Différences entre les versions de « Libre à vous ! Radio Cause Commune - Transcription de l'émission du 3 décembre 2019 »
(/* Chronique « Le libre fait sa comm' » d'Isabella Vanni, coordinatrice vie associative et responsable projets à l'April, qui présentera le GULL (groupe d'utilisateurs et d'utilisatrices de logiciels libres) eTHiX avec l'interview de Nicolas Bartea...) |
|||
| Ligne 54 : | Ligne 54 : | ||
<b>Isabella Vanni : </b>Merci. Bonjour à tout le monde. | <b>Isabella Vanni : </b>Merci. Bonjour à tout le monde. | ||
| + | |||
| + | |||
| + | |||
| + | |||
| + | [Virgule musicale] | ||
| + | |||
| + | <b>Frédéric Couchet : </b>Nous allons écouter <em>Fuzz</em> par Jhazzar. On se retrouve juste après. Belle journée à l’écoute de Cause commune. | ||
| + | |||
| + | <b>Pause musicale : </b>Nous venons d’écouter <em>Fuzz</em> par Jhazzar, disponible sous licence libre Creative Commons Partage dans les mêmes conditions. Vous retrouverez les références sur le site de l’April, april.org. | ||
| + | |||
| + | Vous écoutez l’émission <em>Libre à vous !</em> sur radio Cause Commune 93.1 en Île-de-France et partout ailleurs sur le site causecommune.fm, partout dans le monde d’ailleurs. | ||
| + | |||
| + | Nous allons passer à notre sujet principal. | ||
| + | |||
| + | [Virgule musicale] | ||
| + | |||
| + | ==ANSSI (Agence nationale de la sécurité des systèmes d'information) avec l'interview de son directeur général Guillaume Poupard == | ||
| + | |||
| + | <b>Frédéric Couchet : </b>Nous allons poursuivre avec notre sujet principal qui va porter sur une agence importante, l’ANSSI, l’Agence nationale de la sécurité des systèmes d’information, et nous avons la chance d’avoir avec nous son directeur général Guillaume Poupard. Bonjour Guillaume. | ||
| + | |||
| + | <b>Guillaume Poupard : </b>Bonjour. | ||
| + | |||
| + | <b>Frédéric Couchet : </b>L’idée de cette première émission – on en discutait hors antenne juste avant, je pense qu’on en fera une deuxième parce qu’il y a beaucoup de sujets à aborder – c’est essayer que les gens qui écoutent l’émission, que ce soit le grand public, les spécialistes ou les professionnels comprennent un peu mieux, enfin comprennent, découvrent peut-être ce qu’est le l ‘ANSSI, ce qu’elle fait et aussi certaines de ses positions sur les sujets évidemment qui nous intéressent comme le logiciel libre et les accords avec certaines grandes entreprises américaines.<br/> | ||
| + | Première question, une question personnelle, le parcours. Quel est votre parcours Guillaume Poupard ? | ||
| + | |||
| + | <b>Guillaume Poupard : </b>Je suis informaticien, je suis ingénieur avec une thèse en cryptographie. Je suis tombé dans la marmite cyber très tôt à une époque où on ne parlait pas de cyber et où, quelque part, le sujet quand on aimait l’informatique, les maths et tout ça c’était de faire de la crypto, d’abord faire de la recherche et ensuite, pas au sein de l’ANSSI mais au sein de la DSSI qui est l’ancêtre, donc j’ai commencé là-bas dans mon premier poste. | ||
| + | |||
| + | <b>Frédéric Couchet : </b>La DSSI c’est la Direction centrale systèmes et sécurité ? | ||
| + | |||
| + | <b>Guillaume Poupard : </b>Direction de la sécurité des systèmes d’information. Tout ça est très techno mais c’était une autre époque, c’était il y a 20 ans, c’était un moment où, finalement, avec quelques dizaines de personnes on arrivait à couvrir les questions en termes de sécurité numérique pour les besoins de l’État et on voit évidemment qu’aujourd’hui les choses ont énormément évolué avec une étape clef qui est la création de l’Agence il y a dix ans face à une prise de conscience de nos autorités des risques numériques, les risques qui allaient peser sur notre pays, sur nos concitoyens, sur ce qu’on appelle nos infrastructures critiques. | ||
| + | |||
| + | <b>Frédéric Couchet : </b>D’accord. On va y revenir juste après. On va juste finir la présentation personnelle parce que j’ai vu que vous aviez aussi un diplôme en psychologie. | ||
| + | |||
| + | <b>Guillaume Poupard : </b>Oui, c’est celui qui me sert le plus ! | ||
| + | |||
| + | <b>Frédéric Couchet : </b>C’est la question que j’allais vous poser : quand on a la compétence technique qui est très forte parce que la cryptographie c’est quand même du haut niveau et la compétence en psychologie laquelle vous sert le plus dans votre rôle de directeur de l’ANSSI ? | ||
| + | |||
| + | <b>Guillaume Poupard : </b>C’est définitivement celui en psycho ! D’abord être à la tête de l’agence, c’est une belle agence, on est 600 experts et des gens de haut niveau très engagés, parfois ça nécessite un peu psycho et puis surtout, vis-à-vis de tous les gens qu’on veut protéger, protéger les victimes c’est facile parce que c’est un peu comme les pompiers quand ils arrivent sur un sinistre les choses sont simples, mais quand on arrive avant finalement pour prévenir les gens qu’il y a des risques alors qu’ils n’en ont pas conscience, là la psycho est fondamentale pour essayer d’être un peu convaincant. | ||
| + | |||
| + | <b>Frédéric Couchet : </b>D’accord. Vous aviez commencé à présenter l’ANSSI. Justement je voulais vous poser la question : d’où vient question l’ANSSI qui fête ses dix ans aujourd’hui ? Si j’ai bien suivi, si j’ai bien préparé, c’est notamment suite à une attaque célèbre contre l’Estonie en 2007, une attaque contre le système d’information de l’Estonie qui est très en avance sur l’informatisation de l’État, qu’il a commencé à avoir une réflexion en interne au niveau français pour créer une agence spécialisée. Est-ce que c’est bien ça et comment ça c’est fait ? | ||
| + | |||
| + | <b>Guillaume Poupard : </b>C’est exactement ça. En fait, régulièrement il y a des travaux stratégiques qui sont faits en France comme dans les autres pays pour se dire quels sont les risques qui pèsent sur la nation et comment est-ce qu’on fait pour s’en prémunir ? En général, dans ces travaux, on parle de risques militaires, de risques terroristes, ce sont tous les malheurs du monde qui défilent et, en 2008, ces travaux ont été menés juste après une attaque en Estonie en 2007. Attaque qui est intéressante, qu’on a presque oubliée depuis, mais qui est intéressante parce que l’Estonie, comme vous le disiez, a été probablement le pays le plus en avance sur la numérisation. C’est un pari en fait : là où ils sont placés avec peu de ressources naturelles, peu d’habitants, une position géographique un peu compliquée, le pari de l’Estonie, pour exister, c’est le numérique. En fait en 2007, c’est une anecdote, ils avaient déplacé la statue à la gloire du soldat russe, ce n’est pas la statue que les Estoniens préfèrent quand on leur en parle et ça, ça a créé une colère de la part de certains partisans russes, on va dire – tout ce que je dis là est en source ouverte, évidemment – et il y a eu plein d’attaques contre ses systèmes numériques. Ce qui fait que du jour au lendemain les Estoniens se sont retrouvés sans transports en commun, sans banque, sans système de santé et ce pendant plusieurs jours voire plusieurs semaines.<br/> | ||
| + | Donc un an après, quand on a fait ces travaux stratégiques, on s’est dit « une des menaces du futur c’est la menace numérique ; on va se numériser nous aussi, bien évidemment, et il faut impérativement que cette numérisation se fasse dans de bonnes conditions et que ça ne devienne pas notre talon d’Achille comme ça a été le cas en 2007 en Estonie ». D’où deux décisions : une qui est de développer des capacités offensives qui sont assumées en France et une autre décision qui est de créer une agence, qui allait devenir l’ANSSI, en charge vraiment des questions de protection, de prévention, de détection des attaques et d’aide aux victimes en commençant par les victimes les plus critiques, donc celles dont le fonctionnement est essentiel à la nation et dans un modèle qui est assez original. À cette époque, nos alliés anglo-saxons étaient partis plutôt sur un mélange des genres entre attaque et défense. En France les choses sont claires, les différents métiers existent, les différentes missions existent, mais l’ANSSI est une agence purement protectrice au sens où elle ne fait pas d’attaques, elle n’est pas service de renseignement, elle n’est pas service de police ; on coopère, évidemment, on a des liens avec les autres services, mais on a une mission qui est très claire, qui évite toute forme d’ambiguïté et pour nos agents et pour ceux qu’on veut protéger, qu’ils soient victimes ou bien en prévention.<br/> | ||
| + | Ça c’est un modèle qui était très original à l’époque, qui a plutôt fait école depuis, et qui nous positionne. Sans rentrer trop dans des détails technos on est rattachés au Premier ministre ce qui nous permet d’être relativement neutres, de travailler avec l’ensemble des administrations, l’ensemble des ministères et, en même temps, d’avoir nos capacités en propre. Aujourd’hui on est 600. Ce sont 600 experts qui travaillent à l’ANSSI, vraiment sur toutes les thématiques, tous les champs qui permettent, à la fin, d’élever le niveau de sécurité au juste niveau pour les acteurs les plus critiques en France. | ||
| + | |||
| + | <b>Frédéric Couchet : </b>D’accord. Ce qui est très bien avec Guillaume Poupard c’est qu’il répond à une partie des questions que j’ai préparées sur la présentation de l’ANSSI, donc c’est absolument génial !<br/> | ||
| + | Vous dites 600 personnes. Je vais aller directement à cette question-là : quels types de profils vous recrutez et comment vous les recrutez ? J’imagine que ce sont souvent quand même des profils de haut niveau qui peuvent donc être pistés par des grandes entreprises. Quelle est la motivation des gens qui viennent travailler à l’ANSSI ? | ||
| + | |||
| + | <b>Guillaume Poupard : </b>On parle de ressources humaines en général, un terme que je n’aime pas trop, mais c’est bien ça la question : la richesse de l’agence et ce qui fait qu’on est efficaces, c’est la qualité de nos experts. Évidemment, il y a une question majeure qui est d’attirer des talents pour venir renforcer les rangs de l’ANSSI, pour pouvoir remplir nos missions et ce, évidemment, dans des conditions de concurrence assez fortes. Aujourd’hui sur le marché du travail, en termes de sécurité numérique, il y a peu d’offres et beaucoup de demandes, le marché est très déséquilibré, il continue à se déséquilibrer : la demande continue à croître parce que tout le monde a besoin de se protéger, les entreprises privées ont besoin de développer des capacités en termes de cybersécurité. Donc quelque part, pour schématiser, ce qu’on propose à l’ANSSI c’est d’abord d’embaucher des jeunes – il n’y a pas que des jeunes sortis d’école à l’ANSSI mais c’est quand même le processus majoritaire – faire venir des jeunes, le faire également un peu par la connaissance, par le bouche-à-oreille. C’est souvent des gens qui sont déjà à l’ANSSI qui attirent d’autres personnes au sein de l’Agence. Et puis, ce qui est absolument essentiel, c’est de proposer des métiers, des valeurs qui soient en adéquation avec ce que pensent nos experts. Donc idéalement, et je pense que c’est le cas, quelqu’un qui vient chez nous il fait quelque chose qu’il ne pourrait pas faire ailleurs, il fait quelque chose d’exceptionnel, il fait quelque chose d’utile au niveau national que ce soit en prévention ou bien en aide aux victimes, et ça je pense que ça c’est la grande motivation de nos agents sachant qu’après on ne passe pas sa vie à l’ANSSI, probablement, il faut raisonner de manière ouverte. | ||
| + | |||
| + | <b>Frédéric Couchet : </b>Il y a une vie après l‘ANSSI pour certaines personnes ! | ||
| + | |||
| + | <b>Guillaume Poupard : </b>Certains commencent avant, et heureusement, et après il y a autre chose après l’ANSSI et ça c’est très bien parce qu’on voit aujourd’hui, dix ans après, on commence à voir tout un écosystème qui s’est construit et souvent, quand on a à faire à des partenaires nationaux au sein des entreprises ou au sein du secteur public, on commence à voir des anciens de l’ANSSI qui sont là et cet écosystème est excellent parce qu’on se comprend, on sait comment on travaille et on est très efficaces. C’est d’autant plus important que quand il y a une crise, par exemple quand il y a une attaque forte ou quelque chose comme ça, chaque minute compte et je dis ça sans dramatiser, c’est la réalité, et quand on se connaît déjà, quand les liens sont bien établis, c’est particulièrement efficace. Voilà. | ||
| + | |||
| + | <b>Frédéric Couchet : </b>D’accord. | ||
| + | |||
| + | <b>Guillaume Poupard : </b>L’ANSSI c’est un peu bizarre d’un point de vue administratif. Dans les services du Premier ministre ce n’est pas classique ; 600 personnes c’est une grosse entité ; 80 % de contractuels c’est totalement atypique pour un service du Premier ministre, mais c’est assumé comme tel, c’est assumé avec bienveillance et on essaye de faire en sorte que les conditions globales de nos experts soient les meilleures possibles pour qu’ils soient le plus efficaces possible. Tout ça est très cynique évidemment. | ||
| + | |||
| + | <b>Frédéric Couchet : </b>Dernière question sur la présentation générale de l’ANSSI : quand l’ANSSI a été créée, je suppose qu’il y avait quoi ? Dix ou vingt personnes ? | ||
| + | |||
| + | <b>Guillaume Poupard : </b>Une centaine. | ||
| + | |||
| + | <b>Frédéric Couchet : </b>Une centaine. On est passé de 100 à 600 en dix ans. En introduction on a parlé de l’attaque contre le système d’information de l’Estonie. Je suppose que les menaces ont évolué. Assez rapidement, quelle a été la principale évolution ? Est-ce qu’aujourd’hui l’ANSSI, par exemple, a encore besoin de plus de gens ou est-ce que, finalement, avec 600 personnes plus les experts qui essaiment dans les structures privées ou publiques, ça suffit ? | ||
| + | |||
| + | <b>Guillaume Poupard : </b>La menace évolue très clairement. La menace d’il y a dix ans, la menace réelle c’était de l’espionnage qui existait déjà, de l’espionnage industriel, de l’espionnage stratégique, les États s’espionnent entre eux, c’est comme ça que va le monde. En l’espace de dix ans, on a vu se développer d’autres risques qu’on avait identifiés, un peu à l’image de ce qui passé en Estonie, qui sont des risques pas uniquement d’espionnage mais bien des risques d’atteinte au fonctionnement des systèmes. On voit très bien, et c’est un peu d’actualité, si les transports ne fonctionnent plus, si l’énergie ne fonctionne plus, si les télécoms ne fonctionnent plus, immédiatement les conséquences sur le pays, sur l’économie mais pas seulement, sur la vie et la sécurité même de nos concitoyens, peuvent très vitre être graves. Il y a quinze jours c’était un hôpital qui se faisait attaquer. | ||
| + | |||
| + | <b>Frédéric Couchet : </b>À Rouen. | ||
| + | |||
| + | <b>Guillaume Poupard : </b>À Rouen. Ça, ça fait partie des scénarios qu’on avait anticipés et pour lesquels notre rôle, fondamentalement, est d’essayer d’anticiper ce genre d’attaque et, dans le pire des cas où ça se produit, d’être capables de réagir. C’est quelque chose qui s’est quand même rapidement développé. On a d’autres types d’attaques qu’on n’avait pas forcément vu venir, par contre, ce sont notamment tous les risques pesant sur des mécanismes démocratiques comme les élections par exemple. On sait qu’aujourd’hui les élections sont des moments à risque où certains seront tentés d’interférer, de nuire au bon déroulement des élections. Ça c’est déroulé aux États-Unis en 2016, ça a failli se dérouler en France en 2017. Dorénavant on aura besoin aussi de lutter contre ça.<br/> | ||
| + | Sur la question des moyens, est-ce qu’on est suffisamment nombreux ? Un directeur dira toujours qu’il n’y a pas assez de ressources, ça fait partie de la fiche de poste, mais plus sérieusement, je pense que l’ANSSI va continuer à croître un petit peu, mais il faut éviter la boulimie et surtout il faut éviter de déresponsabiliser les autres acteurs. J’ai l’habitude de dire que ce n’est à 600 ou à 1000 qu’on va protéger la France contre toutes les menaces numériques. L’important c’est qu’on soit là pour créer une politique, une stratégie qui soit structurée, que chacun soit à son rôle et puis, à la fin, c’est bien à chacun de se protéger fondamentalement, à l’ensemble des échelles, à titre individuel en tant que personne, au niveau des sociétés, au niveau des administrations. La protection numérique c’est vraiment quelque chose multi-échelles. | ||
| + | |||
| + | <b>Frédéric Couchet : </b>C’est super. Vous faites même les enchaînements sur le sujet d’après.<br/> | ||
| + | ANSSI, finalement, c’est prévention-réaction quelque part. | ||
| + | |||
| + | <b>Guillaume Poupard : </b>Avec détection au milieu. | ||
| + | |||
| + | <b>Frédéric Couchet : </b>Avec détection au milieu, effectivement. Vous avez parlé des élections, ça me fait penser qu’on fera sans doute en 2020 un sujet sur les ordinateurs de vote. Je ne vais pas vous demander votre avis aujourd’hui parce que sinon on va dépasser le temps imparti, mais je pense qu’on fera un sujet. | ||
| + | |||
| + | <b>Guillaume Poupard : </b>Je garde mon avis ! | ||
| + | |||
| + | <b>Frédéric Couchet : </b>Après vous parlez de ce que vous voulez, vous êtes notre invité, mais je pense qu’on fera une émission sur ce sujet-là.<br/> | ||
| + | Vous venez de dire que c’est effectivement la responsabilité de toutes les personnes et on pourrait penser, à nous écouter, que l’ANSSI c’est pour les spécialistes d’informatique, c’est pour les grandes entreprises, pour les grands centres publics, le CHU de Rouen dont on a parlé qui a subi une cyberattaque de type rançongiciel il y a quelque temps et sur lequel vous êtes intervenu, mais ça concerne aussi le grand public comme vous l’avez dit. Justement, un rôle méconnu et que moi je connaissais moins de l’ANSSI avant de préparer l’émission, c’est la présence de guides pratiques, de guides d’hygiène numérique, qui s’adressent directement au grand public. Est-ce que vous pouvez nous faire un petit tour d’horizon de ce que proposent ces guides et quels types de public ça cible ? | ||
| + | |||
| + | <b>Guillaume Poupard : </b> C’est vrai que la priorité de l’Agence, on ne va pas se mentir, ce sont vraiment les acteurs les plus critiques, ceux qu’on appelle les opérateurs d’importance vitale que sont les acteurs publics ou privés dont le fonctionnement est essentiel à la sécurité nationale. En fait, quand on déroule un petit peu la logique qu’il y a autour de ça, on se rend compte qu’au-delà de la protection de ces grandes entreprises, il y a tout un écosystème à protéger et puis, à la fin, ce sont bien des femmes et des hommes qui vont utiliser les moyens numériques et s’ils n’ont pas les bonnes pratiques – précisément on parle d’hygiène informatique, c’est assez parlant et je pense que le terme est bon, même s’il est choquant il est bon – aujourd’hui la plupart des personnes ont une mauvaise hygiène informatique ce qui fait que ça favorise énormément le travail des attaquants, parfois il n’y a même pas de mérite et, en même temps, l’hygiène ce n’est pas si compliqué une fois qu’on a compris comment ça fonctionne.<br/> | ||
| + | Donc le fait d’apprendre aux personnes, soit nous directement, soit aux couleurs des différentes entreprises, des différentes entités, leur apprendre les gestes essentiels : on fait attention à des mails bizarres, on fait attention à ses clefs USB, on ne recharge pas son téléphone n’importe où, on fait attention à ses mots de passe, autant de règles une fois qu’on les a comprises qui sont des évidences, mais quand on ne les a jamais entendu expliquer ce n’est pas si évident que ça, ça fait également partie de nos missions de fournir, comme ça, des guides expliquant soit au plus grand public, soit on a d’autres guides qui sont plus spécialisés, les bonnes pratiques à mettre en place pour faire de la sécurité numérique.<br/> | ||
| + | Si je peux faire une parenthèse, l’ANSSI a évidemment un rôle dans ce domaine-là, il y a également une autre initiative qui elle est vraiment ciblée sur les individus et les petites structures comme les PME, c’est la plateforme qui s’appelle cybermalveillance.gouv.fr, son nom et son URL se confondent. L’ANSSI est très présente, je suis le président de la structure, mais elle a une existence en propre. Il y a d’autres administrations, d’autres ministères qui sont associés, il y a surtout des acteurs privés qui nous ont rejoints, des opérateurs, des éditeurs, y compris des éditeurs que vous n’aimez pas, mais en gros des gens qui sont là pour porter cette cause commune quelque part qui est de développer une forme de sécurité numérique. Cette plateforme est intéressante parce qu’elle reprend tous les codes et tout le matériel de sensibilisation, mais elle propose également des solutions pour les gens qui sont victimes. Si, à titre individuel, vous êtes victime d’une tentative d’escroquerie, d’un rançongiciel, de quelque chose comme ça, évidemment la bonne solution n’est pas la même que celle pour un opérateur d’importance vitale coté au CAC 40. Nous, on ne peut pas grand-chose pour des particuliers, c’est évident qu’on n’a pas les capacités ou la structure pour y répondre. Cette plateforme a le grand mérite de mettre en relation des prestataires locaux qui sont prêts à faire ça, qui sont souvent des petits prestataires informatiques, qui s’engagent en signant une charte et qui peuvent travailler pour des particuliers. Très souvent ça revient à essayer de récupérer des fichiers, de remettre l’ordinateur en état, ce ne sont pas des grandes opérations de cyberdéfense, mais, pour les victimes qui sont touchées, ça apporte une aide concrète, une aide que les forces de police et de gendarmerie ne peuvent pas apporter bien évidemment ; elles sont là pour prendre la plainte mais certainement pas pour réparer les choses. Ça c’est une initiative qui mérite d’être mieux connue, je pense, et, pour ceux qui sont touchés par de telles attaques, est particulièrement pratique. Je répète c’est cybermalveillance.gouv.fr. | ||
| + | |||
| + | <b>Frédéric Couchet : </b>On mettra aussi les références sur le site de l’April et sur le site de Cause commune.<br/> | ||
| + | Vous parliez des moyens, vous ne pouvez intervenir partout, ça me fait venir une question : est-ce que vous avez des sortes de référents dans les régions, par exemple qui ne s’adressent pas forcément au grand public, ça j’ai bien compris, mais qui pourraient s’adresser aux PME, aux PMI, aux entreprises ? Est-ce que vous avez ce mécanisme ? | ||
| + | |||
| + | <b>Guillaume Poupard : </b>C’est vrai que l’ANSSI est une agence qui est parisienne par sa localisation, avec une capacité de déploiement rapide chez des victimes comme on a fait à Rouen, mais fondamentalement on est à Paris et on a ressenti le besoin, il y a quelques années, d’avoir des référents en région. On ne va pas mettre des dizaines ou des centaines de personnes en région, mais aujourd’hui j’ai un référent par région, donc ça en fait 13 en France métropolitaine, dont le rôle est d’aller se connecter aux différents réseaux locaux. Les réseaux locaux ça peut être les réseaux des chambres de commerce et d’industrie, des réseaux portés par la préfecture, des réseaux portés par des associations d’entreprises. En fait moi je prends tout, quelque part. L’important c’est de voir qui est actif, qui a envie de faire. Lorsque notre référent arrive avec de la matière, avec des supports, avec la possibilité d’intervenir dans des conférences, des choses comme ça, il me sert également de capteur pour faire remonter les besoins locaux. On se rend compte que finalement, d’une région à l’autre – c’est souvent lié à l’activité économique ou à la spécialisation – que les besoins ne sont pas les mêmes et ça nous permet de répondre au mieux et de commencer à adapter notre réponse, à la rendre un peu moins générique, un peu plus adaptée à des besoins locaux.<br/> | ||
| + | Donc ce n’est pas encore du déploiement territoriale et ça ne le deviendra pas, mais le fait de couvrir l’ensemble de la France, métropole et également Outremer puisqu’on a évidemment des zones très sensibles outremer, c’est quelque chose qui doit être particulièrement conduit. Il n’y a pas que Paris à protéger. | ||
| + | |||
| + | <b>Frédéric Couchet : </b>D’accord. Pour revenir sur la partie grand public, je crois que vous avez aussi une autre initiative qui est SecNumAcadémie, une formation en ligne, ce qu’on appelle aujourd’hui un MOOC, c’est de la formation en ligne. C’est une formation ouverte pour toutes les personnes, grand public et professionnels ? C’est gratuit ? Payant ? | ||
| + | |||
| + | <b>Guillaume Poupard : </b>C’est ouvert à tout le monde. C’est gratuit. On est très fiers de ce MOOC, c’est le premier MOOC de France en termes d’audience. C’est une belle réussite. C’est vraiment pour apprendre les bases de la sécurité numérique et l’usage. Certaines entreprises et administrations le reprennent à leur compte et le rendent soit fortement incitatif soit obligatoire dans le cadre des formations professionnelles. N’importe qui peut s’y inscrire sur notre site ssi.gouv.fr qui redirige vers le MOOC. Le seul truc, je le dis au passage, il y a besoin de s’enregistrer. Ce n’est certainement pas pour faire du suivi ou du <em>tracking</em> des stagiaires comme le font la plupart des MOOC parce qu’il faut bien qu’il y ait un modèle économique derrière, nous on ne gagne pas d’argent, évidemment, avec le MOOC. Par contre il y a à peu près une vingtaine d’heures de MOOC, donc l’inscription évite de faire les 20 heures d’affilée ce qui donnerait un peu mal à la tête, donc ça permet de revenir, ce n’est pas plus compliqué que ça. C’est quelque chose qui est utile et que l’on donne également. Le but ce n’est pas d’en être propriétaire, ce n’est pas de faire des profits là-dessus, c’est que ce soit le plus possible utile et on a un certain nombre d’entreprises qui le reprennent, qui le complètent avec des modules qui leur sont propres, notamment à usage interne en termes de formation. | ||
| + | |||
| + | <b>Frédéric Couchet : </b>D’accord. Sur le salon web, qui n’est pas vraiment un salon web aujourd’hui, il y a une remarque de quelqu’un : vous avez dit, vous avez cité ou plutôt non cité « des éditeurs qu’on n’aime pas » ; ce ne sont pas les éditeurs qu’on n’aime pas, ce sont les pratiques consistant à priver les personnes de leurs libertés informatiques. Il y a des gens qui nous écoutent donc je relaie la remarque. | ||
| + | |||
| + | <b>Guillaume Poupard : </b>Très bien. C’est plus précis. | ||
| + | |||
| + | <b>Frédéric Couchet : </b>Voilà, c’est plus précis.<br/> | ||
| + | En tout cas j’invite évidemment les personnes qui nous écoutent, que ce soit grand public ou professionnels, vous l’avez bien compris, à aller sur le site de l’ANSSI, ssi.gouv.fr, pour retrouver à la fois les guides dont on a parlé, les règles d’hygiène effectivement qu’il faut apprendre – est-ce qu’on peut toutes les appliquer ça c’est autre chose – et puis cette fameuse formation en ligne, ouverte à toute personne, d’une durée de 20 heures. Vous découvrirez que l’ANSSI c’est aussi fait pour toutes les personnes, quelles qu’elles soient, et pas uniquement les professionnels de la sécurité ou plutôt tout le monde doit s’intéresser à ce sujet de la sécurité. | ||
| + | |||
| + | <b>Guillaume Poupard : </b>C’est exactement ça, il le faut. On sait très bien que la sécurité numérique ne doit pas rester la chasse gardée de quelques experts, ça, ça ne marche pas. Chacun est utilisateur de moyens numériques, ou quasiment, donc chacun a un rôle à jouer et puis les autres qui ont un rôle à jouer ce sont typiquement les décideurs, qu’ils soient publics, politiques ou privés. Moi je passe temps avec mon bâton de pèlerin à leur expliquer qu’ils ne sont peut-être pas experts en sécurité numérique, ils ne sont peut-être pas informaticiens, peut-être qu’ils n’y comprennent rien, mais fondamentalement c’est leur responsabilité aujourd’hui de développer la sécurité numérique parce que les conséquences peuvent être telles que là, pour le coup, ça devient vraiment leur responsabilité. Donc aujourd’hui ces questions-là concernent tout le monde. | ||
| + | |||
| + | <b>Frédéric Couchet : </b>On va continuer la discussion et on va aborder la partie logiciel libre et ce que fait l’ANSSI par rapport au logiciel libre, mais d’abord on va faire une petite pause musicale. Nous allons écouter <em>Follow me</em> par Vendredi. On se retrouve juste après. Belle journée à l’écoute de Cause Commune. | ||
| + | |||
| + | <b>Pause musicale : </b><em>Follow me</em> par Vendredi. | ||
| + | |||
| + | ==Deuxième partie== | ||
| + | |||
| + | <b>Frédéric Couchet : </b>Nous venons d’écouter <em>Follow me</em> par Vendredi, | ||
Version du 5 décembre 2019 à 16:16
Titre : Émission Libre à vous ! diffusée mardi 3 décembre 2019 sur radio Cause Commune
Intervenant·e·s : Nicolas Barteau - Isabella Vanni - Guillaume Poupard - Jean-Christophe Becquet - Frédéric Couchet - Patrick Creusot à la régie
Lieu : Radio Cause Commune
Date : 3 décembre 2019
Durée : 1 h 30 min
Écouter ou enregistrer le podcast PROVISOIRE
Page des références utiles concernant cette émission
Licence de la transcription : Verbatim
Illustration :
NB : transcription réalisée par nos soins, fidèle aux propos des intervenant·e·s mais rendant le discours fluide.
Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.
Transcription MO
Transcription
Voix off : Libre à vous !, l’émission pour comprendre et agir avec l’April, l’association de promotion et de défense du logiciel libre.
Frédéric Couchet : Bonjour à toutes. Bonjour à tous. Vous êtes sur la radio Cause Commune 93.1 en Île-de-France et partout dans le monde sur le site causecommune.fm. La radio dispose également d’une application Cause Commune pour téléphone mobile.
Merci d’être avec nous pour cette nouvelle édition de Libre à vous !, l’émission pour comprendre et agir avec l’April, l’association de promotion et de défense du logiciel libre. Je suis Frédéric Couchet, le délégué général de l’April.
Nous sommes mardi 3 décembre 2019, nous diffusons en direct, mais vous écoutez peut-être une rediffusion ou un podcast.
Le site web de l’April c’est april.org et vous y retrouvez déjà une page consacrée à l’émission avec un certain nombre de références que nous mettrons à jour après l’émission. N’hésitez pas également à nous faire des retours.
Si vous souhaitez réagir, poser une question pendant ce direct, n’hésitez pas à nous appeler au 09 50 39 67 59.
Nous vous souhaitons une excellente écoute.
Place au programme de l’émission.
Nous allons commencer dans quelques secondes par la chronique de ma collègue Isabella Vanni qui va présenter un groupe d’utilisateurs et d’utilisatrices de logiciels libres de la région d’Alençon.
D’ici une dizaine de minutes nous aborderons notre sujet principal qui portera sur l’ANSSI, Agence nationale de la sécurité des systèmes d’informations avec l’interview de son directeur général Guillaume Poupard.
En fin d’émission nous aurons la chronique « Pépies libres » de Jean-Christophe Becquet, président de l’April, sur le thème « Les polices libres n’ont pas mauvais caractère ».
À la réalisation de l’émission aujourd’hui Patrick Creusot . Bonjour Patrick.
Patrick Creusot : Bonjour tout le monde et bonne émission
Frédéric Couchet : Tout de suite place au premier sujet.
On va commencer sans le jingle, ce n’est pas grave.
Nous allons commencer par la chronique de ma collègue Isabella Vanni qui est coordinatrice vie associative et responsable projets à l’April et le sujet du jour c’est le logiciel libre en Normandie et plus particulièrement un groupe d’utilisateurs et d’utilisatrices de logiciels libres de la région d’Alençon. Je te passe la parole Isabella.
Chronique « Le libre fait sa comm' » d'Isabella Vanni, coordinatrice vie associative et responsable projets à l'April, qui présentera le GULL (groupe d'utilisateurs et d'utilisatrices de logiciels libres) eTHiX avec l'interview de Nicolas Barteau, médiateur numérique libre et président d'eTHiX
Isabella Vanni : Merci. Bonjour à tout le monde.
[Virgule musicale]
Frédéric Couchet : Nous allons écouter Fuzz par Jhazzar. On se retrouve juste après. Belle journée à l’écoute de Cause commune.
Pause musicale : Nous venons d’écouter Fuzz par Jhazzar, disponible sous licence libre Creative Commons Partage dans les mêmes conditions. Vous retrouverez les références sur le site de l’April, april.org.
Vous écoutez l’émission Libre à vous ! sur radio Cause Commune 93.1 en Île-de-France et partout ailleurs sur le site causecommune.fm, partout dans le monde d’ailleurs.
Nous allons passer à notre sujet principal.
[Virgule musicale]
ANSSI (Agence nationale de la sécurité des systèmes d'information) avec l'interview de son directeur général Guillaume Poupard
Frédéric Couchet : Nous allons poursuivre avec notre sujet principal qui va porter sur une agence importante, l’ANSSI, l’Agence nationale de la sécurité des systèmes d’information, et nous avons la chance d’avoir avec nous son directeur général Guillaume Poupard. Bonjour Guillaume.
Guillaume Poupard : Bonjour.
Frédéric Couchet : L’idée de cette première émission – on en discutait hors antenne juste avant, je pense qu’on en fera une deuxième parce qu’il y a beaucoup de sujets à aborder – c’est essayer que les gens qui écoutent l’émission, que ce soit le grand public, les spécialistes ou les professionnels comprennent un peu mieux, enfin comprennent, découvrent peut-être ce qu’est le l ‘ANSSI, ce qu’elle fait et aussi certaines de ses positions sur les sujets évidemment qui nous intéressent comme le logiciel libre et les accords avec certaines grandes entreprises américaines.
Première question, une question personnelle, le parcours. Quel est votre parcours Guillaume Poupard ?
Guillaume Poupard : Je suis informaticien, je suis ingénieur avec une thèse en cryptographie. Je suis tombé dans la marmite cyber très tôt à une époque où on ne parlait pas de cyber et où, quelque part, le sujet quand on aimait l’informatique, les maths et tout ça c’était de faire de la crypto, d’abord faire de la recherche et ensuite, pas au sein de l’ANSSI mais au sein de la DSSI qui est l’ancêtre, donc j’ai commencé là-bas dans mon premier poste.
Frédéric Couchet : La DSSI c’est la Direction centrale systèmes et sécurité ?
Guillaume Poupard : Direction de la sécurité des systèmes d’information. Tout ça est très techno mais c’était une autre époque, c’était il y a 20 ans, c’était un moment où, finalement, avec quelques dizaines de personnes on arrivait à couvrir les questions en termes de sécurité numérique pour les besoins de l’État et on voit évidemment qu’aujourd’hui les choses ont énormément évolué avec une étape clef qui est la création de l’Agence il y a dix ans face à une prise de conscience de nos autorités des risques numériques, les risques qui allaient peser sur notre pays, sur nos concitoyens, sur ce qu’on appelle nos infrastructures critiques.
Frédéric Couchet : D’accord. On va y revenir juste après. On va juste finir la présentation personnelle parce que j’ai vu que vous aviez aussi un diplôme en psychologie.
Guillaume Poupard : Oui, c’est celui qui me sert le plus !
Frédéric Couchet : C’est la question que j’allais vous poser : quand on a la compétence technique qui est très forte parce que la cryptographie c’est quand même du haut niveau et la compétence en psychologie laquelle vous sert le plus dans votre rôle de directeur de l’ANSSI ?
Guillaume Poupard : C’est définitivement celui en psycho ! D’abord être à la tête de l’agence, c’est une belle agence, on est 600 experts et des gens de haut niveau très engagés, parfois ça nécessite un peu psycho et puis surtout, vis-à-vis de tous les gens qu’on veut protéger, protéger les victimes c’est facile parce que c’est un peu comme les pompiers quand ils arrivent sur un sinistre les choses sont simples, mais quand on arrive avant finalement pour prévenir les gens qu’il y a des risques alors qu’ils n’en ont pas conscience, là la psycho est fondamentale pour essayer d’être un peu convaincant.
Frédéric Couchet : D’accord. Vous aviez commencé à présenter l’ANSSI. Justement je voulais vous poser la question : d’où vient question l’ANSSI qui fête ses dix ans aujourd’hui ? Si j’ai bien suivi, si j’ai bien préparé, c’est notamment suite à une attaque célèbre contre l’Estonie en 2007, une attaque contre le système d’information de l’Estonie qui est très en avance sur l’informatisation de l’État, qu’il a commencé à avoir une réflexion en interne au niveau français pour créer une agence spécialisée. Est-ce que c’est bien ça et comment ça c’est fait ?
Guillaume Poupard : C’est exactement ça. En fait, régulièrement il y a des travaux stratégiques qui sont faits en France comme dans les autres pays pour se dire quels sont les risques qui pèsent sur la nation et comment est-ce qu’on fait pour s’en prémunir ? En général, dans ces travaux, on parle de risques militaires, de risques terroristes, ce sont tous les malheurs du monde qui défilent et, en 2008, ces travaux ont été menés juste après une attaque en Estonie en 2007. Attaque qui est intéressante, qu’on a presque oubliée depuis, mais qui est intéressante parce que l’Estonie, comme vous le disiez, a été probablement le pays le plus en avance sur la numérisation. C’est un pari en fait : là où ils sont placés avec peu de ressources naturelles, peu d’habitants, une position géographique un peu compliquée, le pari de l’Estonie, pour exister, c’est le numérique. En fait en 2007, c’est une anecdote, ils avaient déplacé la statue à la gloire du soldat russe, ce n’est pas la statue que les Estoniens préfèrent quand on leur en parle et ça, ça a créé une colère de la part de certains partisans russes, on va dire – tout ce que je dis là est en source ouverte, évidemment – et il y a eu plein d’attaques contre ses systèmes numériques. Ce qui fait que du jour au lendemain les Estoniens se sont retrouvés sans transports en commun, sans banque, sans système de santé et ce pendant plusieurs jours voire plusieurs semaines.
Donc un an après, quand on a fait ces travaux stratégiques, on s’est dit « une des menaces du futur c’est la menace numérique ; on va se numériser nous aussi, bien évidemment, et il faut impérativement que cette numérisation se fasse dans de bonnes conditions et que ça ne devienne pas notre talon d’Achille comme ça a été le cas en 2007 en Estonie ». D’où deux décisions : une qui est de développer des capacités offensives qui sont assumées en France et une autre décision qui est de créer une agence, qui allait devenir l’ANSSI, en charge vraiment des questions de protection, de prévention, de détection des attaques et d’aide aux victimes en commençant par les victimes les plus critiques, donc celles dont le fonctionnement est essentiel à la nation et dans un modèle qui est assez original. À cette époque, nos alliés anglo-saxons étaient partis plutôt sur un mélange des genres entre attaque et défense. En France les choses sont claires, les différents métiers existent, les différentes missions existent, mais l’ANSSI est une agence purement protectrice au sens où elle ne fait pas d’attaques, elle n’est pas service de renseignement, elle n’est pas service de police ; on coopère, évidemment, on a des liens avec les autres services, mais on a une mission qui est très claire, qui évite toute forme d’ambiguïté et pour nos agents et pour ceux qu’on veut protéger, qu’ils soient victimes ou bien en prévention.
Ça c’est un modèle qui était très original à l’époque, qui a plutôt fait école depuis, et qui nous positionne. Sans rentrer trop dans des détails technos on est rattachés au Premier ministre ce qui nous permet d’être relativement neutres, de travailler avec l’ensemble des administrations, l’ensemble des ministères et, en même temps, d’avoir nos capacités en propre. Aujourd’hui on est 600. Ce sont 600 experts qui travaillent à l’ANSSI, vraiment sur toutes les thématiques, tous les champs qui permettent, à la fin, d’élever le niveau de sécurité au juste niveau pour les acteurs les plus critiques en France.
Frédéric Couchet : D’accord. Ce qui est très bien avec Guillaume Poupard c’est qu’il répond à une partie des questions que j’ai préparées sur la présentation de l’ANSSI, donc c’est absolument génial !
Vous dites 600 personnes. Je vais aller directement à cette question-là : quels types de profils vous recrutez et comment vous les recrutez ? J’imagine que ce sont souvent quand même des profils de haut niveau qui peuvent donc être pistés par des grandes entreprises. Quelle est la motivation des gens qui viennent travailler à l’ANSSI ?
Guillaume Poupard : On parle de ressources humaines en général, un terme que je n’aime pas trop, mais c’est bien ça la question : la richesse de l’agence et ce qui fait qu’on est efficaces, c’est la qualité de nos experts. Évidemment, il y a une question majeure qui est d’attirer des talents pour venir renforcer les rangs de l’ANSSI, pour pouvoir remplir nos missions et ce, évidemment, dans des conditions de concurrence assez fortes. Aujourd’hui sur le marché du travail, en termes de sécurité numérique, il y a peu d’offres et beaucoup de demandes, le marché est très déséquilibré, il continue à se déséquilibrer : la demande continue à croître parce que tout le monde a besoin de se protéger, les entreprises privées ont besoin de développer des capacités en termes de cybersécurité. Donc quelque part, pour schématiser, ce qu’on propose à l’ANSSI c’est d’abord d’embaucher des jeunes – il n’y a pas que des jeunes sortis d’école à l’ANSSI mais c’est quand même le processus majoritaire – faire venir des jeunes, le faire également un peu par la connaissance, par le bouche-à-oreille. C’est souvent des gens qui sont déjà à l’ANSSI qui attirent d’autres personnes au sein de l’Agence. Et puis, ce qui est absolument essentiel, c’est de proposer des métiers, des valeurs qui soient en adéquation avec ce que pensent nos experts. Donc idéalement, et je pense que c’est le cas, quelqu’un qui vient chez nous il fait quelque chose qu’il ne pourrait pas faire ailleurs, il fait quelque chose d’exceptionnel, il fait quelque chose d’utile au niveau national que ce soit en prévention ou bien en aide aux victimes, et ça je pense que ça c’est la grande motivation de nos agents sachant qu’après on ne passe pas sa vie à l’ANSSI, probablement, il faut raisonner de manière ouverte.
Frédéric Couchet : Il y a une vie après l‘ANSSI pour certaines personnes !
Guillaume Poupard : Certains commencent avant, et heureusement, et après il y a autre chose après l’ANSSI et ça c’est très bien parce qu’on voit aujourd’hui, dix ans après, on commence à voir tout un écosystème qui s’est construit et souvent, quand on a à faire à des partenaires nationaux au sein des entreprises ou au sein du secteur public, on commence à voir des anciens de l’ANSSI qui sont là et cet écosystème est excellent parce qu’on se comprend, on sait comment on travaille et on est très efficaces. C’est d’autant plus important que quand il y a une crise, par exemple quand il y a une attaque forte ou quelque chose comme ça, chaque minute compte et je dis ça sans dramatiser, c’est la réalité, et quand on se connaît déjà, quand les liens sont bien établis, c’est particulièrement efficace. Voilà.
Frédéric Couchet : D’accord.
Guillaume Poupard : L’ANSSI c’est un peu bizarre d’un point de vue administratif. Dans les services du Premier ministre ce n’est pas classique ; 600 personnes c’est une grosse entité ; 80 % de contractuels c’est totalement atypique pour un service du Premier ministre, mais c’est assumé comme tel, c’est assumé avec bienveillance et on essaye de faire en sorte que les conditions globales de nos experts soient les meilleures possibles pour qu’ils soient le plus efficaces possible. Tout ça est très cynique évidemment.
Frédéric Couchet : Dernière question sur la présentation générale de l’ANSSI : quand l’ANSSI a été créée, je suppose qu’il y avait quoi ? Dix ou vingt personnes ?
Guillaume Poupard : Une centaine.
Frédéric Couchet : Une centaine. On est passé de 100 à 600 en dix ans. En introduction on a parlé de l’attaque contre le système d’information de l’Estonie. Je suppose que les menaces ont évolué. Assez rapidement, quelle a été la principale évolution ? Est-ce qu’aujourd’hui l’ANSSI, par exemple, a encore besoin de plus de gens ou est-ce que, finalement, avec 600 personnes plus les experts qui essaiment dans les structures privées ou publiques, ça suffit ?
Guillaume Poupard : La menace évolue très clairement. La menace d’il y a dix ans, la menace réelle c’était de l’espionnage qui existait déjà, de l’espionnage industriel, de l’espionnage stratégique, les États s’espionnent entre eux, c’est comme ça que va le monde. En l’espace de dix ans, on a vu se développer d’autres risques qu’on avait identifiés, un peu à l’image de ce qui passé en Estonie, qui sont des risques pas uniquement d’espionnage mais bien des risques d’atteinte au fonctionnement des systèmes. On voit très bien, et c’est un peu d’actualité, si les transports ne fonctionnent plus, si l’énergie ne fonctionne plus, si les télécoms ne fonctionnent plus, immédiatement les conséquences sur le pays, sur l’économie mais pas seulement, sur la vie et la sécurité même de nos concitoyens, peuvent très vitre être graves. Il y a quinze jours c’était un hôpital qui se faisait attaquer.
Frédéric Couchet : À Rouen.
Guillaume Poupard : À Rouen. Ça, ça fait partie des scénarios qu’on avait anticipés et pour lesquels notre rôle, fondamentalement, est d’essayer d’anticiper ce genre d’attaque et, dans le pire des cas où ça se produit, d’être capables de réagir. C’est quelque chose qui s’est quand même rapidement développé. On a d’autres types d’attaques qu’on n’avait pas forcément vu venir, par contre, ce sont notamment tous les risques pesant sur des mécanismes démocratiques comme les élections par exemple. On sait qu’aujourd’hui les élections sont des moments à risque où certains seront tentés d’interférer, de nuire au bon déroulement des élections. Ça c’est déroulé aux États-Unis en 2016, ça a failli se dérouler en France en 2017. Dorénavant on aura besoin aussi de lutter contre ça.
Sur la question des moyens, est-ce qu’on est suffisamment nombreux ? Un directeur dira toujours qu’il n’y a pas assez de ressources, ça fait partie de la fiche de poste, mais plus sérieusement, je pense que l’ANSSI va continuer à croître un petit peu, mais il faut éviter la boulimie et surtout il faut éviter de déresponsabiliser les autres acteurs. J’ai l’habitude de dire que ce n’est à 600 ou à 1000 qu’on va protéger la France contre toutes les menaces numériques. L’important c’est qu’on soit là pour créer une politique, une stratégie qui soit structurée, que chacun soit à son rôle et puis, à la fin, c’est bien à chacun de se protéger fondamentalement, à l’ensemble des échelles, à titre individuel en tant que personne, au niveau des sociétés, au niveau des administrations. La protection numérique c’est vraiment quelque chose multi-échelles.
Frédéric Couchet : C’est super. Vous faites même les enchaînements sur le sujet d’après.
ANSSI, finalement, c’est prévention-réaction quelque part.
Guillaume Poupard : Avec détection au milieu.
Frédéric Couchet : Avec détection au milieu, effectivement. Vous avez parlé des élections, ça me fait penser qu’on fera sans doute en 2020 un sujet sur les ordinateurs de vote. Je ne vais pas vous demander votre avis aujourd’hui parce que sinon on va dépasser le temps imparti, mais je pense qu’on fera un sujet.
Guillaume Poupard : Je garde mon avis !
Frédéric Couchet : Après vous parlez de ce que vous voulez, vous êtes notre invité, mais je pense qu’on fera une émission sur ce sujet-là.
Vous venez de dire que c’est effectivement la responsabilité de toutes les personnes et on pourrait penser, à nous écouter, que l’ANSSI c’est pour les spécialistes d’informatique, c’est pour les grandes entreprises, pour les grands centres publics, le CHU de Rouen dont on a parlé qui a subi une cyberattaque de type rançongiciel il y a quelque temps et sur lequel vous êtes intervenu, mais ça concerne aussi le grand public comme vous l’avez dit. Justement, un rôle méconnu et que moi je connaissais moins de l’ANSSI avant de préparer l’émission, c’est la présence de guides pratiques, de guides d’hygiène numérique, qui s’adressent directement au grand public. Est-ce que vous pouvez nous faire un petit tour d’horizon de ce que proposent ces guides et quels types de public ça cible ?
Guillaume Poupard : C’est vrai que la priorité de l’Agence, on ne va pas se mentir, ce sont vraiment les acteurs les plus critiques, ceux qu’on appelle les opérateurs d’importance vitale que sont les acteurs publics ou privés dont le fonctionnement est essentiel à la sécurité nationale. En fait, quand on déroule un petit peu la logique qu’il y a autour de ça, on se rend compte qu’au-delà de la protection de ces grandes entreprises, il y a tout un écosystème à protéger et puis, à la fin, ce sont bien des femmes et des hommes qui vont utiliser les moyens numériques et s’ils n’ont pas les bonnes pratiques – précisément on parle d’hygiène informatique, c’est assez parlant et je pense que le terme est bon, même s’il est choquant il est bon – aujourd’hui la plupart des personnes ont une mauvaise hygiène informatique ce qui fait que ça favorise énormément le travail des attaquants, parfois il n’y a même pas de mérite et, en même temps, l’hygiène ce n’est pas si compliqué une fois qu’on a compris comment ça fonctionne.
Donc le fait d’apprendre aux personnes, soit nous directement, soit aux couleurs des différentes entreprises, des différentes entités, leur apprendre les gestes essentiels : on fait attention à des mails bizarres, on fait attention à ses clefs USB, on ne recharge pas son téléphone n’importe où, on fait attention à ses mots de passe, autant de règles une fois qu’on les a comprises qui sont des évidences, mais quand on ne les a jamais entendu expliquer ce n’est pas si évident que ça, ça fait également partie de nos missions de fournir, comme ça, des guides expliquant soit au plus grand public, soit on a d’autres guides qui sont plus spécialisés, les bonnes pratiques à mettre en place pour faire de la sécurité numérique.
Si je peux faire une parenthèse, l’ANSSI a évidemment un rôle dans ce domaine-là, il y a également une autre initiative qui elle est vraiment ciblée sur les individus et les petites structures comme les PME, c’est la plateforme qui s’appelle cybermalveillance.gouv.fr, son nom et son URL se confondent. L’ANSSI est très présente, je suis le président de la structure, mais elle a une existence en propre. Il y a d’autres administrations, d’autres ministères qui sont associés, il y a surtout des acteurs privés qui nous ont rejoints, des opérateurs, des éditeurs, y compris des éditeurs que vous n’aimez pas, mais en gros des gens qui sont là pour porter cette cause commune quelque part qui est de développer une forme de sécurité numérique. Cette plateforme est intéressante parce qu’elle reprend tous les codes et tout le matériel de sensibilisation, mais elle propose également des solutions pour les gens qui sont victimes. Si, à titre individuel, vous êtes victime d’une tentative d’escroquerie, d’un rançongiciel, de quelque chose comme ça, évidemment la bonne solution n’est pas la même que celle pour un opérateur d’importance vitale coté au CAC 40. Nous, on ne peut pas grand-chose pour des particuliers, c’est évident qu’on n’a pas les capacités ou la structure pour y répondre. Cette plateforme a le grand mérite de mettre en relation des prestataires locaux qui sont prêts à faire ça, qui sont souvent des petits prestataires informatiques, qui s’engagent en signant une charte et qui peuvent travailler pour des particuliers. Très souvent ça revient à essayer de récupérer des fichiers, de remettre l’ordinateur en état, ce ne sont pas des grandes opérations de cyberdéfense, mais, pour les victimes qui sont touchées, ça apporte une aide concrète, une aide que les forces de police et de gendarmerie ne peuvent pas apporter bien évidemment ; elles sont là pour prendre la plainte mais certainement pas pour réparer les choses. Ça c’est une initiative qui mérite d’être mieux connue, je pense, et, pour ceux qui sont touchés par de telles attaques, est particulièrement pratique. Je répète c’est cybermalveillance.gouv.fr.
Frédéric Couchet : On mettra aussi les références sur le site de l’April et sur le site de Cause commune.
Vous parliez des moyens, vous ne pouvez intervenir partout, ça me fait venir une question : est-ce que vous avez des sortes de référents dans les régions, par exemple qui ne s’adressent pas forcément au grand public, ça j’ai bien compris, mais qui pourraient s’adresser aux PME, aux PMI, aux entreprises ? Est-ce que vous avez ce mécanisme ?
Guillaume Poupard : C’est vrai que l’ANSSI est une agence qui est parisienne par sa localisation, avec une capacité de déploiement rapide chez des victimes comme on a fait à Rouen, mais fondamentalement on est à Paris et on a ressenti le besoin, il y a quelques années, d’avoir des référents en région. On ne va pas mettre des dizaines ou des centaines de personnes en région, mais aujourd’hui j’ai un référent par région, donc ça en fait 13 en France métropolitaine, dont le rôle est d’aller se connecter aux différents réseaux locaux. Les réseaux locaux ça peut être les réseaux des chambres de commerce et d’industrie, des réseaux portés par la préfecture, des réseaux portés par des associations d’entreprises. En fait moi je prends tout, quelque part. L’important c’est de voir qui est actif, qui a envie de faire. Lorsque notre référent arrive avec de la matière, avec des supports, avec la possibilité d’intervenir dans des conférences, des choses comme ça, il me sert également de capteur pour faire remonter les besoins locaux. On se rend compte que finalement, d’une région à l’autre – c’est souvent lié à l’activité économique ou à la spécialisation – que les besoins ne sont pas les mêmes et ça nous permet de répondre au mieux et de commencer à adapter notre réponse, à la rendre un peu moins générique, un peu plus adaptée à des besoins locaux.
Donc ce n’est pas encore du déploiement territoriale et ça ne le deviendra pas, mais le fait de couvrir l’ensemble de la France, métropole et également Outremer puisqu’on a évidemment des zones très sensibles outremer, c’est quelque chose qui doit être particulièrement conduit. Il n’y a pas que Paris à protéger.
Frédéric Couchet : D’accord. Pour revenir sur la partie grand public, je crois que vous avez aussi une autre initiative qui est SecNumAcadémie, une formation en ligne, ce qu’on appelle aujourd’hui un MOOC, c’est de la formation en ligne. C’est une formation ouverte pour toutes les personnes, grand public et professionnels ? C’est gratuit ? Payant ?
Guillaume Poupard : C’est ouvert à tout le monde. C’est gratuit. On est très fiers de ce MOOC, c’est le premier MOOC de France en termes d’audience. C’est une belle réussite. C’est vraiment pour apprendre les bases de la sécurité numérique et l’usage. Certaines entreprises et administrations le reprennent à leur compte et le rendent soit fortement incitatif soit obligatoire dans le cadre des formations professionnelles. N’importe qui peut s’y inscrire sur notre site ssi.gouv.fr qui redirige vers le MOOC. Le seul truc, je le dis au passage, il y a besoin de s’enregistrer. Ce n’est certainement pas pour faire du suivi ou du tracking des stagiaires comme le font la plupart des MOOC parce qu’il faut bien qu’il y ait un modèle économique derrière, nous on ne gagne pas d’argent, évidemment, avec le MOOC. Par contre il y a à peu près une vingtaine d’heures de MOOC, donc l’inscription évite de faire les 20 heures d’affilée ce qui donnerait un peu mal à la tête, donc ça permet de revenir, ce n’est pas plus compliqué que ça. C’est quelque chose qui est utile et que l’on donne également. Le but ce n’est pas d’en être propriétaire, ce n’est pas de faire des profits là-dessus, c’est que ce soit le plus possible utile et on a un certain nombre d’entreprises qui le reprennent, qui le complètent avec des modules qui leur sont propres, notamment à usage interne en termes de formation.
Frédéric Couchet : D’accord. Sur le salon web, qui n’est pas vraiment un salon web aujourd’hui, il y a une remarque de quelqu’un : vous avez dit, vous avez cité ou plutôt non cité « des éditeurs qu’on n’aime pas » ; ce ne sont pas les éditeurs qu’on n’aime pas, ce sont les pratiques consistant à priver les personnes de leurs libertés informatiques. Il y a des gens qui nous écoutent donc je relaie la remarque.
Guillaume Poupard : Très bien. C’est plus précis.
Frédéric Couchet : Voilà, c’est plus précis.
En tout cas j’invite évidemment les personnes qui nous écoutent, que ce soit grand public ou professionnels, vous l’avez bien compris, à aller sur le site de l’ANSSI, ssi.gouv.fr, pour retrouver à la fois les guides dont on a parlé, les règles d’hygiène effectivement qu’il faut apprendre – est-ce qu’on peut toutes les appliquer ça c’est autre chose – et puis cette fameuse formation en ligne, ouverte à toute personne, d’une durée de 20 heures. Vous découvrirez que l’ANSSI c’est aussi fait pour toutes les personnes, quelles qu’elles soient, et pas uniquement les professionnels de la sécurité ou plutôt tout le monde doit s’intéresser à ce sujet de la sécurité.
Guillaume Poupard : C’est exactement ça, il le faut. On sait très bien que la sécurité numérique ne doit pas rester la chasse gardée de quelques experts, ça, ça ne marche pas. Chacun est utilisateur de moyens numériques, ou quasiment, donc chacun a un rôle à jouer et puis les autres qui ont un rôle à jouer ce sont typiquement les décideurs, qu’ils soient publics, politiques ou privés. Moi je passe temps avec mon bâton de pèlerin à leur expliquer qu’ils ne sont peut-être pas experts en sécurité numérique, ils ne sont peut-être pas informaticiens, peut-être qu’ils n’y comprennent rien, mais fondamentalement c’est leur responsabilité aujourd’hui de développer la sécurité numérique parce que les conséquences peuvent être telles que là, pour le coup, ça devient vraiment leur responsabilité. Donc aujourd’hui ces questions-là concernent tout le monde.
Frédéric Couchet : On va continuer la discussion et on va aborder la partie logiciel libre et ce que fait l’ANSSI par rapport au logiciel libre, mais d’abord on va faire une petite pause musicale. Nous allons écouter Follow me par Vendredi. On se retrouve juste après. Belle journée à l’écoute de Cause Commune.
Pause musicale : Follow me par Vendredi.
Deuxième partie
Frédéric Couchet : Nous venons d’écouter Follow me par Vendredi,
