Guillaume Poupard : « On ne peut pas compter sur une réduction de la cybermenace à court ou moyen terme » share
back to to

Guillaume Poupard : « On ne peut pas compter sur une réduction de la cybermenace à court ou moyen terme »

Sécurité 19 février 2016
Quelles sont les cybermenaces qui pèsent sur la France ? Comment y faire face ? Quid des infrastructures d’importances vitales, comme les centrales nucléaires ou les réseaux électriques ? Interview de Guillaume Poupard, directeur général de l'Agence nationale de la sécurité des systèmes d'information.
Comment l'Anssi évalue-t-elle les menaces qui pèsent sur la France ?

A l’occasion du Forum international sur la cybercriminalité qui s’est tenu à Lille, RSLN a interrogé Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

Quels sont les différents types de cybermenaces auxquelles la France fait actuellement face ?

Guillaume Poupard : On peut distinguer trois grandes catégories de cybermenaces : la cybercriminalité, le renseignement, notamment économique avec des vols d’informations stratégiques, et l’atteinte voire la destruction des systèmes informatiques, qui ne nous semble plus du tout improbable.

Afin d’éviter que cela se produise, nous mettons tout en œuvre pour protéger les systèmes en amont. C’est le cœur de mission de l’ANSSI : savoir d’où vient la menace nous intéresse moins que savoir s’en protéger efficacement avant qu’elle ne frappe.

De récents piratages, du site internet du ministère de la Défense à celui de TV5 Monde, prouvent bien que prévenir les menaces reste pour le moins complexe…

En ce qui concerne l’attaque des sites internet du ministère de la Défense ou du Quai d’Orsay, il s’agit d’une défiguration de site internet, qui n’a pas d’impact au niveau opérationnel mais qui en a, en revanche, en termes d’image. Il nous faut donc travailler sur l’architecture des sites et sur le cloisonnement, c’est vital.

Dans le cas de TV5 Monde, c’est en effet beaucoup plus inquiétant : cette attaque a été d’une gravité rarement vue et nous a prouvé que si des gens sont compétents et motivés pour paralyser durablement un média, personne n’est à l’abri. L’agressivité de cette attaque nous a clairement montré que le niveau de menace avait grimpé d’un cran ce qui, évidemment, nous pousse à prendre des mesures pour élever encore le niveau de sécurité des sites internet.

 

Daesh, qui a justement revendiqué l’attaque du site internet de TV5 Monde et qui fait campagne pour recruter de nouveaux pirates, vous inquiète-t-il davantage que les attaquants« traditionnels » ?

Il n’y a pas tellement de classification des attaquants : il y a de véritables mafias spécialisées dans les attaques informatiques, qui peuvent être en cheville avec des groupes terroristes. La vraie question est plutôt de savoir si ces gens-là ont assez d’argent à offrir pour financer une attaque informatique de grande ampleur. Et, clairement, la réponse est oui. On ne peut pas compter sur une réduction de la menace à court ou moyen terme.

Sur le plan mondial, la France a-t-elle les moyens de ses ambitions ?

S’il est difficile de se comparer avec les Etats-Unis, la France n’a pas à rougir de son niveau de sécurité, appuyé qui plus est par le dynamisme de nos industries. Et qui passe aussi par une relation étroite avec d’autres pays, notamment en Europe : cela ne veut pas dire qu’il faut se faire confiance sur tout, mais on peut tout à fait proposer des solutions communes selon les circonstances, dans l’optique de préparer, aussi, une Europe de la cyberdéfense.

« Savoir d’où vient la menace nous intéresse moins que savoir s’en protéger avant qu’elle ne frappe »

166 share

L’idée est surtout d’identifier l’Europe comme un périmètre naturel dans lequel nous pouvons rechercher autant que de besoin une forme d’autonomie stratégique et d’avoir nos propres développements. Aujourd’hui, ces enjeux sont pris en compte par la Commission européenne et par certains Etats membres: on arrive à développer une cybersécurité européenne qui soit cohérente, et qui viendra en appui naturel d’un marché digital européen ambitieux. Cela passe, notamment, par l’harmonisation des dispositifs de sécurité nationaux, et par un axe franco-allemand très fort qui est déjà une réalité.

Plusieurs rapports font état de brèches dans les systèmes informatiques des infrastructures d’importance vitale, telles que les centrales nucléaires. Qu’en est-il en France ?

Pour toutes ces infrastructures critiques, la protection est inscrite dans la loi de programmation militaire de décembre 2013. L’idée, c’est de mettre en œuvre cette loi en coopération avec les ministères coordinateurs et les opérateurs eux-mêmes, de manière à ce que les règles ainsi définies soient cohérentes et efficaces.

Le nucléaire est un vrai sujet, qui éveille des peurs très rapidement : en France, nos systèmes sont regardés de très près, et nous prenons en charge, à l’ANSSI, l’audit de ces systèmes. Les résultats sont rassurants, j’observe que les choses sont prises très aux sérieux et que la sécurité est réfléchie suffisamment en amont, c’est-à-dire au niveau de l’architecture du SI, très robuste dans le cas des opérateurs d’importance vitale du secteur nucléaire

Nous n’avons donc pas d’inquiétude sur une coupure de courant généralisée comme en Ukraine par exemple, mais cela ne signifie pas qu’il n’y a pas de risque : il n’y a pas que les centrales qui peuvent être prises pour cibles, les compteurs intelligents peuvent eux aussi être visés… Encore une fois, si l’ANSSI est très impliquée la protection des opérateurs d’importance vitale, il est primordial de penser la sécurité très en amont et de réaliser des audits réguliers.

Un travail qui nécessite des moyens humains… Vous venez de lancer une grande campagne de recrutement. Quels types de profils recherchez-vous ?

A sa création en 2009, l’ANSSI comptait une centaine de personnes. Aujourd’hui, nous sommes 500. Nous sommes une agence essentiellement technique donc nous avons et recherchons toujours beaucoup d’ingénieurs, de docteurs, de bac +5 dans des métiers liés à l’informatique et à la technologie même si nous comptons également dans nos effectifs des personnalités « transverses », issues du droit ou des sciences politiques.

Nous avons besoin de toucher à d’autres domaines que la technique pure et dure, d’adresser toujours plus de publics tout en restant une référence au niveau technologique. Car nous avons un défi d’excellence : nous ne pouvons pas nous permettre de nous relâcher en termes de pertinence !

Et face à la Silicon Valley qui séduit pas mal de nos ingénieurs – notamment en termes de rémunération – comment vous positionnez-vous pour attirer les profils que vous recherchez ?

Clairement, nous ne leur offrons pas le même salaire ! Mais nous offrons une expérience unique pour des jeunes qui sortent d’école, extrêmement formatrice ; un métier qui répond à des valeurs, comme être au service de la nation française.

Nous avons des jeunes brillants, qui peuvent rester plusieurs années chez nous et peuvent tout à fait partir vers le privé après sans que nous ne prenions cela comme une trahison. L’idée est davantage de constituer une pépinière de talents en la matière. Et je crois que nous avons plutôt bien réussi !

* Entretien réalisé en partenariat avec Microsoft Ideas

Chaque semaine,
recevez les immanquables
par email