B. DE RÉELLES AVANCÉES DEPUIS 2008
Le Livre blanc sur la défense et la sécurité nationale de 2008 a permis de donner une réelle impulsion à la politique française en matière de défense et de protection des systèmes d'information.
En termes d'organisation, le Livre blanc a permis à cette politique d'être clairement identifiée, avec la création, en juillet 2009, de l'ANSSI, l'Agence nationale de la sécurité des systèmes d'information. Celle-ci a rendu publique, en février 2011, la stratégie de la France dans ce domaine.
Plusieurs ministères, et en particulier le ministère de la défense et les armées, ont mis en place une nouvelle organisation. Enfin, dans le droit fil des recommandations du Livre blanc, des capacités de détection et de protection ont commencé à être déployées dans les administrations.
1. La création de l'Agence nationale de la sécurité des systèmes d'information
Les rapports Lasbordes, Romani, ainsi que le Livre blanc de 2008 avaient préconisé la création d'une agence interministérielle chargée de la sécurité des systèmes d'information, en vue de renforcer la cohérence et la capacité propre des moyens de l'Etat.
Cette agence, dénommée « Agence nationale de la sécurité des systèmes d'information » (ANSSI), a été créée le 7 juillet 2009, par un décret du Premier ministre 44 ( * ) , sous la forme d'un service à compétence nationale.
Elle a remplacé la direction centrale de la sécurité des systèmes d'information (DCSSI) du secrétariat général de la défense et nationale, tout en renforçant ses attributions, ses effectifs et ses moyens.
Cette agence relève du Premier ministre et elle est distincte des services du SGDSN tout en étant placée sous la tutelle directe du Secrétaire général de la défense et de la sécurité nationale, M. Francis Delon. Elle est dirigée par M. Patrick Pailloux.
Les prérogatives de l'ANSSI recouvrent les capacités en matière de prévention, de détection et de réaction aux attaques informatiques. L'agence n'a aucune compétence concernant les « aspects offensifs ». Par ailleurs, le ministère de la défense et les services spécialisés conservent des attributions particulières.
Les attributions de l'ANSSI recouvrent six principales missions .
En tant qu'autorité nationale en matière de sécurité des systèmes d'information, l'ANSSI est chargée de proposer les règles à appliquer pour la protection des systèmes d'information de l'Etat et de vérifier l'application des mesures adoptées.
Ainsi, l'ANSSI est chargée de préparer la stratégie nationale en matière de sécurité des systèmes d'information, d'animer et de coordonner les relations avec les différents ministères, de préparer les textes législatifs et réglementaires intéressant la sécurité des systèmes d'information et la rédaction de référentiels, la labellisation de sécurité des produits et des prestations de service, l'organisation et le suivi de relations internationales et de relations industrielles, ainsi que l'instruction des dossiers de déclaration et d'autorisation relatifs aux produits réglementés.
L'ANSSI est ainsi chargée d'élaborer le référentiel général de sécurité (RGS), qui désigne l'ensemble des règles relatives aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives, qui participent à la sécurité des informations et qui doivent respecter certaines fonctions, comme la signature électronique, l'authentification ou la confidentialité.
En matière de cyberdéfense , l'ANSSI est chargée de détecter et de réagir au plus tôt en cas d'attaque informatique.
Le centre opérationnel de la sécurité des systèmes d'information (COSSI), qui a été créé en 2003 et qui est opérationnel 7 jours sur 7, 24 heures sur 24 depuis 2005, assure la mise en oeuvre de la fonction d'autorité de défense des systèmes d'information dévolue à l'ANSSI. Son action s'exerce en priorité au profit des administrations de l'Etat, ainsi que des opérateurs d'importance vitale. Le COSSI apporte son soutien et son expertise à la résolution des nombreux incidents de sécurité majeurs rencontrés par des ministères et les grandes entreprises. Il émet aussi des avis de sécurité, des alertes et des bulletins d'actualité sur les attaques en cours, qu'il met en ligne sur le site Internet de son centre d'expertise, le CERT gouvernemental français.
Le COSSI assure un service permanent de veille, de détection et d'alerte destiné à déceler les vulnérabilités susceptibles d'affecter la sécurité des systèmes d'information, à proposer des mesures de contournement nécessaires et à détecter les attaques visant les systèmes d'information de l'Etat. En cas d'incident, il assiste les services concernés en matière de prévention, de détection, de protection et de réaction. En cas d'attaque informatique majeure, il décide des mesures urgentes à faire appliquer par l'Etat et les opérateurs d'importance vitale.
Le COSSI assure, au niveau central, la planification des mesures de réponse aux attaques informatiques, notamment dans le cadre des plans VIGIPIRATE et PIRANET. Il organise des exercices afin d'évaluer les dispositifs techniques et organisationnels de prévention, de détection, de protection et de réaction mis en place, d'entraîner les personnels concernés et de mesurer le degré de préparation de la Nation.
|
LE PLAN PIRANET Complémentaire au plan Vigipirate, le plan Piranet est destiné à faire face à des attaques informatiques majeures, pouvant être d'origine terroriste, ayant touché les systèmes d'information de l'État ou d'opérateurs d'infrastructures d'importance vitale , et à organiser la réponse à ces attaques : - en mettant en oeuvre un dispositif d'alerte et d'intervention ; - en procédant au confinement des attaques ainsi qu'à la remise en état des systèmes touchés ; - en transmettant également l' alerte vers les services non affectés , en leur indiquant les postures à prendre et les parades à mettre en place. Le plan Piranet est l'un des piliers de la stratégie de défense informatique française. Il définit l'organisation et les processus de gestion de crise permettant à l'État de prendre les dispositions nécessaires. Il prévoit également l'application de mesures adaptées à une menace ou une attaque informatique d'ampleur. Ce plan est préparé et maintenu par l'ANSSI et le SGDSN et déclenché par le Premier ministre. Le premier plan Piranet a été créé en 2002, peu après les attentats du 11 septembre 2001. Le dernier exercice « Piranet 2012 », qui s'est déroulé les 7, 8 et 9 février 2012, reposait sur le scénario d'une « crise informatique majeure », telle qu'une interruption totale de la connexion à l'Internet, et visait à tester la capacité de l'Etat à réagir et à se coordonner en cas d'attaques causant de graves dysfonctionnements des systèmes d'information de la Nation. Outre les services de l'Etat, des opérateurs d'importance vitale des secteurs de la santé, des transports et des communications électroniques ont été associés à cet exercice. |
Le COSSI dispose d'une capacité d'inspection et d'audit pour évaluer la sécurité des systèmes d'information des services de l'Etat et aider les responsables à en améliorer le niveau. Cette capacité peut également être mobilisée dans le cadre du soutien et du contrôle qu'exerce l'Etat sur les opérateurs d'importance vitale.
L'ANSSI a également pour mission de prévenir la menace . Elle contribue pour cela au développement d'une offre de produits et de services de confiance pour les administrations et les acteurs économiques . Elle est notamment chargée de fournir aux plus hautes autorités de l'Etat, aux autorités publiques et aux autres acteurs de la conduite des situations d'urgence et des crises, des moyens sécurisés dont le fonctionnement doit être assuré en toutes circonstances. Avec l'appui du Centre de transmissions gouvernementales (CTG), elle met en oeuvre les moyens gouvernementaux sécurisés de commandement et de liaison interministériels, parmi lesquels le réseau téléphonique RIMBAUD, qui permet la continuité de l'action gouvernementale et dessert les 300 plus hautes autorités gouvernementales parmi 4500 abonnés et l'Intranet sécurisé interministériel ISIS, seul réseau interministériel permettant, sur l'ensemble du territoire national, le passage en temps réel d'informations classifiées au niveau confidentiel-défense et outil de conduite de l'action gouvernementale en situation d'urgence ou de crise. ISIS met en relation 2000 décideurs publics.
Autre mission importante de l'agence, l'ANSSI joue de plus en plus un rôle permanent d'assistance, de conseil et d'expertise en matière de sécurité des systèmes d'information au profit des administrations et des opérateurs d'importance vitale . Elle exerce ainsi un rôle d'assistance à la maîtrise d'ouvrage des ministères et du secteur privé dès lors que la sécurisation de leurs systèmes d'information concerne les intérêts fondamentaux de la Nation. L'ANSSI apporte ainsi son soutien dans de nombreux projets d'importance (comme par exemple le passeport biométrique ou le dossier médical personnel) et elle oeuvre à l'intégration de la sécurité des systèmes d'information dans plusieurs programmes de défense (notamment les systèmes de communication ou de commandement) ou stratégiques (comme le système de positionnement par satellite Galileo). L'agence est également chargée de définir les recommandations générales, les référentiels techniques et les méthodes dans tous les aspects concourant à la sécurité des systèmes d'information.
L'ANSSI dispose aussi d'un centre de formation à la sécurité des systèmes d'information (CFSSI), qui dispense des enseignements spécialisés qui vont de la sensibilisation à la formation d'experts en cryptologie ou en systèmes. Chaque année, ce centre forme plus de 1 500 agents publics.
Enfin, l'agence développe une politique de communication et de sensibilisation afin d'informer régulièrement les entreprises et le grand public sur les menaces qui pèsent sur les systèmes d'information et sur les moyens de s'en protéger. Un portail de la sécurité informatique a ainsi été inauguré en 2008 45 ( * ) . Il vise à offrir une information de qualité accessible au plus grand nombre.
En 2011, le gouvernement a décidé de renforcer les prérogatives de l'ANSSI . Par un décret du 11 février 2011, le Premier ministre a décidé de confier à l'agence la mission d'autorité nationale en matière de défense des systèmes d'information 46 ( * ) .
A ce titre, elle a la charge, en cas d'attaque informatique majeure contre la Nation, d'organiser la réponse et de décider des premières mesures urgentes à faire mettre en oeuvre notamment par les administrations, par les opérateurs de communications électroniques et, à terme, par les opérateurs d'importance vitale.
Autrement dit, l'ANSSI pourrait décider, sur instruction des plus hautes autorités de l'Etat, le filtrage de certains protocoles ou le blocage de connexions à l'Internet, en cas de risque majeur contre la Nation.
* 44 Décret n°2009-834 du Premier ministre en date du 7 juillet 2009 portant création d'un service à compétence nationale dénommé « Agence nationale de la sécurité des systèmes d'information »
* 45 http://www.securite-informatique.gouv.fr
* 46 Décret n°2011-170 du 11 février 2011 modifiant le décret n°2009-834 du 7 juillet 2009