Intervention de Patrick Pailloux

Permettez-moi d'abord de vous remercier de me donner l'opportunité d'intervenir devant vous.

Nous vivons à l'heure des cybermenaces et il est difficile d'être optimiste sur leur évolution. Depuis quelques années les attaques informatiques à des fins crapuleuses se multiplient. Ces attaques sont essentiellement de deux ordres : le vol d'informations sensibles et le sabotage.

Depuis 2005, le nombre d'attaques ciblant délibérément des institutions et des entreprises à des fins de vol d'informations sensibles est en très forte augmentation dans le monde.

Trois motivations sont principalement à l'origine de ces agressions qui peuvent viser les pouvoirs publics comme les entreprises.

La plus traditionnelle est l'appât du gain illicite permis par la revente d'informations personnelles. La dernière affaire importante et médiatisée concerne le vol de 100 millions d'identités, y compris des numéros de carte bancaire, chez Sony et plus précisément au sein du système gérant la console de jeu Playstation III. Dans ce genre d'affaires, les bénéfices pour les attaquants peuvent s'élever à plusieurs millions d'euros.

La seconde motivation, que l'on rencontre trop souvent et dont ne voyons au mieux que la face émergée, est l'espionnage visant à s'emparer d'informations secrètes. Dans cette catégorie, les services de l'État ont traité ces derniers mois plusieurs attaques informatiques majeures visant des grandes entreprises ainsi que celle ayant touché le ministère de l'Économie et des finances.

Enfin la motivation la plus récente, rencontrée de plus en plus fréquemment, est d'ordre politique ou idéologique. Elle vise notamment à rendre publiques des informations embarrassantes volées dans les systèmes d'information d'organismes visés. L'affaire « Wikileaks », qui n'est pas une attaque informatique, de la publication sur Internet de télégrammes diplomatiques américains, est emblématique de ce nouveau type de menaces. La France n'est naturellement pas à l'abri de telles attaques qui peuvent être dévastatrices pour l'image d'une l'institution et de ses dirigeants.

J'en viens maintenant au sabotage. On observe depuis de nombreuses années des défigurations de sites Internet ou des attaques visant à bloquer les sites pendant quelques heures ou quelques jours. En 2010, 7 000 sites répertoriés en « .fr » ont ainsi été touchés.

Dans le même ordre d'idée, le « piégeage » de matériels de télécommunication installés sur les réseaux de communications électroniques a déjà été observé, permettant au « piégeur » d'intercepter les communications.

Beaucoup plus grave, il est possible de prendre le contrôle de systèmes industriels – vannes de distribution, systèmes de production d'énergie, appareillages médicaux, – afin de les perturber voire de les détruire. L'été dernier, l'affaire dite du « ver Stuxnet » a ainsi démontré pour la première fois la faisabilité d'une attaque informatique délibérée et ciblée d'un processus industriel critique, en l'occurrence et potentiellement le programme nucléaire iranien. Si nous savions que des attaques informatiques pouvaient affecter le fonctionnement de matériels techniques tels que des équipements médicaux, il est désormais avéré qu'il est possible de porter atteinte à une infrastructure vitale par une attaque à distance de ses systèmes d'information et de contrôle.

Les agressions les plus graves peuvent avoir une finalité stratégique : comme l'ont montré les incidents en Estonie, en Géorgie ou en Iran, chaque tension politique, chaque conflit entre États, est désormais accompagné d'attaques informatiques. Récemment, une attaque apparemment menée par la Corée du Nord contre la deuxième banque de Corée du Sud a été rendue publique: les pirates ont pénétré le réseau de la banque et effacé un grand nombre de données. Il en est résulté deux semaines d'indisponibilité, l'impossibilité de verser les salaires ou encore de retirer de l'argent.

En revanche, il n'a pas encore été observé d'action terroriste contre ou à travers les réseaux même s'ils les utilisent pour leurs communications et leur propagande.

Pour répondre à cette menace, le Livre blanc sur la défense et la sécurité nationale a retenu que notre pays devait se doter d'une capacité de défense informatique. Il a recommandé que soit créée une agence nationale de la sécurité des systèmes d'information. Cette agence a été créée le 7 juillet 2009 dernier par un décret du Premier ministre à la suite d'une mission de préfiguration mise en place dès le 1er janvier 2009.

L'ANSSI, dès sa création, s'est vu confier deux missions : une mission opérationnelle et une mission préventive.

La mission opérationnelle vise à doter la France d'une capacité de réaction en cas d'attaque informatique contre ses infrastructures essentielles. Elle est confiée au centre opérationnel de la sécurité des systèmes d'information. Ce centre est actif 24 heures sur 24. Il assure des fonctions de veille, de détection, d'alerte et de réaction, disposant par exemple de sondes à la frontière des réseaux de l'administration. Il est également en charge de la planification, de la rédaction des plans de réaction et de la conduite d'exercices. Ce centre opérationnel était à la manoeuvre en janvier et février lors de l'attaque intervenue contre le ministère de l'Économie et des finances.

Cette attaque a été découverte début janvier 2011, le premier indice étant l'émission d'un courrier électronique depuis un compte de messagerie sans intervention de son titulaire légitime. Pour y répondre, une opération en quatre phases a été mise en place et pilotée par le centre opérationnel de l'ANSSI en liaison étroite avec Bercy et les services de sécurité afin : de comprendre techniquement ce qui s'est passé ; d'identifier l'étendue de l'attaque – Bercy comptant près de 170 000 ordinateurs – ; de nettoyer les réseaux infectés et enfin de sécuriser les systèmes d'information.

Cette opération a mobilisé autour de 30 à 40 personnels de l'ANSSI pendant deux mois, obérant sérieusement sa capacité opérationnelle.

Plus de 150 ordinateurs et autres serveurs ont été compromis. Le niveau technique des procédés utilisés et la mise en oeuvre constatée de l'attaque révèlent qu'il s'agit de professionnels déterminés et organisés. Ils étaient méthodiques – revenant régulièrement chercher de nouvelles informations.

Le but des attaquants était, selon toute vraisemblance, de se procurer des informations économiques et financières sur la France, en particulier dans le cadre du G20.

Cependant, savoir traiter les attaques informatiques n'est pas suffisant : il faut que nos systèmes d'information y résistent.

Cet objectif correspond à la deuxième mission de l'agence qui est d'assister et de conseiller les administrations et les grands opérateurs pour sécuriser leurs systèmes d'information.

Elle contribue au développement d'une offre de produits et de services de confiance pour les administrations et les acteurs économiques. Elle est notamment chargée de fournir aux plus hautes autorités de l'État des moyens sécurisés dont le fonctionnement doit être assuré en toutes circonstances.

L'agence vérifie également au travers d'audits et de tests de pénétration le niveau de sécurité des administrations et, demain, des opérateurs.

Enfin, l'agence informe régulièrement les entreprises et le grand public sur les menaces qui pèsent contre les systèmes d'information et sur les moyens de s'en protéger. Elle développe pour cela une politique de communication et de sensibilisation active, par exemple grâce à son portail de la sécurité informatique, inauguré en 2008.

Plus classiquement et pour terminer, l'ANSSI assure la fonction de régulation du secteur de la sécurité des systèmes d'information : relations internationales, définition des règles, avec la définition d'un référentiel général de sécurité, ou encore la labellisation de produits.

L'ANSSI est placée sous l'autorité du Premier ministre et rattachée au secrétariat général de la défense et de la sécurité nationales. Sa gouvernance est assurée par un comité stratégique présidé par le secrétaire général de la défense et de la sécurité nationales.

J'en viens maintenant aux développements les plus récents. À la suite de divers travaux et notamment du dernier exercice Piranet, nous avons été amenés à dresser un certain nombre de constats.

Dans le cas d'une attaque informatique, la réactivité prime. Les attaques informatiques se déplacent à la vitesse du courant électrique, une vitesse proche de celle de la lumière. Dans certaines situations il peut être utile de prendre des décisions rapidement, notamment pour éviter une trop grande infection.

Il faut, y compris pour des raisons juridiques, que l'État identifie clairement une autorité chargée d'édicter les règles au sein de l'administration mais aussi vis-à-vis des opérateurs. Dans cette perspective, le président de la République a décidé l'année dernière que la France se doterait d'une autorité de défense des systèmes d'information. Cette décision s'est concrétisée par le décret du Premier ministre du 11 février 2011, au terme duquel l'ANSSI « assure la fonction d'autorité nationale de défense des systèmes d'information. En cette qualité et dans le cadre des orientations fixées par le Premier ministre, elle décide les mesures que l'État met en oeuvre pour répondre aux crises affectant ou menaçant la sécurité des systèmes d'information des autorités publiques et des opérateurs d'importance vitale et coordonne l'action gouvernementale. »

Pour faire court et reprendre une formule de Francis Delon : en cas d'attaque informatique majeure, l'ANSSI prend la main.

Plus récemment, j'ai été conduit à la demande du Gouvernement à dresser un bilan de la situation et à proposer si nécessaire de nouvelles mesures, ce qui a abouti à la communication en conseil des ministres du 25 mai dernier.

Le bilan a démontré que nous étions loin d'avoir résolu le problème, que la menace ne cessait de croître et qu'enfin la situation en France, comme ailleurs dans ce domaine, était inquiétante. Il a donc semblé nécessaire d'accélérer la montée en puissance du dispositif national et de prendre un certain nombre de mesures.

Nous devons en premier lieu renforcer les capacités opérationnelles d'intervention de l'État par la création d'un groupe d'intervention rapide qui se rendra dans les administrations ou chez les opérateurs critiques lorsque des indices laissent à penser qu'ils ont été l'objet d'une attaque informatique particulièrement grave.

Dans le cas où une compromission serait découverte, le groupe d'intervention rapide sera en mesure, à la demande et en appui des équipes de l'administration ou de l'entreprise, d'élaborer les plans de reconstruction des systèmes d'information compromis et de superviser leur mise en oeuvre, voire d'y contribuer directement.

Par ailleurs, doté de moyens aptes à être projetés, le groupe d'intervention rapide donnera à la France une capacité d'assistance à ses alliés en cas de crise majeure de nature informatique.

En second lieu, il importe d'augmenter le niveau de sécurité des systèmes d'information de l'État par la mise en place d'une politique interministérielle de sécurité. Chaque administration possède en effet une politique de sécurité, c'est-à-dire un ensemble de règles qui doivent être respectées par les utilisateurs et les informaticiens. L'hétérogénéité des pratiques et des règles de sécurité actuelles nuit gravement à leur compréhension et à leur application. On gagnera beaucoup notamment en lisibilité et en compréhension si tout le monde ou presque applique un ensemble de règles simples, telles que la taille d'un mot de passe et la périodicité de son renouvellement.

La mise en application d'une politique de sécurité commune et la clarification qui en résultera seront de nature à favoriser le respect de ces règles par l'ensemble des agents de l'État.

Par ailleurs, les administrations doivent recourir à des produits et services labellisés par l'ANSSI, c'est-à-dire évalués par le centre d'évaluation de la sécurité des technologies de l'information qui est indépendant.

Nous devons également déployer un intranet interministériel résilient, chaque ministère disposant aujourd'hui de son propre réseau – voire de plusieurs réseaux – avec ses propres passerelles vers l'Internet et de nombreuses passerelles entre ces réseaux.

L'objectif est de permettre la continuité de l'action gouvernementale et administrative en cas de dysfonctionnement grave de l'Internet en limitant le nombre de passerelles d'interconnexion qui sont des points de fragilité potentiels, améliorant ainsi la détection des attaques au niveau des passerelles ainsi que notre capacité à y réagir. Cela permettrait également de réduire les coûts de communications de l'État en rationalisant le nombre de réseaux.

Ce projet sera piloté par Jérôme Filippini, le nouveau directeur interministériel des systèmes d'information et de communication.

Le troisième axe de travail consiste à promouvoir la cybersécurité dans l'enseignement supérieur et la recherche par l'insertion de la sécurité des systèmes d'information dans les formations supérieures, notamment informatiques. En effet, trop d'ingénieurs ou d'universitaires, y compris dans les filières techniques, arrivent aujourd'hui sur le marché du travail sans avoir jamais été formés à « l'hygiène numérique ». Par ailleurs, on ne devrait plus voir un système mis en production avec des mots de passe par défaut encore en place, ou encore des comptes d'installation non désactivés.

Le quatrième axe consiste à améliorer la sécurité des d'infrastructures vitales en établissant un partenariat avec les opérateurs d'infrastructures vitales.

Il s'agit de développer les échanges d'informations entre l'État et les opérateurs critiques, le partage et l'analyse des remontées d'incidents ainsi que les audits de sécurité. Ces évolutions permettront de renforcer la sécurité des systèmes d'information industriels les plus critiques et de veiller à leur défense permanente.

Nous devons notamment créer un réseau d'alerte en cas d'attaque informatique : l'État doit être en mesure de contacter en temps réel les opérateurs d'infrastructures vitales ou les établissements sensibles lorsqu'il a connaissance d'une attaque informatique les visant.

Il en va de même dans l'éventualité d'une découverte de faille de sécurité grave touchant par exemple un système industriel spécifique.

Afin de relever ces différents défis, les moyens de l'ANSSI vont être renforcés pour atteindre 357 personnels en 2013, contre 180 aujourd'hui. Dans le contexte actuel, cette décision permet de mesurer le degré de prise de conscience des autorités sur ce sujet.