Michel Benedittini (ANSSI) : « Notre mission : préparer la société française à résister à des attaques informatiques »
Interview du DGA de l’Agence nationale de la sécurité des systèmes d’information réalisée à l’occasion des Assises de la sécurité (octobre 2010) : évolution de l’agence, PIRANET 2010, stuxnet, Cyber Storm, Enisa…
Michel Benedittini, Directeur Général adjoint de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), parle parle peu aux médias.
Les feux des projecteurs sont plutôt braqués vers Patrick Pailloux, Directeur Général de l’autorité nationale en matière de sécurité des systèmes d’information.
Créée en juillet 2009, l’ANSSI a pris le relais de la Direction centrale de la sécurité des systèmes d’information (DCSSI), tout en restant rattachée au secrétariat général de la Défense et de la Sécurité nationale.
Dans le cadre des Assises de la Sécurité de Monaco (octobre 2010), le vice-admiral Michel Benedittini a accepté le principe d’une interview à bâtons rompus sur l’actualité qui a ponctué la vie de l’ANSSI courant 2010 : évolution de l’agence, PIRANET 2010 (« exercice de réponse à une crise majeure d’origine informatique »), le « malware industriel » Stuxnet, Cyber Storm (exercice de cyber-défense), Enisa (agence européenne de securité IT)…
(Interview réalisée le 8 octobre 2010, la diffusion a pris du retard entre la retranscription et la validation des propos).
ITespresso.fr : Où en est la montée en puissance de l’ANSSI ?
Michel Benedittini : En termes d’effectif, il est prévu de passer de 120 à 250 personnes. Nous en sommes à la moitié du chemin. Nous devrions compter 165 personnes d’ici 2010. L’ANSSI n’est pas touchée par les restrictions budgétaires globales au sommet de l’État. Cela illustre une volonté des décideurs politiques qui sont convaincus du travail à accomplir pour changer complètement de braquet en matière de cyber-défense. Mais au-delà de « notre tour d’ivoire » à Paris, nous cherchons à avoir un retour terrain de ce que nous mettons en place à travers les observatoires zonaux et à mesurer l’efficience des règles établies. Nous avons une réelle responsabilité en matière de sécurisation dans la société de l’information jusqu’au niveau des particuliers.
ITespresso.fr : En juin, vous avez mené l’exercice PIRANET 2010 (« exercice de réponse à une crise majeure d’origine informatique »). Une première pour la France ?
Michel Benedittini : En fait, le premier plan PIRANET remonte à 2003 et deux exercices interministériels ont été conduits en 2005 et en 2008. L’analyse avait montré à l’époque que nous manquions encore beaucoup de réflexion et d’organisation. Il fallait compléter le plan PIRANET dans bien des aspects. Ainsi, il a été ré-écrit depuis 2008 et testé lors de l’exercice de juin dernier, avec la participation de la totalité des ministères et de quelques opérateurs vitaux, dont des opérateurs télécom. La pertinence de notre nouvelle organisation a été confirmée, et il convient maintenant d’en poursuivre la déclinaison. Il faudra qu’on le rejoue de manière sectorielle, avant de refaire un exercice le mettant en œuvre avec tous les acteurs concernés de la Nation.
ITespresso.fr : Quels sont les fondamentaux du plan PIRANET ?
Michel Benedittini : Il est crucial de déterminer quels sont les processus numériques essentiels pour le fonctionnement de l’État. Un premier travail sur les processus vitaux avait été réalisé quand le dispositif des secteurs d’activité d’importance vitale – qui tous reposent pour une très large part sur des processus d’échanges numériques – a été rénové il y a cinq ans. L’objectif, dorénavant, est d’aller plus plus loin. Le vital, c’est une question de survie de l’État. Il faut dépasser ce périmètre pour savoir comment maintenir l’activité économique et sociale au niveau national. Nous avons un gros travail d’identification de ses fonctions essentielles et de leur dépendance aux systèmes d’information et du degré inhérent en termes de sécurité (on aborde le thème de la résilience des réseaux). Il faut aussi concevoir des scénarios qui nécessitent des réponses parfois complexes. Par exemple : « Imaginons une attaque dans le monde. Sommes-nous en mesure de protéger l’Internet français ? Si oui, quels flux faut-il filtrer ? Etc. » Le travail de planification consiste à identifier les bonnes questions à se poser en interne. Il faut en parler avec des intermédiaires comme les opérateurs télécom et mener des exercices. Ces derniers permettent d’analyser la pertinence des mesures envisagées, d’en étudier les conditions les conditions de mise en oeuvre, notamment techniques et juridiques, de cerner les bons acteurs, d’établir des réseaux protégés et rapides d’alerte et de réaction, de voir les améliorations à apporter…
ITespresso.fr : Le cas Stuxnet (malware visant des infrastructures industrielles critiques), c’est un scénario que vous aviez prévu dans le cadre d’un exercice PIRANET ?
Michel Benedittini : Stuxnet nous conduit à nous poser beaucoup de questions. Certes, le plan PIRANET a vocation à répondre aussi à ce genre d’attaques, mais la difficulté réside dans les mesures à mettre en oeuvre. Nous avions identifié ce scénario depuis longtemps, mais il reste encore beaucoup de travail pour assurer la protection, la détection et la réaction face à ce type d’attaque. Une intense réflexion sur la sécurité des systèmes de pilotage des processus industriels (parmi lesquels les SCADA) est en cours dans de nombreux pays et dans des groupes multinationaux, comme par exemple sous l’égide de l’Union européenne. Si on en parle autant, c’est que personne n’est réellement bien armé pour apporter une réponse à cette menace. Régulièrement, les Américains déclarent qu’ils ne seraient pas en mesure de résister à une grosse attaque susceptible de mettre à plat les transports et la distribution d’énergie.
ITespresso.fr : Avez-vous une idée d’où provient Stuxnet ?
Michel Benedittini : Chacun peut se faire une idée. [vient une séquence du fameux « silence éloquent », ndlr]
ITespresso.fr : Peut-on en savoir plus ?
Michel Benedittini : On peut faire des hypothèses et en évacuer certaines. Cela ne provient pas de Nauru, le petit État du monde [île corallienne isolée de 21 km² de l’Océanie, située à 41 km au sud de l’équateur, ndlr] et ce n’est pas le Vatican.
ITespresso.fr : Mais vous parlez d’emblée d’un État et pas d’un groupuscule…
Michel Benedittini : On peut se demander à qui profite le crime : États ? Organisations mafieuses ? Mais la vocation de l’ANSSI n’est pas de savoir qui est derrière, mais comment se protéger face à ses attaques.
(lire la fin de l’interview page 2) : Cyber Storm, Enisa…