil, dont certains sont forcément mal protégés. Si un hacker s'intercale entre vous et le système de vote, via un logiciel malveillant installé à votre insu sur votre ordinateur, votre vote sera compromis. La base du vote par Internet est donc instable. C'est pour cela que je préfère le bon vieux papier dans l'urne.

Le vote électronique ne peut fonctionner qu'avec une racine de confiance, qui pourrait être une identité électronique sécurisée. De nombreux pays l'ont déjà mise en place, mais toujours pas la France... A mon avis, c'est via cette plateforme qu'il faudrait construire un système de vote électronique. Mais tant que les gens continueront à voter avec leur propre PC, le vote électronique me paraît impossible, même d'ici à 2022.

L'Anssi travaille-t-elle sur l'intelligence artificielle et ses impacts sur les enjeux de sécurité ?

Nous sommes vraiment à l'affût. L'Anssi, qui emploie plus de 500 personnes au total, a ses propres laboratoires de recherche en interne. Nous sommes aussi très bien connectés aux laboratoires académiques et aux centres de recherche comme l'IRT SystemX de Saclay, qui fait travailler ensemble la communauté scientifique, les grands groupes et de petites entreprises autour de projets structurants. On étudie comment utiliser l'intelligence artificielle à des fins de sécurité, et les brèches qu'elle peut aussi causer.

Le principal danger de l'IA est une concentration des systèmes intelligents autour de quelques géants du Net, qui capteraient une part énorme des données produites dans le monde. La mission confiée au député Cédric Villani vise justement à préciser le positionnement de l'Etat, des industriels et de la recherche, pour aller vers un usage de l'IA conforme à nos valeurs. Si nous regardons les géants du numérique faire ce travail à notre place, le résultat ne nous conviendra sûrement pas.

Propos recueillis par Sylvain Rolland

Sylvain Rolland

Sujets les + lus

|

Sujets les + commentés

Commentaire 1
à écrit le 16/10/2017 à 8:48
Signaler
La sécurité sur internet n'existe pas et n'existera jamais de part même son principe de fonctionnement, ouvert. Par contre le marché de la sécurité lui explose c'est une certitude. Bref pour ma part j'y verrais surtout des économies à faire.

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.