Intervention de Guillaume Poupard

J'ouvrirai mon propos par une mise en perspective des questions de cybersécurité qui intéressent l'ANSSI à temps plein afin d'exposer les menaces que nous devons combattre, ainsi que les choix d'organisation faits par la France depuis quelques années, qui diffèrent de manière assez significative de ce que font nos grands alliés.

J'en viendrai ensuite à l'article 19 de la loi de programmation militaire (LPM), qui va nous permettre, je l'espère, de compléter notre arsenal afin de faire face à ces nouvelles menaces.

Notre sujet est la cybersécurité, c'est-à-dire tout ce qui a trait à la sécurité des systèmes numériques. Même s'il n'y a pas de petites victimes, l'idée est que nous regardons les choses par le haut car le rôle de l'ANSSI est de traiter tout ce qui peut toucher aux questions de sécurité nationale et d'intérêts de la Nation.

Le domaine du numérique peut sembler très éthéré, mais les menaces sont malheureusement très concrètes. Celles qui sont liées à la criminalité ne nous intéressent pas au premier chef même si elles peuvent être liées à nos préoccupations. De fait, l'attaque informatique est un véritable paradis pour les mafieux, les criminels qui veulent pouvoir gagner beaucoup d'argent, escroquer beaucoup de gens, et toucher beaucoup de victimes sans, la plupart du temps, prendre le moindre risque.

Plus grave : nous sommes confrontés depuis maintenant plus de dix ans à des campagnes d'espionnage absolument catastrophiques. La grande difficulté tient au fait que l'attaquant fait tout pour rester discret. En outre, les victimes d'espionnage n'ont pas envie d'en parler, ce que je comprends très bien, et ceux qui les aident, c'est-à-dire très souvent l'ANSSI, protègent leur identité et gardent le secret afin de ne pas ajouter du malheur au malheur.

L'ANSSI traite chaque année une vingtaine de cas d'espionnage grave, ce qui signifie que ce sont des intérêts liés à la sécurité et à la défense nationale qui sont touchés. Cela peut se produire au sein d'un ministère ou, plus souvent, au sein d'entités privées, d'industries : historiquement, les industries d'armement ont été très ciblées par des campagnes d'espionnage et des informations ont ainsi été perdues – pas pour tout le monde ! –, ce qui n'aurait pas dû se produire.

Ce n'est pas parce qu'on n'en parle pas dans les médias que l'espionnage n'existe pas. On en parle parfois lorsque cela devient concret, par exemple la semaine dernière, lorsque, en Allemagne, des attaquants, probablement russes mais nous n'en avons pas la preuve formelle, s'en seraient pris au ministère de la Défense et au ministère des Affaires étrangères.

Cela ne nous surprend pas outre mesure puisque nous détectons ces attaquants alors qu'ils sont en train de chercher à entrer au sein des mêmes ministères en France ainsi que dans probablement tous les pays occidentaux. L'espionnage est donc une véritable menace, mais il n'est pas la pire, si j'établis une gradation dans l'horreur. Le risque le plus important que traite l'ANSSI et, plus généralement, les services de l'État, c'est celui de sabotage, de conflits quasi armés appelés à se développer dans le futur, parce que le numérique constitue le substrat. C'est dans le cyberespace, pour reprendre un terme de journaliste, que se déroulera une bonne partie de ces affrontements.

Le risque n'est ainsi plus uniquement le vol d'informations, qui peut sembler assez éthéré, mais bien l'atteinte physique grave portée à des systèmes, voire leur destruction. Cela peut concerner tout ce qui est industriel, tous les opérateurs dits « d'importance vitale » (OIV) : grands acteurs de l'énergie, des transports, des télécommunications, de l'armement, de l'industrie lourde et d'autres secteurs, tout aussi sensibles pour le fonctionnement de la Nation.

J'insiste sur le fait qu'il ne s'agit pas que d'espionnage, mais bien de destruction. Par les moyens numériques, donc en attaquant depuis le bout du monde, l'agresseur qui prend par exemple le contrôle d'une raffinerie est tout à fait capable de produire des catastrophes, notamment la destruction de systèmes par le biais de l'informatique. De même, dans le domaine du transport, on peut tout à fait imaginer – je ne prétends pas que c'est réalisable, mais cette éventualité doit être prise en compte – le scénario d'un attaquant se rendant maître du système de contrôle de trains ou d'avions, provoquant par là de véritables catastrophes.

Sans chercher à dramatiser, il faut constamment garder à l'esprit que c'est à cela que l'on doit faire face et c'est précisément pour ce faire, que la France a choisi de s'organiser. En la matière, le Livre blanc sur la défense et la sécurité nationale a été une sorte de déclencheur en 2008, soit l'année qui a suivi une attaque majeure contre l'Estonie où, pendant plusieurs semaines – on l'oublie, car le temps passe vite – les transports, le système de santé et le système bancaire ont été paralysés. Les Estoniens ayant eu le malheur non pas d'enlever mais simplement de déplacer la statue érigée à la gloire du soldat russe , cela a provoqué la colère de personnes que le Kremlin avait à l'époque qualifiées de patriotes russes, qui ont mené des attaques informatiques majeures. Or, l'Estonie est le pays le plus numérisé au monde, ce qui constitue une force, mais aussi peut aussi être une sorte de talon d'Achille dès lors que la sécurité numérique associée à ce développement n'est pas assurée.

Le livre blanc de 2008 présente deux éléments essentiels pour la cybersécurité. Le premier, qui ne concerne pas l'ANSSI, est le développement d'une capacité informatique offensive, qui est ainsi assumée. Le second élément a précisément été la création de l'ANSSI, autorité nationale chargée des questions de cybersécurité et uniquement consacrée à la défense, à la protection et à l'aide aux victimes, ainsi qu'à la détection des attaques, mais qui ne fait pas elle-même de renseignement ni d'attaque.

Ce qui peut vous paraître une évidence ne l'est en fait pas puisque nos grands alliés anglo-saxons font exactement l'inverse en confiant la cybersécurité, au sens auquel je l'entends à l'ANSSI, aux services de renseignement technique. Ainsi, mon homologue américain est la National Security Agency (NSA), et mon homologue britannique, le Government Communications Headquarters (GCHQ).

Ce choix d'un modèle totalement différent regroupant l'attaque et la défense au même endroit, afin de créer une forme de synergie, est toutefois à l'origine de nombre de problèmes tenant à la complexité de missions qui entrent parfois en contradiction. C'est un peu comme si, en France, on avait confié le travail de l'ANSSI à la Direction technique de la direction générale de la sécurité extérieure (DGSE), ce qui présenterait des avantages, mais aussi beaucoup d'inconvénients, notamment au regard de la confiance vis-à-vis des victimes que nous aidons régulièrement.

Quelques chiffres. L'ANSSI emploie aujourd'hui 550, contre 80 en 2009, lors de sa création. C'est une croissance colossale. Elle est composée à 95 % d'experts techniques de très haut niveau, dont 80 % sont des contractuels civils : tel est le profil d'un service du Premier ministre quelque peu atypique.

Nous développons de nombreuses méthodes de prévention, nous faisons du conseil et, grâce aux dispositions de la précédente LPM, nous sommes en mesure d'imposer la cybersécurité aux opérateurs d'importance vitale. Par ailleurs, la transposition de la directive européenne NIS (Network and Information Security), qui reprend cette idée, nous permet « d'imposer » – j'emploie des guillemets parce que tout cela est très coopératif – des mesures de cybersécurité à beaucoup plus d'acteurs qu'auparavant, notamment privés.

Notre première mission porte donc sur la prévention, le conseil, la formation et la réglementation au sens large.

Notre deuxième mission c'est la détection, mais il n'est pas possible de construire des systèmes parfaitement sécurisés, même si c'est ce vers quoi nous tendons dans des cas exceptionnels comme la dissuasion nucléaire, pour laquelle aucun risque n'est concevable. Mais, dans la plupart des cas, il est quasiment impossible de garantir une sécurité à 100 % ; ceux qui affirment le contraire sont des menteurs.

Nous faisons de la sécurité, de la protection et nous concevons des systèmes de bonne tenue. Nous complétons le risque résiduel par la détection des attaques qui ont tenté de passer en dépit des protections prises.

L'ANSSI développe, opère, déploie des systèmes de détection d'attaque – des « sondes » dans notre jargon technique –, au profit de l'ensemble des ministères et, très bientôt, de l'Assemblée nationale. Il a en effet été décidé, et je salue cette résolution importante et courageuse, de passer par le système de détection de l'ANSSI pour vous protéger et être capable de détecter au plus tôt des attaquants qui chercheraient à prendre le contrôle de vos ordinateurs, de vos systèmes d'information, qui voudraient connaître vos courriels et vos informations numériques.

Cela ne relève nullement de la fiction : pas plus tard que l'an dernier, nous avons arrêté des attaques qui visaient l'Assemblée nationale. On se souvient, par ailleurs, de l'attaque menée contre le Bundestag en 2015 par le même attaquant que celui qui s'en était pris à TV5, qui s'en est pris ensuite au Comité national démocrate lors de la campagne des élections américaines. Dans le jargon, nous appelons cet attaquant APT28 que les sources ouvertes – que je me borne à citer – identifient comme un important service russe de renseignement. Nous avons donc conscience qu'une menace pèse sur les parlementaires et, pour continuer à vous faire peur, vos collègues britanniques ont aussi été attaqués l'an dernier de manière assez massive ; il est donc important d'être capable de détecter ces attaques pour vous protéger.

Notre troisième mission, la réaction, réside dans l'aide apportée aux victimes : avec des équipes de pointe, nous sommes capables – que ce manque de modestie me soit pardonné – de secourir les victimes les plus sensibles en cas d'attaque avérée, ce qui signifie les protéger très rapidement, dans les premières heures, pour ensuite les aider à reconstruire, ce qui est primordial. Nous nous livrons par ailleurs, au profit des autorités, a un travail de développement et d'opérations portant sur les systèmes de communication sécurisés : tous les systèmes interministériels traitant d'informations classifées, qu'il s'agisse des réseaux informatiques, des téléphones ou des éléments visuels, sont développés et opérés par l'ANSSI.

Il faut savoir rester très modeste dans le domaine de la cybersécurité : nous ne faisons pas de la sécurité absolue, nous courrons plutôt après les attaquants, qui sont très agiles et disposent de moyens considérables. Aujourd'hui – et cela m'amène à parler de l'article 19 du projet de LPM – nous souffrons probablement d'une certaine faiblesse dans la détection d'attaques, mais nous savons le faire pour la sphère étatique et nous savons imposer l'installation de systèmes de détection aux opérateurs privés les plus critiques et d'importance vitale.

Nous qualifions des offres privées de détection : lorsque les prestataires de détection d'incidents de sécurité comme Thales, Airbus ou d'autres développent des systèmes de détection, ils sont évalués et qualifiés par l'ANSSI au nom du Premier ministre. Les attaquants passent par les réseaux informatiques, ils compromettent des ordinateurs, rebondissent de serveurs en serveur sans être repérés parce qu'il n'existe pas de mécanisme de détection. Or, la détection est absolument essentielle : la plupart du temps on ne sait même pas que l'on est attaqué ou on le constate trop tard, à cause des dégâts, lorsqu'il s'agit de destruction ou de sabotage, comme dans le cas de TV5.

Le texte qui vous est proposé présente deux évolutions majeures bien distinctes.

La première consiste à instaurer un système de détection globale à grosses mailles en recourant à des acteurs qui ne sont pas utilisés alors qu'ils sont essentiels dans ce monde numérique : les opérateurs de communications électroniques. Ces opérateurs transportent, malgré eux, les attaques depuis les agresseurs vers les victimes ! En effet, les attaques circulent, depuis les attaquants vers les victimes, à l'intérieur du flux de données numériques, en passant par un nombre considérable d'intermédiaires.

Aujourd'hui, les opérateurs français ne font pas de détection d'attaques : l'idée de cette première proposition est de permettre – obliger n'aurait pas de sens – ces opérateurs, sur la base d'éléments dont ils disposent ou d'éléments techniques que l'ANSSI pourrait leur fournir, à détecter des attaques informatiques. C'est dans ce contexte que notre modèle, qui sépare clairement l'attaque et la défense me semble très pertinent pour chercher simplement à découvrir s'il y a quelque chose de malveillant.

Il est difficile de donner une image représentative de notre activité de détection des attaques informatiques, car il s'agit d'un métier très technique et très particulier, mais on pourrait prendre l'exemple des scanners des aéroports : si vous avez un livre dans votre bagage, la personne derrière l'écran ne le lit pas et ignore même son titre. En revanche, s'il y a des explosifs ou une arme, le système fait apparaître en rouge une forme suspecte.

L'objet de cette analogie, que nous avions choisie lors de la présentation devant le Conseil d'État, est d'expliquer ce que recouvrent cette notion de détection et celle de marqueur technique – la forme du pistolet dans l'exemple du scanner. En fait ce que nous voulons faire c'est en quelque sorte scanner les bagages, mais en étant beaucoup moins intrusifs.

Prenons un autre exemple : si l'on veut savoir, parmi les voitures qui passent, quelles sont celles qui polluent, on ne cherche pas pour autant à savoir à qui appartient le véhicule, on ne lit même pas sa plaque minéralogique, mais on essaie de détecter des événements anormaux, de manière à pouvoir déclencher une vérification – ce que nous appelons une qualification des attaques.

Il s'agit donc de permettre aux opérateurs de faire de telles détections, de permettre à l'ANSSI de donner aux opérateurs des éléments techniques afin de savoir repérer certains attaquants en commençant par les plus actifs, ceux qui nous inquiètent le plus en ce moment. Une partie du travail de l'Agence consiste à établir des marqueurs permettant de détecter des attaquants, qu'il s'agisse d'adresses IP ou internet suspectes, de noms de sites web connus pour être piégés… Bref, il existe de nombreux types de marqueurs différents qu'il serait vain de vouloir les énumérer dans un texte de loi.

Lorsque l'opérateur détecte quelque chose, il faut qu'il puisse nous indiquer vers quelle cible le marqueur que nous lui avons donné est positif, ce qui pourrait indiquer qu'une attaque est tentée. Dès lors, deux possibilités se présentent.

Si l'attaqué est une administration, un opérateur d'importance vitale, cela entre dans le champ d'action de l'ANSSI qui peut demander des éléments complémentaires et aller aider la victime le plus vite possible.

Si les victimes ne relèvent pas du champ d'action de l'ANSSI, qui n'a alors pas les moyens de traiter l'attaque de manière personnalisée, la loi prévoit que l'on puisse demander à l'opérateur de communications électroniques de prévenir les victimes, au moins pour qu'elles sachent qu'elles sont attaquées, ce qui n'est pas évident car, j'insiste sur ce point, cela est très peu visible.

L'autre partie du texte traite un champ totalement différent : nous sommes régulièrement alertés, presque toujours par des partenaires étrangers qui nous signalent, à tel endroit, derrière telle adresse IP d'un ordinateur donné, qu'un agresseur a pris pied, s'est installé et se sert de cette machine pour conduire des attaques.

Comment nos interlocuteurs obtiennent-ils ces informations ? Il arrive que je préfère ne pas savoir parce qu'il s'agit parfois de très grands services de renseignements. Le plus souvent, ce sont des partenaires étrangers qui sont en train de surveiller un serveur qui a été compromis par un attaquant, et qui est en train d'attaquer une autre machine ; c'est ainsi qu'une espèce de réseau se crée. Dès lors, François Deruty, chef du centre opérationnel de l'ANSSI, et son équipe n'ont qu'une envie : aller voir sur cette machine s'il y a réellement un attaquant, et, le cas échéant, ce qu'il est en train de faire.

Si ces machines se trouvent chez des particuliers ou dans des entreprises qui les possèdent, nous allons leur expliquer pourquoi nous souhaiterions y avoir accès. Certains cas sont très intéressants, parfois atypiques : on peut tomber sur des PME, des maisons de retraite, des restaurants, ou des administrations – ce qui nous facilite les choses.

Nous ne débranchons surtout pas l'ordinateur concerné, car nous avons la chance d'être devant une machine sur laquelle l'attaquant est actif et ne sait pas qu'il a été repéré ; nous l'observons « au microscope » afin de voir ce qu'il est en train de faire, qui il est en train d'attaquer, etc.

L'autre cas, en passe de devenir majoritaire, est celui dans lequel ces machines se trouvent chez des gens qui louent des machines, des hébergeurs comme OVH, leader français, mais il en existe beaucoup d'autres. Si nous disons à OVH que nous voulons vérifier ce qui se passe sur telle machine, on nous répond que l'on aimerait bien nous aider, mais que nous n'en avons pas le droit, ce qui est vrai. C'est pourquoi la prochaine LPM nous permettra de caractériser une menace potentielle, sur la base d'une alerte ou d'un renseignement, de manière à nous assurer que c'est bien telle machine qui est en cause.

Bien entendu, nous pourrions demander la permission au détenteur de la machine, à celui qui l'a louée de manière légitime, mais nous ne voulons pas le faire. En effet, dans le meilleur des cas nous tomberons sur une victime que tout cela dépasse complètement : la plupart du temps, ces serveurs sont loués par des particuliers, par des gens que l'on n'a pas envie de mêler à des affaires aussi compliquées. Surtout, le plus souvent, celui qui loue la machine est l'agresseur lui-même, par le biais de systèmes démarqués et de montages comme savent très bien le faire certains services. Or, la dernière personne que l'on a envie de prévenir d'un doute que nous nourrissons pour une machine, c'est évidemment l'attaquant lui-même, car il risque de disparaître instantanément : c'est notre quotidien.

Ce dont nous avons absolument besoin pour progresser dans le domaine de la détection et de la compréhension de ces menaces, c'est d'être capables d'aller voir ce qui se passe sur une machine utilisée par un attaquant.

Voilà donc pour ces deux thématiques très différentes, même si elles sont présentes au sein du même article : d'une part une détection au moyen d'un filet à grosses mailles, mais qui ne signifie pas interception, car les finalités sont totalement différentes, et d'autre part une vision beaucoup plus microscopique et très localisée.

La rédaction de ce texte, largement complétée par le Conseil d'État, vise à poser les garde-fous nécessaires pour éviter que ce dispositif puisse être dévoyé ; un contrôle exercé par l'Autorité de régulation des communications électroniques et des postes (ARCEP) est d'ailleurs prévu à cet effet.

Ces dispositions figurent à l'article 20 du projet de loi, qui habilite le Gouvernement à déterminer par ordonnance les modalités du contrôle des activités de l'ANSSI prévu par l'article 19 ; il pourrait être pertinent de proposer un amendement afin que le contenu de cette ordonnance soit gravé dans le marbre de la loi. L'idée est que l'ARCEP puisse être en mesure d'exercer ce contrôle, car elle est la seule à pouvoir vérifier qu'à aucun moment il n'y a d'accès ou d'exploitation de données qui ne sont pas concernées par le traitement des cyberattaques qui nous intéresse.