Entretien exclusif avec Adrienne Charmet, de l'ANSSI
Titre : Entretien exclusif avec Adrienne Charmet, de l'ANSSI, Agence nationale de la sécurité des systèmes d'information
Intervenant·e·s : Adrienne Charmet - Ambroise Garel
Lieu : La Vigie, le podcast du Pavé numérique
Date : 11 mars 2024
Durée : 55 min 40
Licence de la transcription : Verbatim
Illustration : À prévoir
NB : Transcription réalisée par nos soins, fidèle aux propos des intervenant·e·s mais rendant le discours fluide.
Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.
Transcription
Ambroise Garel : Bonjour à toutes et à tous et bienvenue dans ce cinquième épisode, déjà, de La vigie, le podcast du Pavé numérique. Si vous ne le savez pas déjà, La vigie c’est un nouveau podcast, plus si nouveau maintenant, mensuel, qui est associé au Pavé numérique. Nos abonnés payants, en plus de recevoir chaque semaine l’intégralité des newsletters, c’est-à-dire la partie gratuite plus les chroniques payantes, ont également accès à une partie du contenu premium dont, notamment, La vigie qui est un podcast qui est disponible une fois par mois, à la moitié du mois. Encore une fois je vous remercie, chers abonnés, de soutenir nos publications, de nous permettre ce genre d’expérimentation et je vous remercie aussi, on en parle à chaque fois, d’accepter le côté extrêmement brut de décoffrage de ce podcast qui non n’a toujours pas de générique, je vous jure qu’il finira par arriver, notre équipe générique travaille dessus d’arrache-pied nuit et jour.
On va refaire un petit peu le point sur les dernières émissions. Si vous les aviez ratées, sachez qu’elles sont évidemment disponibles à l’écoute sur Substack et sur les plateformes de podcast, si vous êtes abonnés.
On avait donc parlé, la dernière fois, avec Julie Le Baron des deepfakes, de Taylor Swift, et la fois précédente encore on avait parlé des hacks et des opérations d’influence avec le journaliste Louis Adam qui est spécialiste de ces questions. On va un peu, quelque part, conclure cette suite d’émissions. On va parler des risques liés à Internet, des questions de sécurité, en s’adressant plutôt au bon dieu qu’à ses saints puisque, en l’occurrence, nous sommes en compagnie, aujourd’hui, d’Adrienne Charmet qui est chef au sein de la division connaissance et anticipation de l’ANSSI.
Bonjour Adrienne. Déjà merci d’avoir accepté de venir.
Adrienne Charmet : Bonjour.
Ambroise Garel : Comment présenterais-tu l’ANSSI pour ceux de nos auditeurs qui ne connaîtraient pas cette agence ?
Adrienne Charmet : L’ANSSI, c’est l’Agence nationale de la sécurité des systèmes d’information. C’est une agence qui est placée au sein des services du Premier ministre, au sein d’une institution qui est assez peu connue, qui s’appelle le SGDSN, parce qu’on adore les sigles, qui est le Secrétariat général de la Défense et de la Sécurité nationale.
En gros l’ANSSI, c’est l’autorité de régulation sur les questions de cybersécurité et cyberdéfense.
On a pour mission, à la fois, d’assurer les missions de défense des systèmes d’information de l’État et des opérateurs critiques ; on a aussi une fonction importante de participation à la création de la réglementation cyber qu’elle soit française ou européenne ; on a aussi une dimension importante de soutien au développement de produits et de services de sécurité ; et puis, enfin, une mission de formation, d’information, de communication et de partage avec nos homologues en Europe et dans le monde.
Ça fait donc pas mal de missions dans une agence qui, aujourd’hui, compte un peu plus de 600 personnes qui sont installées sur plusieurs sites à Paris et à Rennes.
Ambroise Garel : D’accord. On va en parler, un nombre de missions non seulement très important, mais surtout des missions très diverses. Pour une agence de 600 personnes ça paraît quand même assez impressionnant.
Avant de parler de tout ça, on va peut-être parler un petit peu de ton parcours, parce que c’est aussi une des raisons pour lesquelles je suis très content de te recevoir aujourd’hui. Ton nom est peut-être familier à certains de nos auditeurs, parce que, avant d’être à l’ANSSI, tu as un parcours particulièrement foisonnant. On va faire ça un petit peu dans l’ordre. Tu as commencé par des études d’histoire, tu as été chargée de cours à l’Université Paris-Nord c’est ça ?
Adrienne Charmet : À Villetaneuse.
Ambroise Garel : C’est une période durant laquelle tu as découvert Wikipédia. Est-ce que tu pourrais nous parler un peu de cette période, parce qu’on se dit que ce n’est pas un parcours qui devrait conduire vers des milieux, on va dire, plus geeks, plus informatiques, et pourtant tu t’es retrouvée un petit peu là-dedans.
Adrienne Charmet : Effectivement, j’ai un parcours qui est long parce que je suis un peu vieille.
Ambroise Garel : Ce n’est pas très gentil parce qu’on a presque le même âge !
Adrienne Charmet : Qui a circulé dans les internets pour arriver, effectivement, de Wikipédia jusqu’à l’ANSSI.
L’époque à laquelle j’ai découvert Wikipédia, c’est un peu les âges préhistoriques de Wikipédia parce que c’était vers 2003/2004/2005, je ne me souviens plus exactement. À cette époque-là, j’étais doctorante en histoire religieuse, effectivement, au sein de l’Université Paris 13 Villetaneuse qui, maintenant, s’appelle Sorbonne-Paris-Nord. Et en fait un jour, en séminaire de doctorants, un chercheur, je ne sais absolument plus qui, nous parle des ressources numériques disponibles. À cette époque-là, il n’y a pas encore pas énormément de ressources disponibles pour des chercheurs et, surtout, pour des chercheurs en lettres, sciences humaines et sociales sur Internet, on est encore dans une image de l’Internet assez geek, effectivement. Il nous présente tout un tas de ressources, de bases documentaires littéraires, les débuts des bases de la BNF, etc., et, au hasard de cette discussion, il nous parle d’un site qui s’appelle Wikipédia, qui est un projet d’encyclopédie collaborative et libre. J’ai trouvé ça super intéressant. Je rentre chez moi le soir, je crois que je n’avais pas encore d’ADSL à cette époque-là, je mets mon disque AOL à 50 heures libres en route, je vais sur Wikipédia et j’ai trouvé ce projet d’encyclopédie complètement fascinant.
Ambroise Garel : Et tes 50 heures y sont passées !
Adrienne Charmet : Et mes 50 heures y sont passées et, en fait, ça a été le début de ma contribution sur Wikipédia avec au début, pas trop d’objectifs, j’ai dû commencer par corriger des fautes d’orthographe comme tout le monde, et puis, assez rapidement, je me suis rendu compte que, d’une part, le partage de connaissances m’intéressait beaucoup, la partie logiciel libre, je ne connaissais pas du tout, mais, une fois que j’ai compris les principes, j’ai adhéré. À cette époque-là, je faisais des recherches pour ma thèse, je travaillais sur beaucoup de personnages, pas forcément des plus connus ; je faisais soit un doc word, soit des fiches en carton sur chacun de mes petits bonhommes où je mettais, à chaque fois, les informations que je collectais dans mes sources, dans mes archives à chaque fois, et assez vite, de façon hyper-pragmatique, je me suis dit « en fait, si je créais des articles sur Wikipédia, ce serait beaucoup plus simple pour synthétiser la connaissance. Non seulement je l’aurais pour moi, mais les autres l’auraient », parce que ça m’agaçait beaucoup de lire dans des bouquins de chercheurs trois lignes sur un type qui m’intéressait et j’étais obligée de retourner dans les mêmes archives que le chercheur en question pour avoir la suite de l’histoire. Je me suis dit « tant qu’à faire, une fois que j’ai fait la recherche, autant la mettre à disposition des autres ». C’est un peu comme cela que j’ai commencé et que je me suis investie de plus en plus dans le fonctionnement de Wikipédia et de Wikimédia France, l’association qui soutient et promeut les projets Wikimédia en France.
Ambroise Garel : Donc, tu es devenue présidente à partir de 2009.
Adrienne Charmet : Tout à fait.
Ambroise Garel : On va dire que c’est plus qu’un intérêt d’étudiante, tu t’es vraiment investie énormément dans le projet.
Adrienne Charmet : En fait, au bout de quelques années j’ai lâché la carrière universitaire, mais, pour autant, je n’ai pas lâché Wikipédia et je me suis investie de plus en plus dans cette association.
En 2009, j’en ai effectivement pris la présidence pour à peu près deux ans. Ensuite, quand on a monté une équipe salariée, je suis rentrée dans cette équipe salariée, j’y suis resté jusqu’en 2014. Là, on n’était plus uniquement dans la partie contribution à Wikipédia ou aux autres projets – Wikimédia Commons, Wikisource, etc. –, je me suis aussi engagée un peu plus largement sur tout ce qui est communs de la connaissance, communs numériques et puis promotion et développement des projets en France ou à l’international, pour, déjà, faire accepter Wikipédia dans les institutions culturelles et universitaires et monter des partenariats pour que ces institutions soit favorisent la contribution de leurs membres, soit partagent du contenu sous licence libre pour qu’on puisse le réutiliser au sein des projets Wikimédia.
Ambroise Garel : Ce que je trouve intéressant c’est, justement, que tu es partie quand même de quelque chose de très universitaire et presque vraiment, en fait, un problème qui est une sorte de désir chez beaucoup de gens qui sont en master ou qui commencent leur thèse de se demander « comment pourrais-je, dès maintenant, commencer à partager mes recherches ? ». C’est vrai que, pour ça, Wikipédia est un outil génial. De là, tu es arrivée plus vers l’ouverture vers le côté avantage des licences libres, l’avantage des communs. Je trouve ça vraiment intéressant de voir qu’en partant de problèmes presque universitaires, tu t’es retrouvée avec des questions qui sont presque des questions plus techniques et des questions liées au numérique.
Adrienne Charmet : En fait, ce n’est pas si étonnant que ça, parce que, quand on travaille dans le monde universitaire, la question de la diffusion du savoir est absolument fondamentale et puis on a un peu deux écoles : celle qui partage et celle qui ne partage pas. Je pense que, naturellement, je suis plutôt du côté de l’équipe qui partage.
Autant, à la fin des années 90, je ne voyais absolument pas l’intérêt d’Internet, franchement ça ne me parlait pas du tout et, n’ayant jamais développé quoi que ce soit, codé quoi quoique ce soit, c’était vraiment un monde qui ne me parlait pas, autant la partie contenus d’Internet m’a parlé tout de suite. Cette capacité à partager des choses et à découvrir des choses sur Internet m’a tout de suite beaucoup plu. Donc, je trouve que ce n’est pas si étonnant que ça quand on a une formation universitaire et une pratique de la recherche, en tout cas de l’écriture de la recherche, etc., de basculer sur des projets de communs. En fait, nous sommes assez nombreux, au sein des contributeurs de Wikipédia et des gens qui s’investissent dans la partie associative derrière, à venir de ce monde universitaire, notamment en lettres et sciences sociales.
Ambroise Garel : Ce qui n’est pas forcément étonnant quand on voit tous les mouvements en faveur de l'open science, des choses comme ça, il y a une vraie volonté d’ouverture aussi de la part du milieu de la recherche, d’une partie du milieu de la recherche, encore une fois. C’est vrai que chez toi c’est quand même allé un petit peu plus loin, tu disais que c’est vraiment quelque chose qui était lié aux travaux universitaires, mais c’est quand même lié plus aussi au côté, par exemple, défense de la partie liberté, puisque après – merci de me corriger si je me trompe dans les dates –, en 2014, tu as quitté ton poste de directrice des programmes de Wikimédia France pour rejoindre La Quadrature de Net. Il faut peut-être expliquer, encore une fois, ce qu’est La Quadrature de Net qui s’est fait connaître, à l’époque, en plein débat sur la loi Hadopi, quand, je ne sais pas si c’est Christine Albanel elle-même ou quelqu’un de son cabinet a dit « ils sont cinq gus dans un garage qui font des mails à la chaîne », phrase qui est restée parce qu’ils étaient vraiment très militants contre la loi Hadopi et tu les as rejoints.
Pour le coup, autant Wikimédia, Wikipédia en général, c’est quand même quelque chose qui a un pied dans le monde de la recherche, un pied dans le monde du savoir, on va dire, autant La Quadrature de Net c’était vraiment quelque chose qui était un repère de libristes, des gens qui avaient un rapport beaucoup plus direct à l’informatique, beaucoup plus pratique.
Adrienne Charmet : Oui et non. En passant de Wikimédia à La Quadrature, je n’ai pas eu l’impression de faire un saut culturel énorme. Évidemment, on se connaissait. Il n’y en a pas, en France, 50 000 associations qui se prononçaient ou s’activaient en faveur des logiciels libres et des licences libres, donc, forcément, on se connaît, on se parle et on fait des choses ensemble. Je connaissais donc déjà bien La Quadrature. Oui c’est un repaire de geeks, mais ce sont les mêmes que chez Wikimédia, c’est pareil, ce sont les mêmes ou pas loin. Et puis, contrairement à ce qu’on pourrait penser, au sein de La Quadrature et ce qui en fait vraiment son originalité, c’est cette alliance de gens avec des compétences techniques très poussées et très avérées, une connaissance de tout ce qui tourne autour des télécommunications, du chiffrement, de la vie privée, etc., et beaucoup de juristes, et aussi des sociologues, des gens qui trvaillent dans les humanités numériques, etc., qui sont capables de faire ce lien entre la technique, les enjeux politiques et l’implication des problématiques techniques dans les enjeux politiques. Je trouve que c’est vraiment ça qui est intéressant, c’était vraiment ce qui m’intéressait beaucoup et je n’ai pas eu l’impression de changer de milieu social, c’était quand même assez proche et j’aimais beaucoup ce mélange entre des questions extrêmement techniques et des questions juridiques, sociales, politiques très poussées aussi.
Ambroise Garel : Manifestement, ton profil était intéressant pour eux. J’ai vu, j’ai lu – encore une fois je ne sais pas dans quelle mesure c’est vrai ou non – qu’apparemment ton profil avait particulièrement plu à La Quadrature, parce que et c’était le genre de personne qu’il fallait. Tu as été porte-parole de La Quadrature parce que, justement, tu étais capable de parler aussi aux gens en dehors, peut-être, du milieu justement un peu des libristes ou du milieu des gens qui sont spécialisés de ces questions-là.
Adrienne Charmet : C’est quelque chose que j’ai un peu cultivé ; en gros, j’ai fait passer ma flemme pour une qualité, c’est-à-dire que je n’ai jamais voulu, justement, développer trop mes compétences techniques pour rester accessible et pour continuer à me mettre à la place – je déteste cette expression de madame Michu parce que je la trouve hyper sexiste – de monsieur Michu. En gros, si on veut être capable de parler au plus large public possible, je ne dis pas qu’il faut être ignorant des questions techniques, en tout cas, il faut se placer quand même du côté des gens à qui on veut parler. Quand on connaît trop les choses, par exemple si je parle des questions liées aux logiciels libres, c’est hyper important de bien comprendre comment ça fonctionne, mais ce n’est pas évident pour tout le monde de travailler en ligne de commande, installer des logiciels en ligne de commande ça ne se fait pas si facilement que ça, je sais le faire, ce n’est pas la question, mais j’ai besoin, quand même, de garder le point de vue du grand public pour être capable de mieux lui parler.
Je ne sais pas quels sont les choix qui ont présidé au fondateur de La Quadrature pour me recruter, en tout cas, oui, ce côté non-geek, était intéressant, je pense, pour parler au plus large public possible.
Ambroise Garel : Surtout qu’il permet de garder cette perspective-là. Un exemple me vient toujours en tête, c’était au moment où Dropbox s’est lancé : quelqu’un qui avait dit « ça ne marchera jamais parce que c’est très facile à faire, en gros vous faites un script qui compare les dates de mises à jour et vous fabriquez votre Dropbox tout seul sur votre NAS, dans votre salon » et les gens ont dit « tu ne te rends pas compte ! ». Là, c’est un cas extrême, mais c’est un problème qu’on peut trouver : on a tellement pris l’habitude de l’évidence de certaines choses, on ne se rend pas compte qu’elles ne sont pas forcément évidentes.
14’ 13
Adrienne Charmet : C’est ça. Être capable d’héberger soi-même ses mails, d’avoir son serveur et de l’administrer, c’est loin d’être évident pour tout le monde, donc, forcément ça entraîne le développement d’offres commerciales qui ont leurs qualités d’accessibilité et leurs défauts à côté, notamment dans l’exploitation des données ou les problématiques d’hébergement au sens large. Et si on n’est pas capable de le comprendre ou si on pense qu’il n’y a qu’à se prendre en main et héberger ses contenus, on ne va pas être capable de parler à son public.
Ambroise Garel : Pour en revenir à cette dernière étape, avant d’attaquer le vif du sujet, en 2017, tu as quitté La Quadrature de Net pour rejoindre l’ANSSI. S’il y a vraiment des passerelles évidentes entre Wikimédia et La Quadrature, on a vu, dans notre conversation, qu’en fait il y en a pas mal ; finalement je comprends mieux, après avoir lu tout ça. Mais comment peut-on trouver des passerelles entre La Quadrature et l’ANSSI, c’est vrai que ce n’est peut-être pas forcément évident de prime abord. Est-ce que ça s’est bien passé de la part des gens de La Quadrature ? Ont-ils bien accepté que tu partes dans ce qui était quand même une agence d’État, qui plus est une agence liée à la sécurité.
Adrienne Charmet : Les raisons pour lesquelles j’ai choisi de postuler à l’ANSSI, c’est que, après de nombreuses années dans l’associatif, j’avais peut-être envie de changer un peu. Déjà, j’avais besoin de renouveler un peu mon travail, de changer un peu, c’est normal ; je n’avais pas forcément envie de continuer dans l’associatif et aucune envie d’aller faire de l’open washing dans une entreprise, une GAFAM quelconque, c’était hors de question. En fait, j’avais envie de continuer à travailler pour l’intérêt général, le bien commun ; quand on veut travailler pour le bien commun, le service public ce n’est pas absurde. L’ANSSI est une agence qui avait et qui a toujours, je crois, la réputation d’être à la fois hyper-carrée techniquement et dans ses missions et assez peu politisée, donc, ça m’intéressait ; je n’avais pas l’intention d’aller dans quelque chose de politisé. Autant j’ai fait beaucoup de politique que ce soit à Wikimédia ou à La Quadrature autant là j’avais envie, travaillant pour l’État, d’être dans quelque chose de peut-être plus neutre et l’ANSSI avait plutôt bonne réputation y compris chez les libristes et y compris à La Quadrature parce qu’elle est assez ferme sur un certain nombre de choses, notamment le droit individuel au chiffrement des communications.
Ambroise Garel : On va en parler beaucoup.
Adrienne Charmet : C’est une position que l’ANSSI a toujours défendu mordicus et ça me tenait vraiment à cœur.
Comment cela a-t-il été pris ? Je pense pas trop mal, en tout cas plus facilement que si j’étais peut-être partie à d’autres endroits de l’État. J’ai trouvé que c’était assez logique de ma part. Encore une fois, c’était une évolution, une réflexion de ma part de dire : mon temps à La Quadrature est en train de se terminer, il faut que je bouge, où est-ce que je vais, où est-ce que je vais être raccord avec mes opinions, surtout avec mes convictions et aussi faire un travail intéressant, avec cette petite difficulté de travailler, depuis des années, dans un milieu très technique en n’ayant aucune compétence d’ingénieur, j’ai d’autres compétences, mais aucune compétence d’ingénieur. C’est là où j’ai découvert qu’au sein de l’ANSSI il y a pas mal de métiers différents et qu’on pouvait trouver son bonheur.
Côté l’ANSSI, je crois que ma candidature a été bien reçue, avec une volonté de s’ouvrir à des profils peut-être un peu différents de leurs recrutements habituels. Je pense que pas mal de gens seraient étonnés de la diversité de profils qu’il peut y avoir à l’ANSSI : on n’est pas du tout dans une agence monolithique, il y a des gens vraiment très différents au sein de l’agence, donc, ça ne pose pas de problème en fait.
Ambroise Garel : On va en parler, on va justement venir à l’ANSSI, à tout ce que fait l’agence, puisque c’est vrai qu’elle a un nombre de missions quand même assez important.
Question toute bête, un peu l’histoire de l’ANSSI. Elle a été créée en 2009, je crois, en remplacement de ce qui était la Direction centrale de la sécurité des systèmes d’information. J’ai remonté un peu toute l’histoire, je me rends compte que c’est quand même très vieux entre le Bureau du chiffre et des choses comme, ça fait très longtemps que, en France, comme je suppose dans d’autres pays, la question de la sécurité informatique s’est posée.
Adrienne Charmet : C’est assez intéressant puisque l’ANSSI, qui est donc née en 2009 en tant qu’autorité nationale de la sécurité des systèmes d’information, a, en fait, une histoire assez ancienne qui remonte au moins à la Deuxième Guerre mondiale avec ce fameux Service du chiffre, on se croirait au service de la France, c’est génial, j’adore, qui a été créé à Alger pendant la Deuxième Guerre mondiale avec, comme mission, de sécuriser les communications du BCRA, des autorités françaises gaullistes de l’époque. Ce besoin de chiffrement des communications stratégiques existe depuis bien avant l’informatique, il existe depuis l’Antiquité, mais, au sein de l’État il s’est fixé après la Deuxième Guerre mondiale à cet endroit-là. Et, avec l’arrivée de l’informatique au sein de l’appareil administratif et des communications de l’État, ce Service du chiffre a élargi ses compétences petit à petit au système d’information. La partie réponse à incident, ce qu’on appelle le CERT-FR qui correspond aujourd’hui, globalement, à la Sous-direction des opérations de l’ANSSI, a été créé, lui, à la fin des années 90, au tournant 99/2000.
Ambroise Garel : D’accord. Pour vous, il y a eu, un peu, une massification de cet aspect-là.
Adrienne Charmet : À cette époque-là, c’était le service central de la sécurité des systèmes d’information qui est devenu une direction centrale de la sécurité des systèmes d’information et, en 2008, un livre blanc dit « face à la progression des attaques et pour mieux répondre à ses missions, il faudrait que cette mission de sécurité des systèmes d’information devienne une autorité nationale, qu’elle puisse, en étant placée comme ça au sein des services du Premier ministre, avoir une action interministérielle et remplir ses différentes missions en tant qu’autorité nationale. »
Les missions existaient globalement déjà avant, la plupart des missions de l’ANSSI existaient déjà. En revanche, elle a été créée nommément en 2009, mais il y a des personnes qui sont à l’ANSSI depuis avant l’ANSSI, en tout cas qui sont passées d’une agence à une autre au fur et à mesure du temps.
Ambroise Garel : Je trouve intéressante cette idée de regrouper plusieurs missions qui, on va le voir, sont quand même assez différentes, au sein d’une même agence ; ça montre aussi une compréhension un peu globale que ce sont des enjeux qui sont liés et, en soi, c’est assez intéressant. On peut les énumérer très rapidement. J’ai trouvé la liste des missions :
- défendre les systèmes d’information critiques de la nation et les victimes de cyberattaques, là on en est, je pense, sur ce que les gens imaginent quand ils pensent ANSSI ;
- connaître l’état de l’art en sécurité des technologies et des systèmes d’information ;
- partager des recommandations de cybersécurité, des solutions et des outils aux acteurs de la cybersécurité ;
- accompagner le développement d’une doctrine française de cybersécurité.
Il y a vraiment plein d’aspects qui sont quand même intéressants, parce que ces missions relèvent, pour certaines, directement de la sécurité de l’État, en tout cas de grandes administrations critiques ou de grandes entreprises critiques, et d’autres qui relèvent presque plus de l’éducation collective, de la recherche en cybersécurité ou de la communication sur l’état de l’art.
Adrienne Charmet : Tout à fait et ça se retrouve en fait dans l’organisation de l’agence. Si on va sur le site cyber.gouv.fr, qui est le site de l’ANSSI, on a un organigramme qui montre un peu les différentes sous-directions de l’agence. On va retrouver, par exemple, une sous-direction expertise dans laquelle on va avoir des gens qui font de la recherche sur différents sujets liés à la cybersécurité au sens très large, que ce soit des questions de cryptographie sur les télécommunications, etc. ; en fait, c’est de la recherche un peu appliquée, mais, fondamentalement c’est de la recherche, ce sont des gens qui encadrent des thésards, publient des papiers de recherche, etc.
Ambroise Garel : Donc, des gens qui font sur des thèses auprès de l’ANSSI ? Qui sont directement rattachés à l’ANSSI pour leur direction de thèse, leur directeur de thèse est à l’ANSSI. C’est intéressant.
Adrienne Charmet : Je n’ai pas les détails exacts, en tout cas il y a des thésards à l’ANSSI, notamment en cryptographie et dans d’autres domaines également ; ce n’est pas vraiment ma spécialité.
Ambroise Garel : C’est intéressant de savoir que ça existe.
Adrienne Charmet : On va trouver aussi des gens qui vont gérer toute la partie tests de produits et de services en cybersécurité pour vraiment être capables de les certifier, de les qualifier à l’état de l’art en matière de sécurité ; d’autres qui vont faire de l’accompagnement des entreprises qui montent des offres de cybersécurité pour les aider à atteindre un certain niveau et à développer des offres qui soient celles dont on a besoin pour se défendre ; on a aussi toute une partie formation avec de la labellisation de diverses formations universitaires qui comprennent des modules de cybersécurité.
Ambroise Garel : Des modules qui sont donnés dans des facs, qui sont officialisés par l’ANSSI ?
Adrienne Charmet : En gros, qui répondent à une charte.
Ambroise Garel : Une charte de qualité, certifiée, en fait.
Adrienne Charmet : Je ne suis pas sûre que le mot soit « certifié », en tout cas il y a un label ANSSI.
On a aussi un certain nombre de formations internes, qui servent à la fois à nous former en interne mais aussi à former des agents de l’État sur tout un tas de questions, certaines formations assez courtes et assez débutantes et des formations parfois très longues et hyper-poussées sur certains domaines.
On va trouver, dans la Sous-direction de la stratégie, la partie plutôt tournée vers l’extérieur, que ce soit de la communication pour différents types de publics – grand public, un peu plus spécialisé –, tout l’accompagnement des administrations.
L’idée c’est qu’on n’ait pas une autorité qui va simplement dire « fait ça, sinon je te sanctionne », il y a vraiment une démarche d’accompagnement qui est assez importante et qui va être pas mal menée par cette sous-direction. Et puis, on a effectivement la Sous-direction des opérations où on a cette fonction vraiment de défense des systèmes d’information critiques de la nation, où on va trouver la partie réponse à incident, ce sont les cyber-pompiers.
Ambroise Garel : Quand il y a un problème, ils arrivent.
Adrienne Charmet : Quand on entend que les équipes de l’ANSSI vont aller intervenir, c’est la sous-direction des opérations. On va aussi trouver toutes les équipes qui travaillent sur les systèmes de détection d’attaques et puis les équipes qui travaillent sur la connaissance et l’anticipation, c’est la division dans laquelle je travaille, je suis chef d’un pôle de cette division qui va travailler sur l’analyse de la menace et tout ce qui est veille et diffusion autour des vulnérabilités informatiques et pas mal de questions autour des audits de sécurité.
Ambroise Garel : Pour une réflexion aussi à plus long terme sur l’évolution des menaces.
Adrienne Charmet : Ça peut être à très court terme, si on va nous attaquez demain, et ça peut être beaucoup plus long terme sur les grandes tendances de la menace. La menace ne bouge pas tous les quarts d’heure, mais être capables aussi de donner une vision un peu plus long terme sur les choses.
Ambroise Garel : On va parler de l’évolution des menaces. Ça fait maintenant sept ans que tu es à l’ANSSI, tu es un vétéran de l’ANSSI, tu as dû voir des évolutions. Juste avant, pour en finir, on ne va pas rentrer dans le détail de l’organigramme parce que ça ne serait pas forcément extrêmement intéressant, mais, au niveau des profils, parce qu’on a parlé un peu de ton profil en introduction, tu dis qu’il y a des profils extrêmement divers vu les différentes missions, c’est évident. En général, d’où viennent les gens ? Ce sont des informaticiens de sécurité, des gens qui viennent de la recherche, d’autres qui viennent de la défense, du renseignement ?
Adrienne Charmet : Il y a effectivement des profils très variés, je ne saurais pas dire combien il y a de métiers différents au sein de l’agence, mais vraiment beaucoup, c’est extrêmement varié. Qu’est-ce qu’on a comme profils ? J’essaye de balayer un petit peu, dans les grandes lignes. On a des profils d’ingénieur réseaux, ingénieur systèmes, des gens qui vont faire de la réponse à incident, donc gros profils d’ingénieurs ; on va avoir des ingénieurs plus spécialisés sur certains sujets, qui vont plutôt analyser des infrastructures, d’autres qui vont plutôt analyser du code, des ingénieurs qui vont faire de l’audit technique ; on peut avoir également des profils pas du tout ingénieurs, c’est bien pour cela que je suis allée travailler à l’ANSSI, des profils qui vont être plutôt formés en relations internationales, géopolitiques, qui ont une appétence pour les questions techniques, mais qui vont avoir une vision de la menace ou des attaques un peu différente ; on a besoin de gens qui savent bien écrire, c’est très important de savoir analyser, écrire, et être capable de faire remonter de la connaissance soit sur des attaques en cours soit sur de l’analyse de la menace ; je parlais des chercheurs, on a des chercheurs ; on a des gens qui sont plus en capacité d’accompagner des entreprises ; on a des juristes ; on a des gens qui font là com’ ; on a vraiment des profils assez différents et l’origine des gens va avec : pas mal de pas mal de gens qui viennent d’écoles d’ingénieurs ou de boîtes de cybersécurité ; un peu de militaires qui sont détachés au sein de l’agence, pas tant que ça, mais un petit peu ; et puis des gens qui, globalement, ont travaillé dans la défense, mais on a aussi des profils complètement différents, je venais de l’associatif, on peut avoir des gens qui, précédemment, ont travaillé dans des start-ups qui n’ont rien à voir. Franchement, c’est assez varié, à partir du moment où on a cette appétence pour les questions de sécurité et où on est prêt à travailler pour l’État et pour l’intérêt général. C’est vraiment très varié.
27’ 57
Ambroise Garel : Je trouve intéressant