Par Lola BRETON
2009-2019 : voilà 10 ans que l’ANSSI veille à protéger les systèmes d’informations, et donc les intérêts français. En une décennie, l’agence, dirigée par Guillaume Poupard depuis 2014, s’est imposée comme la référence hexagonale en termes de cybersécurité. Entre attaques majeures, telles que Wannacry ou NotPetya, transformation de la nature des menaces et interpénétration du numérique dans toutes les sphères de la société, la tâche n’est pas simple. Pour son anniversaire, l’ANSSI a organisé, le 4 juin 2019, son cyberfestival, l’occasion de revenir sur ses succès et leçons. L’occasion également de présenter ses ambitions pour les 10 ans à venir.
Nouvelles menaces, nouveaux enjeux
Publié en avril dernier, le rapport annuel 2018 de l’ANSSI pointait déjà du doigt les cinq grandes menaces qui pèsent désormais sur les systèmes d’informations français et européens. Espionnage, attaques indirectes, opérations de déstabilisation et d’influence, mais aussi minage de cryptomonnaies sont l’objet de toutes les attentions.
L’imbrication du numérique dans nos vies quotidiennes et la diversité des offres d’objets connectés qui s’annoncent, risque d’accroître davantage encore les risques encourus par les entreprises, les services réguliers, mais aussi les particuliers. Il est temps, notamment, de se pencher sur l’intrusion dans les ordinateurs de bord des véhicules autonomes et connectés vers lesquels nous tendons. Là encore, l’ANSSI souhaite se poser en instigateur de réflexion. Le cyberfestival du 4 juin a accueilli Gaël Musquet, « hacker éthique » de véhicules connectés. La menace est édifiante. A l’entendre, tous s’étonnent de la facilité avec laquelle un véhicule peut être détourné ou mis en péril. En effet, de simples connaissances en script et une antenne radio peuvent permettre aux attaquants de s’introduire dans le système d’une voiture. « Passer par l’ordinateur de bord frontalement n’est pas le moyen le plus simple pour hacker un véhicule. En fait, il suffit d’entrer par les détecteurs radios intégrés dans les pneus », explique Gaël Musquet. Ainsi, l’attaquant peut, en envoyant des données erronées sur le pneu vers l’ordinateur de bord, faire croire au conducteur qu’un évènement dangereux a lieu. « L’état de stress du conducteur lorsqu’il roule à 80 km/h et qu’il croit son pneu en feu, par exemple, peut mener à des conséquences désastreuses. S’il s’arrête, comme la voiture le demande dans ces cas-là, cela peut donner une occasion d’attaque physique. Lorsqu’il s’agit du véhicule d’un représentant institutionnel ou politique, notamment, on imagine très bien les risques qui s’en dégagent », souligne Gaël Musquet.
L’ANSSI de demain forme, coconstruit et se focalise sur les données
« L’ANSSI des dix prochaines années s’inscrira au cœur du paysage du numérique et de l’innovation. Plus que jamais, les acteurs publics doivent susciter l’adhésion, fédérer, accompagner les acteurs privés, académiques et citoyens impliqués sur ces enjeux. » C’est ainsi que Guillaume Poupard conçoit l’Agence, demain. Pour assumer la protection du périmètre régalien de l’Agence, et participer, toujours, au développement de bonnes pratiques et de bons outils de cybersécurité, trois axes majeurs ont ainsi été inscrits dans la feuille de route de l’ANSSI.
« Partout, on parle de big data ; désormais, il faut mettre cela en œuvre et passer à l’automatisation, pour de vrai », souligne Guillaume Poupard. Cela en va de l’efficacité accrue de l’Agence et de l’amélioration de ses capacités. Assistée de ses 600 agents et des 50 nouveaux venus qu’elle espère recruter chaque année, l’ANSSI se pose un défi de taille : celui de continuer à être en pointe en matière d’analyse de la menace, afin d’anticiper toujours plus les menaces de demain.
Former les experts de la sécurité numérique de demain, et les autres
Faire évoluer le développement de la sécurité numérique pour qu’elle réponde efficacement aux nouvelles menaces passe inévitablement par la formation. Sensibiliser chacun aux risques cyber est un pilier ; former les acteurs de la cybersécurité, répondants directs face aux attaques, en est un autre. L’ANSSI labellise aujourd’hui des formations initiales et continues sur tout le territoire, avec SecNumEdu. La prochaine étape consiste à intégrer cette formation à la cybersécurité dans les programmes scolaires et dans le Service National Universel.
Parce que l’ANSSI ne peut pas être partout, et former tout le monde, elle sortira également début 2020 un guide de montage d’exercice cyber à destination des entreprises (fiches pratiques, approche pas à pas, retours d’expérience, etc.) ainsi que l’outil Open Ex, qui permettra d’industrialiser les exercices de crises et d’en faire profiter les autres acteurs.
Coconstruire la confiance numérique de demain
Pour l’ANSSI, la mise en place d’un écosystème solide entre les acteurs numérique, académiques et régaliens est indispensable. Cela passe par plusieurs démarches, qui ont vocation à solidifier les relations et à se pérenniser. La publication du guide de Bonnes pratiques à l’usage des professionnels en déplacement, en collaboration avec le MEAE, et le partenariat renforcé entre l’ANSSI et Inria posent les nouvelles pierres de cette co-construction.
L’ANSSI ne s’y est pas trompée. La mise en place d’un écosystème du numérique français, mais aussi européen est un sujet prégnant. Il l’est parce que l’interconnexion des systèmes, notamment entre entreprises dès lors qu’elles travaillent en commun, mène à l’augmentation des risques, comme l’avait souligné l’Agence dans son rapport annuel. Il l’est aussi parce que si l’on se prend à rêver à un droit international dans le cyberespace, il faut d’abord s’accorder sur ses principes.
Les principes de l’ANSSI, eux, sont transparents. Tout comme ses actions. « Désormais, nous mettrons tout en open source, sauf ce que l’on ne peut pas y mettre » conclut avec le sourire Guillaume Poupard.