Intervention de Guillaume Poupard

Réunion du 18 janvier 2017 à 10h30
Commission des lois constitutionnelles, de la législation et de l'administration générale de la république

Guillaume Poupard, directeur général de l'Agence nationale de la sécurité des systèmes d'information, ANSSI :

Dans le domaine de la sécurité, nous nous inscrivons dans un contexte de menaces informatiques croissantes. C'est un lieu commun que de le dire mais, au sein de l'Agence, nous le vivons au quotidien, ayant à traiter différentes fake teams, avec des attaquants de plus en plus compétents et motivés qui peuvent être de grands États – nous pensons probablement aux mêmes sans avoir besoin de les citer. En cybersécurité, il est donc important de rester très modeste et de s'inscrire dans le temps.

Un système tel que TES pouvait être considéré comme sûr en 2008, mais huit ans c'est très long en cybersécurité. Il faut donc s'inscrire dans une dynamique et revoir en permanence la sécurité au vu des évolutions des techniques mais aussi de la doctrine. Ce que l'on pouvait conseiller en 2008 n'est pas ce que l'on conseille en 2016. Dans le cadre de l'audit, nous avons regardé très concrètement l'état de sécurité du système et de ses différents composants. Nous avons aussi pris en compte de nouvelles données qui n'étaient pas disponibles en 2008.

Les experts impliqués ont examiné les différents sous-systèmes ; ils ont cherché à savoir comment il était possible de détourner le système et d'en prendre le contrôle. Comme indiqué dans le rapport, nous avons découvert des vulnérabilités plus ou moins graves que nous n'avons pas décrites pour des raisons évidentes de sécurité du fichier. À l'ANSSI, nous n'avons pas l'habitude de rendre publiques les vulnérabilités que nous mettons au jour ; notre objectif est de nous assurer qu'elles sont bien prises en compte par le détenteur du système. Nous sommes dans cet état d'esprit avec le ministère de l'Intérieur et avec l'Agence nationale des titres sécurisés (ANTS). Nous leur avons transmis, au fil de l'eau, toutes les informations susceptibles de les intéresser. Je dois reconnaître que la prise en compte de la plupart de nos remarques a été extrêmement rapide et donc de nature à renforcer considérablement la sécurité du système.

Globalement, nos remarques sont de nature à élever la sécurité du système à l'état de l'art, comme l'on dit, que ce soit au niveau des points de collecte qui se trouvent la plupart du temps dans les mairies, au niveau du traitement qui s'effectue en préfecture, ou au niveau du stockage. Nous faisons des recommandations concernant l'usage de la cryptographie qui, vue de 2017, est insuffisamment présente. Nous proposons de renforcer notamment le chiffrement des bases de données et de durcir certains mécanismes.

Nous proposons aussi d'aborder la gouvernance en se plaçant dans une démarche d'homologation. Partant d'un système dont on a exprimé clairement les finalités, pour lequel on a identifié des menaces et proposé des mécanismes de sécurité, l'autorité des entrées doit vraiment se faire expliquer quelles sont les vulnérabilités résiduelles. Dans ce genre de système, il n'y a pas de sécurité absolue. On peut toujours imaginer des sécurités supplémentaires et chercher des vulnérabilités résiduelles. Dans le cadre de cette commission d'homologation, il est important d'avoir tout cela en tête, afin d'être en mesure d'accepter ou de refuser d'homologuer l'utilisation du système.

Le ministère de l'Intérieur s'est donné un mois, ce qui est un délai raisonnable. Le ministre a également annoncé une révision annuelle de cette homologation, ce qui est plutôt ambitieux par rapport à ce que nous avons l'habitude de faire. Pour ma part, je m'en réjouis. Il s'agit de pouvoir bien suivre l'évolution de la sécurité de ce système dans le temps. Telle que nous l'avons perçue au cours de l'audit, la sécurité n'était pas du tout catastrophique mais elle était perfectible. Nombre d'améliorations déjà apportées vont s'inscrire dans le cadre d'un plan de durcissement de la sécurité. Surtout, le suivi va être fait dans la durée, ce que l'on préconise en général.

Aucun commentaire n'a encore été formulé sur cette intervention.

Inscription
ou
Connexion