Conférence les lundis de l’IHEDN: « Souveraineté numérique et cybersécurité »

Article available only in french

Guillaume Poupard: Souveraineté numérique et cybersécurité

Mots clés: cybersécurité, mutualisation, harmonisation, systémique
Photo de Guillaume Poupard

Qui est Guillaume Poupard?

Joël Bouchité a tenu à présenter Guillaume Poupard en se basant sur son parcours.
Guillaume Poupard est polytechnicien de la promotion X92. Il obtient un doctorat en cryptologie en 2000. Il est également diplômé en psychologie.
Il est ensuite expert en cryptographie au sein de la DCSSI (Direction Centrale de la Sécurité des Systèmes d’Information).
Il rejoint en 2006 le ministère de la Défense puis il est responsable à la direction de la SSI (sécurité des systèmes d’information) au sein de la DGA (Direction Générale de l’Armement).
Depuis le 27 mars 2014, il est directeur général de l’ANSSI (Agence Nationale de sécurité des Système d’Information).

La sécurité numérique, une jeune discipline

Pour introduire son propos, Guillaume Poupard a précisé que le sujet de la sécurité numérique était assez nouveau. En effet, cette question était inexistante en 2000 outre l’apparition d’Internet ceci reste encore confidentiel.
Aujourd’hui, l’ANSSI compte environ 500 personnes, il y a donc eu une évolution considérable en 20 ans.
En 2007 l’Estonie est victime d’une série d’attaques visant notamment le Parlement des banques et des ministères.
De plus, en 2008 la cybersécurité est abordée dans le livre blanc pour la défense et la sécurité ce que Guillaume Poupard qualifie de visionnaire.
En 2009, l’ANSSI est créé.
Enfin en 2013, la cybercriminalité est une des trois menaces prioritaires

Que se cache-t-il derrière ces attaques?

La cybercriminalité est un Eldorado, en effet, il y a peu de chances d’être identifié le ratio risque gain est inédit. Cela rapporte des centaines de millions d’euros par groupe de cybercriminels (un groupe étant composé d’environ une dizaine de personnes).
Pour les victimes, les coûts sont considérables. La cybercriminalité coûte de plus en plus cher et pose également un réel problème à l’échelle de la sécurité nationale.
Le deuxième risque concerne l’espionnage. Ce sujet ne pourra pas être traité de façon très précise, car les victimes d’espionnage préfèrent être discrètes. Aussi, un des objectifs de l’ANSSI est de protéger ses victimes et de respecter le secret de leur identité.
Il faut simplement retenir que la réalité est éloignée de ce que l’on sait et que l’espionnage est une réelle menace.
On compte 15 à 20 cas graves par an.
Il y a une efficacité et un côté systémique.
Le troisième risque est le sabotage. La destruction, la perte matérielle, et même la perte humaine sont des scénarios imaginables.
Il faut toutefois, éviter de faire peur de manière irresponsable.
Selon Guillaume Poupard pour se protéger, il faut identifier les risques et créer un collectif pour répondre collectivement à la menace.
Aussi, depuis 2016, il y a de nouvelles menaces, des processus tels qu’une élection sont manipulables par des attaques informatiques. L’attaque informatique est une manière supplémentaire pour complexifier la guerre d’informations.
Certaines attaques sont plus complexes à classer. Pour expliquer ceci, G. Poupard évoque l’attaque TV5, WannaCry et NotPetya.
Les conséquences financières des cyberattaques sont dramatiques.

Traitement des questions diplomatiques

La cybercriminalité touche de plus en plus de ministères. Guillaume Poupard précise cependant qu’attaquer la France depuis la France ou l’Europe depuis l’Europe sont des opérations sérieusement risquées.
Il précise aussi que les industriels capables de protéger la France ne sont pas forcément américains ou israéliens, il existe en France des professionnels tout aussi compétents.
Le rôle de l’ANSSI est d’être là pour réaliser ce qui peut être mutualisé. Il faut des bases solides et efficaces. La réaction de l’état seule n’est pas suffisante : c’est à chacun de se protéger.

Les Organisations d’importances vitales

Pour les OIV, la cybersécurité devait devenir une nécessité. Il ne suffit pas de donner des conseils.
En 2013, la loi a permis d’imposer aux OIV de faire de la cybersécurité une nécessité.
Il ne faut pas voir ça comme quelque chose de coercitif, mais plutôt comme une main tendue.
Il s’agit d’organiser une défense collective, de savoir quel organisme est attaqué, quand l’attaque s’est produite.
Il faut aussi imposer des règles de sécurité. Il existe effectivement un panel de solutions et des règles de sécurité efficaces pour se protéger.

La cybersécurité une question de gouvernance.

C’est aux décideurs de faire remonter les bons arbitrages. Il y a aussi un problème de sensibilisation en effet des hommes et femmes peuvent aussi être acteurs d’attaques informatiques à leur insu simplement pour des questions d’hygiène informatique.
Tous systèmes numériques est susceptible d’être attaqué. Les systèmes doivent être « by design » conçus pour se protéger. Pour une cybersécurité efficace il faut une architecture sécurisée dès le départ.
C’est aux décideurs de comprendre ces questions.

L’Europe et la cybersécurité

Pour renforcer la cybersécurité l’Europe renforce son autonomie stratégique.
La sécurité numérique de l’Europe est importante et liée à la sécurité nationale.
Assurer cette sécurité à l’échelle européenne est nécessaire et compatible avec les intérêts nationaux.
Il s’agit de développer la cybersécurité avec des fonds européens notamment axés sur la recherche et le développement.
Aussi ce qui a été développé avec les OIV a inspiré la Communauté Européenne.
Cependant, en ce qui concerne la certification, le processus est plus compliqué. Il faut en effet passer par des acteurs de confiance et organiser des processus d’évaluation pour certifier et qualifier.
Pour conclure son propos, G. Poupard a qualifié de décevant le premier draft européen, mais reste persuadé de l’efficacité prochaine à l’échelle européenne.

Les questions

À la suite de son exposé, plusieurs personnes du public ont posé des questions à Guillaume Poupard.

Qu’en est-il de l’OTAN et des mécanismes de lutte déployés ? Existe-t-il un volet de coopération ?

G. Poupard estime que c’est une erreur de se mettre sous la protection de l’OTAN.
Le plus judicieux serait de reproduire le travail effectué avec l’ENISA à l’échelle internationale. En effet, le but de l’ENISA consiste aider les états membres de l’Union européenne à travailler entre eux. La France a ainsi des partenariats privilégiés avec par exemple l’Allemagne ou le Royaume-Uni.

Est-ce que le GDPR a un impact sur la diffusion des manières?

Les problématiques liées aux données datent d’avant la sécurité numérique cette approche est donc en avance. Pour faire bouger certains acteurs, il faut des sanctions. Dans la sécurité numérique, les entreprises sont des victimes. Pour les OIV, il existe des sanctions.
Cependant, le but n’est pas de sanctionner, ceux qui seront sanctionnés seront ceux qui n’auront pas mis en œuvre de façon volontaire les règles de cybersécurité.
Il faut toutefois noter que le GDPR semble avoir un effet de contagion très positif sur les industriels non européens.
L’ANSSI n’a pas de lien administratif avec la CNIL, mais les deux organismes travaillent en commun.

Faut-il envisager un partenariat entre l’ANSSI et Hexatrust?

Hexatrust est une association de PME française dans le domaine de la cybersécurité. En France, l’écosystème est croissant. L’organisation de cet écosystème est essentielle et en progrès constant.
Le coût de la cybersécurité représente aujourd’hui 5 à 10 % du budget IT. C’est une opportunité de développement économique.

Faut-il s’attendre en cas d’attaque à un krach majeur dans le domaine de l’électricité ou bancaire par exemple ?

On se doit de préparer les scénarios les plus anxiogènes. Ceci permet de s’assurer que l’analyse a été faite jusqu’au bout.
Cependant le niveau de préparations des acteurs aux menaces cyber est très hétérogènes.
Les banques par exemple sont très familières avec le sujet.
Il y a une nouvelle idée selon laquelle il est possible de faire des choses très fines.
Par exemple, si l’on bloque tous les distributeurs automatiques de billets.
Il faut donc toujours se préparer au pire dans tous les domaines.

Certains états sont-ils à l’origine d’attaques ? La Russie par exemple ? Et si oui comment les contrer ?

La question de l’attribution d’une attaque est très complexe et cette problématique est inédite dans le domaine de la sécurité.
Dans le cyber tout est clandestin. Aujourd’hui on peut lier différentes attaques et reconstituer un puzzle pour mieux comprendre les attaquants.
Mais si dans des codes certains commentaires sont en cyrilliques par exemples ou si les fuseaux horaires sont russes il ne faut pas pour autant conclure à une attaque d’origine russe, cela pourrait aussi être le but de l’attaquant.
L’attribution est un acte politique et la pire des choses et de se tromper dans une attribution.

Concernant la cybersécurité et la politique industrielle, faudrait-il une politique européenne industrielle basée sur des systèmes d’exploitations libres?

La souveraineté ne passe pas par le fait de tout réinventer.
Il faut bien penser les architectures et en déduire les contraintes.
On peut favoriser les systèmes d’exploitations libres, mais des systèmes propriétaires peuvent aussi très bien fonctionner.
La priorité réside d’abord dans le fait de bien analyser les risques.

Faut-il des champions français en services cyber ? Et si oui comment former les futurs experts ?

L’intelligence artificielle va faire évoluer le métier. Il y a une demande croissante mais l’offre aussi croissante, simplement moins rapide.
Il faut améliorer la formation et proposer aussi plus de formation continue (formation tout au long de la vie) et professionnelle.

Ressources ou pour aller plus loin:

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *