Ce site est une archive.
Il reflète uniquement l'activité des sénateurs sur la période d'octobre 2004 à mars 2023.
Intervention de Guillaume Poupard
Commission des lois constitutionnelles, de législation, du suffrage universel, du Règlement et d'administration générale — Réunion du 29 novembre 2016 à 17h30
Création d'un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d'identité — Audition commune de M. Guillaume Poupard directeur général de l'agence nationale de la sécurité des systèmes d'information anssi et de M. Henri Verdier directeur interministériel du numérique et du système d'information et de communication de l'état dinsic
En 2008, la direction centrale de la sécurité des systèmes d'information (DCSSI), que l'Anssi a remplacée en 2009, avait été consultée lors de la création du fichier « TES ». Nous travaillons étroitement avec les ministères, notamment avec celui l'intérieur, sur de nombreux sujets. Nous n'avons pas eu à travailler sur ce fichier. Il faut faire des choix. L'Anssi n'a pas vocation à traiter tous les dossiers mais, au contraire, à sensibiliser les ministères aux questions de cybersécurité et les aider à acquérir les compétences requises. Nous nous autosaisissons parfois de sujets qui nous paraissent importants ou qui sont dictés par l'actualité : par exemple, l'an dernier, après les attaques visant les infrastructures électriques en Ukraine, nous nous sommes rapprochés des opérateurs français.
La résistance d'un fichier s'apprécie au regard de menaces précises. N'oublions pas que les données et les empreintes figurent dans un fichier papier. Il suffirait à un régime totalitaire de le scanner pour disposer de toutes les données... Cela ne prendrait que quelques jours, voire moins ! La réversibilité n'est jamais totale. De même, en y mettant les moyens et avec du temps, il serait sans doute possible de casser la sécurité d'un fichier numérique. La vraie question est d'identifier les menaces contre lesquelles on compte se prémunir : des agents infiltrés, des attaquants extérieurs disposant de gros moyens, etc. Nous vérifierons lors de notre audit si les mesures organisationnelles et techniques sont suffisantes.
Dès l'origine la base « TES » a été conçue avec le souci d'empêcher toute réversibilité et toute identification à partir d'une empreinte. Nous essaierons aussi d'apprécier si le fichier est résistant face à d'autres menaces : que faire, par exemple, si un État étranger ou une organisation extérieure s'efforce de détruire le fichier ou de le corrompre en y introduisant des erreurs ? Outre le vol d'informations, le sabotage, et la déstabilisation sont des menaces grandissantes dans la guerre numérique.
Enfin, nous profiterons de l'audit pour étudier, le cas échéant, des solutions techniques alternatives, comme les liens faibles. Si nous identifions des mesures techniques améliorant le système, nous ne nous priverons pas de les communiquer au ministère de l'intérieur.
