Entretien exclusif avec Adrienne Charmet, de l'ANSSI
Titre : Entretien exclusif avec Adrienne Charmet, de l'ANSSI, Agence nationale de la sécurité des systèmes d'information
Intervenant·e·s : Adrienne Charmet - Ambroise Garel
Lieu : La Vigie, le podcast du Pavé numérique
Date : 11 mars 2024
Durée : 55 min 40
Licence de la transcription : Verbatim
Illustration : À prévoir
NB : Transcription réalisée par nos soins, fidèle aux propos des intervenant·e·s mais rendant le discours fluide.
Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.
Transcription
Ambroise Garel : Bonjour à toutes et à tous et bienvenue dans ce cinquième épisode, déjà, de La vigie, le podcast du Pavé numérique. Si vous ne le savez pas déjà, La vigie c’est un nouveau podcast, plus si nouveau maintenant, mensuel, qui est associé au Pavé numérique. Nos abonnés payants, en plus de recevoir chaque semaine l’intégralité des newsletters, c’est-à-dire la partie gratuite plus les chroniques payantes, ont également accès à une partie du contenu premium dont, notamment, La vigie qui est un podcast qui est disponible une fois par mois, à la moitié du mois. Encore une fois je vous remercie, chers abonnés, de soutenir nos publications, de nous permettre ce genre d’expérimentation et je vous remercie aussi, on en parle à chaque fois, d’accepter le côté extrêmement brut de décoffrage de ce podcast qui non n’a toujours pas de générique, je vous jure qu’il finira par arriver, notre équipe générique travaille dessus d’arrache-pied nuit et jour.
On va refaire un petit peu le point sur les dernières émissions. Si vous les aviez ratées, sachez qu’elles sont évidemment disponibles à l’écoute sur Substack et sur les plateformes de podcast, si vous êtes abonnés.
On avait donc parlé, la dernière fois, avec Julie Le Baron des deepfakes, de Taylor Swift, et la fois précédente encore on avait parlé des hacks et des opérations d’influence avec le journaliste Louis Adam qui est spécialiste de ces questions. On va un peu, quelque part, conclure cette suite d’émissions. On va parler des risques liés à Internet, des questions de sécurité, en s’adressant plutôt au bon dieu qu’à ses saints puisque, en l’occurrence, nous sommes en compagnie, aujourd’hui, d’Adrienne Charmet qui est chef au sein de la division connaissance et anticipation de l’ANSSI.
Bonjour Adrienne. Déjà merci d’avoir accepté de venir.
Adrienne Charmet : Bonjour.
Ambroise Garel : Comment présenterais-tu l’ANSSI pour ceux de nos auditeurs qui ne connaîtraient pas cette agence ?
Adrienne Charmet : L’ANSSI, c’est l’Agence nationale de la sécurité des systèmes d’information. C’est une agence qui est placée au sein des services du Premier ministre, au sein d’une institution qui est assez peu connue, qui s’appelle le SGDSN, parce qu’on adore les sigles, qui est le Secrétariat général de la Défense et de la Sécurité nationale.
En gros l’ANSSI, c’est l’autorité de régulation sur les questions de cybersécurité et cyberdéfense.
On a pour mission, à la fois, d’assurer les missions de défense des systèmes d’information de l’État et des opérateurs critiques ; on a aussi une fonction importante de participation à la création de la réglementation cyber qu’elle soit française ou européenne ; on a aussi une dimension importante de soutien au développement de produits et de services de sécurité ; et puis, enfin, une mission de formation, d’information, de communication et de partage avec nos homologues en Europe et dans le monde.
Ça fait donc pas mal de missions dans une agence qui, aujourd’hui, compte un peu plus de 600 personnes qui sont installées sur plusieurs sites à Paris et à Rennes.
Ambroise Garel : D’accord. On va en parler, un nombre de missions non seulement très important, mais surtout des missions très diverses. Pour une agence de 600 personnes ça paraît quand même assez impressionnant.
Avant de parler de tout ça, on va peut-être parler un petit peu de ton parcours, parce que c’est aussi une des raisons pour lesquelles je suis très content de te recevoir aujourd’hui. Ton nom est peut-être familier à certains de nos auditeurs, parce que, avant d’être à l’ANSSI, tu as un parcours particulièrement foisonnant. On va faire ça un petit peu dans l’ordre. Tu as commencé par des études d’histoire, tu as été chargée de cours à l’Université Paris-Nord c’est ça ?
Adrienne Charmet : À Villetaneuse.
Ambroise Garel : C’est une période durant laquelle tu as découvert Wikipédia. Est-ce que tu pourrais nous parler un peu de cette période, parce qu’on se dit que ce n’est pas un parcours qui devrait conduire vers des milieux, on va dire, plus geeks, plus informatiques, et pourtant tu t’es retrouvée un petit peu là-dedans.
Adrienne Charmet : Effectivement, j’ai un parcours qui est long parce que je suis un peu vieille.
Ambroise Garel : Ce n’est pas très gentil parce qu’on a presque le même âge !
Adrienne Charmet : Qui a circulé dans les internets pour arriver, effectivement, de Wikipédia jusqu’à l’ANSSI.
L’époque à laquelle j’ai découvert Wikipédia, c’est un peu les âges préhistoriques de Wikipédia parce que c’était vers 2003/2004/2005, je ne me souviens plus exactement. À cette époque-là, j’étais doctorante en histoire religieuse, effectivement, au sein de l’Université Paris 13 Villetaneuse qui, maintenant, s’appelle Sorbonne-Paris-Nord. Et en fait un jour, en séminaire de doctorants, un chercheur, je ne sais absolument plus qui, nous parle des ressources numériques disponibles. À cette époque-là, il n’y a pas encore pas énormément de ressources disponibles pour des chercheurs et, surtout, pour des chercheurs en lettres, sciences humaines et sociales sur Internet, on est encore dans une image de l’Internet assez geek, effectivement. Il nous présente tout un tas de ressources, de bases documentaires littéraires, les débuts des bases de la BNF, etc., et, au hasard de cette discussion, il nous parle d’un site qui s’appelle Wikipédia, qui est un projet d’encyclopédie collaborative et libre. J’ai trouvé ça super intéressant. Je rentre chez moi le soir, je crois que je n’avais pas encore d’ADSL à cette époque-là, je mets mon disque AOL à 50 heures libres en route, je vais sur Wikipédia et j’ai trouvé ce projet d’encyclopédie complètement fascinant.
Ambroise Garel : Et tes 50 heures y sont passées !
Adrienne Charmet : Et mes 50 heures y sont passées et, en fait, ça a été le début de ma contribution sur Wikipédia avec au début, pas trop d’objectifs, j’ai dû commencer par corriger des fautes d’orthographe comme tout le monde, et puis, assez rapidement, je me suis rendu compte que, d’une part, le partage de connaissances m’intéressait beaucoup, la partie logiciel libre, je ne connaissais pas du tout, mais, une fois que j’ai compris les principes, j’ai adhéré. À cette époque-là, je faisais des recherches pour ma thèse, je travaillais sur beaucoup de personnages, pas forcément des plus connus ; je faisais soit un doc word, soit des fiches en carton sur chacun de mes petits bonhommes où je mettais, à chaque fois, les informations que je collectais dans mes sources, dans mes archives à chaque fois, et assez vite, de façon hyper-pragmatique, je me suis dit « en fait, si je créais des articles sur Wikipédia, ce serait beaucoup plus simple pour synthétiser la connaissance. Non seulement je l’aurais pour moi, mais les autres l’auraient », parce que ça m’agaçait beaucoup de lire dans des bouquins de chercheurs trois lignes sur un type qui m’intéressait et j’étais obligée de retourner dans les mêmes archives que le chercheur en question pour avoir la suite de l’histoire. Je me suis dit « tant qu’à faire, une fois que j’ai fait la recherche, autant la mettre à disposition des autres ». C’est un peu comme cela que j’ai commencé et que je me suis investie de plus en plus dans le fonctionnement de Wikipédia et de Wikimédia France, l’association qui soutient et promeut les projets Wikimédia en France.
Ambroise Garel : Donc, tu es devenue présidente à partir de 2009.
Adrienne Charmet : Tout à fait.
Ambroise Garel : On va dire que c’est plus qu’un intérêt d’étudiante, tu t’es vraiment investie énormément dans le projet.
Adrienne Charmet : En fait, au bout de quelques années j’ai lâché la carrière universitaire, mais, pour autant, je n’ai pas lâché Wikipédia et je me suis investie de plus en plus dans cette association.
En 2009, j’en ai effectivement pris la présidence pour à peu près deux ans. Ensuite, quand on a monté une équipe salariée, je suis rentrée dans cette équipe salariée, j’y suis resté jusqu’en 2014. Là, on n’était plus uniquement dans la partie contribution à Wikipédia ou aux autres projets – Wikimédia Commons, Wikisource, etc. –, je me suis aussi engagée un peu plus largement sur tout ce qui est communs de la connaissance, communs numériques et puis promotion et développement des projets en France ou à l’international, pour, déjà, faire accepter Wikipédia dans les institutions culturelles et universitaires et monter des partenariats pour que ces institutions soit favorisent la contribution de leurs membres, soit partagent du contenu sous licence libre pour qu’on puisse le réutiliser au sein des projets Wikimédia.
Ambroise Garel : Ce que je trouve intéressant c’est, justement, que tu es partie quand même de quelque chose de très universitaire et presque vraiment, en fait, un problème qui est une sorte de désir chez beaucoup de gens qui sont en master ou qui commencent leur thèse de se demander « comment pourrais-je, dès maintenant, commencer à partager mes recherches ? ». C’est vrai que, pour ça, Wikipédia est un outil génial. De là, tu es arrivée plus vers l’ouverture vers le côté avantage des licences libres, l’avantage des communs. Je trouve ça vraiment intéressant de voir qu’en partant de problèmes presque universitaires, tu t’es retrouvée avec des questions qui sont presque des questions plus techniques et des questions liées au numérique.
Adrienne Charmet : En fait, ce n’est pas si étonnant que ça, parce que, quand on travaille dans le monde universitaire, la question de la diffusion du savoir est absolument fondamentale et puis on a un peu deux écoles : celle qui partage et celle qui ne partage pas. Je pense que, naturellement, je suis plutôt du côté de l’équipe qui partage.
Autant, à la fin des années 90, je ne voyais absolument pas l’intérêt d’Internet, franchement ça ne me parlait pas du tout et, n’ayant jamais développé quoi que ce soit, codé quoi quoique ce soit, c’était vraiment un monde qui ne me parlait pas, autant la partie contenus d’Internet m’a parlé tout de suite. Cette capacité à partager des choses et à découvrir des choses sur Internet m’a tout de suite beaucoup plu. Donc, je trouve que ce n’est pas si étonnant que ça quand on a une formation universitaire et une pratique de la recherche, en tout cas de l’écriture de la recherche, etc., de basculer sur des projets de communs. En fait, nous sommes assez nombreux, au sein des contributeurs de Wikipédia et des gens qui s’investissent dans la partie associative derrière, à venir de ce monde universitaire, notamment en lettres et sciences sociales.
Ambroise Garel : Ce qui n’est pas forcément étonnant quand on voit tous les mouvements en faveur de l'open science, des choses comme ça, il y a une vraie volonté d’ouverture aussi de la part du milieu de la recherche, d’une partie du milieu de la recherche, encore une fois. C’est vrai que chez toi c’est quand même allé un petit peu plus loin, tu disais que c’est vraiment quelque chose qui était lié aux travaux universitaires, mais c’est quand même lié plus aussi au côté, par exemple, défense de la partie liberté, puisque après – merci de me corriger si je me trompe dans les dates –, en 2014, tu as quitté ton poste de directrice des programmes de Wikimédia France pour rejoindre La Quadrature de Net. Il faut peut-être expliquer, encore une fois, ce qu’est La Quadrature de Net qui s’est fait connaître, à l’époque, en plein débat sur la loi Hadopi, quand, je ne sais pas si c’est Christine Albanel elle-même ou quelqu’un de son cabinet a dit « ils sont cinq gus dans un garage qui font des mails à la chaîne », phrase qui est restée parce qu’ils étaient vraiment très militants contre la loi Hadopi et tu les as rejoints.
Pour le coup, autant Wikimédia, Wikipédia en général, c’est quand même quelque chose qui a un pied dans le monde de la recherche, un pied dans le monde du savoir, on va dire, autant La Quadrature de Net c’était vraiment quelque chose qui était un repère de libristes, des gens qui avaient un rapport beaucoup plus direct à l’informatique, beaucoup plus pratique.
Adrienne Charmet : Oui et non. En passant de Wikimédia à La Quadrature, je n’ai pas eu l’impression de faire un saut culturel énorme. Évidemment, on se connaissait. Il n’y en a pas, en France, 50 000 associations qui se prononçaient ou s’activaient en faveur des logiciels libres et des licences libres, donc, forcément, on se connaît, on se parle et on fait des choses ensemble. Je connaissais donc déjà bien La Quadrature. Oui c’est un repaire de geeks, mais ce sont les mêmes que chez Wikimédia, c’est pareil, ce sont les mêmes ou pas loin. Et puis, contrairement à ce qu’on pourrait penser, au sein de La Quadrature et ce qui en fait vraiment son originalité, c’est cette alliance de gens avec des compétences techniques très poussées et très avérées, une connaissance de tout ce qui tourne autour des télécommunications, du chiffrement, de la vie privée, etc., et beaucoup de juristes, et aussi des sociologues, des gens qui trvaillent dans les humanités numériques, etc., qui sont capables de faire ce lien entre la technique, les enjeux politiques et l’implication des problématiques techniques dans les enjeux politiques. Je trouve que c’est vraiment ça qui est intéressant, c’était vraiment ce qui m’intéressait beaucoup et je n’ai pas eu l’impression de changer de milieu social, c’était quand même assez proche et j’aimais beaucoup ce mélange entre des questions extrêmement techniques et des questions juridiques, sociales, politiques très poussées aussi.
Ambroise Garel : Manifestement, ton profil était intéressant pour eux. J’ai vu, j’ai lu – encore une fois je ne sais pas dans quelle mesure c’est vrai ou non – qu’apparemment ton profil avait particulièrement plu à La Quadrature, parce que et c’était le genre de personne qu’il fallait. Tu as été porte-parole de La Quadrature parce que, justement, tu étais capable de parler aussi aux gens en dehors, peut-être, du milieu justement un peu des libristes ou du milieu des gens qui sont spécialisés de ces questions-là.
Adrienne Charmet : C’est quelque chose que j’ai un peu cultivé ; en gros, j’ai fait passer ma flemme pour une qualité, c’est-à-dire que je n’ai jamais voulu, justement, développer trop mes compétences techniques pour rester accessible et pour continuer à me mettre à la place – je déteste cette expression de madame Michu parce que je la trouve hyper sexiste – de monsieur Michu. En gros, si on veut être capable de parler au plus large public possible, je ne dis pas qu’il faut être ignorant des questions techniques, en tout cas, il faut se placer quand même du côté des gens à qui on veut parler. Quand on connaît trop les choses, par exemple si je parle des questions liées aux logiciels libres, c’est hyper important de bien comprendre comment ça fonctionne, mais ce n’est pas évident pour tout le monde de travailler en ligne de commande, installer des logiciels en ligne de commande ça ne se fait pas si facilement que ça, je sais le faire, ce n’est pas la question, mais j’ai besoin, quand même, de garder le point de vue du grand public pour être capable de mieux lui parler.
Je ne sais pas quels sont les choix qui ont présidé au fondateur de La Quadrature pour me recruter, en tout cas, oui, ce côté non-geek, était intéressant, je pense, pour parler au plus large public possible.
Ambroise Garel : Surtout qu’il permet de garder cette perspective-là. Un exemple me vient toujours en tête, c’était au moment où Dropbox s’est lancé : quelqu’un qui avait dit « ça ne marchera jamais parce que c’est très facile à faire, en gros vous faites un script qui compare les dates de mises à jour et vous fabriquez votre Dropbox tout seul sur votre NAS, dans votre salon » et les gens ont dit « tu ne te rends pas compte ! ». Là, c’est un cas extrême, mais c’est un problème qu’on peut trouver : on a tellement pris l’habitude de l’évidence de certaines choses, on ne se rend pas compte qu’elles ne sont pas forcément évidentes.
14’ 13
Adrienne Charmet : C’est ça. Être capable d’héberger soi-même ses mails, d’avoir son serveur et de l’administrer, c’est loin d’être évident pour tout le monde, donc, forcément ça entraîne le développement d’offres commerciales qui ont leurs qualités d’accessibilité et leurs défauts à côté, notamment dans l’exploitation des données ou les problématiques d’hébergement au sens large. Et si on n’est pas capable de le comprendre ou si on pense qu’il n’y a qu’à se prendre en main et héberger ses contenus, on ne va pas être capable de parler à son public.
Ambroise Garel : Pour en revenir à cette dernière étape, avant d’attaquer le vif du sujet, en 2017, tu as quitté La Quadrature de Net pour rejoindre l’ANSSI. S’il y a vraiment des passerelles évidentes entre Wikimédia et La Quadrature, on a vu, dans notre conversation, qu’en fait il y en a pas mal ; finalement je comprends mieux, après avoir lu tout ça. Mais comment peut-on trouver des passerelles entre La Quadrature et l’ANSSI, c’est vrai que ce n’est peut-être pas forcément évident de prime abord. Est-ce que ça s’est bien passé de la part des gens de La Quadrature ? Ont-ils bien accepté que tu partes dans ce qui était quand même une agence d’État, qui plus est une agence liée à la sécurité.
Adrienne Charmet : Les raisons pour lesquelles j’ai choisi de postuler à l’ANSSI, c’est que, après de nombreuses années dans l’associatif, j’avais peut-être envie de changer un peu. Déjà, j’avais besoin de renouveler un peu mon travail, de changer un peu, c’est normal ; je n’avais pas forcément envie de continuer dans l’associatif et aucune envie d’aller faire de l’open washing dans une entreprise, une GAFAM quelconque, c’était hors de question. En fait, j’avais envie de continuer à travailler pour l’intérêt général, le bien commun ; quand on veut travailler pour le bien commun, le service public ce n’est pas absurde. L’ANSSI est une agence qui avait et qui a toujours, je crois, la réputation d’être à la fois hyper-carrée techniquement et dans ses missions et assez peu politisée, donc, ça m’intéressait ; je n’avais pas l’intention d’aller dans quelque chose de politisé. Autant j’ai fait beaucoup de politique que ce soit à Wikimédia ou à La Quadrature autant là j’avais envie, travaillant pour l’État, d’être dans quelque chose de peut-être plus neutre et l’ANSSI avait plutôt bonne réputation y compris chez les libristes et y compris à La Quadrature parce qu’elle est assez ferme sur un certain nombre de choses, notamment le droit individuel au chiffrement des communications.
Ambroise Garel : On va en parler beaucoup.
Adrienne Charmet : C’est une position que l’ANSSI a toujours défendu mordicus et ça me tenait vraiment à cœur.
Comment cela a-t-il été pris ? Je pense pas trop mal, en tout cas plus facilement que si j’étais peut-être partie à d’autres endroits de l’État. J’ai trouvé que c’était assez logique de ma part. Encore une fois, c’était une évolution, une réflexion de ma part de dire : mon temps à La Quadrature est en train de se terminer, il faut que je bouge, où est-ce que je vais, où est-ce que je vais être raccord avec mes opinions, surtout avec mes convictions et aussi faire un travail intéressant, avec cette petite difficulté de travailler, depuis des années, dans un milieu très technique en n’ayant aucune compétence d’ingénieur, j’ai d’autres compétences, mais aucune compétence d’ingénieur. C’est là où j’ai découvert qu’au sein de l’ANSSI il y a pas mal de métiers différents et qu’on pouvait trouver son bonheur.
Côté l’ANSSI, je crois que ma candidature a été bien reçue, avec une volonté de s’ouvrir à des profils peut-être un peu différents de leurs recrutements habituels. Je pense que pas mal de gens seraient étonnés de la diversité de profils qu’il peut y avoir à l’ANSSI : on n’est pas du tout dans une agence monolithique, il y a des gens vraiment très différents au sein de l’agence, donc, ça ne pose pas de problème en fait.
Ambroise Garel : On va en parler, on va justement venir à l’ANSSI, à tout ce que fait l’agence, puisque c’est vrai qu’elle a un nombre de missions quand même assez important.
Question toute bête, un peu l’histoire de l’ANSSI. Elle a été créée en 2009, je crois, en remplacement de ce qui était la Direction centrale de la sécurité des systèmes d’information. J’ai remonté un peu toute l’histoire, je me rends compte que c’est quand même très vieux entre le Bureau du chiffre et des choses comme, ça fait très longtemps que, en France, comme je suppose dans d’autres pays, la question de la sécurité informatique s’est posée.
Adrienne Charmet : C’est assez intéressant puisque l’ANSSI, qui est donc née en 2009 en tant qu’autorité nationale de la sécurité des systèmes d’information, a, en fait, une histoire assez ancienne qui remonte au moins à la Deuxième Guerre mondiale avec ce fameux Service du chiffre, on se croirait au service de la France, c’est génial, j’adore, qui a été créé à Alger pendant la Deuxième Guerre mondiale avec, comme mission, de sécuriser les communications du BCRA, des autorités françaises gaullistes de l’époque. Ce besoin de chiffrement des communications stratégiques existe depuis bien avant l’informatique, il existe depuis l’Antiquité, mais, au sein de l’État il s’est fixé après la Deuxième Guerre mondiale à cet endroit-là. Et, avec l’arrivée de l’informatique au sein de l’appareil administratif et des communications de l’État, ce Service du chiffre a élargi ses compétences petit à petit au système d’information. La partie réponse à incident, ce qu’on appelle le CERT-FR qui correspond aujourd’hui, globalement, à la Sous-direction des opérations de l’ANSSI, a été créé, lui, à la fin des années 90, au tournant 99/2000.
Ambroise Garel : D’accord. Pour vous, il y a eu, un peu, une massification de cet aspect-là.
Adrienne Charmet : À cette époque-là, c’était le service central de la sécurité des systèmes d’information qui est devenu une direction centrale de la sécurité des systèmes d’information et, en 2008, un livre blanc dit « face à la progression des attaques et pour mieux répondre à ses missions, il faudrait que cette mission de sécurité des systèmes d’information devienne une autorité nationale, qu’elle puisse, en étant placée comme ça au sein des services du Premier ministre, avoir une action interministérielle et remplir ses différentes missions en tant qu’autorité nationale. »
Les missions existaient globalement déjà avant, la plupart des missions de l’ANSSI existaient déjà. En revanche, elle a été créée nommément en 2009, mais il y a des personnes qui sont à l’ANSSI depuis avant l’ANSSI, en tout cas qui sont passées d’une agence à une autre au fur et à mesure du temps.
Ambroise Garel : Je trouve intéressante cette idée de regrouper plusieurs missions qui, on va le voir, sont quand même assez différentes, au sein d’une même agence ; ça montre aussi une compréhension un peu globale que ce sont des enjeux qui sont liés et, en soi, c’est assez intéressant. On peut les énumérer très rapidement. J’ai trouvé la liste des missions :
- défendre les systèmes d’information critiques de la nation et les victimes de cyberattaques, là on en est, je pense, sur ce que les gens imaginent quand ils pensent ANSSI ;
- connaître l’état de l’art en sécurité des technologies et des systèmes d’information ;
- partager des recommandations de cybersécurité, des solutions et des outils aux acteurs de la cybersécurité ;
- accompagner le développement d’une doctrine française de cybersécurité.
Il y a vraiment plein d’aspects qui sont quand même intéressants, parce que ces missions relèvent, pour certaines, directement de la sécurité de l’État, en tout cas de grandes administrations critiques ou de grandes entreprises critiques, et d’autres qui relèvent presque plus de l’éducation collective, de la recherche en cybersécurité ou de la communication sur l’état de l’art.
Adrienne Charmet : Tout à fait et ça se retrouve en fait dans l’organisation de l’agence. Si on va sur le site cyber.gouv.fr, qui est le site de l’ANSSI, on a un organigramme qui montre un peu les différentes sous-directions de l’agence. On va retrouver, par exemple, une sous-direction expertise dans laquelle on va avoir des gens qui font de la recherche sur différents sujets liés à la cybersécurité au sens très large, que ce soit des questions de cryptographie sur les télécommunications, etc. ; en fait, c’est de la recherche un peu appliquée, mais, fondamentalement c’est de la recherche, ce sont des gens qui encadrent des thésards, publient des papiers de recherche, etc.
Ambroise Garel : Donc, des gens qui font sur des thèses auprès de l’ANSSI ? Qui sont directement rattachés à l’ANSSI pour leur direction de thèse, leur directeur de thèse est à l’ANSSI. C’est intéressant.
Adrienne Charmet : Je n’ai pas les détails exacts, en tout cas il y a des thésards à l’ANSSI, notamment en cryptographie et dans d’autres domaines également ; ce n’est pas vraiment ma spécialité.
Ambroise Garel : C’est intéressant de savoir que ça existe.
Adrienne Charmet : On va trouver aussi des gens qui vont gérer toute la partie tests de produits et de services en cybersécurité pour vraiment être capables de les certifier, de les qualifier à l’état de l’art en matière de sécurité ; d’autres qui vont faire de l’accompagnement des entreprises qui montent des offres de cybersécurité pour les aider à atteindre un certain niveau et à développer des offres qui soient celles dont on a besoin pour se défendre ; on a aussi toute une partie formation avec de la labellisation de diverses formations universitaires qui comprennent des modules de cybersécurité.
Ambroise Garel : Des modules qui sont donnés dans des facs, qui sont officialisés par l’ANSSI ?
Adrienne Charmet : En gros, qui répondent à une charte.
Ambroise Garel : Une charte de qualité, certifiée, en fait.
Adrienne Charmet : Je ne suis pas sûre que le mot soit « certifié », en tout cas il y a un label ANSSI.
On a aussi un certain nombre de formations internes, qui servent à la fois à nous former en interne mais aussi à former des agents de l’État sur tout un tas de questions, certaines formations assez courtes et assez débutantes et des formations parfois très longues et hyper-poussées sur certains domaines.
On va trouver, dans la Sous-direction de la stratégie, la partie plutôt tournée vers l’extérieur, que ce soit de la communication pour différents types de publics – grand public, un peu plus spécialisé –, tout l’accompagnement des administrations.
L’idée c’est qu’on n’ait pas une autorité qui va simplement dire « fait ça, sinon je te sanctionne », il y a vraiment une démarche d’accompagnement qui est assez importante et qui va être pas mal menée par cette sous-direction. Et puis, on a effectivement la Sous-direction des opérations où on a cette fonction vraiment de défense des systèmes d’information critiques de la nation, où on va trouver la partie réponse à incident, ce sont les cyber-pompiers.
Ambroise Garel : Quand il y a un problème, ils arrivent.
Adrienne Charmet : Quand on entend que les équipes de l’ANSSI vont aller intervenir, c’est la sous-direction des opérations. On va aussi trouver toutes les équipes qui travaillent sur les systèmes de détection d’attaques et puis les équipes qui travaillent sur la connaissance et l’anticipation, c’est la division dans laquelle je travaille, je suis chef d’un pôle de cette division qui va travailler sur l’analyse de la menace et tout ce qui est veille et diffusion autour des vulnérabilités informatiques et pas mal de questions autour des audits de sécurité.
Ambroise Garel : Pour une réflexion aussi à plus long terme sur l’évolution des menaces.
Adrienne Charmet : Ça peut être à très court terme, si on va nous attaquez demain, et ça peut être beaucoup plus long terme sur les grandes tendances de la menace. La menace ne bouge pas tous les quarts d’heure, mais être capables aussi de donner une vision un peu plus long terme sur les choses.
Ambroise Garel : On va parler de l’évolution des menaces. Ça fait maintenant sept ans que tu es à l’ANSSI, tu es une vétérane de l’ANSSI, tu as dû voir des évolutions. Juste avant, pour en finir, on ne va pas rentrer dans le détail de l’organigramme parce que ça ne serait pas forcément extrêmement intéressant, mais, au niveau des profils, parce qu’on a parlé un peu de ton profil en introduction, tu dis qu’il y a des profils extrêmement divers vu les différentes missions, c’est évident. En général, d’où viennent les gens ? Ce sont des informaticiens de sécurité, des gens qui viennent de la recherche, d’autres qui viennent de la défense, du renseignement ?
Adrienne Charmet : Il y a effectivement des profils très variés, je ne saurais pas dire combien il y a de métiers différents au sein de l’agence, mais vraiment beaucoup, c’est extrêmement varié. Qu’est-ce qu’on a comme profils ? J’essaye de balayer un petit peu, dans les grandes lignes. On a des profils d’ingénieur réseaux, ingénieur systèmes, des gens qui vont faire de la réponse à incident, donc gros profils d’ingénieurs ; on va avoir des ingénieurs plus spécialisés sur certains sujets, qui vont plutôt analyser des infrastructures, d’autres qui vont plutôt analyser du code, des ingénieurs qui vont faire de l’audit technique ; on peut avoir également des profils pas du tout ingénieurs, c’est bien pour cela que je suis allée travailler à l’ANSSI, des profils qui vont être plutôt formés en relations internationales, géopolitiques, qui ont une appétence pour les questions techniques, mais qui vont avoir une vision de la menace ou des attaques un peu différente ; on a besoin de gens qui savent bien écrire, c’est très important de savoir analyser, écrire, et être capable de faire remonter de la connaissance soit sur des attaques en cours soit sur de l’analyse de la menace ; je parlais des chercheurs, on a des chercheurs ; on a des gens qui sont plus en capacité d’accompagner des entreprises ; on a des juristes ; on a des gens qui font là com’ ; on a vraiment des profils assez différents et l’origine des gens va avec : pas mal de pas mal de gens qui viennent d’écoles d’ingénieurs ou de boîtes de cybersécurité ; un peu de militaires qui sont détachés au sein de l’agence, pas tant que ça, mais un petit peu ; et puis des gens qui, globalement, ont travaillé dans la défense, mais on a aussi des profils complètement différents, je venais de l’associatif, on peut avoir des gens qui, précédemment, ont travaillé dans des start-ups qui n’ont rien à voir. Franchement, c’est assez varié, à partir du moment où on a cette appétence pour les questions de sécurité et où on est prêt à travailler pour l’État et pour l’intérêt général. C’est vraiment très varié.
27’ 57
Ambroise Garel : Je trouve intéressant, justement, que ce sont des profils jeunes qui viennent quand même de milieux différents, de cultures, aussi, très différentes. Pour connaître des gens qui sont dans le milieu militaire, dans le milieu des start-ups, ce sont quand même des profils très différents, des cultures très différentes, et les voir collaborer sur un intérêt commun, je trouve ça assez intéressant comme structure.
Adrienne Charmet : Effectivement, une des choses qui m’a le plus surprise, c’est à quel point la mayonnaise prend bien. Je pense que ce n’est pas totalement anodin de dire, par exemple typiquement, dans un milieu de la cybersécurité qui est très masculin, qu’on est largement au-dessus des quotas en nombre de femmes présentes, on n’est pas loin de 30 %.
Ambroise Garel : Ah oui, c’est beaucoup pour un milieu comme ça, militaire plus sécurité plus informatique.
Adrienne Charmet : Encore une fois, il n’y a pas beaucoup de militaires. Mais oui, on a on a une proportion de femmes beaucoup plus importante qu’ailleurs, il ne faut pas s’en satisfaire, il ne faut pas se dire que tout est acquis, mais c’est plutôt intéressant de se dire qu’on a un environnement qui est quand même relativement accueillant pour les femmes ; on a beaucoup de jeunes, beaucoup de jeunes qui sortent d’école, à qui ça fait un premier poste assez intéressant pour démarrer leur carrière.
Globalement, je trouve que c’est une agence plutôt sympathique
Ambroise Garel : C’est une agence qui a beaucoup de travail aussi, et on va en parler, sur la question des menaces. Avant de parler de ça, je dois dire que chaque année l’ANSSI sort un Panorama annuel de la cybermenace. Je ne sais pas depuis de combien d’années vous le faites.
Adrienne Charmet : C’est la troisième année.
Ambroise Garel : Troisième, j’avais lu celui de l’année dernière. Donc un Panorama annuel de la cybermenace, ça fait 50 pages ; ça se trouve facilement sur Internet, on postera le lien dans la description du podcast ; ça résume à peu près l’état de la situation, on va dire. Si vous vous intéressez à ces questions, c’est vraiment très intéressant, je trouve que ça rentre quand même dans des détails très techniques, tout en étant accessible pour les gens qui s’intéressent à ces questions, en donnant, en brossant un panorama assez large, donc c’est très intéressant.
D’abord, et ça fera peut-être une transition entre ces deux parties, on a déjà un petit peu parlé de la question des menaces, vous parlez de menaces très différentes qui vont de menaces de gens qui sont vraiment motivés essentiellement par l’argent, on pense évidemment aux ransomwares, aux choses comme ça, à des menaces d’acteurs étatiques où, là, les intérêts sont évidemment de nature beaucoup plus géopolitique ; on en a parlé, c’est vrai qu’il y a donc des pôles spécialisés pour ces différentes menaces.
Adrienne Charmet : Oui, en gros, quand on fait un peu d’analyse de la menace, en tout cas au sein de l’ANSSI, on a travaillé sur notre manière de voir cette menace. En fait, on voit trois grandes motivations principales pour des attaquants, en tout cas ceux qu’on traite, parce qu’on n’adresse pas forcément l’ensemble des menaces cyber, il y a une partie qui va plus traitée par cybermalveillance.gouv.fr. Ce que nous allons traiter, c’est la menace qui va cibler les intérêts stratégiques de la nation que sont les administrations ou qui peuvent être des entreprises stratégiques.
Les trois grandes motivations des attaquants qui nous occupent, ce sont, effectivement, la menace à but lucratif, la menace à but d’espionnage et la menace à but de déstabilisation.
Dans la déstabilisation va entendre des choses assez diverses qui vont des attaques DDoS d’activistes qui veulent soutenir une cause jusqu’à du sabotage bien hardcore.
Du coup, nous nous sommes un peu organisés en fonction, je ne vais pas rentrer dans les détails de l’organisation, pour adresser, de façon spécifique, ces différentes menaces. Certaines sont très opportunistes, c’est notamment le cas de pas mal de menaces à but lucratif. On entend beaucoup parler des rançongiciels sur les hôpitaux, par exemple, parce que ça nous frappe particulièrement, on se dit « qu’est-ce que c’est que ces gens qui s’attaquent à des hôpitaux ! », mais, en fait, ça cible énormément de TPE, PME, de collectivités territoriales, globalement d’acteurs qui sont d’une taille relativement moyenne, en tout cas qui n’ont pas forcément une sécurisation au top niveau. On a des acteurs, des cybercriminels, qui vont, de façon assez opportuniste, aller chercher de l’argent là où ils peuvent, éventuellement, en trouver, là où c’est moins bien sécurisé.
Ambroise Garel : Pour reprendre et renvoyer aussi les gens à ça, donc pas le rapport de cette année mais celui de l’année dernière, de votre ancien directeur de l’agence, Guillaume Poupard à l’époque, maintenant c’est Vincent Strubel, c’est ça ? Le dernier rapport, le rapport de 2022, c’est le côté pêche au chalut, l’expression a marqué, c’est-à-dire qu’on frappe tout le monde, c’est vraiment l’opportunisme par excellence.
Adrienne Charmet : Oui. Il y a vraiment un caractère un peu systémique de cette menace. Chaque cas individuel ne met pas en péril les intérêts fondamentaux de la nation, pour autant, tous ensemble, on se rend compte que ça coûte très cher, ça paralyse des administrations, des hôpitaux, des collectivités, des entreprises ; il y a un coût sur l’emploi : quand on a une PME de 100 personnes qui se prend un rançongiciel, qui n’a pas de sauvegarde et qui doit fermer boutique et mettre 100 personnes au chômage, c’est un problème ; quand un hôpital est touché par un rançongiciel, pour revenir à un état nominal de fonctionnement, ça prend des mois, ça peut prendre une année complète et ça peut être des semaines complètes de désorganisation profonde.
Donc oui, c’est à la fois de la pêche au chalut dans le sens où c’est de l’opportunisme, ils ne sont ciblés en tant qu’hôpital de tel endroit ou PME de tel secteur, mais on arrive quand même à un niveau de menace qui est important et on l’a mis dans le Panorama de cette année-là : les attaques par rançongiciels ont augmenté encore et elles ne cessent d’augmenter en France et partout en Europe et dans le monde, ce n’est pas uniquement en France.
Ambroise Garel : Sur la question de l’augmentation, dans le rapport 2022, sur la question des rançongiciels et du côté opportuniste, c’est très fréquent. On va parler après du rapport de l’année dernière qui parle plus des menaces que vous appelez ciblées, en fait un peu l’inverse. Dans ce cas-là, est-ce que c’est lié à quelque chose qu’on constate par exemple beaucoup en informatique, notamment dans le développement, c’est qu’il y a de plus en plus d’outils un peu fournis clés en main, qui permettent, avec des connaissances techniques bien moins importantes, de réaliser des opérations qui, avant, demandaient des gens plus qualifiés. Est-ce que c’est quelque chose qu’on observe aussi aujourd’hui ?
Adrienne Charmet : Oui et non.
Ambroise Garel : En fait, des outils pour faire des actions de masse.
Adrienne Charmet : Ça existe depuis très longtemps, c’est très facile à trouver. Ce qui existe c’est une spécialisation de l’écosystème cybercriminel, c’est-à-dire que là où, il y a encore quelques années, un acteur qui voulait faire du rançongiciel, il fallait qu’il soit capable de trouver des accès, de s’introduire, de se latéraliser dans un système d’information, de pouvoir développer sa charge malveillante, la déclencher, négocier une rançon, fournir des clés de déchiffrement, ça demande, en fait, plein de compétences différentes. Comme le rançongiciel ramène pas mal d’argent, le secteur s’est étoffé et on a, aujourd’hui, des acteurs spécialisés, certains qui vont se spécialiser dans la collecte d’accès à des systèmes d’information d’entreprises, d’autres qui développent des malwares, d’autres qui vont développer des capacités de latéralisation, d’autres qui vont se spécialiser dans la négociation de rançons, etc.
Ambroise Garel : On collabore sur une même attaque, il y en a plein d’acteurs qui collaborent.
Adrienne Charmet : On a un écosystème complètement atomisé avec, en fait, une offre de services. Certains sont spécialisés dans l’hébergement pour des cybercriminels où on peut payer en crypto-monnaie, où on n’est pas obligé de dire qui on est, on est situé dans un pays où personne ne viendra nous chercher, même Interpol ne viendra jamais nous chercher. Bref, il y a toute une spécialisation de l’écosystème qui fait que, si je suis un acteur cybercriminel, je ne suis plus obligé de maîtriser l’ensemble de la chaîne technique. En ce sens, oui, il y a des outils qui sont plus accessibles pour des gens moins forts techniquement, mais il faut quand même avoir accès à ce marché du cybercrime.
Pour le reste, il n’y a pas une évolution énorme des types d’acteurs. Encore une fois, on ne traite pas les arnaques.
Ambroise Garel : Le phishing du quotidien, les choses comme ça.
Adrienne Charmet : Il y a un seuil à partir duquel on ne traite pas vraiment. Je ne saurais pas dire exactement s’il y a une évolution de la menace là-dessus, c’est plutôt cybermalveillance.gouv.fr qui a d’ailleurs publié son état de la menace, son rapport annuel il y a quelques jours, qui pourrait mieux répondre.
Si on pense aux outils type ChatGPT, etc., on ne peut pas dire, aujourd’hui, que ça représente un changement de paradigme dans la menace, on verra ce que ça donne plus tard. Sur des attaques opportunistes ça peut, éventuellement, changer des choses d’ici quelque temps, aujourd’hui ce n’est pas quelque chose qu’on a constaté et, pour le coup, ce qu’on met dans le Panorama de la menace c’est vraiment ce qu’on constate ou ce que constatent nos partenaires. On ne fait pas de prospective sur la menace, on est vraiment sur ce qui s’est passé en 2023, ce qu’on a vu en 2023, pour éviter de partir dans des conjectures sur des menaces de l’IA quantique. On reste sur les choses qu’on voit vraiment passer.
Ambroise Garel : Justement, à propos du rapport de cette année, le précédent était quand même très centré sur les menaces opportunistes, celui-là parle aussi d’une augmentation des menaces ciblées. C’est quelque chose d’un peu nouveau. On a envie de se dire qu’on sait immédiatement, par opposition à une menace opportuniste, ce qu’est une menace ciblée. Est-ce que tu pourrais définir, quand même un petit peu, ce que vous appelez comme ça à l’ANSSI ?
Adrienne Charmet : Ce qu’on appelle menaces ciblées, ce sont des menaces qui ne sont pas opportunistes ! Essentiellement des menaces à but d’espionnage ou de déstabilisation et, globalement, des menaces portées par des groupes d’attaquants liés à des États, pas que, mais liés à des États pour la plupart qui, du coup, vont aller chercher précisément un effet sur une cible particulière, la cible compte. Ça n’empêche pas certains d’aller, par exemple, faire un ciblage hyper-large pour monter des infrastructures qui, ensuite, vont servir à cibler plus précisément. En tout cas, cette menace ciblée a comme caractéristique de répondre à des objectifs qui sont différents de la menace cybercriminelle opportuniste où l’idée c’est de faire de l’argent un peu quelle que soit la victime. Là, on a des attaquants qui ont plus de temps, qui sont payés pour faire ce qu’ils font, ils peuvent donc rester un an, deux ans dans un système d’information. S’ils ont une mission de collecte d’informations stratégiques, ils vont revenir systématiquement ; si la cible est d’intérêt et qu’elle reste d’intérêt, ce sont des attaquants qui vont persister, qui vont être hyper-discrets, qui vont se placer à des endroits stratégiques et on sait qu’ils reviendront. On va les expulser, ils vont revenir. C’est vraiment une menace extrêmement persistante et extrêmement ciblée.
Ambroise Garel : Du coup, c’est d’une nature complètement différente, surtout d’une nature qui donne l’impression, au-delà de la question de l’intention, qu’il y a aussi la question du temps, notamment quelque chose dont tu m’as parlé : on constate aussi, de façon assez croissante, la question du pré-positionnement, que j’ai trouvée assez intéressante. C’est-à-dire des gens qui vont s’introduire dans des systèmes d’information pour être là au cas où, en gros, à être prêts à déclencher quelque chose – ça peut être des files, ça peut être des chevaux de Troie, n’importe quoi. L’idée c’est de dire « on a un pied dans la place et comme ça on est prêt à agir ». C’est une forme, on va dire, de sabotage par anticipation.
Adrienne Charmet : On n’est pas dans le sabotage, on est plutôt dans ce qu’on appelle le pré-positionnement.
C’est quelque chose sur lequel les deux derniers directeurs généraux de l’agence, que ce soit Guillaume Poupard ou Vincent Strubel, ont souvent insisté : le fait que si ces attaquants ont pour mission de se positionner au sein de systèmes d’information critiques au cas où, nous pouvons constater ce type de chose, c’est particulièrement inquiétant parce que si jamais c’est déclenché, ça pourrait être critique. Du coup, c’est un type de menace sur lequel on est particulièrement attentif, qui est un peu différent de l’espionnage où, là, l’objectif est d’exfiltrer de l’information. Là, l’objectif est surtout d’être très discret et d’être positionné sur des endroits critiques.
Ambroise Garel : D’accord. Positionnés en vue de quoi. C’est vrai qu’il y a aussi tout un aspect auquel, forcément, beaucoup de gens pensent, dans le dernier rapport, sur la question ce qu’ils appellent les grands événements ; on pense évidemment aux Jeux olympiques de cette année, mais c’est vrai pour tous les évènements d’ampleur. D’ailleurs, avec Louis Adam, on en avait parlé dans ce podcast il y a deux mois. En fait, je m’étais posé la question de l’intention là-dedans. Je lui avais dit, par exemple, que le fait de saboter la cérémonie d’ouverture des JO, c’est un peu minable quelque part. Il m’avait dit « non, ça a vraiment une importance, notamment du point de vue des acteurs étatiques hostiles, du point de vue, simplement, de leur politique intérieure ou de leur opinion publique intérieure ».
Il y a un autre aspect auquel je n’avais tout simplement pas pensé et dont parle le rapport c’est que tous les grands évènements ont en commun d’augmenter la surface exposée. C’est vrai que vous en parlez beaucoup. Je trouve intéressant de dire que tous ces grands événements, que ce soit des événements sportifs, politiques ou autres, on peut penser à une grosse année d’élections comme la nôtre, ça augmente la surface à protéger.
Adrienne Charmet : Tout à fait. En septembre, avant la coupe du monde de rugby, on a publié un état de la menace sur les grands événements sportifs, sur le site du CERTFR, où on expliquait un peu ça et c’est la même chose pour les Jeux olympiques, évidemment puissance dix, et ça peut être le cas aussi pour les élections ou autres.
L’analyse de la menace sur les grands événements, qu’ils soient sportifs, électoraux ou autres, est un peu différente de l’analyse de la menace classique, parce qu’en fait on a un instant t. Si on a un acteur malveillant qui veut agir à cet instant t, typiquement la menace à but d’espionnage n’est pas celle qui va nous préoccuper ; elle est préoccupante, mais ce n’est peut-être pas la plus préoccupante, même si, encore une fois, les JO sont un événement diplomatique. À la cérémonie d’ouverture, on a plein de chefs d’État, plein de gens, c’est donc un moment qui peut être intéressant pour faire de l’espionnage.
La partie déstabilisation est très importante. En 2018, aux JO de Pyeongchang en Corée du Sud, des attaquants ont perturbé la cérémonie d’ouverture des JO par une cyberattaque qui avait été préparée, etc., vraiment à but de déstabilisation.
Ambroise Garel : Préparée en amont.
Adrienne Charmet : C’est important, pour un acteur, qui veut déstabiliser un État, d’attaquer effectivement pendant ce moment-là. Donc oui, saboter la cérémonie d’ouverture des JO, ça fait partie des scénarios contre lesquels on se prépare.
Et puis, il y a une augmentation de la surface d’attaque. Quand on regarde un petit peu qui sont les acteurs qui sont impliqués dans l’organisation des Jeux olympiques, on a des très gros acteurs qui, pour le coup, sont déjà habitués aux questions de cybersécurité, qui savent se protéger, qui vont mettre le paquet, pour lesquels, ce n’est pas quelque chose de nouveau. Et puis une multitude de sous-traitants, de sous-traitants de sous-traitants, etc., d’entités de plus en plus petites et de plus en plus éloignées de nos problématiques, qui n’ont jamais entendu parler de l’agence et là tout l’enjeu c’est d’arriver à les embarquer avec nous et à ce qu’ils comprennent que la menace peut passer par eux aussi.
Dans le Panorama de la menace on dit, et on le disait déjà l’année dernière je crois, que les attaques passent souvent par les prestataires. Quand une entité est suffisamment bien protégée, les attaquants passent par ses prestataires ou par les prestataires de ses prestataires pour, petit à petit, se ménager des pieds vers leur cible finale. C’est un peu le cas pour les JO, on a une multitude de parties prenantes, avec des niveaux de sécurité qui sont extrêmement hétérogènes, pour lesquels tout l’enjeu c’est d’arriver à les embarquer.
43’ 18
Ambroise Garel : On sait que