Jean-François Fiorina s’entretient avec Guillaume Poupard
Polytechnicien, spécialiste de cryptographie, Guillaume Poupard est le directeur de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), service interministériel redoutablement efficace rattaché au Premier ministre.
Face aux multiples menaces cybernétiques, l’ANSSI défend non seulement nos intérêts vitaux, mais aide les entreprises françaises à relever les défis de la guerre économique. Car contrairement à certaines idées reçues, Internet et le monde informatique n’ont pas effacé les frontières.
Et c’est bien à une naissance d’une géopolitique du cyberespace, ancrée dans le réel, que nous assistons. Les récents et tragiques événements de ce mois de janvier le confirment.
Guillaume Poupard et Jean-François Fiorina : les menaces cybernétiques évoluent sans relâche, à l'échelle planétaire. D'où la nécessité de les déceler au plus tôt, voire de les anticiper, pour que les usages soient sécurisés.
Quel est votre parcours et comment êtes-vous arrivé à la tête de cette prestigieuse institution qu’est l’ANSSI ? Quelle est votre mission ?
Polytechnicien et ingénieur de l’armement option recherche, j’ai toujours été passionné par la cryptographie, au point d’avoir soutenu une thèse de doctorat en 2000 en ce domaine à l’École normale supérieure de Paris. J’ai tout naturellement commencé ma carrière comme expert puis chef de laboratoire de cryptographie à la Direction centrale de la sécurité des systèmes d’information, l’ancêtre de l’actuelle Anssi, Agence nationale de la sécurité des systèmes d’information. En 2006, j’ai rejoint le ministère de la Défense, en me spécialisant dans la cyberdéfense, avant de rejoindre la Direction générale de l’armement (DGA) comme responsable du pôle « Sécurité des systèmes d’information ». En mars 2014, j’ai eu le plaisir de revenir à mes origines en étant nommé directeur général de l’ANSSI.
S’il est vrai que nous comptons beaucoup d’ingénieurs dans les rangs de l’ANSSI, nous nous efforçons cependant d’ouvrir nos rangs à des spécialistes venant d’autres horizons. Le domaine de la sécurité est certes marqué du sceau de la technique, mais l’on ne peut se cantonner à la seule logique du technicien. Il est au contraire souhaitable de bénéficier du savoir-faire et de l’expérience de spécialistes issus d’autres champs d’activités, comme les sciences humaines par exemple.
D’autant que la mission de l’ANSSI couvre de larges domaines. En effet, autorité nationale en matière de sécurité et défense des systèmes d’information, l’ANSSI est interministérielle, placée sous l’autorité du Premier ministre.
De la sorte, notre perception est globale et notre sphère d’activité s’étend bien au-delà des traditionnelles questions de défense et de sécurité. Nous travaillons ainsi en étroite collaboration avec différents ministères – comme Bercy ou les Affaires étrangères – qui ont les uns et les autres de plus en plus de choses à nous apporter.
Les menaces cybernétiques s’étendent désormais tous azimuts. Nos industries – qu’elles soient grandes ou petites – sont toutes concernées, car leur savoir-faire comme leur patrimoine peuvent être pillés.
La sécurité informatique est vitale. D’ailleurs, nous observons le développement d’une industrie dédiée à ces questions, non seulement en France mais également en Europe, à même d’apporter des réponses concrètes. Notre action vise donc tout à la fois à susciter une offre en ciblant la réalité des menaces et à répondre à la demande avec des produits et services appropriés. Enfin, nous pouvons être amenés à conduire nous-mêmes des opérations très concrètes. Raison pour laquelle, au-delà des fonctions de prévention et de conseil, nous avons ajouté une capacité opérationnelle à nos compétences.
Dans notre monde globalisé, les menaces sont nombreuses et en perpétuelle évolution, ce qui doit singulièrement compliquer votre tâche…
Les menaces évoluent sans relâche, à l’échelle planétaire. D’où la nécessité de les déceler au plus tôt, voire de les anticiper, pour que les usages soient sécurisés. Nous avons d’excellents experts, qui sont tout à la fois capables de gérer des dossiers confidentiels, voire classifiés, tout en gardant une très grande ouverture sur le monde extérieur.
C’est un positionnement quasiment schizophrénique pas toujours aisé à assumer j’en conviens, mais nos experts sont solides et recrutés sur des critères très précis. D’autant que nous les incitons simultanément
à consacrer une large part de leur temps à la recherche et à publier dans des revues académiques, ce qui nous permet de les maintenir à bon niveau. Voilà pour l’aspect expertise. Nous offrons aussi des prestations de conseil à toutes sortes d’interlocuteurs, ce qui nous oblige à moduler et adapter notre discours.
Les dirigeants, dans leur immense majorité, sont réceptifs à notre discours, ils savent que si leur entreprise a une valeur, c’est qu’elle détient de l’information, un savoir-faire, qu’il convient de protéger. Si l’entreprise est pillée ou attaquée, il y a un impact souvent capital pour sa survie.
Longtemps, le sujet de la sécurité a été cantonné aux seuls techniciens. La tendance s’est inversée. On observe une prise de conscience des dirigeants qui sentent bien que le monde a évolué. À nous de fournir la réponse adaptée à la taille et aux activités de l’entreprise. On n’agira donc pas sur le même mode pour une PME ou pour une entreprise d’envergure internationale œuvrant sur un créneau stratégique.
De même, nous notons un vrai intérêt de la part des parlementaires pour notre travail. Ils contribuent à faire évoluer la loi pour que nous puissions agir efficacement dans un cadre juridique approprié. La loi ne doit pas être un frein à la cyberdéfense, bien au contraire, démarche fort bien comprise par les parlementaires français.
Enfin, dans l’univers complexe de la sécurité des systèmes d’information, notre rôle est aussi d’orienter ces dirigeants sur des produits ou des prestataires de confiance.
Nous leur proposons des labels officiels, des qualifications. À cet égard, nous ne faisons preuve d’aucun manichéisme : certaines offres françaises sont refusées et d’autres, étrangères, sont validées. C’est la compétence et la confiance qui sont retenues comme critères-clés. Cette sélection se fait sous notre responsabilité.
D’où viennent les menaces ? Comment évoluent-elles ?
Elles sont très hétérogènes. Il y a les menaces relevant de la cybercriminalité, voire tout simplement de l’escroquerie ou de l’arnaque, parfois pour de petits montants. À cet égard, l’époque de la tolérance est révolue et les peines se durcissent, même si les frontières compliquent les procédures judiciaires.
Mais l’on se trouve aussi confronté à des attaquants bien plus structurés, pour certains proches d’États. Mêmes des alliés peuvent se laisser aller à des opérations de ce genre. Ces attaques visent à obtenir du renseignement économique mais aussi d’ordre politique, géostratégique, etc.
Dans le cyberespace, notez bien que l’on a des alliés mais pas beaucoup d’amis, c’est une réalité ! Nous ne sommes pas naïfs…
Cependant, un tel constat ne doit en aucun cas entraîner un repli sur soi-même, ce qui serait la pire des choses. À ce niveau stratégique, souverain, il faut savoir et vouloir se défendre.
Très souvent, des faisceaux de présomption permettent de découvrir d’où viennent les opérations, sans toutefois pouvoir le plus souvent en apporter la preuve.
Enfin, il existe une autre sphère, celle du sabotage, de la neutralisation, de la destruction. Les motivations peuvent être variées. De telles opérations peuvent être le fait d’États, de mouvements révolutionnaires, d’entités terroristes ou mafieuses… qui veulent porter atteinte à nos intérêts vitaux ou à nos infrastructures-clés.
C’est là sans doute notre plus grande préoccupation et celle de nombre de nos alliés.
À cet égard, je voudrais aussi rappeler que beaucoup de failles informatiques sont imputables à des erreurs humaines. Dans la quasi-totalité des attaques, la faille vient d’un comportement humain défaillant. Souvent, ce n’est pas volontaire, encore moins criminel. Par exemple, les règles de sécurité apparaissant comme contraignantes, certains vont avoir tendance à s’en affranchir discrètement.
À nous d’intégrer ce paramètre pour proposer des solutions de cybersécurité les plus acceptables possibles. De fait, la sécurité n’est pas une option. Elle fait partie intégrante de nos vies, en particulier de nos vies professionnelles.
D’autant plus avec la règle du BYOD [ndlr : bring your own device, à savoir : utiliser ses équipements personnels à des fins professionnelles].
Si cette pratique se répand dans les entreprises de manière anarchique, elle est extrêmement dangereuse. Car par définition, la sphère privée est généralement moins sécurisée que la sphère professionnelle, d’abord parce qu’on n’y rencontre pas les mêmes menaces.
En permettant l’intrusion des outils personnels dans l’entreprise, on multiplie les possibilités de failles, les outils personnels servant en quelque sorte de cheval de Troie à d’éventuels attaquants.
Il convient donc de se montrer extrêmement prudent quand on veut faire fonctionner en symbiose des appareils mêlant sphères privée et publique, et donc prendre en amont toutes les précautions nécessaires. Il serait sans doute plus intelligent de faire en sorte que l’employeur fournisse des moyens professionnels susceptibles d’être utilisés également en toute sécurité sur le plan personnel.
Peut-être est-ce cette logique-là qu’il conviendrait de privilégier…
Les systèmes d’information sont certes nationaux mais ils rayonnent à l’échelle mondiale. Comment voyez-vous les frontières ? Quelle définition donneriez-vous de la géopolitique ? Existe-t-il une géopolitique des systèmes d’information, avec ses règles propres ?
Contrairement à ce que l’on pourrait penser de prime abord, l’informatique, internet, le cloud computing ne constituent pas des sphères désincarnées. Le faire croire n’est rien d’autre qu’une escroquerie commerciale.
Les entreprises qui transfèrent leur patrimoine dans un « nuage » non identifié, non sécurisé, risquent fort de s’en mordre les doigts.
Non que le « cloud » ne marche pas, mais tout simplement parce qu’il faut savoir où l’on place ses données. Parallèlement, garder ses données chez soi n’est pas une solution d’avenir, loin s’en faut !
Pour trouver le juste milieu, il faut tout simplement savoir à qui l’on peut faire confiance. Et c’est là que l’ANSSI joue pleinement son rôle.
Pour en revenir à la question relative à la géopolitique des systèmes d’information, souvenons-nous que les données sont bel et bien quelque part, tout comme les administrateurs. Il y a une base physique à ces réseaux. Ce n’est pas parce que les frontières
classiques entre Etats sont remises en cause voire modifiées qu’on ne peut plus rien maîtriser. Il y a à l’évidence une géopolitique de l’internet et du cyberespace qui est en train de se bâtir. Cette géopolitique d’un genre nouveau s’ancre dans le réel et dans une géopolitique que nous pourrions qualifier de classique.
Il existe à l’évidence une géographie des réseaux informatiques, qui n’est nullement déconnectée de la géographie « réelle ». Bien sûr, cette nouvelle configuration implique pour nous la révision de certains concepts. Par exemple, les militaires se posent la question de savoir comment intégrer la perception du cyberespace dans la vision concrète du champ de bataille.
Mais il ne faut surtout pas céder à la facilité et imaginer le cyberespace comme un lieu totalement coupé des réalités géographiques. Ne serait-ce que parce que les informations partent bien de quelque part, qu’elles circulent et sont routées par des gens qui travaillent et agissent à partir de bases concrètes, tangibles.
Votre prédécesseur, Patrick Pailloux, est devenu le chef de la célèbre direction technique de la DGSE (Direction générale de la sécurité extérieure, les services secrets français). Quels liens unissent les systèmes d’information et le renseignement ? Et comment fonctionnez-vous avec vos interlocuteurs étrangers ?
Pour être très clairs et sans porter un quelconque jugement de valeur, dans le modèle français, on sépare nettement les missions – la défense et l’attaque – à la différence notamment des Anglo-saxons. Ce modèle est le nôtre et il nous donne pleinement satisfaction.
Notre rôle – à l’échelle interministérielle – est de créer de la coordination entre les différents acteurs, dont bien sûr les services de renseignement. Dans la sphère de la cyberdéfense, il est capital de savoir d’où viennent les attaques, ce qui les motive, et là, les services de renseignement peuvent nous apporter des éléments pour comprendre les situations. Mais à chacun ses missions.
Pour ce qui est de nos liens avec l’étranger, je distinguerais nos alliés proches des autres, en particulier partenaires économiques. Avec nos alliés proches – qui peuvent le cas échéant être parfois des attaquants – on a des relations opérationnelles fortes.
Même si dans le passé, on a observé des points de friction voire des révélations gênantes, on a cependant un intérêt mutuel à s’entraider face à d’autres. On gère alors les dossiers au cas par cas, la démarche étant essentiellement pragmatique. Avec des pays plus hostiles, on est dans une relation d’ordre essentiellement diplomatique.
D’où le recours aux savoir-faire de notre ministère des Affaires étrangères, grâce notamment à des échanges bilatéraux, l’ANSSI n’ayant pas vocation à être en première ligne dans ce type de configuration.
Votre prochain grand chantier ?
Les PME. Comme beaucoup d’autres responsables, je suis inquiet quand je vois tout le génie, toute l’énergie, que nos entreprises sont capables de produire en s’engageant, en innovant, en explorant de nouvelles voies.
Or, il arrive plus souvent qu’on ne le croit que ces entreprises soient pillées par des gens sans foi ni loi. Aussi est-il de notre devoir de les sensibiliser à ces questions et de les aider à prendre toutes les mesures pour se pro- téger. Car en protégeant nos PME, on soutient l’innovation, la compétitivité, l’emploi…
La cybersécurité fait clairement partie des paramètres-clés pour gagner dans la compé- tition économique actuelle. Personne n’est à l’abri. Nous avons coutume de dire dans nos milieux qu’en matière d’attaques informatiques, il y a ceux qui en ont été victimes et ceux qui ne le savent pas encore ! Des catastrophes informatiques, il y en a eu et il y en aura encore.
Ne perdons pas de vue que les attaquants sont de plus en plus forts, qu’ils visent de plus en plus de cibles différentes et qu’ils se révèlent être de plus en plus organisés. Aussi, tout ce que nous aurons pu anticiper constituera un atout.
D’où la nécessaire sensibilisation auprès des entreprises. Car il faut bien être conscient que l’imagination des attaquants est sans limite. Tout, absolument tout peut être envisagé.
Quels conseils donneriez-vous à de jeunes étudiants en écoles de commerce en matière de sécurité des systèmes d’information, sachant qu’ils sont appelés à être des cadres dirigeants non seulement en France mais aussi à l’international ?
Je leur donnerais le conseil suivant, bien connu de tous ceux qui évoluent dans le domaine de la sécurité : paradoxalement, il faut savoir se montrer tout à la fois schizophrène et paranoïaque ! Vous allez me dire que c’est là un tableau clinique un peu lourd à porter…
Mais croyez-moi, quand c’est correctement assumé, c’est assez efficace !
Schizophrène d’abord : l’une des règles de base de la sécurité consiste à séparer soigneusement sphère professionnelle et sphère privée.
Paranoïaque ensuite – et aussi inconfortable que cela puisse être – car le monde informatique est très hostile.
Se convaincre que l’on n’est pas une cible est une erreur. Il est préférable de toujours envisager le pire de façon à le prévenir et à envisager toutes les possibilités, de façon aussi à être le plus efficace possible quand survient un problème.
La plupart des attaques auxquelles on doit faire face sont menées de façon très discrète. Elles sont le plus souvent repérées par des gens qui, sans être des spécialistes de la sécurité informatique, s’interrogent à un moment donné sur un détail, un léger dysfonctionnement. Cette méfiance ne doit pas être pathologique bien sûr. Mais avoir l’esprit perpétuellement en éveil et aux aguets est une bonne chose dans notre univers.
Les futurs cadres doivent bien comprendre que dans le métier qui est le leur, ils détiennent des biens matériels ou immatériels de valeur, des outils de production, des savoir-faire…
Ils constituent donc de facto des cibles potentielles, que ce soit pour la concurrence ou pour des entités malveillantes voire carrément criminelles. Cet état d’esprit est une condition de survie dans l’univers complexe qui est le nôtre.
Pour en savoir plus sur Guillaume Poupard
Depuis mars 2014, Guillaume Poupard est le directeur général de l’ Agence nationale de la sécurité des systèmes d’information ( ANSSI).
Ancien élève de l’École polytechnique (promotion X92), ingénieur de l’armement (option recherche), il est titulaire d’une thèse de doctorat en cryptographie réalisée sous la direction de Jacques Stern à l’École normale supérieure de Paris, soutenue en 2000. Il est également diplômé de l’enseignement supérieur en psychologie.
Guillaume Poupard débute sa carrière comme expert puis chef du laboratoire de cryptographie de la Direction centrale de la sécurité des systèmes d’informa- tion (DCSSI), qui deviendra en 2009 l’ANSSI.
Il rejoint en 2006 le ministère de la Défense, toujours dans le domaine de la cryptographie gouvernementale puis de la cyberdéfense.
En novembre 2010, il devient responsable du pôle « sécurité des systèmes d’information » au sein de la direction technique de la Direction générale de l’armement (DGA), responsable de l’expertise et de la politique technique dans le domaine de la cybersécurité.
L’ ANSSI assure la mission d’autorité nationale en matière de sécurité des systèmes d’information. À ce titre elle propose les règles à appliquer pour la protection des systèmes d’information de l’État et de vérifier l’application des mesures adoptées.
Dans le domaine de la défense des systèmes d’information, elle assure un service de veille, de détection, d’alerte et de réaction aux attaques informatiques, notamment sur les réseaux de l’État.
Elle a notamment pour mission de : détecter et réagir au plus tôt en cas d’attaque informatique, grâce à un centre de détection chargé de la surveillance permanente des réseaux sensibles et de la mise en œuvre de mécanismes de défense adaptés aux attaques ; prévenir la menace, en contribuant au développement d’une offre de produits de très haute sécurité ainsi que de produits et services de confiance pour les administrations et les acteurs économiques ; jouer un rôle de conseil et de soutien aux administrations et aux opérateurs d’importance vitale ; informer régulièrement le public sur les menaces, notamment par le biais du site Internet gouvernemental de la sécurité informatique, lancé en 2008, qui a vocation à être le portail Internet de référence en matière de sécurité des systèmes d’informations.
S’agissant des produits et des réseaux de sécurité, elle est chargée : de développer et d’acquérir les produits essentiels à la protection des réseaux interministériels les plus sensibles de l’État ; de mettre en œuvre les moyens gouvernementaux de commandement et de liaison en matière de défense et de sécurité nationale, notamment le réseau Rimbaud et l’intranet Isis ; de délivrer des labels aux produits de sécurité.
Pour en savoir plus : http://www.ssi.gouv.fr/