Agence nationale

« Le risque augmente et est à la fois très fort et sous-évalué »

Le directeur adjoint de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), qui a un rôle de défense, prévention et sensibilisation en matière de cybersécurité et réglemente les opérateurs d’importance vitale, analyse les évolutions réglementaires françaises et européennes et la progression des cybermenaces.

L'auteur

  • Emmanuel Germain
    • Directeur adjoint
      Agence nationale de la sécurité des systèmes d'information (ANSSI)

Revue de l'article

Quel est le rôle de l’ANSSI en matière de cybersécurité ?

L’ANSSI, qui compte 550 personnes, a trois missions : prévenir, défendre et sensibiliser.

En premier lieu, prévenir la menace en anticipant les modes d’attaque par l’expertise scientifique, en définissant les mesures de protection. Nous avons ainsi mis en place un système de certification et de qualification pour les fournisseurs de produits et prestataires de services de sécurité qui atteste de leur conformité aux exigences réglementaires, techniques et de sécurité promues par l’ANSSI. Les opérateurs d’importance vitale (OIV [1]) ont eux l’obligation légale d’avoir recours à certains prestataires qualifiés, mais l’ANSSI les recommande également fortement aux autres organismes. Ce sujet de la certification et de la qualification est une priorité en France et en Europe, notamment avec l’apparition de l’Internet des objets. La prévention passe également par la réglementation dès lors qu’il s’agit de protéger l’État et les opérateurs d’importance vitale. L’ANSSI a reçu par décret une délégation de signature du Premier ministre concernant les opérateurs d’importance vitale (OIV). L’arrêté concernant le secteur « Finances », entré en vigueur le 1er janvier 2017, met en place les mesures législatives de la Loi de programmation militaire (LPM) du 18 décembre 2013. Cet arrêté définit les obligations des OIV en matière de sécurité des systèmes d’information : il oblige à déclarer les systèmes d’information d’importance vitale (SIIV), à leur appliquer des règles de sécurité obligatoires pour les protéger, à déclarer les incidents de sécurité informatique les affectant et à mettre en œuvre une réponse en cas de crises majeures.

En plus de cette mission de prévention, l’ANSSI assure sa mission de défense des systèmes d’information en détectant les failles et incidents, en réagissant au plus tôt en cas de cyberattaque et en apportant son assistance technique et son expertise.

Enfin, l’ANSSI informe les différents publics (experts, particuliers, dirigeants d’entreprise) en sensibilisant à la nécessaire protection des environnements numériques, en promouvant les bonnes pratiques de cybersécurité et en émettant des recommandations techniques.

La Directive sur la sécurité des réseaux et des systèmes d’information (Network and Information Security – NIS) de juillet 2016, qui doit être transposée en France d’ici le 9 mai 2018, crée la notion d’opérateurs de services essentiels (OSE). Comment s’articule-t-elle avec le concept d’OIV ?

Au sein d’un cyberespace de plus en plus vaste et complexe, faire face aux enjeux de la sécurité du numérique nécessite une coopération forte entre tous. La France travaille étroitement depuis une vingtaine d’années avec l’Allemagne et une quinzaine de pays européens au total pour concilier les besoins du marché avec les exigences de sécurité et de confiance. Nous avons ainsi mis en place un dispositif de qualification des prestataires de solutions d’informatique en nuage (cloud) forte qui est le même pour la France et pour l’Allemagne et devrait être adopté par d’autres pays.

La directive NIS, en cours en transposition dans le droit national, répond également à ce besoin partagé de protection des acteurs économiques européens. Or, en Europe, certains pays ont des dispositifs équivalents aux OIV tandis que d’autres n’ont rien. On élève le niveau général de sécurité, partout et pour tous. La directive NIS, qui se veut moins contraignante que la Loi de programmation militaire, ne contredit pas ce qu’on a fait en France pour les OIV mais le prend en compte. Le concept d’OSE désigne les opérateurs dont le service est « essentiel » au maintien d’activités sociales et économiques. On compte en France aujourd’hui plus de 200 OIV et on attend un nombre beaucoup plus conséquent d’OSE.

Dans le paquet Cyber présenté par la Commission européenne en septembre 2017 et qui pourrait être voté en 2018, il est question de renforcer les pouvoirs de l’Agence européenne pour la sécurité des réseaux et de l’information (European Network and Information Security Agency – ENISA), basée en Grèce, et de la doter d’un mandat permanent pour aider les États membres dans la gestion des cyberattaques. Quelles sont les conséquences pour l’ANSSI, qui est une agence nationale ?

L’ENISA est une agence qui a plutôt un rôle de coordination, de sensibilisation des États européens et des agences nationales. Cela n’aurait pas de sens que cette agence ait un pouvoir opérationnel au niveau européen. La défense nationale et la protection des activités critiques restent du domaine du régalien. Il est primordial d’inciter les pays qui n’ont pas suffisamment investi dans la cybersécurité à le faire, la priorité étant d’élever le niveau de sécurité dans chaque pays européen. L’ENISA a un réel rôle à jouer de soutien du développement des capacités nationales.

Cela ne veut pas dire que l’ENISA ne doit pas se doter de moyens supplémentaires et renforcer ses effectifs. La nouvelle agence européenne devrait avoir de nouvelles missions, comme mettre en œuvre un schéma de certification robuste à l’échelle de l’Union européenne pour garantir un socle de sécurité commun.

Comment qualifier les risques et menaces cyber aujourd’hui ?

Il y a toujours eu une menace cyber et elle évolue chaque année. Internet a été créé dans les années 1980 de manière très ouverte, pour communiquer, sans souci de sécurité, car il n’y avait alors pas de menaces et l’impact des défaillances sur un système informatique était quasiment nul. Les vulnérabilités n’étaient pas connues. Plusieurs décennies plus tard, il y a de plus en plus de vulnérabilités, les outils d’attaque sont plus accessibles et le risque a augmenté et augmente tous les ans… Nous considérons à l’ANSSI que ce risque est globalement sous-évalué. C’est un peu comme dans la lutte contre le réchauffement climatique, tout le monde a compris qu’il y a un risque et une menace, qui ont un coût, mais les moyens mis en place pour y faire face sont encore trop limités.

Le bilan de l’année 2017 montre cette montée en puissance du risque. En mai 2017, le rançongiciel Wannacry, programme malveillant dont le but est de chiffrer les données d’un système, s’est diffusé en France. Il est parti d’une attaque visant le système de santé anglais et s’est propagé en Espagne, puis en France, où un industriel, quelques particuliers et PME ont été touchés. Ce fut la première fois qu’un logiciel aussi propagatif eut un impact à une aussi grande échelle. La seconde attaque majeure de 2017 a été NotPetya qui a créé des dommages collatéraux à partir d’une attaque localisée en Ukraine. Une filiale ukrainienne du groupe français Saint-Gobain a été touchée, ce qui a entraîné une propagation de l’attaque en France et des coûts importants. Cette attaque s’est révélée être un sabotage, utilisé à des fins de chiffrement de manière irréversible. Ce qui est nouveau est qu’un sabotage ait eu lieu à aussi grande échelle. Enfin, 2017 a aussi été l’année des cyberattaques visant un candidat à l’élection présidentielle.

Nous devons nous préparer à des attaques nouvelles et encore plus importantes en 2018. Or aujourd’hui, si Internet s’arrête, tout s’arrête. Le risque augmente, et nous pensons à l’ANSSI qu’il est à la fois très fort et sous-évalué.

Quid des menaces et vulnérabilités pour le secteur bancaire en particulier ?

Il n’y a pas de raison pour que le secteur bancaire échappe à ces grands mouvements. Il est par nature une cible puisqu’il consiste à échanger de l’argent. Aujourd’hui, les systèmes malveillants qui permettent d’entrer dans les SI sont disponibles à faible prix, pour quelques centaines de milliers de dollars, et l’anonymisation peut aussi être obtenue facilement.

Les menaces évoluent-elles du fait des transformations digitales avec des SI plus ouverts et interdépendants, l’utilisation des mobiles, l’Internet des objets… ?

Si tous les acteurs respectent les mesures de sécurité et innovent en matière de sécurité, nous devrions pouvoir éviter les menaces. Le digital repose sur trois piliers : l’intelligence artificielle, le Big Data et la cybersécurité. Cela nécessite de la sécurité et, à ce stade, nous en sommes seulement au début de la réglementation.

Quelle est la maturité des banques françaises en matière de cybersécurité, de prévention des menaces ?

Les banques sont des acteurs qui prennent très au sérieux la cybersécurité. Le système financier est mature, et il y a une bonne coordination entre les banques. Nous considérons globalement que 5 à 10 % du budget informatique d’une organisation doit être consacré à la cybersécurité. Aujourd’hui, dans les entreprises, ce pourcentage est plutôt de 1 ou 2 %. Il faut continuer à prendre conscience qu’il faut investir. Nous sommes en train de passer d’une culture de cybersécurité à une culture de risque systémique, de plus en plus portée par le comité exécutif. Même s’il reste encore du chemin à faire, on observe depuis un ou deux ans, une réelle prise de conscience de la part des dirigeants des banques.

 

[1] Un OIV est un opérateur public ou privé dont l’indisponibilité risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité, la capacité de survie de la Nation ou de mettre gravement en cause la santé ou la vie de la population (Article R. 1132-1 du Code de la défense), ndlr.

 

Sommaire du dossier

Gérer le risque cyber à l'heure des évolutions réglementaires et digitales

Sur le même sujet