Les feux des projecteurs sont plutôt braqués vers Patrick Pailloux, Directeur Général de l’autorité nationale en matière de sécurité des systèmes d’information. Créée en juillet 2009, l’ANSSI a pris le relais de la Direction centrale de la sécurité des systèmes d’information (DCSSI), tout en restant rattachée au secrétariat général de la Défense et de la Sécurité nationale.
Dans le cadre des Assises de la Sécurité de Monaco (octobre 2010), le vice-admiral Michel Benedittini a accepté le principe d’une interview à bâtons rompus sur l’actualité qui a ponctué la vie de l’ANSSI courant 2010 : évolution de l’agence, PIRANET 2010 (« exercice de réponse à une crise majeure d’origine informatique »), le « malware industriel » Stuxnet, Cyber Storm (exercice de cyber-défense), Enisa (agence européenne de securité IT)…
(Interview réalisée le 8 octobre 2010, la diffusion a pris du retard entre la retranscription et la validation des propos).
ITespresso.fr : Où en est la montée en puissance de l’ANSSI ?
Michel Benedittini : En termes d’effectif, il est prévu de passer de 120 à 250 personnes. Nous en sommes à la moitié du chemin. Nous devrions compter 165 personnes d’ici 2010. L’ANSSI n’est pas touchée par les restrictions budgétaires globales au sommet de l’État. Cela illustre une volonté des décideurs politiques qui sont convaincus du travail à accomplir pour changer complètement de braquet en matière de cyber-défense. Mais au-delà de « notre tour d’ivoire » à Paris, nous cherchons à avoir un retour terrain de ce que nous mettons en place à travers les observatoires zonaux et à mesurer l’efficience des règles établies. Nous avons une réelle responsabilité en matière de sécurisation dans la société de l’information jusqu’au niveau des particuliers.
ITespresso.fr : En juin, vous avez mené l’exercice PIRANET 2010 (« exercice de réponse à une crise majeure d’origine informatique »). Une première pour la France ?
Michel Benedittini : En fait, le premier plan PIRANET remonte à 2003 et deux exercices interministériels ont été conduits en 2005 et en 2008. L’analyse avait montré à l’époque que nous manquions encore beaucoup de réflexion et d’organisation. Il fallait compléter le plan PIRANET dans bien des aspects. Ainsi, il a été ré-écrit depuis 2008 et testé lors de l’exercice de juin dernier, avec la participation de la totalité des ministères et de quelques opérateurs vitaux, dont des opérateurs télécom. La pertinence de notre nouvelle organisation a été confirmée, et il convient maintenant d’en poursuivre la déclinaison. Il faudra qu’on le rejoue de manière sectorielle, avant de refaire un exercice le mettant en œuvre avec tous les acteurs concernés de la Nation.
ITespresso.fr : Quels sont les fondamentaux du plan PIRANET ?
Michel Benedittini : Il est crucial de déterminer quels sont les processus numériques essentiels pour le fonctionnement de l’État. Un premier travail sur les processus vitaux avait été réalisé quand le dispositif des secteurs d’activité d’importance vitale – qui tous reposent pour une très large part sur des processus d’échanges numériques – a été rénové il y a cinq ans. L’objectif, dorénavant, est d’aller plus plus loin. Le vital, c’est une question de survie de l’État. Il faut dépasser ce périmètre pour savoir comment maintenir l’activité économique et sociale au niveau national. Nous avons un gros travail d’identification de ses fonctions essentielles et de leur dépendance aux systèmes d’information et du degré inhérent en termes de sécurité (on aborde le thème de la résilience des réseaux). Il faut aussi concevoir des scénarios qui nécessitent des réponses parfois complexes. Par exemple : « Imaginons une attaque dans le monde. Sommes-nous en mesure de protéger l’Internet français ? Si oui, quels flux faut-il filtrer ? Etc. » Le travail de planification consiste à identifier les bonnes questions à se poser en interne. Il faut en parler avec des intermédiaires comme les opérateurs télécom et mener des exercices. Ces derniers permettent d’analyser la pertinence des mesures envisagées, d’en étudier les conditions les conditions de mise en oeuvre, notamment techniques et juridiques, de cerner les bons acteurs, d’établir des réseaux protégés et rapides d’alerte et de réaction, de voir les améliorations à apporter…
ITespresso.fr : Le cas Stuxnet (malware visant des infrastructures industrielles critiques), c’est un scénario que vous aviez prévu dans le cadre d’un exercice PIRANET ?
Michel Benedittini : Stuxnet nous conduit à nous poser beaucoup de questions. Certes, le plan PIRANET a vocation à répondre aussi à ce genre d’attaques, mais la difficulté réside dans les mesures à mettre en oeuvre. Nous avions identifié ce scénario depuis longtemps, mais il reste encore beaucoup de travail pour assurer la protection, la détection et la réaction face à ce type d’attaque. Une intense réflexion sur la sécurité des systèmes de pilotage des processus industriels (parmi lesquels les SCADA) est en cours dans de nombreux pays et dans des groupes multinationaux, comme par exemple sous l’égide de l’Union européenne. Si on en parle autant, c’est que personne n’est réellement bien armé pour apporter une réponse à cette menace. Régulièrement, les Américains déclarent qu’ils ne seraient pas en mesure de résister à une grosse attaque susceptible de mettre à plat les transports et la distribution d’énergie.
ITespresso.fr : Avez-vous une idée d’où provient Stuxnet ?
Michel Benedittini : Chacun peut se faire une idée. [vient une séquence du fameux "silence éloquent", ndlr]
ITespresso.fr : Peut-on en savoir plus ?
Michel Benedittini : On peut faire des hypothèses et en évacuer certaines. Cela ne provient pas de Nauru, le petit État du monde [île corallienne isolée de 21 km² de l'Océanie, située à 41 km au sud de l’équateur, ndlr] et ce n’est pas le Vatican.
ITespresso.fr : Mais vous parlez d’emblée d’un État et pas d’un groupuscule…
Michel Benedittini : On peut se demander à qui profite le crime : États ? Organisations mafieuses ? Mais la vocation de l’ANSSI n’est pas de savoir qui est derrière, mais comment se protéger face à ses attaques.
ITespresso.fr : Comment l’ANSSI a participé à l’exercice de cyber-défense Cyber Storm mené fin septembre par les États-Unis ?
Michel Benedittini : Pour la première fois, nous avons été invités à y participer par l’homologue de l’ANSSI aux États-Unis (le Department of Homeland Security, ministère américain coordonnant la sécurité intérieure). Ce type d’exercice a toujours une composante internationale, généralement tournée vers le monde anglo-saxon, avec la Nouvelle-Zélande et l’Australie par exemple. Cette année, Cyber Storm était beaucoup plus ouvert, et a réuni quatorze pays, de l’Europe du Nord à la Suisse, à la Hongrie ou au Japon… C’est une opération gigantesque, dans laquelle même la Maison Blanche jouait un rôle de coordinateur. Des vrais réseaux-tests spécifiques sont créés pour simuler des crises informatiques. Du côté de l’ANSSI, notre participation à Cyber Storm a permis d’approfondir la dimension coopération internationale, complétant ainsi l’exercice PIRANET de juin qui avait été réalisé à un niveau national et où nous avions seulement simulé en interne ce que nous aurions fait avec d’autres pays. Une prochaine étape sera de coupler le PIRANET national à un exercice international. C’est encore prospectif car il faut que nous soyons prêts dans ce domaine.
ITespresso.fr : Vous soulignez le rôle défensif de l’ANSSI. L’agence passera-t-elle un jour à un niveau offensif ?
Michel Benedittini : L’ANSSI n’aura jamais de rôle offensif. Nous avons pour mission de préparer la société française, dans toutes ses composantes, à résister à des attaques informatiques, voire à des dysfonctionnements majeurs (la disponibilité des systèmes en cas de catastrophes naturelles par exemple). Cette protection se fait de manière diverse, dont la prévention à destination du grand public et la sensibilisation des décideurs.
ITespresso.fr : Le mandat de l’Agence européenne chargée de la sécurité des réseaux et de l’information (Enisa) s’achève en mars 2012. La Commission européenne va le renouveler en étendant ses prérogatives. Considérez-vous que l’Enisa est une structure utile et efficace ?
Michel Benedittini : Relisez le Livre Blanc sur la défense et la sécurité nationale de juin 2008 (volet « Assurer la cyber-défense »). Il invite à renforcer l’efficience de l’Enisa. Nous n’avons aucun doute sur l’utilité de l’Enisa. Elle a notamment aidé les pays « les moins matures » de l’Union européenne à franchir les premières marches en matière de systèmes d’information. Mais cette structure relativement jeune se devait d’être plus efficace. Le tournant est pris, avec un nouveau mandat qui lui permettra de contribuer à sécuriser les pays européens, de plus en plus interconnectés. Sa production est de plus en plus utile à tous les États membres, et est reconnu par les professionnels du secteur IT [C'est le cas d'une étude sur le cloud computing de l'Enisa publié en novembre 2009, disponible en anglais, ndlr]
ITespresso.fr : Doit-elle se confiner à un rôle de préconisations dans la sécurité IT ?
Michel Benedittini : On peut poser la question à l’envers. L’Enisa doit-elle jouer un rôle de supra-Centre opérationnel de la sécurité des systèmes d’information (COSSI) inter-étatique ? On peut multiplier les couches de coordination mais, à un moment donné, cela devient inefficace quand il y en a trop. Les centres de réponse et de traitement des attaques informatiques (CERT) des différents pays travaillent déjà ensemble. Les agences se parlent entre elles. Au niveau opérationnel, l’objectif est de faire vite. [Précisons que l'Enisa a supervisé une première simulation de cyber-attaque paneuropéenne en novembre 2010, ndlr].
No comments:
Post a Comment