Intervention de Guillaume Poupard

L'Anssi a été créée en 2009. C'est un service du Premier ministre à compétence nationale, rattaché au secrétariat général de la défense et de la sécurité nationale. Nous travaillons donc avec toutes les administrations. À la différence de ce qui se passe dans d'autres pays, l'Anssi n'est pas une agence de renseignement. Notre rôle est de protéger les réseaux, non de réaliser des attaques informatiques. L'agence regroupe 500 personnes, essentiellement des ingénieurs et experts en informatique.

Notre première mission est la sécurité des systèmes d'information : nous définissons des standards de sécurité pour les réseaux sensibles, ceux du secteur public comme ceux des opérateurs privés dont la sécurité est cruciale pour la nation. Au-delà de cette mission de prévention et de définition des règles, nous participons à la défense active des systèmes d'information des ministères. Nous développons des capteurs pour détecter d'éventuelles attaques et intervenons pour aider les victimes. Nous communiquons peu, évidemment, sur ces attaques, même si celle contre TV5 Monde l'an passé a été très médiatisée. Dans ce cadre, nous menons des inspections dans les ministères pour diffuser les bonnes pratiques et aider les équipes techniques à acquérir les compétences nécessaires. Certains ministères, comme ceux de la défense et de l'intérieur, sont très sensibilisés à la question de la cybersécurité, d'autres le sont moins.

Notre démarche de vérification et d'audit est bien définie. Il s'agit de méthodes d'assistance à l'homologation. Nous procédons d'abord à un inventaire des données à protéger, puis nous identifions les risques et les menaces : confidentialité, modification ou effacement des données... On ne sécurise pas un réseau dans l'absolu : on le sécurise face à des menaces définies, en fonction de leur niveau. La défense n'est pas la même contre des pirates isolés ou contre une agence de renseignement étrangère. Interviennent ensuite les auditeurs qui vérifient les aspects techniques, pour apprécier la robustesse des systèmes, et évaluent l'organisation. C'est en effet la combinaison des aspects techniques et organisationnels qui assure l'efficacité des systèmes.

Nos rapports ne sont jamais tout verts ; par prudence, nous avons toujours tendance à multiplier les barrières, pour parer à des menaces potentielles. Si nous estimons que la vulnérabilité est majeure, nous refusons l'homologation. Nous identifions en général des vulnérabilités résiduelles. Nous avons renoncé à la notion de sécurité absolue. Celle-ci n'existe pas. Il y a quinze ans on considérait encore que le chiffrement était une protection absolue pour les documents classés « secret défense ». Nous avons découvert depuis que tous les systèmes avaient une date de péremption. C'est pourquoi nous privilégions une approche en termes de sécurité dynamique. Après une bonne définition des besoins, nous apprécions, en conscience, si les risques résiduels sont acceptables. Nous savons que le métier devra être remis sur l'ouvrage car les techniques d'attaques et la technologie évoluent. Cela ne signifie pas que nous bâtissons notre sécurité sur du sable ; simplement, il faut reconnaître que la sécurité s'inscrit dans le temps. Nous arrivons finalement à sécuriser des systèmes très sensibles : bases de données personnelles, systèmes de la dissuasion nucléaire, systèmes d'armes, etc. Les systèmes d'information ont envahi toute la sphère économique : l'énergie, les transports, les services publics, etc. Des actes malveillants peuvent avoir des conséquences terribles. D'où notre méthode fondée sur la prévention, la sécurisation, l'homologation, et le maintien permanent en condition de sécurité des systèmes. La cybersécurité est une école d'humilité. Cela ne nous empêche pas d'agir ni de parvenir à sécuriser les réseaux.

Nous allons travailler avec la Dinsic sur le fichier des titres d'identité. Il nous a été demandé de rendre un rapport public. Je ne vous cache pas que nous ne nous empresserons pas de dévoiler tout ce que nous constaterons, pour ne pas donner à des personnes malveillantes des pistes d'attaque. Je préfère, comme c'est l'usage, un rapport précis, comme nous le faisons habituellement, classifié « secret défense », tout en permettant des extractions qui, sans fournir des indications à des personnes malveillantes, permettront d'apprécier le niveau de sécurité.