Actualité web & High tech sur Usine Digitale

"La cybersécurité est une question de souveraineté", selon Guillaume Poupard

Twitter Facebook Linkedin Google + Email
×

Guillaume Poupard, le nouveau directeur général de l’ANSSI (Agence nationale de sécurité des systèmes d’information), revient sur le plan Cybersécurité, le 33e plan de la Nouvelle France Industrielle, qui devrait être validé dans le courant de l’été. Une préoccupation qui apparaît d'autant plus cruciale, ce jeudi 22 mai, alors que l'on vient d'apprendre un vaste piratage informatique à l'encontre du site de e-commerce Ebay.

La cybersécurité est une question de souveraineté, selon Guillaume Poupard
"La cybersécurité est une question de souveraineté", selon Guillaume Poupard © Luc Perenom - L'Usine Nouvelle

L'Usine Digitale - Comment va se décliner le plan cybersécurité ?

Guillaume Poupard - Nous avons deux objectifs. Le premier est de développer la sécurité de tout le monde, notamment en portant la question de la cybersécurité au sein des autres plans, mais aussi en définissant le besoin de sécurité de l’ensemble des acteurs. Le deuxième axe, c’est de structurer une offre nationale. Nous n’avons pas peur du mot "nationale".

La cybersécurité est une question de souveraineté qui doit se traiter dans certains cas avec des acteurs nationaux. Le mot de "souveraineté" n’est plus un gros mot, c’est une très bonne chose. Il ne faut pas être naïf. Il faut savoir qui sont nos adversaires. Dans le numérique, certains de nos adversaires peuvent parfois être des alliés par ailleurs.

Faut-il une doctrine numérique comme il existe une doctrine de défense ?

Oui, nous sommes en train de préciser cela. Nous recevons une forte demande pour savoir ce qui est du domaine de la souveraineté nationale, de la souveraineté européenne, ou d’une souveraineté dans la bulle de nos alliés incluant les sphères de l’OTAN et l’Union européenne. Tout n’est pas du domaine de la souveraineté et nous n’allons pas tout redévelopper en France. On peut intégrer des tas de briques technologiques qui ne sont pas directement maîtrisées.

On a appris que les routeurs Cisco, les plus vendus au monde, intègrent des "portes dérobées" par lesquelles la NSA peut s’introduire dans les systèmes. Qu’est-ce que cela vous inspire ?

Cela relève de l’anecdote. Nous faisions l’hypothèse que les routeurs n’étaient pas de confiance. Il faut penser la sécurité en partant de la réflexion sur les architectures des systèmes d’information. Quand on fait des réseaux informatiques, il faut intégrer différentes briques en s’interrogeant systématiquement sur le niveau de confiance qui doit leur être accordée.

Dans ces réseaux, il peut très bien y avoir des routeurs Cisco, ou des solutions développées par d’autres industriels, mais il ne faut pas être naïf sur les hypothèses que l’on prend en termes de sécurité de ces différentes briques. On peut, en associant des briques souveraines et non souveraines aboutir à des systèmes atteignant le niveau de sécurité recherché à un coût global acceptable.

Quelles sont les priorités du plan cybersécurité en matière d’offre nationale ?

Nous n’allons pas refaire des microprocesseurs génériques, des systèmes d’exploitation pour la bureautique… Les routeurs, c’est une question, et elle n’est pas nouvelle. Cela fait un moment que l’on se demande si on ne devrait pas faire un routeur de souveraineté européenne. Sur les produits de sécurité (chiffrement, firewall), il n’y a pas de doute, il faut que ce soit des équipements de confiance. Nous avons un mécanisme de qualification.

L’équipement a une "cible de sécurité" qui définit ce qu’il doit ou ne doit pas faire, les menaces qu’il va contrer, les hypothèses d’emploi, etc. Sur la base de cette cible de sécurité, des laboratoires privés agréés par l’ANSSI conduisent une évaluation pour vérifier que les objectifs de sécurité sont bien atteints. L’ANSSI délivre alors des certificats et nous pouvons qualifier ces produits avec un label ANSSI.

Dans le cadre du plan, un des objectifs est de faire croître le nombre de produits qualifiés. Je n’ai pas dit "français", mais "qualifié" dans le cadre d’un processus maîtrisé de bout en bout. Cela permet d’encourager le développement d’une industrie nationale. C’est la même logique pour les services.

Avons-nous des manques en termes d’offre produits ?

Il faut mieux mettre en valeur les offres françaises. Outre-Atlantique, une start-up a souvent autant de commerciaux et de communicants que d’ingénieurs. En France, il n’y a que des techniciens ! Cela semble souvent inconcevable d’avoir des communicants. C’est probablement une erreur inhérente à la taille des structures. Nous poussons pour une meilleure visibilité de ce qui se fait déjà, pour développer le marché domestique, mais aussi le développement à l’export car le marché français est insuffisant. Certaines PME commencent à se rapprocher, comme au sein de l’association Hexatrust, pour ne plus simplement offrir des briques technologiques mais des solutions complètes pour des cas types d’usage.

Comment développer le marché domestique ?

L’Etat peut fortement inciter, voire imposer dans certains cas, comme les OIV, auxquels l’Etat peut imposer l’usage de produits qualifiés. Dans la politique des systèmes d’informations de l’Etat, qui sera prochainement rendue publique, il y a une mesure qui impose aux administrations d’utiliser quand ils sont disponibles en priorité les produits qualifiés. Cela peut se traduire directement dans le cadre des marchés publics.

Nous avons énormément d’acteurs en France, et c’est une très bonne surprise ! Mais nous avons aussi appris qu’ils sont parfois très fragiles.

 

Quels sont nos points forts ?

Nous avons des domaines d’excellence mondiale comme la cryptographie. Nous avons des solutions, mais le problème c’est leur intégration. Un des objectifs, c’est que la cryptographie ne soit pas une gêne mais un plus en termes de sécurité. Il n’y a pas grand monde qui chiffre ses mails parce que ce n’est pas encore simple et naturel : il y a des problèmes d’ergonomie et puis c’est dur à comprendre.

Nous avons une excellence technologique dans les cartes à puce ou la supervision de réseau. Nous ne sommes donc pas loin d’avoir une solution complète. Reste la question de la résilience des systèmes, c’est-à-dire la capacité des réseaux à continuer à fonctionner sous attaque informatique. Cette résilience est liée aux routeurs. Nous disposons de briques technologiques intéressantes mais cette question de la résilience touche malheureusement une gamme très étendue d’équipements et de logiciels allant bien au-delà des produits de sécurité.

Où faut-il se développer ?

Nous poussons par exemple des solutions de cloud souverain au niveau national ou européen. C’est engagé : l’Etat a financé en partie les développments de Cloudwatt et Numergy. Un des 34 plans lié au sujet nous sembmle intéressant. Nous poussons pour que la sécurité soit prise en compte dans ces projets tant au niveau technique que de l’organisation. Si on envoie l’exploitation de sécurité à l’autre bout du monde pour des raisons de coût, ça ne va pas. Il faut localiser les données mais surtout tout ce qui est du domaine de l’accès dans un périmètre de confiance, en France ou en Europe. Autre domaine important : la maîtrise du logiciel, qui dépasse aussi celui de la sécurité. Si nous n’avons pas cette maîtrise, ce qui sera développé aura du mal à être sûr. Nous avons une industrie forte du hardware en France. Dans le software, il y a globalement un manque, d’après ce que me disent les industriels qui ont du mal à embaucher.

Quelles sont les priorités des appels à projets que vous lancez ?

Il y a deux dispositifs. D’abord les investissements d’avenir : un premier round d’appel à projets doté de quelques dizaines de millions s’est terminé et nous sommes en train de sélectionner les industriels, les PME et les laboratoires académiques, avec comme thèmes la sécurité de la mobilité, les sondes de détection, c’est-à-dire les capteurs que l’on met dans les réseaux, ainsi que les corrélateurs, ces systèmes qui collectent une multitude d’information de sécurité dans les réseaux et qui remontent à des suspicions d’attaques qui vont ensuite être traitées par les humains.

La sécurité des systèmes industriels est un autre sujet fondamental, avec la conception ou l’adaptation de produits de sécurité aux besoins industriels. Un système de cyberdéfense qui fonctionne sur un réseau informatique peut être inefficace quand on le transpose dans un environnement industriel. Nous préparons un deuxième round avec de nouvelles thématiques en cours de définition dont certaines sur les questions de protection de la vie privée. L’autre dispositif, piloté par le ministère de la Défense, inclut les programmes d’études amont de la Direction générale de l’Armement (DGA) ainsi que les dispositifs de soutien de l’innovation comme Rapid pour les PME. Il y a un travail en synergie entre la DGA et l’Anssi sur tout ces questions liées à la cybersécurité.

Des fonds publics-privés ont été évoqués…

Les projets sont encore confidentiels. Nous avons l’intuition que les PME, séparées, ne vont pas se développer dans un domaine comme la cybersécurité. Cela ne marche pas, c’est un constat. Il faut les protéger. Une des solutions consiste à les rapprocher, d’une manière ou d’une autre, des grands groupes.

Vous avez fait une cartographie du secteur. Que vous a-t-elle appris ?

Que nous avons énormément d’acteurs en France, et c’est une très bonne surprise ! Mais elle nous a aussi appris qu’ils sont parfois très fragiles. Entre le moment où nous avons commencé ce travail et le moment où nous l’avons fini, beaucoup d’acteurs étaient déjà morts, et beaucoup étaient apparus. Il y a une grande vitalité en termes de création d’entreprise dans le domaine du numérique et en particulier dans la sécurité. Il convient de sécuriser cette dynamique.

Propos recueillis par Hassan Meddah et Patrick Déniel

Publicité

media

Les cookies assurent le bon fonctionnement de nos sites et services. En utilisant ces derniers, vous acceptez l'utilisation des cookies.OK

En savoir plus
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale