Intervention de Patrick Pailloux

Il n'est pas aisé d'expliquer comment il convient de réagir face au tableau cataclysmique qui vient de nous être présenté. Si quelqu'un, où qu'il se trouve, pense avoir la bonne réponse, je l'invite à contacter l'ANSSI au plus vite : nous avons un poste à lui proposer ! (Sourires.)

La stratégie de réponse de l'État a cependant évolué de manière significative depuis quelques années. La problématique de la sécurité de nos données n'est certes pas nouvelle, puisque des systèmes de chiffrement sont apparus dès l'Antiquité, mais le sujet a littéralement explosé depuis quelques années. La stratégie nationale de la France a véritablement commencé à évoluer à partir de 2008 et du dernier Livre blanc sur la défense et la sécurité nationale, qui a identifié le risque d'attaque majeure contre les systèmes d'information comme une menace stratégique, et estimé que le degré de probabilité d'occurrence dans les quinze années à venir était extrêmement fort. Il était dès lors nécessaire de se doter d'une stratégie et de capacités de cyberdéfense.

La stratégie, définie dans la foulée du Livre blanc sur la défense et la sécurité nationale de 2008, repose sur quatre points. En premier lieu, la France souhaite être une puissance mondiale en matière de cyberdéfense. Il ne s'agit pas de montrer notre force pour le plaisir. Simplement, les frontières n'existent pas dans ce domaine. On ne peut donc se contenter d'être un joueur local.

En deuxième lieu, il s'agit de conserver la capacité – que la France avait par le passé – de protéger ses informations essentielles de manière autonome. On touche ici au coeur du coeur du fonctionnement de l'État dans les domaines de la défense et de la sécurité nationale. Pour prendre un exemple, nous devons être capables de produire des chiffreurs en toute autonomie, afin d'être sûrs de ne pas dépendre de tiers auxquels nous ne faisons pas nécessairement confiance.

En troisième lieu, nous devons renforcer très significativement la sécurité de nos infrastructures vitales. J'aime à dire que les systèmes d'information et de télécoms sont nos systèmes nerveux : rien ne fonctionne dans notre vie courante sans informatique. Si nous ne sommes pas capables de protéger les infrastructures vitales que sont la distribution d'énergie, les moyens de télécommunication, nos finances, nos systèmes médicaux et nos systèmes industriels, notre Nation s'effondrera.

Enfin, il nous faut promouvoir la sécurité dans le cyberespace. Nous sommes là dans l'usage du citoyen, et de la confiance qu'il peut avoir dans l'e-administration et les transactions sur Internet.

Pour mettre en oeuvre cette stratégie, nous avons établi – comme toujours en France, mais à raison me semble t-il – une capacité centralisée. Nos grands homologues internationaux ont souvent davantage d'effectifs que nous, mais ils sont généralement moins centralisés.

Créée en 2009, l'ANSSI est à la fois l'autorité de sécurité et l'autorité de défense. Elle a donc deux missions, une mission de prévention et une mission de réaction.

La mission de prévention consiste à veiller à ce que nos infrastructures vitales, qu'elles soient gouvernementales ou privées, soient suffisamment résilientes et capables de résister à des attaques informatiques. Cela repose sur un ensemble d'actions, dont la principale est le conseil, c'est-à-dire la capacité de l'État à édicter de bonnes pratiques en matière de règles de sécurité et à délivrer des labels à des produits de sécurité ou à des prestataires. Un grand nombre de prestataires coexistent en effet dans le domaine de la cybersécurité, un peu moins dans celui de la cyberdéfense ; il faut pouvoir s'y retrouver. La capacité à aller vérifier participe aussi de la prévention – c'est ce que l'on appelle l'audit. Concrètement, il s'agit de tests de pénétration consistant à vérifier si nos systèmes étatiques ou les systèmes critiques privés sont capables de résister à des attaques informatiques. Je ne détaillerai pas les résultats – qui ne sont pas vraiment brillants. Il y a enfin notre capacité à doter le coeur de l'État de moyens de haute sécurité, pour qu'en cas de problème, nos autorités puissent continuer à communiquer et à échanger de l'information en toute sécurité.

Malheureusement, cette mission de prévention, qui représenterait 90 % de notre activité dans un monde stable, est largement supplantée par l'autre activité de l'ANSSI : l'activité de réaction, à savoir la responsabilité, sous l'autorité du Premier ministre et du secrétaire général de la défense et de la sécurité nationale, de coordonner et de piloter la réponse lorsque les infrastructures critiques ou les grandes entreprises françaises sont touchées. Cette activité repose sur un centre opérationnel localisé aux Invalides, actif vingt-quatre heures sur vingt-quatre. Notre capacité de réaction et de défense est hélas « enfoncée » par le volume des attaques informatiques, si bien que nous devons en permanence arbitrer entre les différentes attaques pour décider de celles sur lesquelles nous devons nous mobiliser. Notre action est ici facile à comprendre. Elle peut être comparée à celle des pompiers : des groupes d'intervention sont chargés d'intervenir auprès des administrations ou des grandes entreprises victimes d'attaques, pour les aider à gérer la situation. Cela nécessite d'abord de comprendre ce qui se passe, en sachant que le pirate peut être présent dans l'entreprise depuis très longtemps – jusqu'à quatre ans, selon le rapport de Mandiant. Il faut ensuite comprendre ce qu'il fait et où il a déposé les virus informatiques. Une fois ceux-ci identifiés, il faut nettoyer le réseau. Dans le cas des très grandes entreprises, ce sont plusieurs centaines de milliers d'ordinateurs qui peuvent être potentiellement infectés. La dernière mission consiste à remettre en état et à re-sécuriser le réseau. Si vous réinstallez le réseau tel qu'il était après une attaque informatique, ce que vous avez fait ne servira en effet pas à grand-chose : les attaquants – qui travaillent souvent en toute impunité – recommenceront immédiatement à exploiter vos vulnérabilités.