« Les attaquants nous ont beaucoup aidés ! »

Date de publication : 02/11/2017  |  Propos recueillis par David Kapp

Guillaume Poupard, délégué de l'Anssi. © Picturetank – Gaillardin
Guillaume Poupard, délégué de l'Anssi. © Picturetank – Gaillardin

Mercredi 11 octobre 2017, Guillaume Poupard, directeur général de l’Anssi, l’Agence nationale de la sécurité des systèmes d’information, ouvrait les 17es Assises de la sécurité et des systèmes d’information. Lors d’une conférence de presse, il est revenu sur les éléments marquants de l’année et les perspectives à venir.

Quel bilan tirez-vous de cette année et quels sont les chantiers de 2018 ?

Nous sommes à un moment charnière. Il faut saluer le travail effectué, notamment celui des OIV, les opérateurs d’importance vitale.

Les événements et les attaques du printemps avec les vers not-Petya et Wannacry ont contribué à hisser la thématique cyber. Le numérique et sa sécurité sont maintenant dans le top 3 des priorités des dirigeants. Les attaquants nous ont beaucoup aidés.

La transformation numérique ne se fera pas sans confiance. Le réglementaire y contribue avec l’adoption en mai 2018 de la RGPD et la transposition prochaine de la directive NIS, Network and Information Security. Outre le renforcement de la sécurité numérique des États européens, la directive renforce la protection des « opérateurs de services essentiels ».

La certification est un autre moyen d’assurer la confiance. Nous allons proposer prochainement un « visa de sécurité Anssi ». Nous avons plus de vingt ans d’expérience dans les schémas de certification. Il existe déjà des produits et des services de confiance qualifiés par l’Anssi. Cela s’intègre à une réflexion plus large sur l’évaluation au niveau européen. On peut imaginer de l‘auto-certification pour des petits objets du quotidien, jusqu’à des évaluations avec des exigences très élevées. La simple conformité n’est pas évidente. À ces niveaux, l’expertise entre en jeu. Et il peut y avoir de ce fait des problèmes de reproductibilité des essais entre les différents laboratoires.

 

Selon le New York Times l’antivirus Kasperky aurait été utilisé par l’État russe pour voler des données, faut-il déconseiller son utilisation en France ?

Sur ces questions, il faut être très prudent. Tout dépend des systèmes sur lesquels il est installé et de leurs sensibilités. Les antivirus parlent en permanence, ils communiquent, ils sont très bavards et disposent de droits d’accès très élevés sur le système. Il n’est donc pas étonnant qu’ils soient ciblés par des attaquants. Les antivirus d’ailleurs ne sont pas exempts de bugs. Il faut en faire un bon usage. Il n’y a pas de véto sur tel ou tel antivirus.  

 

A-t-on des chiffres sur la menace et y a-t-il des secteurs ciblés en particulier par les attaquants ? 

Nous n’avons pas de statistiques. Les éditeurs de logiciels en produisent et cela semble cohérent avec ce que nous savons de la menace. Elle s’accroit dans tous les secteurs. L’énergie est très suivie et nous avons une coopération étroite avec ses acteurs. Les transports également. Les impacts psychologiques d’une attaque menée à des fins terroristes nous obligent à être particulièrement vigilants. La santé produit aussi des scénarios qui pourraient être potentiellement très graves. Il y a quelque temps, j’aurais cité les médias comme le seul secteur épargné mais les attaques ont montré au contraire qu’ils pouvaient être concernés.

Il est frappant de constater que l’on est passé d’une collecte de renseignements, de l’espionnage à des actes de sabotage avec effet immédiat.

 

Dans le secteur de l’énergie, l’utilisation de logiciels propriétaires, par rapport à des logiciels ouverts, constitue-t-elle une vulnérabilité de plus ?

Il faut dépasser cette opposition. La question est plutôt celle de la maîtrise. Il y a aujourd’hui des opérateurs qui ne savent plus comment reprendre la main sur le système. Et avec parfois de multiples portes ouvertes pour la maintenance, l’externalisation, etc. Ce qui est important, c’est que les utilisateurs reprennent la main et redeviennent experts de leur propre système. Nos contrôles dans ce secteur ont confirmé nos craintes. C’est un secteur très sensible et très ciblé mais nos correspondants en sont conscients.