D. LES ACTIONS DE L'ANSSI VERS LES ADMINISTRATIONS
En collaboration avec les administrations compétentes, l'ANSSI instruit et prépare les décisions gouvernementales relatives à la sécurité du numérique et à celle des données sensibles. Elle participe à la construction et à la maintenance des réseaux et terminaux sécurisés de l'Etat.
1. La protection de l'information de souveraineté
L'ANSSI a pour mission la conception et le maintien en condition opérationnelle et de sécurité des systèmes d'information gouvernementaux classifiés de défense interministériels. Depuis 2013, en partenariat étroit avec le Centre de transmission gouvernemental (CTG), elle développe, déploie et assure le support technique des systèmes de communications sécurisés et apporte son soutien à la direction interministérielle du numérique et des systèmes d'information et de communication (DINSIC) pour l'équipement de l'ensemble des cabinets ministériels 38 ( * ) .
2. La lente mise en oeuvre de la politique de sécurité des systèmes d'information de l'Etat (PSSIE)
Le Premier ministre a publié, en 2014, une circulaire préparée par l'ANSSI fixant les contours d'une « Politique de sécurité des systèmes d'information de l'État » (PSSIE) 39 ( * ) et des règles de protection 40 ( * ) . Elle constitue un élément de réponse essentiel aux cybermenaces.
La mise en conformité des ministères se poursuit sous le pilotage des services des hauts fonctionnaires de défense et de sécurité. L'ANSSI assure un service interministériel de supervision.
Dans leur avis sur le PLF 2017 41 ( * ) , vos rapporteurs s'inquiétaient de la lenteur de ce processus .
Trois ans après sa publication, la PSSIE a été adoptée par l'ensemble des ministères. Entre 2016 et 2017, le niveau effectif de conformité , qui fait l'objet d'un indicateur 42 ( * ) sous l'objectif 6 du programme 129 « améliorer la sécurité et la performance des systèmes d'information de l'Etat », tarde à atteindre des niveaux en adéquation avec les enjeux portés par les systèmes d'information de l'Etat . « Ces retards sont observés pour la plupart du temps au sein des ministères non régaliens. Le comblement de ce retard dans les deux ans doit permettre d'afficher un niveau moyen plus conforme à l'horizon 2020 . »
Les plans d'action engagés par les différents ministères devraient permettre une accélération de leur progression, notamment en matière de gouvernance et de maîtrise des risques. Cependant, cette politique se heurte à l'insuffisance des moyens organisationnels et budgétaires consacrés à la sécurité dans les ministères pour atteindre une situation satisfaisante.
En sa qualité d'autorité nationale de sécurité et de défense des systèmes d'information, l'ANSSI porte la capacité nationale de détection des attaques et met en oeuvre un service interministériel de supervision qui s'appuie sur des sondes de détection positionnées sur les réseaux des ministères et sur le réseau interministériel de l'Etat (RIE). Ce système a montré son efficacité mais il se heurte à des contraintes techniques et d'organisation qui ne permettent pas toujours à l'ANSSI de déployer des sondes dans des conditions adaptées à la menace, ni de recueillir toutes les informations nécessaires pour assurer une détection optimale.
Cette situation reste insatisfaisante au regard des objectifs de conformité complète à la PSSIE. Pour la deuxième année , vos rapporteurs s'inquiètent de la lenteur du processus. Ils attirent l'attention du Premier ministre sur l'acuité de la menace (cf les attaques en 2017 contre le système de santé britannique) et lui demandent de sensibiliser avec fermeté l'ensemble des ministres, seuls les ministères de la défense et de l'intérieur ont produit les efforts nécessaires. Ils demandent qu'une évaluation soit conduite par un corps d'inspection en vue d'identifier les difficultés et de proposer un plan d'actions destinées à accélérer la mise en oeuvre de ces dispositions par les ministères concernés. Ils souhaitent que soient étudiés rapidement les moyens juridiques et techniques permettant à l'ANSSI de disposer de moyens de contraintes pour imposer ses préconisations aux directions des systèmes d'information des ministères.
En parallèle, l'ANSSI a développé l'offre de formation en direction des agents de l'Etat.
|
Le Centre de formation à la sécurité des systèmes d'information (CFSSI) assure la formation des agents de l'État en matière de cybersécurité et propose un important catalogue de stages adaptés à la multiplicité des besoins et des profils. En 2016, 1 699 stagiaires ont participé aux formations organisées par l'agence. Par ailleurs, le CFSSI assure une formation longue d'expert en sécurité des systèmes d'information (ESSI). Étalée sur une durée de treize mois et sanctionnée par un titre de niveau I (bac+5), elle est inscrite au Répertoire national des certifications professionnelles (RNCP). En 2016, le titre d'expert a été attribué à 21 élèves (8 en 2015). |
3. La politique d'investissement de l'ANSSI
L'ANSSI prévoit le développement de programmes de sécurité sur le budget quinquennal pour répondre aux évolutions suivantes :
• la menace (augmentation du nombre d'attaquants et décuplement de leurs capacités) ;
• les technologies (cycles de vie des technologies de plus en plus courts, à l'instar des générations de réseaux mobiles) ;
• les usages (développement des smartphones notamment).
Plusieurs programmes doivent ainsi être engagés, parmi lesquels :
• « Chiffrement IP » et « Crypsis NG » : programmes ayant pour objet d'assurer la protection de flux classifiés, véhiculés à travers internet (à mettre en relation avec les besoins du GIC pour la centralisation du renseignement) ;
• « Sondes CD » : programme visant à renforcer la détection des attaques par le déploiement de sondes dans les réseaux, capables d'identifier différentes classes d'attaques ;
• « Mobilité CD » et le développement des réseaux sécurisés : programmes destinés à améliorer la protection des informations classifiées de défense, avec pour objectif premier de garantir la confidentialité, l'intégrité et la résilience des communications de l'administration et de permettre dans certains cas d'échanger avec nos alliés dans le cadre de l'OTAN ou de l'Union Européenne.
Au-delà de ces programmes majeurs, le SGDSN poursuivra le financement du data center .
|
Le projet est conduit avec le ministère de l'intérieur, maître d'ouvrage de l'opération. Une convention-cadre pour la réalisation et l'exploitation de ce site, ainsi qu'une convention de réalisation, ont été signées le 9 juillet 2015 afin de préciser les modalités de conception, de construction et de financement conjoints. La durée d'exécution prévue des travaux est de 30 mois, soit une mise en service de l'installation programmée pour le second semestre 2018. En contrepartie de la mise à disposition de structures et de leur exploitation par le ministère de l'intérieur pendant une durée minimale de 15 ans, le SGDSN s'est engagé à participer à la réalisation du centre proportionnellement aux surfaces occupées, soit 75% du coût global des travaux. En phase d'exploitation, le ministère de l'intérieur assurera au profit de l'ANSSI les actions de proximité permettant une exploitation à distance. Les incidences pour les ressources humaines de l'agence seront dès lors limitées. |
4. Une capacité centralisée de détection et de réponses aux attaques informatiques
L'ANSSI a mis en place depuis 2010 un Centre opérationnel de la sécurité des systèmes chargé de détecter et d'entraver les attaques visant notamment les systèmes d'information de l'État et des opérateurs d'importance vitale. Sa mission va de l'analyse des menaces et des vulnérabilités à la remédiation post-crise, en passant par la qualification des attaques en cours et la définition des mesures de réponse. Dans ce cadre, l'ANSSI déploie sur leur réseau des sondes dont elle assure la mise en oeuvre et le maintien en condition opérationnelle. Le COSSI est chargé de leur supervision. Le rapport annuel de l'ANSSI montre le niveau intense de l'activité du COSSI et son implication dans l'accompagnement de la reprise de contrôle des systèmes d'information 43 ( * ) .
Enfin, il réalise plusieurs dizaines de prestations d'audit au profit de l'administration ainsi que des opérateurs d'importance vitale privés 44 ( * ) .
* 38 Pour mémoire, l'ANSSI s'est portée fin 2015 acquéreur d'une licence globale libératoire pour l'utilisation, par les services de l'État, d'un ensemble de logiciels de chiffrement qualifiés auprès de la société Prim'X. En 2016 plus de 600 000 postes ont été équipés.
* 39 Elle décline dix principes fondamentaux portant sur le choix d'éléments de confiance pour construire les systèmes d'information, sur la gouvernance de la sécurité et sur la sensibilisation des acteurs. Les administrations sont désormais tenues de recourir à des produits et services qualifiés par l'ANSSI et d'héberger leurs données sensibles sur le territoire national.
* 40 n° 5725/SG du 17 juillet 2014.
* 41 Avis de la commission des affaires étrangères, de la défense et des forces armées du Sénat n° 142 Tome IX (2016-2017) par MM., Bockel et Masseret, p. 37 et suiv.
* 42 Indicateur 6-1 « Niveau de sécurité des systèmes d'information de l'Etat »
https://www.performance-publique.budget.gouv.fr/sites/performance_publique/files/farandole/
ressources/2017/pap/html/DBGPGMOBJINDPGM129.html
* 43 Rapport annuel d'activité de l'ANSSI pour 2016 p.31 et 32 https://www.ssi.gouv.fr/uploads/2016/09/rapport_annuel_anssi_2016.pdf
* 44 L'ANSSI a réalisé en 2016, 59 audits auprès des ministères et des OIV : 60% d'audits à la demande, 28% à l'occasion d'opérations, 10% dans le cadre d'inspections ministérielles et 2% à l'occasion de missions de contrôle.