Mercredi 10 juillet 2013
- Présidence de M. Jean-Louis Carrère, président -Audition de M. Patrick Pailloux, directeur général de l'Agence national de la sécurité des systèmes d'information (ANSSI)
M. Jean-Louis Carrère, président - Nous sommes très heureux, Monsieur le Directeur général, de vous accueillir devant la commission des affaires étrangères, de la défense et des forces armées du Sénat pour cette audition consacrée au thème de la cyberdéfense. Je rappelle que vous êtes ingénieur général des mines, et qu'après avoir travaillé au ministère de la défense, vous avez été nommé en 2009 à la tête de la nouvelle Agence nationale de la sécurité des systèmes d'information (l'ANSSI). Cette agence, créée à la suite du Livre blanc de 2008 et rattachée au Secrétaire général de la défense et de la sécurité nationale (SGDSN), sous l'autorité du Premier ministre, est chargée d'assurer la sécurité et la défense des systèmes d'information de l'Etat et des opérateurs d'importance vitale.
Vous êtes donc particulièrement bien placé pour nous parler des menaces qui pèsent sur la sécurité de nos systèmes d'information, qu'il s'agisse de tentatives de déstabilisation, d'espionnage informatique ou encore de sabotage. Je pense en particulier aux soupçons qui pèsent sur la Chine ou la Russie en matière d'espionnage informatique, mais aussi aux récentes révélations de l'ex-informaticien de la NSA Edward Snowden sur le vaste programme d'espionnage informatique américain PRISM qui aurait visé un certain nombre de pays, dont la France et les institutions de l'Union européenne. La France est-elle suffisamment protégée face à ces menaces ?
Comme vous le savez, le nouveau Livre blanc sur la défense et la sécurité nationale fait de la cyberdéfense l'une de ses premières priorités. Quelles sont vos attentes dans ce domaine, notamment à l'égard de la future Loi de programmation militaire ?
M. Patrick Pailloux, directeur général de l'Agence nationale de la sécurité des systèmes d'information (ANSSI).- Je souhaite vous entretenir des menaces auxquelles la France est confrontée, mais aussi des actions que nous entreprenons afin d'y faire face et des suites qui seront données au nouveau Livre blanc sur la défense et la sécurité nationale, notamment dans le cadre de la Loi de programmation militaire.
S'agissant des menaces, autant le dire tout de suite, la situation n'est pas bonne. La première menace à laquelle nous sommes confrontés est l'espionnage. Le patrimoine de notre nation est littéralement pillé par voie informatique. Il s'agit non seulement des réseaux de nos administrations, mais surtout de nos grandes entreprises. Les pirates informatiques s'introduisent dans nos réseaux et sont capables d'y rester sans être détectés pendant des semaines, des mois, voire des années. Ils pillent les correspondances, les données, les prospects et les projets. Nous n'avons jamais connu dans l'histoire, je crois, une telle situation de pillage organisé à grande échelle.
La seconde menace est la déstabilisation. Chaque fois que vous avez un conflit, vous êtes sûr d'en retrouver les traces sur Internet. Ce fût le cas évidemment en Libye et au Mali où nous avons subi des attaques informatiques (de très faible ampleur). Mais c'est aussi le cas pour des conflits franco-français, je pense en particulier au projet d'aéroport de Notre-Dame des Landes et à une attaque informatique subséquente contre le blog du Premier ministre. Ces attaques peuvent viser à modifier le contenu des sites Internet attaqués, à en bloquer l'accès ou encore à voler les informations qu'ils contiennent et à les rendre publiques.
La dernière menace, celle qui nous inquiète le plus actuellement, est le sabotage des réseaux des opérateurs d'importance vitale, de type électrique, ferroviaire, distribution d'eau, hôpitaux, etc. Ce n'est plus de la science-fiction. Tout le monde connaît les attaques menées avec le ver Stuxnet contre l'Iran ou bien contre le pétrolier saoudien Aramco. Plus récemment, lors des tensions entre la Corée du sud et la Corée du nord, les banques de la Corée du sud ont été attaquées et les données de certains clients effacées. On imagine les effets de telles attaques compte tenu du rôle d'Internet pour le fonctionnement même de notre société.
Nous sommes donc confrontés à ces trois types de menace. Parmi celles-ci la plus importante est celle de l'espionnage. Il y a des tentatives de déstabilisation et, à l'échelle de la planète, quelques tentatives de sabotage. Est-ce que la France est suffisamment protégée contre ces menaces ? Évidemment, non. C'est la raison pour laquelle, le nouveau Livre blanc y consacre de longs développements. Déjà le Livre blanc de 2008 en avait fait une priorité. L'ANSSI a été créée en 2009 avec une centaine de personnes et ses effectifs ont depuis été multipliés par trois. La loi nous a assigné deux missions.
La première est une mission de prévention. Nous aidons toutes les organisations vitales pour la France à se protéger, dans le secteur public comme dans le secteur privé. Nous produisons des règles, éditons des guides et nous apportons une aide concrète. Par exemple nous avons aidé l'organisation de l'élection des députés élus par les Français de l'étranger par vote électronique. Nous labellisons des produits, par exemple les cartes bancaires et vérifions les niveaux de sécurisation.
Notre seconde mission est celle que nous exerçons en tant qu'autorité de défense des systèmes d'information : il s'agit de piloter la réponse nationale en cas d'attaque informatique de grande ampleur et d'aider une institution ou une entreprise victime. Nous avons un centre opérationnel (COSSI), disponible 24 h sur 24, qui vient d'ailleurs de déménager et colocalisé avec le centre équivalent des armées (CALID).
Concernant les enjeux à venir, c'est-à-dire les traductions du nouveau Livre blanc dans la Loi de programmation militaire, je dirais que le premier enjeu est celui de la protection des opérateurs d'importance vitale, comme l'énergie, les transports ou la santé. Il y a des acteurs potentiellement agressifs, qui peuvent en vouloir à la France et qui s'attaquent à nos infrastructures critiques. Comment fait-on pour se protéger ? Premièrement, il appartient à l'Etat de fixer des règles, par exemple d'ordonner à tel type d'opérateur de ne pas connecter tel type de système à l'Internet. Une autre de ces règles pourrait être d'associer des dispositifs de détection d'attaque informatique aux systèmes d'information les plus critiques des opérateurs. En effet, notre capacité à parer des attaques dépend étroitement de notre capacité à les détecter. C'est une question de souveraineté, au même titre que le chiffrement. Pourquoi ? Tout simplement parce que celui qui met en place les moyens de détecter les attaques, sait aussi comment les contourner. Il faudra donc que l'Etat puisse avoir une grande confiance dans les équipements de sécurité qui seront utilisés comme dans les personnes qui les exploiteront. Ainsi certaines de ces règles auront des conséquences en matière de politique industrielle et de labellisation de prestataires de service. Deuxièmement, les opérateurs d'importance vitale devront déclarer les incidents informatiques les plus importants, selon la nature de leur activité. Bien évidemment nous définirons avec eux quels incidents doivent être déclarés. Troisièmement, l'Etat devra avoir la possibilité de vérifier que ses opérateurs d'importance vitale ont un niveau de sécurité informatique suffisant et appliquent les règles édictées. Enfin, il s'agira pour l'Etat de pouvoir donner des ordres en cas de crise informatique majeure tels que : « déconnectez votre réseau d'Internet, nous assumons le fait que vous ne fournirez plus le service que vous vous êtes contractuellement engagés à fournir ».
Ces dispositions sont d'ailleurs dans l'esprit du projet de directive européenne présenté par la Commission européenne et qui a fait l'objet d'une résolution du Sénat.
Enfin, il y a tout ce qui relève de la formation et de la sensibilisation. Si vous me permettez l'analogie, nous sommes un peu dans la situation de Pasteur qui découvre qu'il y a des microbes, que leur propagation peut tuer et qu'il faut édicter des règles d'hygiène. Nous avons découvert qu'il y avait des « microbes », des « virus » informatiques et nous devons maintenant éduquer les utilisateurs, les décideurs et tous nos ingénieurs informatiques sur l'importance de règles de sécurité informatique.
Un mot sur PRISM, puisque vous m'y invitez. Les Etats-Unis, comme de nombreux pays, ont des services d'espionnage. Ces services ont des moyens. Ils les utilisent, au demeurant apparemment en conformité avec leur loi nationale. Il n'y a aucune surprise technique à cela. Je m'étonne même que les gens soient surpris. Nous pouvons et nous devons nous protéger. Il faut éduquer les gens à cela. Il est ainsi souhaitable que toutes les personnes qui produisent des informations ou de la connaissance et qui participent à la compétitivité de notre pays, dans les entreprises comme dans l'Etat, protègent ces informations et ne les fassent pas systématiquement circuler via Internet ou par leurs équipements personnels ou ne les stockent pas dans n'importe quel « nuage » par exemple.
M. Jean-Marie Bockel. - Que pensez-vous de l'obligation de déclarer les attaques cyber pour une institution ? La dimension industrielle de la cybersécurité est très importante. Mais ce n'est pas parce que des entreprises françaises font des produits de sécurité, que cela constitue une politique industrielle. Comment s'y prendre ? Certains voudraient nous convaincre de la nécessité de promouvoir une sorte de small business act, pour les PME orientées sur la cyber, que faut-il en penser ? Et que penser de la stratégie de l'OTAN en matière de cyber ? Faut-il suivre ? S'agissant de PRISM, que peut-on faire ? Faut-il aller plus loin dans la fixation des règles du jeu international ?
M. Jacques Berthou. - Est-ce que nous ne sommes pas là dans une situation de fuite en avant, où les nouvelles protections conduisent les attaquants à faire preuve de plus en plus de sophistication. Les Etats et les industriels sont très vulnérables. Peut-on mettre en place un socle commun de défense ? Enfin, est-ce que la réserve citoyenne peut aider ?
M. André Vallini. - Est-ce que nos amis et alliés occidentaux ont des agences homologues à la vôtre ? Est-ce que la défense européenne a un sens en la matière ?
M. Patrick Pailloux, directeur général de l'ANSSI.- En réponse au sénateur Bockel sur la question de l'opportunité d'un Small business act, je dirais que oui, il serait opportun de l'établir dans ce domaine car ce qui manque le plus aux PME, c'est l'accès à la commande publique. Nous avons de grands industriels et de petites entreprises et il faut que les deux puissent cohabiter. Pour la politique industrielle, nous y travaillons, mais cela prend du temps. Par exemple plusieurs sujets sont présents dans le cadre du plan pour les investissements d'avenir comme la sécurité des équipements de mobilité ou la réalisation de dispositifs de détection d'attaques informatiques. Par ailleurs, nous appuyons fortement la labellisation. C'est de la politique industrielle. Il y a par ailleurs des sujets plus compliqués à traiter, tels que les liens capitalistiques.
Concernant l'OTAN, il me semble important que l'OTAN sécurise ses propres infrastructures, ce qui n'est pas encore tout à fait le cas. Mais nous ne souhaitons pas que l'OTAN intervienne dans les infrastructures vitales des pays membres de l'alliance, car nous considérons que c'est de la responsabilité des Etats et de l'Union européenne. Enfin pour ce qui est des règles du jeu contre l'espionnage, cela va prendre du temps, comme ont pris du temps les droits de la mer et de l'espace et les progrès en ce domaine se feront à l'ONU, là où ont lieu les réunions d'un groupe international d'experts sur ces sujets.
En réponse au sénateur Berthou, sommes-nous dans une situation classique de lutte entre le glaive et le bouclier ? La réponse est oui. A ceci près que le cycle de réponse peut être de l'ordre de la journée entre le moment où l'on arrive à parer une attaque et celui où l'attaquant en tient compte pour porter une attaque plus sophistiquée que la première. Eliminer 90 % des attaques est réalisable, mais évidemment, cela va prendre du temps, ralentir les échanges et coûter un peu d'argent. S'agissant de la réserve citoyenne et de son utilité, la réponse est bien évidemment positive. Quels que soient les efforts de l'Etat, ils n'y suffiront pas et l'aide des réservistes est la bienvenue. C'est aussi une façon d'emmener les jeunes générations vers la réserve et les sujets de sécurité.
En réponse au sénateur Vallini sur la question d'une Europe de la cyber défense, je dirais qu'il y a en Europe les Etats disposant de capacités très significatives. Il s'agit du Royaume-Uni, de la France, de l'Allemagne, de la Suède, des Pays-Bas et de l'Estonie. Avec tous ces pays, nous avons des échanges très approfondis. Et puis, il y a aussi des pays qui n'ont aucun dispositif défensif. L'Europe de la cyber défense va se faire. C'est une évidence. Du reste, les infrastructures des grands opérateurs sont rarement nationales, elles sont a minima européennes. L'Estonie a concentré une grande partie de son effort de défense sur la cyberdéfense. Ils hébergent notamment un centre de formation de l'OTAN du meilleur niveau.
M. Yves Pozzo di Borgo. - Avez-vous vérifié le service informatique du Sénat ? La Reine d'Angleterre vient de décorer un Français considéré comme étant un des pionniers de l'internet, qu'en pensez-vous ? Est-ce que l'on pourrait avoir une sorte d'Agence de la sureté informatique européenne ?
M. Jeanny Lorgeoux. - Est-il facile de trier ce qui relève de l'espionnage, de la déstabilisation et du sabotage ? Est-ce que nous sommes capables d'infliger les mêmes dommages que ceux que nous subissons ?
M. Jacques Gautier. - Avons-nous les moyens d'agir ? Les grands groupes semblent avoir recours aux services d'anciens hackers. Est-ce le cas également de l'ANSSI ?
M. Patrick Pailloux, directeur général de l'ANSSI.- Pour ce qui est du service informatique du Sénat, je voudrais tout d'abord rappeler le principe de séparation des pouvoirs, mais naturellement, si on nous demande notre aide, nous l'apporterons. S'agissant de Louis Pouzin, qui est effectivement un grand cerveau et un pionnier de l'internet, il s'est vu remettre le prix « Queen Elisabeth pour l'ingénierie » par la princesse Anne. C'est bien la vérification de l'adage selon lequel nul n'est prophète en son pays. Mais reconnaissons qu'il avait déjà reçu la légion d'honneur en France.
Il existe une agence européenne de la cyber sécurité. C'est l'ENISA, basée à Héraklion en Crète. Une de ses missions est ce que les Anglais appellent le « capacity building » au service des pays de l'Union les moins avancés en matière de sécurité informatique.
Trier les attaques informatiques selon leur nature est quelque chose de très important. Car en fonction de la nature de l'attaque nous orientons les victimes vers des prestataires de défense différents, afin que l'Etat ne s'occupe que des attaques les plus dangereuses et les plus importantes.
La capacité d'infliger des dommages et en quelque sorte d'installer une cyber dissuasion n'est pas du ressort de l'ANSSI, mais de celui du ministère de la défense. Une doctrine offensive et des moyens adaptés pour mener des attaques peuvent avoir un certain rôle dissuasif. Mais ne rêvons pas, cela n'empêchera pas les attaques. Les Etats-Unis ont bien des capacités offensives, cela ne les empêche pas de subir des cyber attaques en continu. C'est d'abord protéger nos systèmes qui est important.
Sur les personnels que nous utilisons : nous ne recrutons personne qui ne soit pas susceptible d'être accrédité « secret défense » et nous labellisons les sociétés de service.
M. Jean-Claude Peyronnet. - Comment s'assurer de la loyauté de ceux qui bénéficient d'une habilitation ou d'un label ? Est-ce que Yahoo et Aol sont plus sûrs que Gmail ?
Mme Joëlle Garriaud-Maylam. - D'où proviennent les attaques géographiquement ? Avez-vous dressé une cartographie des attaques ? Pouvez-vous préciser vos liens avec la DGSE ? Sur la réserve citoyenne, nous y sommes très favorables, quelles capacités d'emploi envisagez-vous ? Sur le vote électronique pour les Français de l'étranger, faut-il le conserver ? Enfin, est-ce que les comptes de la poste.net ou de free.fr sont-ils plus sécurisés que les comptes de Gmail ou de Yahoo ?
M. Patrick Pailloux, directeur général de l'ANSSI.- Jusqu'à présent nous n'avons pas eu de problèmes avec les gens que nous avons habilités ou les sociétés que nous avons labellisées. Cela ne veut pas dire que nous n'en aurons pas, mais nous y prêtons une grande attention. Ceux qui s'occupent de la cyber sécurité sont des personnels qui font preuve de grand patriotisme.
Pour ce qui est de Yahoo et de Aol et de la question de savoir s'ils sont plus sûrs que Gmail, la réponse est non. Est-ce que je conseille d'utiliser les services de messagerie de la Poste.net ou des opérateurs de l'Internet français ? La réponse est oui. Tout simplement parce qu'ils sont régis et protégés par la loi française.
S'agissant de la cartographie des attaques, on peut dire qu'elles viennent de partout et non seulement de pays, de services étatiques, d'entreprises, d'organisations criminelles mais aussi de simples individus. N'imaginez pas qu'il y ait un seul acteur.
Nous travaillons de façon très étroite avec les services de renseignement et les forces de police.
Sur le vote par Internet, il s'agit d'un sujet complexe et pas seulement technique. Par exemple il n'y a pas vraiment d'isoloir lorsque l'on vote de chez soi. On peut potentiellement vendre son vote ou forcer quelqu'un. Autre exemple, que faire en cas de panne informatique ? Avec une urne traditionnelle le problème n'existe pas. A contrario il y a des fraudes en matière de vote conventionnel qu'il est possible de très significativement réduire par du vote électronique. L'expérience nous a montré qu'il est possible de mettre en place des systèmes de vote sécurisé mais que c'est coûteux et complexe. Pour le directeur de l'ANSSI le vote traditionnel sera toujours plus « confortable » car le risque de cyber attaque est nul mais comme je l'ai indiqué par mes exemples il faut peser le pour et contre et cela ne m'appartient pas.