Guillaume Poupard (ANSSI) : « se protéger permet de préserver sa compétitivité »

Guillaume Poupard a pris la tête de l'ANSSI (Agence nationale de la sécurité des systèmes d'information) fin mars 2014. Spécialiste de cyberdéfense, il a succédé à Patrick Pailloux, parti diriger la direction technique de la DGSE. Guillaume Poupard détaille pour nous ses missions et sa vision de la cybersécurité.

PublicitéCIO : Votre parcours est très technique et votre nomination a réjoui ceux qui se plaignent souvent de voir des administratifs diriger des instances techniques. Mais, malgré tout, quels aspects de votre parcours ont justifié votre nomination ?

Guillaume Poupard : J'ai en effet un parcours technique mais j'ai l'obligation et la mission de m'ouvrir. L'ANSSI ne doit pas être une tour d'ivoire. Malgré tout, la cybersécurité s'ancre dans un réel très technique. Une compétence technique est donc absolument indispensable. Il faut comprendre les technologies employées, les menaces, le vocabulaire et les manières de penser spécifiques.

Mon atout est aussi de connaître d'autres ministères, à commencer par le ministère de la Défense où la protection des communications, et de l'information en général, est une des préoccupations majeures.

CIO : Précisément, n'y a-t-il pas des risques de doublons dans les investissements entre les armées et l'ANSSI ?

Guillaume Poupard : Pour éviter de tels doublons, ma venue de la DGA [Direction générale de l'armement, responsable de la conception, de l'acquisition et de l'évaluation des systèmes qui équipent les forces armées, NDLR] est de fait un atout. C'est une préoccupation commune de ne pas dépenser deux fois le budget nécessaire pour atteindre deux fois le même but. Il y a cependant quelques différences d'approche et d'organisation. Ainsi, au ministère de la Défense, le technique et l'opérationnel sont séparés. A l'ANSSI, les deux sont intégrés. Notre collaboration est donc en « triangle » avec les équipes techniques du centre DGA de Maîtrise de l'Information et celles du centre d'analyse de lutte informatique défensive du ministère de la Défense. Celui-ci est d'ailleurs co-localisé avec l'entité de cyberdéfense de l'ANSSI. C'est un peu la même chose que dans le contrôle aérien où civils et militaires ont chacun leurs prérogatives mais travaillent ensemble afin d'être très réactifs en cas de problème.

Globalement, les techniques utilisées pour détecter les menaces sont les mêmes pour tout le monde.

CIO : La cybersécurité n'intéresse-t-elle que le ministère de la Défense ?

CIO : La cybersécurité n'intéresse-t-elle que le ministère de la Défense ?

Guillaume Poupard : Bien sûr que non. Les enjeux sont également très élevés, par exemple, au ministère de l'Intérieur avec une dimension cybercriminalité.

Nous avons aussi besoin de nous ouvrir à des partenaires étrangers, malgré des affaires comme Snowden. Il ne faut certes pas être naïfs mais il faut garder des alliés. La Défense ne peut pas être commune mais elle doit être synchronisée. Si un pays est attaqué, il y a de fortes chances pour qu'un autre le soit. Il y a donc une forme de solidarité et de devoir d'information des autres en cas d'incident, en espérant bénéficier en retour d'une information similaire d'un allié s'il rencontre de son côté un incident.

PublicitéCIO : Une cible classique des cyber-attaquants est l'innovation. Avez-vous des missions particulières en la matière ?

Guillaume Poupard : En effet, la Loi de Programmation Militaire (LPM) a donné des prérogatives particulières à l'ANSSI en matière de protection et de défense des opérateurs d'importance vitale mais nous nous attachons, au delà, à diffuser un message relatif aux bonnes pratiques en matière de sécurité à destination du monde de l'entreprise et de la recherche. Nous pouvons donner des directives afin que des précautions soient prises. Nous avons aussi le devoir d'aller chercher et de développer les compétences françaises en matière de sécurité. L'ANSSI s'ouvre ainsi largement à la recherche.

CIO : Avez-vous la capacité à imposer les bonnes pratiques ?

Guillaume Poupard : Nos actions peuvent passer par la contrainte mais aussi, le plus souvent, par la pédagogie. Il faut que chacun soit conscient que la sécurité n'a jamais fait gagner d'argent. Mais en investissant dessus, on évite d'en perdre beaucoup. Se protéger permet de préserver sa compétitivité.

CIO : Quel est donc, de ce fait, le rôle de l'ANSSI vis-à-vis des entreprises privées ?

Guillaume Poupard : Jusqu'en décembre 2013, l'ANSSI n'avait qu'un rôle de conseil et d'alerte, grâce à une expertise reconnue en termes de menaces. L'agence a ainsi communiqué autour des risques liés au BYOD ou au Cloud afin que personne ne reste focalisé sur le profit à court terme. L'ANSSI publiait également des guides. Nous devions faire comprendre pour faire adhérer les entreprises à nos préoccupations. C'était bien mais sans doute insuffisant. Avec la LPM, nous avons acquis la possibilité d'obliger les opérateurs d'importance vitale (OIV, comme les opérateurs de communication, d'énergie, de transports, etc.), publics ou privés, à sécuriser leurs systèmes critiques et ceux-ci ont également l'obligation de nous remonter les alertes.

L'idée est, d'une part, de les aider à se défendre et d'autre part de vérifier qu'une attaque similaire ne frappe pas insidieusement un opérateur similaire. Et nous avons la possibilité, désormais, de prendre la main si, demain, un problème frappait la France avec l'ampleur de la crise en Estonie en 2007. Si l'attaque est coordonnée, la riposte doit aussi être coordonnée.

CIO : Mais votre action ne risque-t-elle pas de faire peser un poids trop important sur l'activité économique des entreprises ?

CIO : Mais votre action ne risque-t-elle pas de faire peser un poids trop important sur l'activité économique des entreprises ?

Guillaume Poupard : Nous ne voulons pas créer de surcoûts monstrueux. Il faut que les efforts soient soutenables tout en étant suffisants. Une réflexion est en cours avec les opérateurs d'importance vitale (OIV) et les ministères de rattachement.

Toujours grâce à la LPM, nous avons acquis la capacité d'auditer la sécurité d'un OIV. L'ANSSI en faisait auparavant mais, désormais, nous pouvons imposer cet audit à l'OIV qui doit collaborer. Bien entendu, les personnels réalisant ces audits sont assermentés et les résultats sont classifiés.

Quand, à l'été 2012, 30 000 PC infectés ont été purement et simplement détruits chez Aramco en Arabie Saoudite, ça a aussi coûté très cher. Donc, oui, la sécurité a un coût, les audits ont un coût, mais ces coûts sont moindres que ceux d'une attaque destructive réussie. L'apparition de StuxNet a montré la fragilité des systèmes industriels. Or il est impossible de dire : « vous arrêtez toute votre chaîne industrielle et vous mettez à jour avant de redémarrer ». Le discours doit donc être modulé.

La menace est aujourd'hui réelle. Et elle n'est plus seulement liée aux personnes malveillantes qui défacent les sites web (même si cette menace existe encore). En plus des risques majeurs de perte de compétitivité liés aux opérations d'espionnage, le vrai problème est bien la destruction de systèmes d'information d'entreprises et d'administrations.

CIO : Quel est le motif principal d'une attaque ?

Guillaume Poupard : Le motif classique est l'espionnage informatique. Il n'y a probablement pas beaucoup de grosses entreprises qui n'ait pas déjà été victimes d'une attaque de ce type. Mais le risque de sabotage n'en est pas moins réel. Le fait que l'on n'observe encore que peu de cas réels ne doit pas nous faire minimiser cette menace car de telles attaques sont par définition très visibles et donc logiquement réservées à des situations où elles ont un véritable intérêt pour l'attaquant.

CIO : Nous avons évoqué tout à l'heure Edward Snowden. Cette affaire n'est-elle pas la preuve que les utilisateurs à pouvoirs (comme les administrateurs systèmes) ne sont pas correctement gérés, même à la NSA ?

Guillaume Poupard : En France, pour tout ce qui relève du Secret Défense, nous sommes restés volontairement très archaïques. Il est extrêmement compliqué de faire sortir des données numériques d'un système militaire. Beaucoup d'informations ne sont transférées que sous forme papier et transportées par des gendarmes. Dans les entreprises, la prise en compte des utilisateurs ayant des responsabilités majeures est très variable. Certaines suivent de bonnes pratiques, d'autres pas.

Typiquement, il ne faut pas un réseau unique regroupant toutes les données d'une entreprise, auxquelles tous les employés ont accès. Certains logiciels ou systèmes d'exploitation sont d'ailleurs de véritables pousse-au-crime en instituant une confusion des rôles, les administrateurs pouvant, par exemple, lire le contenu des mails.

Une autre difficulté est la catégorie des VIP, celle des cadres dirigeants. Imposer des contraintes aux collaborateurs, cela peut encore se faire, mais les imposer aux VIP est parfois plus compliqué alors que les dirigeants doivent être exemplaires. Il y a ainsi parfois de vrais trous de sécurité volontaires.

CIO : Peut-on vraiment se protéger contre toutes les attaques ?

CIO : Peut-on vraiment se protéger contre toutes les attaques ?

Guillaume Poupard : Garantir une sécurité à 100% est très complexe à atteindre en dehors de domaines très particuliers. Mais il faut pouvoir opérer une sécurité à 90%. Un tel chiffre ne voulant évidemment rien dire mais traduisant le fait qu'un niveau élevé de sécurisation peut être atteint de façon réaliste. D'où la notion, développée par mon prédécesseur, d'hygiène informatique. Il faut faire en sorte que la sécurité soit l'affaire de tous.

CIO : Justement, votre prédécesseur, Patrick Pailloux, a été critiqué pour sa condamnation sans appel du BYOD...

Guillaume Poupard : La plupart des attaques passe par une erreur humaine. Mais si on ne fournit pas les outils nécessaires à chacun pour travailler de manière efficace dans de bonnes conditions, il ne faut pas s'étonner que certains soient tentés d'utiliser des outils non-sécurisés, à commencer par leurs outils personnels. Encourager le BYOD, c'est aller exactement à l'encontre des règles élémentaires de sécurité.

CIO : Enfin, pour conclure, que pensez-vous des relations DSI/RSSI ?

Guillaume Poupard : De fait, DSI et RSSI sont souvent en opposition. Le RSSI est souvent un facteur de coût et de contraintes. Le DSI, lui, doit trouver ce qui est le plus efficace pour l'activité de son entreprise et réduire les coûts. Ils doivent donc trouver un bon compromis et pour cela travailler ensemble en bonne intelligence.

Un expert technique à la tête d'une instance technique

Ingénieur de l'armement et diplômé de l'Ecole Polytechnique en 1992, Guillaume Poupard a soutenu une thèse de doctorat en cryptographie en 2000 à l'Ecole Nationale Supérieure de Paris.

Il a débuté sa carrière comme expert puis chef du laboratoire de cryptographie à la Direction Centrale de la Sécurité des Systèmes d'Information (DCSSI). En 2009, la DCSSI devient l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information).

Mais, avant cette transformation, Guillaume Poupard a rejoint le ministère de la Défense dès 2006 pour travailler sur la cybersécurité, la cryptographie et la cyberdéfense. En 2010, il a pris la responsabilité du pôle « sécurité des systèmes d'information » au sein de la DGA (Direction Générale de l'Armement).

Enfin, en mars 2014, il revient à ses premières amours pour diriger l'ANSSI.

Sur le même sujet :

- 31 mars 2014: la nomination de Guillaume Poupard à la tête de l'ANSSI