Retour au numéro
Olivier Martin et Guillaume Poupard, qui a été 8 ans DG de l'ANSSI
Vue 48 fois
28 juin 2023

LE DINER-DÉBAT DU 10 MARS 2023 AVEC GUILLAUME POUPARD
UNE INITIATIVE DE LA CAIA QUI TIENT SES PROMESSES

Guillaume Poupard, l’un des experts français en cybersécurité après 8 années comme DG de l’ANSSI a réuni autour de lui trente-sept de nos camarades dont 14 de moins de 40 ans. Propos libres et animés, dont nous ne rapportons que l’essentiel dans le respect du Chatham House rule (*).


Olivier Martin a rapidement présenté Guillaume et sa carrière, en soulignant notamment l’obtention d’un DEUG de psychologie à l’université Paris-VIII, puis d’une thèse sous la direction de Jacques Stern(1) à l’École normale supérieure de la rue d’Ulm dans le domaine de la cryptographie.

Une révolution dans la perception de la cybersécurité

Avant 2000, le mot cyber n’existait pas. La cybersécurité commence en 2007, avec l’attaque russe contre l’Estonie, qui était en 2007 le pays le plus numérique au monde, mais qui vexa son grand voisin en déplaçant un monument à la gloire du soldat russe. Il subit en retour une très grosse attaque cyber de représailles, massive, simple, de type saturation (DDOS, Distributed Denial of Service). L’Estonie fut totalement désorganisée pendant plusieurs semaines.

Sous l’autorité de Patrick Pailloux, premier directeur de l’ANSSI entre 2008 et 2014, l’ANSSI, fait prendre conscience des risques cyber mais peu d’exemples concrets touchent directement notre pays. En fait, à cette époque, l’informatique est très segmentée, et as

sez sécurisée. A la DGA, les Directeurs de Programme sont plutôt rétifs à la prise en compte de cette nouvelle contrainte, coûteuse en argent et performance.

En 2010, Bercy est attaqué, puis l’Élysée en 2012. l’affaire Snowden révèle en 2013 les pratiques américaines d’espionnage, jusqu’ici peu médiatisées. Les attaques cyber montrent à la fois des objectifs d’espionnage et de compromission, et de destructions de systèmes industriels (le cas StuxNet est notamment évoqué).

La prise de conscience, pas encore acquise, est accélérée par l’attaque contre TV5 Monde en 2015 puis les trois grosses attaques en 2017 : Wannacry, NotPetya, la campagne électorale présidentielle en France en 2017. Ainsi, la LPM de 2017 élargit les missions de l’ANSSI et crée le concept des Opérateurs d’importance vitale.

Enfin, se généralisent à partir de 2019, les attaques ransomware lancées par les réseaux mafieux qui visent des cibles beaucoup plus diverses et plus « faciles », comme les hôpitaux, même en pleine crise Covid(2)

Une mission passionnante à la tête de l’ANSSI

A la tête de l’ANSSI, le travail en équipe a constitué une vraie satisfaction, à la fois en interne, et avec la DGA et ses grands partenaires du « C4 » : DGSE, DGSI, ComCyber. Il y eut aussi des frustrations, dont l’administration « administrante » avec certains personnels qui sur-appliquent des règles qu’ils ne comprennent pas...

L’ANSSI exigeait aussi bien des compétences managériales que des compétences techniques et de maitrise des projets. Guillaume a conscience de l’intérêt d’avoir connu divers mondes avant de prendre cette responsabilité : la réalisation d’une thèse universitaire et l’expérience acquise au sein d’autres administrations avec les responsabilités au sein de la DGA.

Cette mobilité des ingénieurs de l’armement est un atout majeur qu’il faut continuer de promouvoir, pour étendre le spectre de compétences au-delà d’un socle technique.

Le cadre du Cercle National des Armées

Questions à brûle pourpoint... et réponses

S’interrogeant sur la faible efficacité cyber apparente des Russes en Ukraine, il apparait que le système de défense de l’Ukraine fragile fut très largement neutralisé par les attaques cyber des Russes durant la période 2015-2017. Depuis, les autorités ukrainiennes ont intégré des solutions américaines et notamment celles des GAFAM. Avant le début du dernier conflit en Ukraine, ce pays a su faire face à des attaques cyber russes très sophistiquées et très puissantes. Grâce à 10 années d’entrainement dans ce domaine avec l’aide des Américains et en s’appuyant sur une segmentation maximale de leurs systèmes d’information, ils ont évité l’effet de domino face aux attaques.

Les notions de cloud européen et cloud souverain apparaissent confuses. La France souhaiterait avancer vers un cloud européen, mais n’en a pas les moyens. Certains pays y sont idéologiquement opposés, comparant souveraineté à protectionnisme, l’un est proche des GAFAM, d’autres encore souhaitent préserver l’accès de leur industrie aux marchés chinois et américain et d’autres enfin privilégient la préservation de leurs liens outre-atlantique. Par ailleurs, le cloud souverain français est un des sujets les plus complexes : une solution de type « Cloud de confiance » par l’importation de solutions américaines opérées par des Français ne serait pas réellement souveraine, car dépendante du soutien des GAFAM. En même temps, la France et même l’Europe ont-elles encore des capacités souveraines en matière d’infrastructures ? Et vouloir assurer une maitrise d’œuvre

administrative de ce cloud souverain sans la coopération avec les grands industriels risque de ne pas permettre la fabrication des produits de série.

Il est clairement rappelé que la maîtrise de la cryptographie et de la cryptanalyse est essentielle pour notre souveraineté. La cryptographie en couche basse dans le Cloud peut être très utile pour le stockage. Mais quand on monte dans les couches, au niveau Office 365 par exemple, il n’y a plus réellement de crypto. La solution serait un cryptage très profond, avec chiffrement dans les puces, mais cela impliquerait de faire confiance aux fondeurs qui aujourd’hui sont tous américains. Enfin, la cryptographie homomorphe n’apparait pas aujourd’hui comme très efficace.

Si la distinction en France des organisations cyber offensive et cyberdéfense étonne, compte tenu des expériences différentes aux Etats-Unis et au Royaume-Uni, il est précisé qu’en cas de regroupement au sein d’une même entité, le cyber offensif, plus attirant, prend le dessus, et la cyberdéfense s’avère alors de plus en plus négligée. Le modèle français de séparation est ainsi jugé plus efficace que le modèle britannique de regroupement mais, alors que la NSA doit se réorganiser tous les 5 ans pour remettre l’accent sur la cyber défense, le Royaume-Uni peut compenser cette moindre efficacité en disposant dans ce domaine de beaucoup plus de personnels que la France.

Pour conclure, la coopération avec les pays européens en matière de cybersécurité est abordée. En synthèse, la coopération la plus ouverte apparait être avec le Royaume-Uni qui s’améliore, après une période difficile liée au Brexit. En effet, très contraint par son alliance « Five Eyes », le Royaume-Uni souhaite préserver une certaine autonomie, notamment en se rapprochant de la France. Avec le reste de l’Europe, cela semble plus compliqué. La cybersécurité relève du domaine défense, la coopération se fait essentiellement en interétatique et peut alors s’exercer sur trois niveaux :

Le développement de compétences et de capacités locales, mais assez difficile pour les pays 100% atlantistes,

La mise en place de réseaux de partage stratégiques d’information, l’UE soutenant ces échanges grâce à l’ENISA(3),

La coordination des défenses des Etats Membres en cas d’attaque cyber, via la mise en place de mécanismes de coordination qui restent à construire. Cet objectif reste difficile d’autant plus que la guerre en d’Ukraine a conduit les Etats-Majors à développer ses propres capacités nationales et à privilégier l’OTAN comme cadre de coopération.

 

« Quand une réunion, ou l'une de ses parties, se déroule sous la règle de Chatham House, les participants sont libres d'utiliser les informations collectées à cette occasion, mais ils ne doivent révéler ni l'identité, ni l'affiliation des personnes à l'origine de ces informations, de même qu'ils ne doivent pas révéler l'identité des autres participants. »

1 : Jacques Stern est le chercheur français vivant ayant le nombre le plus important de publications aux congrès CRYPTO/EUROCRYPT, les plus prestigieux en cryptologie.

2 : Si en métropole, un malade pouvait encore être transféré sur un autre hôpital non attaqué, la situation aurait été dramatique pour les malades de l’hôpital de Papeete, sans possibilité de transfert vers un autre hôpital.

3 : Agence de l’Union Européenne pour la cybersécurité

Auteur

Programmes et systèmes
Armées / DGA / Industrie / Numérique
Manager d’équipes multidisciplinaires et multiculturelles
Vision politique, stratégique et technique.
Expériences de terrain et hauteur de vue
Voir les 4 Voir les autres publications de l’auteur(trice)

Articles liés par des tags

Commentaires

Aucun commentaire

Vous devez être connecté pour laisser un commentaire. Connectez-vous.