Intervention de Guillaume Poupard

Commission des affaires étrangères, de la défense et des forces armées — Réunion du 1er février 2017 à 9h30
Cyberinterférences dans les processus électoraux — Audition de M. Guillaume Poupard directeur général de l'agence nationale de la sécurité des systèmes d'information anssi

Guillaume Poupard, directeur général de l'ANSSI :

L'organisation de la réponse à la menace d'origine informatique dans un pays ne va pas de soi. En témoigne la diversité des réponses présentées par nos alliés et voisins. L'organisation française se distingue par la séparation qu'elle opère entre protection (défense) et attaque et par la nature interministérielle du volet protection (défense). Dans les pays anglo-saxons, les deux volets sont du ressort des agences techniques de renseignement. En France, le volet protection (défense) revient à une agence (l'ANSSI) placée au sein des services du Premier ministre par son rattachement au secrétaire général de la défense et de la sécurité nationale et le volet offensif est adossé aux armées et aux services de renseignement du ministère de la défense. Il n'y a pas de confusion des missions. En outre, l'interministérialité permet une coopération étroite avec l'ensemble des ministères. En Allemagne, la protection (défense) a été confiée à un département du ministère de l'Intérieur, c'est un choix plus limitatif.

Il n'y a pas de mauvaises relations, ni de concurrence avec les services relevant du ministère de la défense en charge du volet offensif, au contraire, ils sont d'une aide précieuse. Nous sommes leur client lorsqu'ils nous informent de la préparation de certaines attaques, ou détectent des attaques en cours et permettent de les attribuer. Sur le volet protection, le ministère de la défense est monté en puissance parallèlement à l'ANSSI sur son périmètre, avec la mise en place du Centre d'analyse en lutte informatique défensive (CALID) dont les locaux sont situés dans le même immeuble que l'ANSSI, ce n'est pas fortuit.

La menace est très diverse dans son intensité, cela va pour prendre une comparaison, de la gifle au meurtre avec préméditation, et ce ne sont pas les mêmes attaquants. Trois types de menaces peuvent être distingués.

En premier lieu, la cybercriminalité qui tire parti de la faiblesse des particuliers et des entreprises, pour mener des opérations d'escroquerie. Nous menons un travail avec le ministère de l'Intérieur, sur le volet répressif mais surtout préventif, car nos concitoyens et les petites et moyennes entreprises sont mal protégés.

Le deuxième type de menaces relève de l'espionnage économique. Il touche les grandes entreprises afin de dérober des informations stratégiques, techniques ou commerciales. La difficulté, pour les déjouer, est de les détecter suffisamment tôt, car elles utilisent des moyens d'intrusion très discrets, et la révélation de l'attaque survient souvent de façon très tardive. Cette menace vise également le Gouvernement, les ministères et plus largement les institutions publiques.

On peut, enfin, identifier un dernier type d'attaque, celui du sabotage des secteurs d'importance vitale : transports, énergie, eau, santé, alimentation, industrie, finance, télécoms... Ces secteurs sont couverts par les articles dédiés de la loi n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019. À travers ces dispositions, la France a été le premier pays au monde à imposer des exigences de sécurité aux opérateurs de ces secteurs. Cela s'est bien sûr déroulé dans la bonne entente et la coopération, et s'est tellement bien passé que nos voisins prennent le même chemin : les Allemands, l'Union européenne également via la directive « Network information security » (NIS). La cybersécurité est un défi tellement grave que les gouvernements doivent faire preuve de volontarisme.

En ce qui concerne les attaques menées contre les États-Unis, les méthodes ne sont pas nouvelles mais les objectifs et les effets sont nouveaux. Il y a eu en fait 2 types d'attaques :

- une manipulation via les réseaux sociaux, abusant de la naïveté des utilisateurs (« fake news », théories du complot...). Ce n'est pas une attaque informatique à proprement parler mais cela cause de vrais dégâts à l'image de nos démocraties.

- et puis il y a les vraies attaques, en l'espèce des vols de courriels personnels distillés ensuite sur des sites d'information comme Wikileaks avec une volonté évidente de porter atteinte à l'image de la candidate démocrate. C'est une situation délicate à gérer car cette correspondance n'a, par définition, pas vocation à se retrouver sur internet. Et il y a aussi la question de la publication de 10 courriels authentiques pour 1 faux : comment se défendre contre ça ? Le timing électoral est extrêmement sensible, car dans ces périodes une fois que le mal est fait, il est très difficile de remonter. Dans le cas des États-Unis on ne saura jamais si le résultat a été modifié, mais il a très certainement été influencé.

La question de l'attribution des attaques est le grand problème du cyber. On a la plupart du temps une idée de qui est derrière, mais on ne peut pas prouver l'origine devant un juge par exemple. Voyez aux États-Unis, la parole présidentielle accuse les Russes mais n'a pas de preuves (ou ne peut les révéler) et on ne les aura sans doute jamais. Ce que peut dire l'ANSSI c'est que l'attaquant travaille sur le fuseau horaire de Moscou, laisse des commentaires en cyrillique dans les codes d'attaque... Mais tout cela peut aussi bien être une ruse pour orienter l'attribution de manière délibérée. Il n'y a pas de « smoking gun » dans une attaque cyber. L'attribution est in fine une décision politique de très haut niveau, orientée par un faisceau d'indices.

En ce qui concerne les élections en France, je crois que deux types de problèmes peuvent se poser :

- d'une part au niveau des administrations qui interviennent dans le décompte des voix, comme le Ministère de l'Intérieur. C'est, pour ainsi dire, le domaine de confort de l'ANSSI qui travaille avec ces acteurs au quotidien.

- il y a également le vote des français de l'étranger par internet. C'est plus complexe car on ne peut bien sûr pas sécuriser chaque ordinateur de chaque électeur. Nous n'avons pas l'assurance que tout va bien se passer. En 2012 tout s'est bien passé mais je peux vous dire que ça a été une journée difficile pour l'ANSSI.

Pour 2017, un gros travail d'anticipation a été effectué. Il me semble que le choix qui a été fait de limiter le vote par Internet aux élections législatives et de l'exclure pour l'élection présidentielle est un choix de sagesse, du fait de l'impact que pourrait avoir une éventuelle invalidation d'un nombre important de votes en cas de problème.

En dehors de la partie étatique, il y a un deuxième pan, dans le cas de l'élection américaine qui est celui de la sécurité des partis politiques mêmes. Les partis politiques ne font pas partie de notre domaine d'action. En tant que service de l'État et même si nous sommes « autorité nationale », nous ne serions pas légitimes à réaliser un audit des partis politiques. Il n'est peut-être pas exclu que nous soyons amenés à le pratiquer dans l'avenir mais aujourd'hui ce serait compliqué. Vous comprenez bien qu'il y a là une séparation qui doit être respectée. Nous nous sommes donc contentés d'inviter l'ensemble des partis politiques représentés au niveau national ou européen à un séminaire de sensibilisation. Nous leur avons expliqué par le détail tout ce qui s'était passé aux États-Unis. Bien sûr, ces informations étaient connues mais elles méritaient une lecture commentée. Puis nous leur avons donné des conseils en termes de sécurisation de leur système d'information. Ces conseils ne sont pas très originaux et ressemblent à ce que nous adressons aux PME. Sachant que si un très gros service d'un très gros Etat cherchait à s'attaquer à une PME, il y arriverait. Il y a là une disproportion des forces. Habituellement, les gros attaquants s'en prennent aux gros acteurs, et les petits attaquants aux petits acteurs. Dans le cas visé aux États-Unis, un gros s'en prend à un petit, c'est très compliqué. Nous ne sommes donc pas pleinement sereins dans ce domaine. Le fait de connaître le risque est déjà très important, il permet de savoir comment réagir dans une telle situation en l'anticipant. Si des courriels devaient être divulgués, il est important de savoir quelle stratégie de communication pourrait être mise en place pour faire face à la situation.

Enfin le dernier sujet qui n'est pas traité aujourd'hui est celui des réseaux sociaux. Nous nous rendons compte qu'il se passe des choses anormales, probablement comme aux États-Unis. Pour ne prendre qu'un exemple, lorsque vous regardez des vidéos sur les réseaux sociaux, ceux-ci vous proposent d'autres vidéos supposées correspondre à vos centres d'intérêt et qui ont été beaucoup regardées, c'est un des modes de fonctionnement de ces réseaux sociaux. On se rend compte que les vidéos suggérées ne devraient pas se trouver ainsi proposées, les critères qu'elles remplissent pour être soumises au choix de l'internaute sont suspects. Cela nous conforte dans l'idée qu'il y a probablement des personnes qui cherchent à mettre en avant certaines de ces vidéos en utilisant des procédés techniques. Elles jouent avec les règles, il n'y a pas à proprement parler de cyber attaque, mais il y a là une modification de l'influence qui est recherchée via ces réseaux sociaux. Cela ne fait pas partie de la mission de l'ANSSI de contrôler ce type d'action. On aborde ici le sujet du contrôle de l'information. Cela pose de vraies questions. Ces pratiques sont relativement déloyales. Il faudra sans doute mettre en place un dialogue avec les plateformes numériques pour limiter ces pratiques et réfléchir aux moyens de contrer ces manipulations d'influence.

Aucun commentaire n'a encore été formulé sur cette intervention.

Inscription
ou
Connexion