Éditoriaux Défense Sécurité Terrorisme Zones de conflits Logistique Livres de référence Liens
Terre Air Mer Gendarmerie Renseignement Infoguerre Cyber Recherche

La souveraineté nationale passe par la sécurité des systèmes d

La souveraineté nationale passe par la sécurité des systèmes d'information (5)

L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a été créée par le décret n° 2009-834 du 7 juillet 2009 (Journal officiel du 8 juillet 2009), sous la forme d’un service à compétence nationale. Elle est rattachée au Secrétaire général de la défense et de la sécurité nationale (SGDSN), autorité chargée d’assister le Premier ministre dans l’exercice de ses responsabilités en matière de défense et de sécurité nationale. Cette création est l’une des suites données à la publication, le 17 juin 2008, du Livre blanc sur la défense et la sécurité nationale.[1] Dans le "grand dossier" de la revue Défense consacré à la "cybercriminalité sous toutes ses formes",[2] Patrick Pailloux précise la mission de « défense en profondeur » de l'ANSSI. Nous reproduisons ici ce texte avec l'accord de la rédaction de la revue. Paris le 15 octobre 2010.©

Par Patrick Pailloux (*)

Ce n'est un secret pour personne : les technologies de l'information prennent une place croissante et essentielle dans la société du vingt-et-unième siècle. Nos vies personnelles, les entreprises, les infrastructures critiques de la Nation et les processus au cœur même de l'État reposent aujourd'hui sur des systèmes d'information interconnectés. Cette dépendance nous rend vulnérables à leurs défaillances et aux attaques qu'ils peuvent subir. Le Livre blanc sur la défense et la sécurité nationale,[3] qui a inspiré la politique de l'État en la matière et la création de l'Agence nationale de la sécurité des systèmes d'information (ANSSI),[4] ne s'y est pas trompé en identifiant ce risque comme une menace majeure. L'exercice de notre souveraineté passe dès lors par une stratégie de sécurité des systèmes d'information  volontaire.

Patrick Pailloux, directeur général de l'ANSSI

La cybersécurité est incontournable lorsqu'il s'agit de protéger des secrets de l'État et d'assurer la continuité de son action, de plus en plus dématérialisée. L'État doit ainsi pouvoir fonctionner même sans Internet et avoir la garantie que les documents les plus sensibles sont correctement protégés.

Exercer notre souveraineté implique de maîtriser les outils que nous utilisons. Les nations se réclamant d'une suprématie informationnelle (« information dominance »), telles que les États-Unis ou la Chine, se donnent – parfois avec difficulté – les moyens de maîtriser l'ensemble des briques technologiques des outils qu'elles déploient. La France ne peut y parvenir seule ; cependant nous nous devons de maîtriser les éléments critiques de nos systèmes et d'utiliser des produits dont nous sommes sûrs. Dans ce but les procédures de labellisation des solutions de sécurité, dont l'ANSSI a la charge, guident l'État et les entreprises dans leurs choix parmi les offres du marché.

Les besoins de l'État appellent en outre le développement de systèmes d'information et de communication protégés, conçus dans un double objectif de confidentialité et de disponibilité (résilience). Isis et Rimbaud, respectivement intranet gouvernemental sécurisé et réseau téléphonique chiffré, remplissent aujourd'hui cette mission. Ils seront bientôt complétés par Teorem, utilisable comme terminal fixe ou mobile. Leur sécurisation fait appel à la cryptographie, seule technique permettant d'authentifier sûrement un utilisateur, de protéger la confidentialité et de garantir l'intégrité d'une information.

La nécessité de maîtriser les systèmes mis en œuvre dans les dispositifs critiques suppose également de s'impliquer dans l'établissement des normes internationales. La participation de la France dans les organismes de normalisation non seulement participe au renforcement de notre position sur la scène internationale, mais aussi prévient le risque de nous voir imposer des normes contraires à nos intérêts essentiels.

La défense de la Nation ne se limite pas à celle de l'administration. Il est indispensable de garantir la résistance des secteurs d'activité d'importance vitale aux attaques ou aux incidents informatiques. Les établissements de santé, la police, l'énergie, les transports, les banques... tous ces services doivent être assurés – ou rétablis rapidement – en cas de crise affectant leurs systèmes d'information. Cela requiert un partenariat étroit entre les administrations et les opérateurs d'importance vitale, soutenu par l'expertise et la capacité opérationnelle de l'ANSSI. Ce soutien se manifeste par un accompagnement de ces acteurs à la définition et à la mise en œuvre de leur politique de protection des systèmes d'information notamment par des actions de prévention et un soutien à la détection et au traitement des incidents informatiques.

Écrans de supervision au centre de veille de l'ANSSI

La sécurité de nos infrastructures critiques repose sur la mise en place d'une défense en profondeur. En la matière la dissymétrie entre le glaive et le bouclier est flagrante : le défenseur doit veiller à verrouiller toutes les portes, alors qu'il suffit aux attaquants d'enfoncer la cloison la plus fragile. En l'espèce la doctrine française [5] est héritière de Vauban : elle consacre la protection des biens par plusieurs lignes de défense cohérentes et autonomes, jouant chacune un rôle dans la défense globale (retardement, renseignement sur l'attaquant), et allie des mesures techniques, organisationnelles et humaines dans toute la profondeur du système d'information.

Plus largement la sécurité des systèmes d'information est indispensable pour préserver nos atouts et nos richesses. Notre potentiel économique et scientifique est exposé à de nombreux risques, de l'espionnage industriel à la défaillance des supports de stockage. A ce titre il convient d'accorder une attention particulière à l'infogérance : les besoins de sécurité les plus cruciaux s'accommodent difficilement d'une externalisation non maîtrisée. L'intérêt économique qu'elle peut offrir ne doit pas occulter la perte de maîtrise qu'elle implique, et qui peut devenir critique pour des systèmes d'information sensibles. Les offres de services informatiques en nuage (« Cloud Computing ») sur Internet, qui supposent un transfert total de maîtrise aux prestataires, en sont l'expression la plus extrême. Par ailleurs certaines informations sont soumises à un régime juridique spécifique,[6] qui exclut de fait un hébergement à l'étranger et donne à ses dépositaires des responsabilités relatives à sa sécurité et sa préservation.

Le facteur humain reste le talon d'Achille de toute politique de sécurité

Enfin, on ne saurait mener une stratégie nationale en matière de sécurité des systèmes d'information sans se préoccuper de la Nation dans son ensemble. Nos concitoyens et nos entreprises sont quotidiennement victimes de tentatives de filoutage, de vol de leurs données personnelles ou patrimoniales, ou de la compromission de leurs ordinateurs qui peuvent à leur tour servir à lancer des attaques contre nos propres systèmes vitaux ou ceux de nos alliés. Outre la lutte contre la cybercriminalité, l'assainissement de l'écosystème numérique doit se faire au moyen d'une politique industrielle et d'un dialogue permanent avec les éditeurs de logiciels et les prestataires de services. La définition de normes et de règles nationales, comme le propose le référentiel général de sécurité (RGS) publié l8 mai 2010,[7] permet également d'améliorer la sécurité et de diffuser les bonnes pratiques : ce référentiel fixe les règles que doivent observer les administrations en matière de sécurité des systèmes d'information notamment pour le téléservices dont le bon fonctionnement est essentiel à la confiance de nos citoyens dans l'administration électronique. Elles sont pour la plupart applicables dans le monde de l'entreprise.

Mais le facteur humain reste le talon d'Achille de toute politique de sécurité. L'ignorance des risques et la méconnaissance des règles élémentaires de comportement est une source illimitée d'opportunités pour les attaquants. Il est donc capital de convaincre les acteurs de la nécessité de se protéger face aux menaces et de les former à la sécurité.[8] Dès lors l'intégration d'une formation adaptée dans tous les cursus, mais aussi l'organisation d'actions de sensibilisation sur les lieux de travail apparaissent nécessaires.

De tout temps les hommes ont cherché à protéger leurs informations les plus secrètes. Dans le « village global » interconnecté ce besoin persiste mais prend une dimension toute autre qui dépasse largement le besoin de protéger les secrets d'État. La cybersécurité est l'affaire de tous. L'État prend pleinement sa part en définissant les politiques en la matière ; la création de l'ANSSI en est d'ailleurs un acte de référence. Il revient cependant à chacun d'entre nous de se mobiliser pour s'en saisir car seule une implication de tous les acteurs nous permettra de garantir notre indépendance et notre sécurité à l'ère du numérique.

(*) Ingénieur X/ENST, 39e CHEAR, directeur général de l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI).

[1] Ce Livre blanc, retenant le risque d’une attaque informatique contre les infrastructures nationales comme l’une des menaces majeures les plus probables des quinze prochaines années, a mis en exergue l’impact potentiellement très fort de telles attaques sur la vie de la nation. Notre dépendance aux processus informatiques croît en effet sans cesse avec le développement de la société de l’information et l’utilisation de plus en plus poussée de l’informatique dans les processus essentiels de l’État et de la société. En conséquence, il invitait l’État à se doter d’une capacité de prévention et de réaction aux attaques informatiques, et à en faire une priorité majeure de son dispositif de sécurité nationale. En particulier, dans le domaine de la défense des systèmes d’information, il soulignait la nécessité de disposer d’une capacité de détection précoce des attaques informatiques, et d’une organisation propre à contrer les attaques les plus subtiles comme les plus massives. Dans le domaine de la prévention, il proposait un recours accru à des produits et à des réseaux de haut niveau de sécurité, et la mise en place d’un réservoir de compétences au profit des administrations et des opérateurs d’infrastructures vitales. L’ANSSI a été créée pour mettre en place et développer ces diverses capacités. Elle est l’autorité nationale en matière de sécurité et de défense des systèmes d’information. Elle a pour principales missions d’assurer la sécurité des systèmes d’information de l’État et de veiller à celle des opérateurs nationaux d’importance vitale, de coordonner les actions de défense des systèmes d’information, de concevoir et déployer les réseaux sécurisés répondant aux besoins des plus hautes autorités de l’État et aux besoins interministériels, et de créer les conditions d’un environnement de confiance et de sécurité propice au développement de la société de l’information en France et en Europe. (Source : ANSSI).
[2] Numéro 147 de Défense (septembre-octobre 2010), revue bimestrielle de l'Union des Associations des Auditeurs de l'Institut des Hautes Études de Défense Nationale (IHEDN), réalisée par des bénévoles, « auditeurs de l'IH ». Abonnements: BP 41-00445 Armées.
[3] Voir le Livre blanc sur la défense et la sécurité nationale, pages 50 à 53 et 182-183.
[4] www.ssi.gouv.fr 
[5] Mémento sur la défense en profondeur : www.circulaires.gouv.fr/pdf/2009/04/cir_2014.pdf
[6] Notamment le patrimoine scientifique et technique et les données personnelles.
[7] http://www.ssi.gouv.fr/rgs
[8] Portail de la sécurité informatique : http://www.securite-informatique.gouv.fr/

Au sommaire du grand dossier :


Derniers articles

Verdun 2016 : La légende de la « tranchée des baïonnettes »
Eyes in the Dark: Navy Dive Helmet Display Emerges as Game-Changer
OIR Official: Captured Info Describes ISIL Operations in Manbij
Cyber, Space, Middle East Join Nuclear Triad Topics at Deterrence Meeting
Carter Opens Second DoD Innovation Hub in Boston
Triomphe de St-Cyr : le Vietnam sur les rangs
Dwight D. Eisenhower Conducts First OIR Missions from Arabian Gulf
L’amiral Prazuck prend la manœuvre de la Marine
Airmen Practice Rescuing Downed Pilots in Pacific Thunder 16-2
On ne lutte pas contre les moustiques avec une Kalachnikov...
Enemy Mine: Underwater Drones Hunt Buried Targets, Save Lives
Daesh Publications Are Translated Into Eleven Languages
Opération Chammal : 10 000 heures de vol en opération pour les Mirage 2000 basés en Jordanie
Le Drian : Daech : une réponse à plusieurs niveaux
Carter: Defense Ministers Agree on Next Steps in Counter-ISIL Fight
Carter Convenes Counter-ISIL Coalition Meeting at Andrews
Carter Welcomes France’s Increased Counter-ISIL Support
100-Plus Aircraft Fly in for Exercise Red Flag 16-3
Growlers Soar With B-1s Around Ellsworth AFB
A-10s Deploy to Slovakia for Cross-Border Training
We Don’t Fight Against Mosquitoes With a Kalashnikov
Bug-Hunting Computers to Compete in DARPA Cyber Grand Challenge
Chiefs of US and Chinese Navies Agree on Need for Cooperation
DoD Cyber Strategy Defines How Officials Discern Cyber Incidents from Armed Attacks
Vice Adm. Tighe Takes Charge of Information Warfare, Naval Intelligence
Truman Strike Group Completes Eight-Month Deployment
KC-46 Completes Milestone by Refueling Fighter Jet, Cargo Plane
Air Dominance and the Critical Role of Fifth Generation Fighters
Une nation est une âme
The Challenges of Ungoverned Spaces
Carter Salutes Iraqi Forces, Announces 560 U.S. Troops to Deploy to Iraq
Obama: U.S. Commitment to European Security is Unwavering in Pivotal Time for NATO
International Court to Decide Sovereignty Issue in South China Sea
La SPA 75 est centenaire !
U.S. to Deploy THAAD Missile Battery to South Korea
Maintien en condition des matériels : reprendre l’initiative
La veste « léopard », premier uniforme militaire de camouflage
Océan Indien 2016 : Opérations & Coopération
Truman Transits Strait of Gibraltar
Navy Unveils National Museum of the American Sailor
New Navy, Old Tar
Marcel Dassault parrain de la nouvelle promotion d’officiers de l’École de l’Air
RIMPAC 2016 : Ravitaillement à la mer pour le Prairial avant l’arrivée à Hawaii
Bataille de la Somme, l’oubliée
U.S., Iceland Sign Security Cooperation Agreement
Cléopatra : la frégate Jean Bart entre dans l’histoire du BPC Gamal Abdel Nasser
Surveiller l’espace maritime français aussi par satellite
America's Navy-Marine Corps Team Fuse for RIMPAC 2016
Stratégie France : Plaidoyer pour une véritable coopération franco-allemande
La lumière du Droit rayonne au bout du chemin





Directeur de la publication : Joël-François Dumont
Comité de rédaction : Jacques de Lestapis, Hugues Dumont, François de Vries (Bruxelles), Hans-Ulrich Helfer (Suisse), Michael Hellerforth (Allemagne).
Comité militaire : VAE Guy Labouérie (†), GAA François Mermet (2S), CF Patrice Théry (Asie).

Contact