D. UNE CAPACITÉ D'EXPERTISE DE TRÈS HAUT NIVEAU
L'ANSSI constitue un vivier d'expertise au profit des services de l'Etat et apporte son soutien à de nombreux projets informatiques sensibles. Elle conduit dans sept laboratoires thématiques intégrés à la sous-direction Expertise 38 ( * ) , des activités de recherche scientifique et technique afin d'assurer le maintien à niveau des expertises nécessaires à tous les domaines liés au numérique, en lien avec les acteurs publics et privés de l'écosystème .
E. LES ACTIONS DE L'ANSSI VERS LES ADMINISTRATIONS
En collaboration avec les administrations compétentes, l'ANSSI instruit et prépare les décisions gouvernementales relatives à la sécurité du numérique et à celle des données sensibles. Elle participe à la construction et à la maintenance des réseaux et terminaux sécurisés de l'Etat.
1. La protection de l'information de souveraineté
L'ANSSI a pour mission la conception et le maintien en condition opérationnelle et de sécurité des systèmes d'information gouvernementaux classifiés de défense interministériels. Depuis 2013, en partenariat étroit avec le Centre de transmission gouvernemental (CTG), elle développe, déploie et assure le support technique des systèmes de communications sécurisés et apporte son soutien à la direction interministérielle du numérique et des systèmes d'information et de communication (DINSIC) pour l'équipement de l'ensemble des cabinets ministériels.
2. La lente mise en oeuvre de la politique de sécurité des systèmes d'information de l'Etat (PSSIE)
Le Premier ministre a publié, en 2014, une circulaire préparée par l'ANSSI fixant les contours d'une « Politique de sécurité des systèmes d'information de l'État » (PSSIE) 39 ( * ) et des règles de protection 40 ( * ) . Elle constitue un élément de réponse essentiel aux cybermenaces. La mise en conformité des ministères se poursuit sous le pilotage des services des hauts fonctionnaires de défense et de sécurité. L'ANSSI assure un service interministériel de supervision.
Dans leur avis sur les PLF 2017 41 ( * ) et 2018 42 ( * ) , vos rapporteurs s'inquiétaient de la lenteur de ce processus . Les résultats ne se sont guère améliorés. Le niveau effectif de conformité, qui fait l'objet d'un indicateur 43 ( * ) sous l'objectif 6 du programme 129 « améliorer la sécurité et la performance des systèmes d'information de l'Etat », tarde toujours à atteindre des niveaux en adéquation avec les enjeux. « Les constats d'audits menés en 2017 confirment que si certains ministères se sont appropriés la sécurité du numérique et ont adopté une posture adaptée aux multiples enjeux, la réalité des transformations numériques engagées et l'historique des systèmes d'information font que le niveau de maturité n'est pas souvent aussi élevé que celui estimé. Ce constat est d'autant plus flagrant pour les ministères disposant de moyens humains et financiers plus faibles » 44 ( * ) .
Si l'on constate une meilleure prise en compte des enjeux par les autorités, celle-ci reste insuffisante. Cette situation consternante et alarmante a été confirmée par la RCS 45 ( * ) .
La sécurisation des systèmes d'information de l'État Diagnostics et recommandations Le niveau de sécurité réel des systèmes d'information de l'État demeure inégal et souvent trop faible, ce qui les expose à des attaques informatiques, y compris non ciblées menés par des attaquants aux compétences techniques limitées. Plusieurs axes d'amélioration peuvent cependant contribuer à pallier ces faiblesses. Perfectionner la gouvernance de la cybersécurité La visibilité de l'ANSSI et son pouvoir de contrôle des initiatives numériques ne suffisent pas pour lui permettre de veiller à la bonne prise en compte de la sécurité. Son expertise est souvent sollicitée à des phases trop avancées des projets informatiques ministériels ce qui génère d'importants surcoûts et rend difficile l'atteinte in fine du niveau de sécurité adaptés aux risques (...). À ce jour, en application de l'article 3 du décret n° 2014-879 du 1 er août 2014, l'ANSSI formule un avis relatif à la prise en compte de la sécurité informatique pour les grands projets de l'Etat (> 9M€) 46 ( * ) . Afin d'étendre ce périmètre à l'ensemble des projets sensibles pour l'Etat, l'ANSSI (...) contribue à la création des directions du numérique (DINUM/DNUM), qui seront des partenaires privilégiés sur ce sujet. Au sein des ministères, la gouvernance de la sécurité des systèmes d'information doit être renforcée. Les DSI ministérielles sont insuffisamment formées et peu responsabilisées dans ce domaine. Leurs processus de travail prévoient rarement un volet relatif à la sécurité des systèmes d'information et le risque cyber est souvent mal pris en compte (...). La revue recommande une responsabilisation des DSI ministériels (...) et le renforcement de leur formation. (..) Le dialogue entre les directions métier et les DSI ministérielles est perfectible. La responsabilité de la sécurité du socle informatique commun à l'ensemble d'un ministère (...) relève de la DSI du ministère, il appartient en revanche aux directions métier elles-mêmes de fixer les besoins de sécurité des outils et applications numériques développés au profit de leur métier, parfois sans une implication significative de la DSI. (...) La responsabilisation des directeurs d'administration quant à la sécurité des systèmes d'information métier apparait indispensable (...). Un groupe de travail interministériel a été lancé le 6 septembre 2018. Ces travaux visent à augmenter le niveau de confiance dans les systèmes d'information de l'Etat : en aboutissant à une véritable culture de gestion des risques ; en clarifiant l'organisation et les responsabilités dans le domaine de la sécurité du numérique ; et en plaçant le numérique au coeur des réflexions des acteurs métier. Le rapport final sera livré à la fin de l'année 2018. Optimiser l'utilisation du RIE à des fins de cyberdéfense Renforcer la sécurité du système d'information de l'État est une des missions du Réseau interministériel de l'Etat (RIE). Il s'appuie sur une plateforme unifiée d'accès à Internet qui offre des services de sécurité centralisés. Elle est insuffisamment utilisée par certains ministères (...) ce qui réduit les capacités de cyberdéfense de l'Etat. Son utilisation généralisée permettrait à l'ANSSI de renforcer significativement son service de détection des attaques informatiques. Le service à compétence nationale chargé de gérer ce réseau ne disposant pas des ressources et compétences nécessaires pour assurer la collecte et l'exploitation des métadonnées issue du RIE à des fins de cybersécurité, la Revue propose de « confier à l'ANSSI la détection des attaques sur ce réseau », (...). L'ANSSI et la DINSIC ont élaboré une feuille de route portant sur la sécurité et les services de sécurité du RIE. Les actions initiées avant la rédaction de cette feuille de route et les travaux sur la supervision du RIE avancent suivant le calendrier prévu. En revanche, du fait des évolutions régulières des priorités et du manque de moyens du RIE, aucune autre action n'a été initiée et les priorités de la feuille de route doivent être renégociées. Renforcer la supervision de la cybersécurité des services de l'État L'ANSSI opère un service interministériel de supervision de la sécurité, qui s'appuie notamment sur des sondes de détection d'attaques informatiques positionnées sur les réseaux des ministères et sur le RIE. Le modèle actuel se heurte néanmoins à plusieurs limites : (...) plusieurs administrations ne font toujours pas l'objet d'une supervision de sécurité, ce qui limite de fait la capacité nationale de détection des attaques (...). En outre, ce dispositif n'est pas applicable aux services étatiques hébergés par des prestataires externes, (...) ; la tendance à l'externalisation des applications métier est donc susceptible, à droit constant, de remettre en question la capacité de détection des attaques informatiques. La revue recommande d'imposer la couverture complète des services informatiques utilisées par l'État par un dispositif de supervision de sécurité, y compris dans les cas où ces services sont externalisés. A l'heure actuelle, le taux de couverture des services informatiques utilisés par l'Etat - hors services externalisés - par un dispositif de supervision de la sécurité de l'ANSSI est estimé à 80%. Pour les ministères disposant de réseaux non supervisés, l'ANSSI va initier un dialogue avec plusieurs ministères (...). Adapter la politique d'achat de l'État aux enjeux de sécurité informatique Le recours à des produits et à des services de cybersécurité labellisés par l'ANSSI constitue un levier important pour assurer la sécurité des réseaux de l'État. |
Cependant sa mise en oeuvre se heurte à plusieurs obstacles, dont l'incompatibilité des cadres d'achat ministériels et interministériels avec l'acquisition de telles solutions et l'insuffisance des budgets ministériels dans de domaine 47 ( * ) , (...). Au-delà, les démarches générales d'achats de solutions informatiques par l'Etat devraient faire l'objet d'une attention particulière de sécurité afin de garantir a minima le respect des bonnes pratiques élémentaires pour tout nouvel outil numérique acquis. La revue recommande d'élaborer des clauses contractuelles types et d'inciter fortement les ministères à inclure ces clauses dans leurs marchés publics comportant un volet numérique. Un groupe de travail a été lancé entre la DAE 48 ( * ) et l'ANSSI et un plan d'action a été établi. Les premières conclusions sont attendues pour fin 2018. |
Ce constat a pu être partagé dans le cadre des travaux interministériels du projet « Action publique 2022 ». Plusieurs chantiers ont été lancés afin de renforcer le niveau de sécurité des systèmes d'information de l'État (voir les passages en gras dans l'encadré ci-dessus).
Vos rapporteurs se réjouissent de cette prise de conscience, mais ils estiment que sans portage politique majeur permanent, sans moyens financiers significatifs et sans outils réglementaires coercitifs, il sera difficile de lutter contre une logique qui valorise la multiplication de systèmes d'information et des applications numériques permettant d'abaisser des coûts de fonctionnement ou de personnels. Ils souhaitent que l'Etat fixe aux ministères la réalisation d'un ratio obligatoire d'investissement dans la cybersécurité et qu'en cas de non-respect de ce ratio, les crédits de développement informatique du ministère soient réduits de façon drastique ; qu'une formation solide évaluée par l'ANSSI soit imposée pour tout recrutement des nouveaux DSI ministériels et imposée aux directeurs « métiers »pilotant la mise en oeuvre de projets numériques ; et que des objectifs en matière de sécurité informatique définis par l'ANSSI soient explicitement imposés dans leurs lettres de mission et pris en compte dans leur évaluation.
La RCS a affirmé une nouvelle ambition pour la France en matière de défense et de sécurité de ses systèmes numériques, avec des effets directs sur l'activité de l'ANSSI. Ces travaux supplémentaires ont été intégrés dans la progression globale des moyens pour l'année 2019.
3. La politique d'investissement de l'ANSSI
L'ANSSI prévoit le développement de programmes de sécurité sur le budget quinquennal pour répondre aux évolutions suivantes :
• la menace (augmentation du nombre d'attaquants et décuplement de leurs capacités) ;
• les technologies (cycles de vie des technologies de plus en plus courts, à l'instar des générations de réseaux mobiles) ;
• les usages (développement des smartphones notamment).
Au-delà des programmes majeurs engagés, le SGDSN a poursuivi le financement d'un data center en partenariat avec le ministère de l'intérieur 49 ( * ) . Le site sera pleinement opérationnel à partir de janvier 2019 50 ( * ) . Le coût global des travaux dans le cadre du marché s'élève à 29,41 M€ dont 22,13 M€ pour le SGDSN, ce qui correspond à 75% des travaux communs auxquels s'ajoutent certains travaux spécifiques. Des coûts complémentaires de câblage et de sécurité s'élèvent à 3,44 M€.
4. Une capacité centralisée de détection et de réponses aux attaques informatiques
L'ANSSI a mis en place, depuis 2010, un Centre opérationnel de la sécurité des systèmes chargé de détecter et d'entraver les attaques visant notamment les systèmes d'information de l'État et des OIV. Sa mission va de l'analyse des menaces et des vulnérabilités à la remédiation post-crise, en passant par la qualification des attaques en cours et la définition des mesures de réponse. Il est chargé de la supervision des sondes déployées par l'ANSSI sur les réseaux étatiques d'intérêt pour la Nation. Ces dispositifs sont notamment positionnés sur le réseau interministériel de l'Etat (RIE). Enfin, il réalise plusieurs dizaines de prestations d'audit au profit de l'administration ainsi que des OIV privés 51 ( * ) .
Ce service de supervision a permis à l'ANSSI de détecter et de comprendre des attaques informatiques sophistiquées ciblant l'État. Le système actuel se heurte néanmoins à plusieurs limites :
• les dispositifs de détection sont principalement installés en périphérie des systèmes d'information des ministères. Ce positionnement restreint l'analyse aux échanges qui ont lieu entre les réseaux des bénéficiaires du service de supervision et le réseau Internet ; il ne permet généralement pas de détecter les activités malveillantes qui se déroulent au sein même des réseaux de l'Etat ;
• les déploiements des dispositifs sont limités aux entités étatiques qui en ont fait la demande et sont effectués selon les modalités fixées par celles-ci, ce qui ne permet pas toujours à l'ANSSI d'installer des dispositifs de détection d'attaque dans des conditions adaptées à la menace ;
• en phase d'exploitation, les ministères ne disposent que de ressources limitées pour répondre aux sollicitations de l'ANSSI, ce qui ne permet pas d'assurer un service de détection optimal.
Parallèlement, l'article 34 de la LPM 2019-2025 a introduit deux mesures concourant à l'amélioration de la capacité nationale de détection. :
• permettre aux opérateurs de communications électroniques de mettre en oeuvre des dispositifs de détection des attaques informatiques affectant les systèmes d'information de leurs abonnés sur lesquels l'ANSSI pourra s'appuyer 52 ( * ) .
• donner à l'ANSSI la capacité de déployer ses propres dispositifs de supervision de la sécurité chez les opérateurs et les hébergeurs 53 ( * ) afin d'être en mesure d'acquérir la connaissance nécessaire à l'anticipation des nouvelles menaces et à la compréhension des modes opératoires d'attaques, pour, in fine , mieux les contrer. L'Autorité de régulation des communications électroniques et des postes (ARCEP) est désignée comme autorité de contrôle de la mise en oeuvre de ces dispositions.
• Sur le plan financier, les dispositifs de détection déployés par les opérateurs de communications électroniques demeurent à leur charge. L'exploitation des marqueurs techniques fournis par l'ANSSI fera l'objet d'une juste rémunération, dont le niveau sera fixé par arrêté. Le déploiement de dispositifs par l'ANSSI sur les réseaux des opérateurs et des hébergeurs en fera également l'objet. Le coût pour l'Etat sur 2019 restera marginal, car le déploiement de ces dispositifs sera très progressif et les dépenses générées chez les opérateurs resteront très faibles (électricité consommée et espace occupé).
* 38 La division « scientifique et technique » compte 58 agents, la moitié titulaire d'un titre de docteur.
* 39 Elle décline dix principes fondamentaux portant sur le choix d'éléments de confiance pour construire les systèmes d'information, sur la gouvernance de la sécurité et sur la sensibilisation des acteurs. Les administrations sont désormais tenues de recourir à des produits et services qualifiés par l'ANSSI et d'héberger leurs données sensibles sur le territoire national.
* 40 n° 5725/SG du 17 juillet 2014.
* 41 Sénat n° 142 Tome IX (2016-2017) par MM., Bockel et Masseret, p. 37 et suiv.
* 42 Sénat n° 110 Tome IX (2017-2018) par MM. Cadic et Mazuir p. 24 et suiv. http://www.senat.fr/rap/a17-110-9/a17-110-96.html#toc105
* 43 Indicateur 6-1 « Niveau de sécurité des systèmes d'information de l'Etat »
* 44 Programme annuel de performance n°129 page 28 : https://www.performance-publique.budget.gouv.fr/sites/performance_publique/files/farandole/ressources/2019/pap/pdf/PAP2019_BG_Direction_action_du_Gouvernement.pdf
* 45 http://www.sgdsn.gouv.fr/uploads/2018/02/20180206-np-revue-cyber-public-v3.3-publication.pdf
page 56 et suiv.
* 46 S'agissant des projets de nature opérationnelle du ministère des Armées, il revient au COMCYBER d'être saisi pour avis et de solliciter l'ANSSI en tant que de besoin.
* 47 L'inscription de certaines solutions labellisées par l'ANSSI dans les cadres a fortement facilité leur mise en oeuvre comme l'acquisition par l'ANSSI en 2015 d'une licence globale libératoire pour les logiciels labellisés de la société Prim'X qui a permis le déploiement de 600 000 logiciels de chiffrement robuste au sein de l'administration.
* 48 La direction des achats de l'Etat (DAE), direction d'administration centrale du ministère de l'action et des comptes publics, définit la politique des achats de l'Etat, sous l'autorité du Premier ministre. Elle s'assure également de sa mise en oeuvre, après concertation avec les ministères.
* 49 Sénat n° 110 Tome IX (2017-2018) par MM. Cadic et Mazuir p. 26 et suiv. http://www.senat.fr/rap/a17-110-9/a17-110-96.html
* 50 Après 30 mois de travaux, la réception de l'infrastructure a eu lieu le 31 juillet 2018 et la mise en service est programmée pour la fin de l'année 2018, après des travaux complémentaires d'installation du matériel informatique.
* 51 L'ANSSI a réalisé en 2017, 63 audits auprès des ministères et des OIV : 65% d'audits à la demande (60% en 2016), le reste à l'occasion d'opérations, dans le cadre d'inspections ministérielles ou à l'occasion de missions de contrôle. Sur l'année, les prestations d'audit ont bénéficié en premier lieu aux institutions, ministères et autorités indépendantes (58% de l'ensemble des audits) ; les OIV représentent près de la moitié des activités d'audit de l'agence.
* 52 L'ANSSI peut transmettre à ces opérateurs des marqueurs techniques, qu'ils exploitent au sein de ces dispositifs de détection. Ils alertent l'ANSSI lorsque des incidents de sécurité sont détectés et, à sa demande, lui communiquent des données techniques permettant de comprendre les modes opératoires des attaquants et d'identifier les victimes. A la demande de l'ANSSI, ils informent leurs abonnés de la vulnérabilité ou de l'atteinte de leurs systèmes d'information.
* 53 Sur un périmètre et pour une durée limités lorsque la sécurité des systèmes d'information des opérateurs d'importance vitale, des opérateurs de services essentiels ou des autorités publiques est menacée.