Comment l'Anssi s'est transformée durant l'ère Poupard

Après près de neuf ans à la tête du cyber-pompier français, Guillaume Poupard vient d’officialiser son départ. Revue, avec des anciens agents de l’Anssi, d’une sélection de temps forts de son mandat.

Partager
Comment l'Anssi s'est transformée durant l'ère Poupard

Le chantier réglementaire

Suivie d’abord par son prédécesseur, Patrick Pailloux, la loi de programmation militaire de décembre 2013 constitue un tournant réglementaire fort pour l’Anssi. "C’est la première fois au monde qu’on met de telles contraintes au secteur privé", rappelle Christian Daviot, ancien conseiller stratégie de Guillaume Poupard. Soit le moment "où les choses sont devenues plus visibles et plus sérieuses", ajoute-t-il. Après avoir tenté d’abord de persuader, l’exécutif donne en effet les moyens au cyber-pompier français d’imposer des règles de sécurité aux opérateurs d’importance vitale, ces grandes organisations critiques.

Ce chantier législatif a donc été initié avant l’arrivée du nouveau directeur général en mars 2014. Mais cet habile communicant, qui préfère convaincre plutôt que manier le bâton, était par contre aux manettes pour le travail de consultation et de déclinaison de la loi. Ce qui n’a pas été sans faire grincer des dents. "Il fallait trouver des règles contraignantes mais applicables dans les métiers, se souvient Christian Daviot. Dans la banque, ils étaient demandeurs, moins dans d’autres secteurs."

La directive Network and Information Security (NIS), adoptée en juillet 2016, complète ensuite ces premières obligations. Un texte justement poussé par les Français pour poursuivre sur la lancée de LPM. Mais aussi pour commencer à égaliser au niveau européen les nouvelles contraintes pesant sur les entreprises françaises. A signaler enfin deux autres chantiers réglementaires majeurs: NIS 2, la revue de la directive, ainsi que la loi de programmation militaire 2019-2025.

Sortir du monde des ingénieurs

A peine arrivé dans son bureau du boulevard de la Tour-Maubourg, Guillaume Poupard doit également plancher sur le chantier de la nouvelle stratégie nationale pour la sécurité du numérique. Elle sera dévoilée en octobre 2015 par Manuel Valls, alors Premier ministre. Une mise en jambes qui va lui permettre de donner une ampleur nouvelle au sujet, repris six ans plus tard par directement par le chef de l’Etat avec la nouvelle stratégie nationale cyber. "Il fallait transformer ce sujet d’ingénieur en sujet politique", rappelle Christian Daviot.

La stratégie nationale de 2015 va déboucher sur un Mooc, lancé plus tard par l’Anssi. Et surtout, l’agence incube Cybermalveillance, le futur groupement d’intérêt public chargé d’informer sur la menace les particuliers, les PME et les collectivités. Soit autant de publics qui ne sont pas la cible première de l’Anssi, mais qui doivent quand même être accompagnés, la faiblesse d’un maillon faisant courir un risque à toute la chaîne. "Guillaume Poupard voulait décloisonner l’Anssi, c’était l’un de ses axes forts", résume Jean-Sylvain Chavanne, passé par la division coordination territoriale de l’agence.

Ce qui va se concrétiser par la création d’un conseil scientifique ou encore par le lancement de l’espace de réflexion Agora 41, à l’initiative d’un prix du roman cyber. Un dossier suivi par Philippe Lavault, le chef des ressources extérieures de l’Anssi de 2017 à 2022, recruté justement pour "faire entrer la problématique dans d’autres mondes, et pas seulement dans celui de l’ingénieur". Cette ouverture, qui va se décliner à travers une communication plus moderne, n’allait pas forcément de soi. "L’agence aurait pu s’enfermer dans la cryptologie", rappelle François Deruty, l’ancien sous-directeur des opérations. "On est passé de quelque chose de très régalien et obscur à une structure très réputée, qui communique", souligne-t-il.

Franchir le périphérique

L’Anssi, créée en 2009, est en effet le lointain héritier de structures d’abord chargées d’assurer la sécurité des informations sensibles. Ce service à compétence national dépendant du Secrétariat général de la défense et de la sécurité nationale a vu gonfler ses effectifs au fil des ans, de 120 à sa création à 600 aujourd’hui. Un luxe dans l’administration française. Mais un effort indispensable au vu des feux informatiques que les cyber-pompiers doivent éteindre, alors que la menace est toujours en hausse.

Car les années passent mais les attaques informatiques se succèdent. Citons ainsi les attaques contre TV5 Monde en 2015, les Macron Leaks de 2017 ou encore la vague d’intrusion contre des hôpitaux. "Il y a un côté très frustrant dans ce rôle de cyber-pompier: les failles remarquées sont toujours les mêmes", soupire Jean-Sylvain Chavanne. Ce qui explique l’accent mis sur la prévention, portée récemment par exemple à travers le budget dédié à la sécurité des collectivités du plan de relance.

Cette forte croissance de l’agence va poser de nouveaux problèmes. Il y a d’abord la question épineuse du recrutement dans un secteur toujours trop masculin. Et des problèmes de place, une fois les nouvelles recrues embauchées. Pour résoudre l’équation, l’Anssi va sortir de ses murs. Elle lance le chantier de la création d’une première antenne, à Rennes, en cours de finalisation. Puis l’agence pousse et finalement investit le Campus Cyber, cet immeuble de la Défense censé devenir le lieu totem de la cybersécurité française. Enfin, elle met en place des délégués territoriaux, "pour porter sa voix au-delà du périphérique parisien, pour être au plus près des administrations et des entreprises", explique Jean-Sylvain Chavanne.

"Recentrer l’agence"

A force de gonfler, l’Anssi doit se réorganiser. La première étape, c’est la rationalisation menée en 2018 autour de cinq nouvelles sous-directions. Le cœur du réacteur de l’Anssi, le Cossi, ces spécialistes chargés de détecter ou de répondre aux incidents, devient alors la sous-direction Opérations. "Il fallait redesigner tout cela pour passer à l’échelle", résume François Deruty. Cette clarification de l’organisation interne, avec la création de nouveaux départements a permis de "mieux recruter et de mieux communiquer", estime-t-il, par exemple en partageant plus d’informations sur les attaquants.

Cela a ainsi permis à l’Anssi de travailler différemment sur la question sensible de l’attribution de l’origine des attaques informatiques - un domaine où la France reste toujours très prudente - en parlant un autre langage, plus accessible, aux autorités compétentes. “Avant, on envoyait des lignes de code, après c’était des executive summary”, caricature François Deruty. "Guillaume Poupard voulait qu’on soit plus clair, plus offensif, une façon de montrer aux attaquants notre compétence et que nous n’étions pas dupes", ajoute-t-il.

L’agence achève sa mue en 2020 en se séparant de son métier historique, le développement de moyens de communications sûrs pour l’Etat. Le dossier est confié à une nouvelle administration, l’Opérateur des systèmes d’information interministériels classifiés, construite en partie sur la base de l’ancienne sous-direction numérique de l’Anssi. "Cela a permis de recentrer l’agence sur la défense et la prévention", note François Deruty. Un ajustement qui ne touche pas à la spécificité du modèle français, qui sépare les agences chargées de l’offensive et celle dédiée à la défense. Autant de structures qui n’ont pas les mêmes intérêts, comme l’avait rappelé le montage au créneau de l’Anssi pour défendre le chiffrement en 2016.

Sujets associés

NEWSLETTER L'Usine Digitale

Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

ARTICLES LES PLUS LUS