La Cybersécurité – EPISODE 6
Comment parler de cybersécurité, sans évoquer l’autorité française en matière de sécurité et de défense des systèmes d’information ? Histoire, missions et perspectives de l’ANSSI[1] par son chargé de mission stratégie des territoires Éric Hazane, également membre de la commission Cybersécurité de la SBA.
Les origines de l’ANSSI trouvent leurs racines à l’ère de la cryptographie et des secrets d’État français. « Si l’agence est née le 7 juillet 2009, elle hérite d’une longue série d’organismes et son histoire remonte aux deux guerres mondiales, raconte Éric Hazane, à des époques où l’État français cherchait plus que jamais à protéger ses informations sensibles, ses ″secrets″, à l’aide de techniques de chiffrement. »
Une histoire passionnante depuis le décryptage du code Enigma
En 1943, le Conseil de défense de la France libre crée à Alger la “Direction technique du chiffre”. L’objectif ? Protéger les informations échangées mais aussi contribuer, aux côtés des Britanniques et des Polonais, à casser d’autres codes, notamment celui des machines allemandes Enigma. Certains messages codés par les Allemands ont ainsi été interceptés et décryptés, permettant de suivre de près les mouvements des convois de ravitaillements des forces de l’Axe sur terre, sur mer et dans les airs.
Les Alliés ont gardé le secret, les Allemands restaient persuadés que le code Enigma résistait et la victoire a changé de camp. « En 1951, le Service central technique du chiffre a ensuite été fondé à Paris, poursuit Éric Hazane, puis en 1977 le service central du chiffre de la sécurité des télécommunications, suivi en 1986 par le Service central de la sécurité des systèmes d’information et en 2001 par la Direction centrale de la sécurité des systèmes d’information… »
Une vague de cyberattaques en 2008
La période 2008 marque une première rupture en matière de cybersécurité. À cette date, le Livre blanc sur la défense et la sécurité nationale relève que les affrontements se multiplient dans le cyberespace. On observe en parallèle la paralysie de sites internet géorgiens en pleine guerre entre la Géorgie et la Russie par exemple, ou l’action de neutralisation à distance de la défense antiaérienne par l’armée de l’air israélienne lors du bombardement d’une installation nucléaire en Syrie. « La création de l’ANSSI en 2009 a permis de répondre à cette massification des cyberattaques devenues sophistiquées, lance Éric Hazane. La première attaque d’ampleur contre l’État français s’est déroulée contre le ministère des Finances à Bercy, en fin d’année 2010. Elle a donné lieu à la première opération de cyberdéfense majeure pour l’agence. »
Désignée autorité nationale en matière de cyberdéfense en 2011
Plus près de nous, il y a 10 ans, un décret a désigné l’ANSSI comme le chef d’orchestre français en cas de ″crise cyber majeure″. En 2013, la Loi de programmation militaire met ensuite l’ANSSI au cœur de la stratégie de cyberdéfense de la France en renforçant ses pouvoirs et sa capacité d’actions. L’Europe suit avec la Directive Network and Information System Security (NIS) en 2016, adoptée par les États-membres à partir de 2018. « En tant que service à compétence nationale, nous bénéficions d’une certaine latitude, nous permettant de nous adapter au fil des situations, précise Éric Hazane. Nous observons un vrai tournant ces derniers mois. Sans être forcément lié directement à la crise sanitaire ou au recours massif au télétravail, les attaques informatiques touchent davantage les collectivités territoriales et, plus grave, les établissements de santé. » Ces derniers subissent une tentative d’attaque par semaine. La cybercriminalité coûterait plus de 1 000 milliards d’euros à l’économie mondiale et les pirates informatiques ont désormais franchi un cap, s’attaquant à des structures chargées de sauver des vies. « Ils n’ont plus aucune moralité, si tenté qu’ils en aient eu ! » lance-t-il.
L’ANSSI, les smart buildings et la smart city
Si l’ANSSI apporte des réponses à des bâtiments confrontés à la cybercriminalité, comme les hôpitaux et d’autres bâtiments publics, l’agence n’a entamé que récemment sa réflexion sur les smart buildings et la smart city. Pour Éric Hazane, le sujet est complexe avec des interconnexions multiples de systèmes à d’autres systèmes, qu’il conviendra de sécuriser.
« En France, en attendant d’avoir des projets entièrement smart à grande échelle, nous travaillons déjà avec l’écosystème de la ville et du bâtiment intelligents, confie-t-il. Nous avons par exemple coréalisé avec l’Association des maires de France un guide sur la cybersécurité des communes et des intercommunalités, disponible à partir de novembre 2020. » Depuis plusieurs mois, l’ANSSI s’implique également dans les réflexions collectives de la SBA, sur l’évolution du label R2S pour poser les bases de la cybersécurité dès la conception des bâtiments, et a participé à la rédaction d’un livre blanc sur la safe city, et bientôt d’un autre dédié à la cybersécurité.
Bientôt des centres régionaux de réponse aux incidents
« C’est important de participer à cette co-construction, souligne-t-il, car les collectivités représentent aujourd’hui des cibles potentielles insuffisamment sécurisées, souvent faciles à attaquer pour des pirates qui exploitent des vulnérabilités parfois connues mais non corrigées. » Pour aider ces collectivités, l’ANSSI alerte, sensibilise, informe et apporte les solutions concrètes. Elle met à leur disposition des guides méthodologiques, techniques ou juridiques, à la pointe des dernières solutions et mis à jour en permanence selon la connaissance des menaces. Elle délivre aussi des Visas de sécurité aux services et aux solutions de cybersécurité les plus éprouvées et les plus fiables, pour que les collectivités les identifient mieux.
« Ajoutons que le plan France Relance consacre 136 millions d’euros à un volet sur la cybersécurité piloté par l’ANSSI, dont 60 millions sont ciblés pour les collectivités, » conclut Éric Hazane. Ce budget sera consacré à la création de centres de réponse aux incidents cyber CSIRT (Computer Security Incident Response Team) dans chaque région au profit des collectivités pour leur apporter des réponses de proximité, en qualifiant l’incident et en les orientant vers les compétences les plus adaptées. France Relance sert aussi déjà à proposer des parcours de sécurisation aux collectivités, qui leur permettent de connaître leur niveau de maturité face aux cybermenaces et de concevoir un plan d’actions afin de mettre à niveau leurs infrastructures et leurs bâtiments. L’objectif : sécuriser les collectivités territoriales pour une cyberdéfense en profondeur.
[1] Agence nationale de la sécurité des systèmes d’information
Rétroliens/Pings