Dix ans après la création de l’ANSSI, la mission de l’autorité française de la cybersécurité évolue. Désormais, l’ANSSI va pouvoir traquer les attaquants en posant des écoutes chez les hébergeurs de serveurs. Une évolution sous le contrôle de l’Arcep, l’Autorité de régulation des communications électroniques et des postes.
Comme chaque année, le discours d’ouverture de Guillaume Poupard était très attendu sur le Forum International de la Cybersécurité (FIC) qui se déroule les 22 et 23 janvier à Lille. Appelant chacun, et non plus seulement les RSSI, à assurer la cybersécurité, le directeur de l’ANSSI est revenu sur l’année 2018. Dans le cadre de la transposition de la directive européenne NIS (Network and Information Security), elle a vu la nomination des 120 premiers OSE français, les Opérateurs de Services Essentiels. On a d’ailleurs appris qu’il s’agissait en fait des 120 OIV (Opérateurs d’Importance Citale) déjà listés. Néanmoins, plusieurs autres vagues de désignations vont survenir dans les mois et années à venir pour élargir le nombre d’entreprises françaises concernées par cette réglementation.
De nouveaux fournisseurs décrochent leur certification ANSSI
Guillaume Poupard a aussi révélé les noms des trois premiers prestataires de détection à avoir décroché leur certification PDIS (Prestataires de détection d’incidents de sécurité) : Orange Cyberdéfense, Sopra Steria et Sogeti. D’autres nominations devant suivre très prochainement. Côté outillage, les sondes Gatewatcher et Thales sont sur le point d’être finalisées, tandis qu’Oodrive est le premier prestataire Cloud à recevoir le coup de tampon de l’ANSSI. « D’autres acteurs Cloud vont arriver. Cette certification est ouverte à des acteurs pas nécessairement franco-français, néanmoins, les réglementations extraterritoriales de certains posent question et sont clairement contradictoires avec nos règles. »
L’ANSSI passe en mode détection d’attaques, sous le contrôle de l’Arcep
Outre son travail de contrôle, de certification des offres de cybersécurité et d’assistance aux administrations et entreprises françaises sous le feu d’une attaque, l’ANSSI va jouer un rôle plus actif sur le plan de la détection des attaques. « Si nous savons aujourd’hui traiter le volet réponse à incident, nous étions souvent frustrés lorsque nous savions que les serveurs d’une entreprise française étaient infiltrés mais nous ne pouvions mettre ces serveurs sous surveillance et observer les attaquants. Le décret a été publié et il permet aux opérateurs de faire de la détection d’attaque sur les flux de leurs clients de même que nous allons pouvoir positionner des systèmes de détection d’attaque sur les serveurs des opérateurs et des hébergeurs sous le contrôle de l’Arcep. »
Alors que Florence Parly, ministre des Armées dévoilait la doctrine offensive de la France en manière de cyberguerre, Guillaume Poupard a apporté quelques précisions. Si le directeur de l’ANSSI considère des opérations de représailles menées par des entreprises privées en cas d’attaque comme une « abomination », il a souligné que le discours de Florence Parly n’était pas véritablement un changement de doctrine pour la France : « Dès le texte de la loi de 2008 qui a donné naissance à l’ANSSI, il était évoqué des capacités de cyberdéfense offensive. Il ne faut pas opposer offensif et défensif et il ne faut pas rester les mains dans les poches en cas d’attaque, c’est dans l’évolution des conflits. L’important, c’est de disposer d’un encadrement légal, c’est la voie qu’a choisie la France et je me félicite que la France ait eu le courage de le faire. »
Guillaume Poupard écarte la polémique sur l’interdiction de Huawei
L’arrivée de la 5G, qui devrait marquer une nouvelle étape vers l’omniprésence des réseaux dans l’économie de demain, donne encore plus d’importance à la défense des intérêts français dans cette cyberguerre mondiale. Face aux annonces de plusieurs pays de vouloir barrer l’accès de leurs infrastructures 5G aux fournisseurs chinois, et en particulier à Huawei, Guillaume Poupard a adopté une position plus mesurée. Il s’est notamment félicité du rôle de la commission R226 qui accorde, ou pas, le droit de commercialisation en France d’un équipement qui entre en jeu dans le secret des correspondances. « Cette approche témoigne d’une volonté étatique de garder la main sur ces infrastructures. C’est une approche dépassionnée, basée sur des éléments techniques et qui évite de pointer un pays ou un fournisseur. » Cette commission, qui peut réclamer un accès au code source des équipements, analyse et teste les équipements sur des critères techniques avant de délivrer son verdict. Guillaume Poupard a ainsi révélé que celle-ci a déjà retoqué plusieurs solutions pour leur marque de sécurité par le passé.
Reste à boucler le « Cyber-Act » de l’Europe, un texte sur lequel les européens travaillent depuis plus d’un an. Guillaume Poupard confie entrevoir « un bon point de sortie ». Le texte devrait notamment promouvoir la certification des produits de sécurité au niveau du continent, et le rôle de l’Enisa, l’Agence européenne chargée de la sécurité des réseaux et de l’information, semble désormais pérenne.
Auteur : Alain Clapaud
