Libre à vous ! Radio Cause Commune - Transcription de l'émission du 3 décembre 2019

De April MediaWiki
Aller à la navigationAller à la recherche


Titre : Émission Libre à vous ! diffusée mardi 3 décembre 2019 sur radio Cause Commune

Intervenant·e·s : Nicolas Barteau - Isabella Vanni - Guillaume Poupard - Jean-Christophe Becquet - Frédéric Couchet - Patrick Creusot à la régie

Lieu : Radio Cause Commune

Date : 3 décembre 2019

Durée : 1 h 30 min

Écouter ou enregistrer le podcast PROVISOIRE

Page des références utiles concernant cette émission

Licence de la transcription : Verbatim

Illustration :

NB : transcription réalisée par nos soins, fidèle aux propos des intervenant·e·s mais rendant le discours fluide.
Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.

Transcription MO

Transcription

Voix off : Libre à vous !, l’émission pour comprendre et agir avec l’April, l’association de promotion et de défense du logiciel libre.

Frédéric Couchet : Bonjour à toutes. Bonjour à tous. Vous êtes sur la radio Cause Commune 93.1 en Île-de-France et partout dans le monde sur le site causecommune.fm. La radio dispose également d’une application Cause Commune pour téléphone mobile.

Merci d’être avec nous pour cette nouvelle édition de Libre à vous !, l’émission pour comprendre et agir avec l’April, l’association de promotion et de défense du logiciel libre. Je suis Frédéric Couchet, le délégué général de l’April.

Nous sommes mardi 3 décembre 2019, nous diffusons en direct, mais vous écoutez peut-être une rediffusion ou un podcast.

Le site web de l’April c’est april.org et vous y retrouvez déjà une page consacrée à l’émission avec un certain nombre de références que nous mettrons à jour après l’émission. N’hésitez pas également à nous faire des retours.
Si vous souhaitez réagir, poser une question pendant ce direct, n’hésitez pas à nous appeler au 09 50 39 67 59.
Nous vous souhaitons une excellente écoute.

Place au programme de l’émission.
Nous allons commencer dans quelques secondes par la chronique de ma collègue Isabella Vanni qui va présenter un groupe d’utilisateurs et d’utilisatrices de logiciels libres de la région d’Alençon.
D’ici une dizaine de minutes nous aborderons notre sujet principal qui portera sur l’ANSSI, Agence nationale de la sécurité des systèmes d’informations avec l’interview de son directeur général Guillaume Poupard.
En fin d’émission nous aurons la chronique « Pépies libres » de Jean-Christophe Becquet, président de l’April, sur le thème « Les polices libres n’ont pas mauvais caractère ».
À la réalisation de l’émission aujourd’hui Patrick Creusot . Bonjour Patrick.

Patrick Creusot  : Bonjour tout le monde et bonne émission

Frédéric Couchet : Tout de suite place au premier sujet.

On va commencer sans le jingle, ce n’est pas grave.
Nous allons commencer par la chronique de ma collègue Isabella Vanni qui est coordinatrice vie associative et responsable projets à l’April et le sujet du jour c’est le logiciel libre en Normandie et plus particulièrement un groupe d’utilisateurs et d’utilisatrices de logiciels libres de la région d’Alençon. Je te passe la parole Isabella.

Chronique « Le libre fait sa comm' » d'Isabella Vanni, coordinatrice vie associative et responsable projets à l'April, qui présentera le GULL (groupe d'utilisateurs et d'utilisatrices de logiciels libres) eTHiX avec l'interview de Nicolas Barteau, médiateur numérique libre et président d'eTHiX

Isabella Vanni : Merci. Bonjour à tout le monde.



[Virgule musicale]

Frédéric Couchet : Nous allons écouter Fuzz par Jhazzar. On se retrouve juste après. Belle journée à l’écoute de Cause commune.

Pause musicale : Nous venons d’écouter Fuzz par Jhazzar, disponible sous licence libre Creative Commons Partage dans les mêmes conditions. Vous retrouverez les références sur le site de l’April, april.org.

Vous écoutez l’émission Libre à vous ! sur radio Cause Commune 93.1 en Île-de-France et partout ailleurs sur le site causecommune.fm, partout dans le monde d’ailleurs.

Nous allons passer à notre sujet principal.

[Virgule musicale]

ANSSI (Agence nationale de la sécurité des systèmes d'information) avec l'interview de son directeur général Guillaume Poupard

Frédéric Couchet : Nous allons poursuivre avec notre sujet principal qui va porter sur une agence importante, l’ANSSI, l’Agence nationale de la sécurité des systèmes d’information, et nous avons la chance d’avoir avec nous son directeur général Guillaume Poupard. Bonjour Guillaume.

Guillaume Poupard : Bonjour.

Frédéric Couchet : L’idée de cette première émission – on en discutait hors antenne juste avant, je pense qu’on en fera une deuxième parce qu’il y a beaucoup de sujets à aborder – c’est essayer que les gens qui écoutent l’émission, que ce soit le grand public, les spécialistes ou les professionnels comprennent un peu mieux, enfin comprennent, découvrent peut-être ce qu’est le l ‘ANSSI, ce qu’elle fait et aussi certaines de ses positions sur les sujets évidemment qui nous intéressent comme le logiciel libre et les accords avec certaines grandes entreprises américaines.
Première question, une question personnelle, le parcours. Quel est votre parcours Guillaume Poupard ?

Guillaume Poupard : Je suis informaticien, je suis ingénieur avec une thèse en cryptographie. Je suis tombé dans la marmite cyber très tôt à une époque où on ne parlait pas de cyber et où, quelque part, le sujet quand on aimait l’informatique, les maths et tout ça c’était de faire de la crypto, d’abord faire de la recherche et ensuite, pas au sein de l’ANSSI mais au sein de la DSSI qui est l’ancêtre, donc j’ai commencé là-bas dans mon premier poste.

Frédéric Couchet : La DSSI c’est la Direction centrale systèmes et sécurité ?

Guillaume Poupard : Direction de la sécurité des systèmes d’information. Tout ça est très techno mais c’était une autre époque, c’était il y a 20 ans, c’était un moment où, finalement, avec quelques dizaines de personnes on arrivait à couvrir les questions en termes de sécurité numérique pour les besoins de l’État et on voit évidemment qu’aujourd’hui les choses ont énormément évolué avec une étape clef qui est la création de l’Agence il y a dix ans face à une prise de conscience de nos autorités des risques numériques, les risques qui allaient peser sur notre pays, sur nos concitoyens, sur ce qu’on appelle nos infrastructures critiques.

Frédéric Couchet : D’accord. On va y revenir juste après. On va juste finir la présentation personnelle parce que j’ai vu que vous aviez aussi un diplôme en psychologie.

Guillaume Poupard : Oui, c’est celui qui me sert le plus !

Frédéric Couchet : C’est la question que j’allais vous poser : quand on a la compétence technique qui est très forte parce que la cryptographie c’est quand même du haut niveau et la compétence en psychologie laquelle vous sert le plus dans votre rôle de directeur de l’ANSSI ?

Guillaume Poupard : C’est définitivement celui en psycho ! D’abord être à la tête de l’agence, c’est une belle agence, on est 600 experts et des gens de haut niveau très engagés, parfois ça nécessite un peu psycho et puis surtout, vis-à-vis de tous les gens qu’on veut protéger, protéger les victimes c’est facile parce que c’est un peu comme les pompiers quand ils arrivent sur un sinistre les choses sont simples, mais quand on arrive avant finalement pour prévenir les gens qu’il y a des risques alors qu’ils n’en ont pas conscience, là la psycho est fondamentale pour essayer d’être un peu convaincant.

Frédéric Couchet : D’accord. Vous aviez commencé à présenter l’ANSSI. Justement je voulais vous poser la question : d’où vient question l’ANSSI qui fête ses dix ans aujourd’hui ? Si j’ai bien suivi, si j’ai bien préparé, c’est notamment suite à une attaque célèbre contre l’Estonie en 2007, une attaque contre le système d’information de l’Estonie qui est très en avance sur l’informatisation de l’État, qu’il a commencé à avoir une réflexion en interne au niveau français pour créer une agence spécialisée. Est-ce que c’est bien ça et comment ça c’est fait ?

Guillaume Poupard : C’est exactement ça. En fait, régulièrement il y a des travaux stratégiques qui sont faits en France comme dans les autres pays pour se dire quels sont les risques qui pèsent sur la nation et comment est-ce qu’on fait pour s’en prémunir ? En général, dans ces travaux, on parle de risques militaires, de risques terroristes, ce sont tous les malheurs du monde qui défilent et, en 2008, ces travaux ont été menés juste après une attaque en Estonie en 2007. Attaque qui est intéressante, qu’on a presque oubliée depuis, mais qui est intéressante parce que l’Estonie, comme vous le disiez, a été probablement le pays le plus en avance sur la numérisation. C’est un pari en fait : là où ils sont placés avec peu de ressources naturelles, peu d’habitants, une position géographique un peu compliquée, le pari de l’Estonie, pour exister, c’est le numérique. En fait en 2007, c’est une anecdote, ils avaient déplacé la statue à la gloire du soldat russe, ce n’est pas la statue que les Estoniens préfèrent quand on leur en parle et ça, ça a créé une colère de la part de certains partisans russes, on va dire – tout ce que je dis là est en source ouverte, évidemment – et il y a eu plein d’attaques contre ses systèmes numériques. Ce qui fait que du jour au lendemain les Estoniens se sont retrouvés sans transports en commun, sans banque, sans système de santé et ce pendant plusieurs jours voire plusieurs semaines.
Donc un an après, quand on a fait ces travaux stratégiques, on s’est dit « une des menaces du futur c’est la menace numérique ; on va se numériser nous aussi, bien évidemment, et il faut impérativement que cette numérisation se fasse dans de bonnes conditions et que ça ne devienne pas notre talon d’Achille comme ça a été le cas en 2007 en Estonie ». D’où deux décisions : une qui est de développer des capacités offensives qui sont assumées en France et une autre décision qui est de créer une agence, qui allait devenir l’ANSSI, en charge vraiment des questions de protection, de prévention, de détection des attaques et d’aide aux victimes en commençant par les victimes les plus critiques, donc celles dont le fonctionnement est essentiel à la nation et dans un modèle qui est assez original. À cette époque, nos alliés anglo-saxons étaient partis plutôt sur un mélange des genres entre attaque et défense. En France les choses sont claires, les différents métiers existent, les différentes missions existent, mais l’ANSSI est une agence purement protectrice au sens où elle ne fait pas d’attaques, elle n’est pas service de renseignement, elle n’est pas service de police ; on coopère, évidemment, on a des liens avec les autres services, mais on a une mission qui est très claire, qui évite toute forme d’ambiguïté et pour nos agents et pour ceux qu’on veut protéger, qu’ils soient victimes ou bien en prévention.
Ça c’est un modèle qui était très original à l’époque, qui a plutôt fait école depuis, et qui nous positionne. Sans rentrer trop dans des détails technos on est rattachés au Premier ministre ce qui nous permet d’être relativement neutres, de travailler avec l’ensemble des administrations, l’ensemble des ministères et, en même temps, d’avoir nos capacités en propre. Aujourd’hui on est 600. Ce sont 600 experts qui travaillent à l’ANSSI, vraiment sur toutes les thématiques, tous les champs qui permettent, à la fin, d’élever le niveau de sécurité au juste niveau pour les acteurs les plus critiques en France.

Frédéric Couchet : D’accord. Ce qui est très bien avec Guillaume Poupard c’est qu’il répond à une partie des questions que j’ai préparées sur la présentation de l’ANSSI, donc c’est absolument génial !
Vous dites 600 personnes. Je vais aller directement à cette question-là : quels types de profils vous recrutez et comment vous les recrutez ? J’imagine que ce sont souvent quand même des profils de haut niveau qui peuvent donc être pistés par des grandes entreprises. Quelle est la motivation des gens qui viennent travailler à l’ANSSI ?

Guillaume Poupard : On parle de ressources humaines en général, un terme que je n’aime pas trop, mais c’est bien ça la question : la richesse de l’agence et ce qui fait qu’on est efficaces, c’est la qualité de nos experts. Évidemment, il y a une question majeure qui est d’attirer des talents pour venir renforcer les rangs de l’ANSSI, pour pouvoir remplir nos missions et ce, évidemment, dans des conditions de concurrence assez fortes. Aujourd’hui sur le marché du travail, en termes de sécurité numérique, il y a peu d’offres et beaucoup de demandes, le marché est très déséquilibré, il continue à se déséquilibrer : la demande continue à croître parce que tout le monde a besoin de se protéger, les entreprises privées ont besoin de développer des capacités en termes de cybersécurité. Donc quelque part, pour schématiser, ce qu’on propose à l’ANSSI c’est d’abord d’embaucher des jeunes – il n’y a pas que des jeunes sortis d’école à l’ANSSI mais c’est quand même le processus majoritaire – faire venir des jeunes, le faire également un peu par la connaissance, par le bouche-à-oreille. C’est souvent des gens qui sont déjà à l’ANSSI qui attirent d’autres personnes au sein de l’Agence. Et puis, ce qui est absolument essentiel, c’est de proposer des métiers, des valeurs qui soient en adéquation avec ce que pensent nos experts. Donc idéalement, et je pense que c’est le cas, quelqu’un qui vient chez nous il fait quelque chose qu’il ne pourrait pas faire ailleurs, il fait quelque chose d’exceptionnel, il fait quelque chose d’utile au niveau national que ce soit en prévention ou bien en aide aux victimes, et ça je pense que ça c’est la grande motivation de nos agents sachant qu’après on ne passe pas sa vie à l’ANSSI, probablement, il faut raisonner de manière ouverte.

Frédéric Couchet : Il y a une vie après l‘ANSSI pour certaines personnes !

Guillaume Poupard : Certains commencent avant, et heureusement, et après il y a autre chose après l’ANSSI et ça c’est très bien parce qu’on voit aujourd’hui, dix ans après, on commence à voir tout un écosystème qui s’est construit et souvent, quand on a à faire à des partenaires nationaux au sein des entreprises ou au sein du secteur public, on commence à voir des anciens de l’ANSSI qui sont là et cet écosystème est excellent parce qu’on se comprend, on sait comment on travaille et on est très efficaces. C’est d’autant plus important que quand il y a une crise, par exemple quand il y a une attaque forte ou quelque chose comme ça, chaque minute compte et je dis ça sans dramatiser, c’est la réalité, et quand on se connaît déjà, quand les liens sont bien établis, c’est particulièrement efficace. Voilà.

Frédéric Couchet : D’accord.

Guillaume Poupard : L’ANSSI c’est un peu bizarre d’un point de vue administratif. Dans les services du Premier ministre ce n’est pas classique ; 600 personnes c’est une grosse entité ; 80 % de contractuels c’est totalement atypique pour un service du Premier ministre, mais c’est assumé comme tel, c’est assumé avec bienveillance et on essaye de faire en sorte que les conditions globales de nos experts soient les meilleures possibles pour qu’ils soient le plus efficaces possible. Tout ça est très cynique évidemment.

Frédéric Couchet : Dernière question sur la présentation générale de l’ANSSI : quand l’ANSSI a été créée, je suppose qu’il y avait quoi ? Dix ou vingt personnes ?

Guillaume Poupard : Une centaine.

Frédéric Couchet : Une centaine. On est passé de 100 à 600 en dix ans. En introduction on a parlé de l’attaque contre le système d’information de l’Estonie. Je suppose que les menaces ont évolué. Assez rapidement, quelle a été la principale évolution ? Est-ce qu’aujourd’hui l’ANSSI, par exemple, a encore besoin de plus de gens ou est-ce que, finalement, avec 600 personnes plus les experts qui essaiment dans les structures privées ou publiques, ça suffit ?

Guillaume Poupard : La menace évolue très clairement. La menace d’il y a dix ans, la menace réelle c’était de l’espionnage qui existait déjà, de l’espionnage industriel, de l’espionnage stratégique, les États s’espionnent entre eux, c’est comme ça que va le monde. En l’espace de dix ans, on a vu se développer d’autres risques qu’on avait identifiés, un peu à l’image de ce qui passé en Estonie, qui sont des risques pas uniquement d’espionnage mais bien des risques d’atteinte au fonctionnement des systèmes. On voit très bien, et c’est un peu d’actualité, si les transports ne fonctionnent plus, si l’énergie ne fonctionne plus, si les télécoms ne fonctionnent plus, immédiatement les conséquences sur le pays, sur l’économie mais pas seulement, sur la vie et la sécurité même de nos concitoyens, peuvent très vitre être graves. Il y a quinze jours c’était un hôpital qui se faisait attaquer.

Frédéric Couchet : À Rouen.

Guillaume Poupard : À Rouen. Ça, ça fait partie des scénarios qu’on avait anticipés et pour lesquels notre rôle, fondamentalement, est d’essayer d’anticiper ce genre d’attaque et, dans le pire des cas où ça se produit, d’être capables de réagir. C’est quelque chose qui s’est quand même rapidement développé. On a d’autres types d’attaques qu’on n’avait pas forcément vu venir, par contre, ce sont notamment tous les risques pesant sur des mécanismes démocratiques comme les élections par exemple. On sait qu’aujourd’hui les élections sont des moments à risque où certains seront tentés d’interférer, de nuire au bon déroulement des élections. Ça c’est déroulé aux États-Unis en 2016, ça a failli se dérouler en France en 2017. Dorénavant on aura besoin aussi de lutter contre ça.
Sur la question des moyens, est-ce qu’on est suffisamment nombreux ? Un directeur dira toujours qu’il n’y a pas assez de ressources, ça fait partie de la fiche de poste, mais plus sérieusement, je pense que l’ANSSI va continuer à croître un petit peu, mais il faut éviter la boulimie et surtout il faut éviter de déresponsabiliser les autres acteurs. J’ai l’habitude de dire que ce n’est à 600 ou à 1000 qu’on va protéger la France contre toutes les menaces numériques. L’important c’est qu’on soit là pour créer une politique, une stratégie qui soit structurée, que chacun soit à son rôle et puis, à la fin, c’est bien à chacun de se protéger fondamentalement, à l’ensemble des échelles, à titre individuel en tant que personne, au niveau des sociétés, au niveau des administrations. La protection numérique c’est vraiment quelque chose multi-échelles.

Frédéric Couchet : C’est super. Vous faites même les enchaînements sur le sujet d’après.
ANSSI, finalement, c’est prévention-réaction quelque part.

Guillaume Poupard : Avec détection au milieu.

Frédéric Couchet : Avec détection au milieu, effectivement. Vous avez parlé des élections, ça me fait penser qu’on fera sans doute en 2020 un sujet sur les ordinateurs de vote. Je ne vais pas vous demander votre avis aujourd’hui parce que sinon on va dépasser le temps imparti, mais je pense qu’on fera un sujet.

Guillaume Poupard : Je garde mon avis !

Frédéric Couchet : Après vous parlez de ce que vous voulez, vous êtes notre invité, mais je pense qu’on fera une émission sur ce sujet-là.
Vous venez de dire que c’est effectivement la responsabilité de toutes les personnes et on pourrait penser, à nous écouter, que l’ANSSI c’est pour les spécialistes d’informatique, c’est pour les grandes entreprises, pour les grands centres publics, le CHU de Rouen dont on a parlé qui a subi une cyberattaque de type rançongiciel il y a quelque temps et sur lequel vous êtes intervenu, mais ça concerne aussi le grand public comme vous l’avez dit. Justement, un rôle méconnu et que moi je connaissais moins de l’ANSSI avant de préparer l’émission, c’est la présence de guides pratiques, de guides d’hygiène numérique, qui s’adressent directement au grand public. Est-ce que vous pouvez nous faire un petit tour d’horizon de ce que proposent ces guides et quels types de public ça cible ?

Guillaume Poupard : C’est vrai que la priorité de l’Agence, on ne va pas se mentir, ce sont vraiment les acteurs les plus critiques, ceux qu’on appelle les opérateurs d’importance vitale que sont les acteurs publics ou privés dont le fonctionnement est essentiel à la sécurité nationale. En fait, quand on déroule un petit peu la logique qu’il y a autour de ça, on se rend compte qu’au-delà de la protection de ces grandes entreprises, il y a tout un écosystème à protéger et puis, à la fin, ce sont bien des femmes et des hommes qui vont utiliser les moyens numériques et s’ils n’ont pas les bonnes pratiques – précisément on parle d’hygiène informatique, c’est assez parlant et je pense que le terme est bon, même s’il est choquant il est bon – aujourd’hui la plupart des personnes ont une mauvaise hygiène informatique ce qui fait que ça favorise énormément le travail des attaquants, parfois il n’y a même pas de mérite et, en même temps, l’hygiène ce n’est pas si compliqué une fois qu’on a compris comment ça fonctionne.
Donc le fait d’apprendre aux personnes, soit nous directement, soit aux couleurs des différentes entreprises, des différentes entités, leur apprendre les gestes essentiels : on fait attention à des mails bizarres, on fait attention à ses clefs USB, on ne recharge pas son téléphone n’importe où, on fait attention à ses mots de passe, autant de règles une fois qu’on les a comprises qui sont des évidences, mais quand on ne les a jamais entendu expliquer ce n’est pas si évident que ça, ça fait également partie de nos missions de fournir, comme ça, des guides expliquant soit au plus grand public, soit on a d’autres guides qui sont plus spécialisés, les bonnes pratiques à mettre en place pour faire de la sécurité numérique.
Si je peux faire une parenthèse, l’ANSSI a évidemment un rôle dans ce domaine-là, il y a également une autre initiative qui elle est vraiment ciblée sur les individus et les petites structures comme les PME, c’est la plateforme qui s’appelle cybermalveillance.gouv.fr, son nom et son URL se confondent. L’ANSSI est très présente, je suis le président de la structure, mais elle a une existence en propre. Il y a d’autres administrations, d’autres ministères qui sont associés, il y a surtout des acteurs privés qui nous ont rejoints, des opérateurs, des éditeurs, y compris des éditeurs que vous n’aimez pas, mais en gros des gens qui sont là pour porter cette cause commune quelque part qui est de développer une forme de sécurité numérique. Cette plateforme est intéressante parce qu’elle reprend tous les codes et tout le matériel de sensibilisation, mais elle propose également des solutions pour les gens qui sont victimes. Si, à titre individuel, vous êtes victime d’une tentative d’escroquerie, d’un rançongiciel, de quelque chose comme ça, évidemment la bonne solution n’est pas la même que celle pour un opérateur d’importance vitale coté au CAC 40. Nous, on ne peut pas grand-chose pour des particuliers, c’est évident qu’on n’a pas les capacités ou la structure pour y répondre. Cette plateforme a le grand mérite de mettre en relation des prestataires locaux qui sont prêts à faire ça, qui sont souvent des petits prestataires informatiques, qui s’engagent en signant une charte et qui peuvent travailler pour des particuliers. Très souvent ça revient à essayer de récupérer des fichiers, de remettre l’ordinateur en état, ce ne sont pas des grandes opérations de cyberdéfense, mais, pour les victimes qui sont touchées, ça apporte une aide concrète, une aide que les forces de police et de gendarmerie ne peuvent pas apporter bien évidemment ; elles sont là pour prendre la plainte mais certainement pas pour réparer les choses. Ça c’est une initiative qui mérite d’être mieux connue, je pense, et, pour ceux qui sont touchés par de telles attaques, est particulièrement pratique. Je répète c’est cybermalveillance.gouv.fr.

Frédéric Couchet : On mettra aussi les références sur le site de l’April et sur le site de Cause commune.
Vous parliez des moyens, vous ne pouvez intervenir partout, ça me fait venir une question : est-ce que vous avez des sortes de référents dans les régions, par exemple qui ne s’adressent pas forcément au grand public, ça j’ai bien compris, mais qui pourraient s’adresser aux PME, aux PMI, aux entreprises ? Est-ce que vous avez ce mécanisme ?

Guillaume Poupard : C’est vrai que l’ANSSI est une agence qui est parisienne par sa localisation, avec une capacité de déploiement rapide chez des victimes comme on a fait à Rouen, mais fondamentalement on est à Paris et on a ressenti le besoin, il y a quelques années, d’avoir des référents en région. On ne va pas mettre des dizaines ou des centaines de personnes en région, mais aujourd’hui j’ai un référent par région, donc ça en fait 13 en France métropolitaine, dont le rôle est d’aller se connecter aux différents réseaux locaux. Les réseaux locaux ça peut être les réseaux des chambres de commerce et d’industrie, des réseaux portés par la préfecture, des réseaux portés par des associations d’entreprises. En fait moi je prends tout, quelque part. L’important c’est de voir qui est actif, qui a envie de faire. Lorsque notre référent arrive avec de la matière, avec des supports, avec la possibilité d’intervenir dans des conférences, des choses comme ça, il me sert également de capteur pour faire remonter les besoins locaux. On se rend compte que finalement, d’une région à l’autre – c’est souvent lié à l’activité économique ou à la spécialisation – que les besoins ne sont pas les mêmes et ça nous permet de répondre au mieux et de commencer à adapter notre réponse, à la rendre un peu moins générique, un peu plus adaptée à des besoins locaux.
Donc ce n’est pas encore du déploiement territoriale et ça ne le deviendra pas, mais le fait de couvrir l’ensemble de la France, métropole et également Outremer puisqu’on a évidemment des zones très sensibles outremer, c’est quelque chose qui doit être particulièrement conduit. Il n’y a pas que Paris à protéger.

Frédéric Couchet : D’accord. Pour revenir sur la partie grand public, je crois que vous avez aussi une autre initiative qui est SecNumAcadémie, une formation en ligne, ce qu’on appelle aujourd’hui un MOOC, c’est de la formation en ligne. C’est une formation ouverte pour toutes les personnes, grand public et professionnels ? C’est gratuit ? Payant ?

Guillaume Poupard : C’est ouvert à tout le monde. C’est gratuit. On est très fiers de ce MOOC, c’est le premier MOOC de France en termes d’audience. C’est une belle réussite. C’est vraiment pour apprendre les bases de la sécurité numérique et l’usage. Certaines entreprises et administrations le reprennent à leur compte et le rendent soit fortement incitatif soit obligatoire dans le cadre des formations professionnelles. N’importe qui peut s’y inscrire sur notre site ssi.gouv.fr qui redirige vers le MOOC. Le seul truc, je le dis au passage, il y a besoin de s’enregistrer. Ce n’est certainement pas pour faire du suivi ou du tracking des stagiaires comme le font la plupart des MOOC parce qu’il faut bien qu’il y ait un modèle économique derrière, nous on ne gagne pas d’argent, évidemment, avec le MOOC. Par contre il y a à peu près une vingtaine d’heures de MOOC, donc l’inscription évite de faire les 20 heures d’affilée ce qui donnerait un peu mal à la tête, donc ça permet de revenir, ce n’est pas plus compliqué que ça. C’est quelque chose qui est utile et que l’on donne également. Le but ce n’est pas d’en être propriétaire, ce n’est pas de faire des profits là-dessus, c’est que ce soit le plus possible utile et on a un certain nombre d’entreprises qui le reprennent, qui le complètent avec des modules qui leur sont propres, notamment à usage interne en termes de formation.

Frédéric Couchet : D’accord. Sur le salon web, qui n’est pas vraiment un salon web aujourd’hui, il y a une remarque de quelqu’un : vous avez dit, vous avez cité ou plutôt non cité « des éditeurs qu’on n’aime pas » ; ce ne sont pas les éditeurs qu’on n’aime pas, ce sont les pratiques consistant à priver les personnes de leurs libertés informatiques. Il y a des gens qui nous écoutent donc je relaie la remarque.

Guillaume Poupard : Très bien. C’est plus précis.

Frédéric Couchet : Voilà, c’est plus précis.
En tout cas j’invite évidemment les personnes qui nous écoutent, que ce soit grand public ou professionnels, vous l’avez bien compris, à aller sur le site de l’ANSSI, ssi.gouv.fr, pour retrouver à la fois les guides dont on a parlé, les règles d’hygiène effectivement qu’il faut apprendre – est-ce qu’on peut toutes les appliquer ça c’est autre chose – et puis cette fameuse formation en ligne, ouverte à toute personne, d’une durée de 20 heures. Vous découvrirez que l’ANSSI c’est aussi fait pour toutes les personnes, quelles qu’elles soient, et pas uniquement les professionnels de la sécurité ou plutôt tout le monde doit s’intéresser à ce sujet de la sécurité.

Guillaume Poupard : C’est exactement ça, il le faut. On sait très bien que la sécurité numérique ne doit pas rester la chasse gardée de quelques experts, ça, ça ne marche pas. Chacun est utilisateur de moyens numériques, ou quasiment, donc chacun a un rôle à jouer et puis les autres qui ont un rôle à jouer ce sont typiquement les décideurs, qu’ils soient publics, politiques ou privés. Moi je passe temps avec mon bâton de pèlerin à leur expliquer qu’ils ne sont peut-être pas experts en sécurité numérique, ils ne sont peut-être pas informaticiens, peut-être qu’ils n’y comprennent rien, mais fondamentalement c’est leur responsabilité aujourd’hui de développer la sécurité numérique parce que les conséquences peuvent être telles que là, pour le coup, ça devient vraiment leur responsabilité. Donc aujourd’hui ces questions-là concernent tout le monde.

Frédéric Couchet : On va continuer la discussion et on va aborder la partie logiciel libre et ce que fait l’ANSSI par rapport au logiciel libre, mais d’abord on va faire une petite pause musicale. Nous allons écouter Follow me par Vendredi. On se retrouve juste après. Belle journée à l’écoute de Cause Commune.

Pause musicale : Follow me par Vendredi.

Deuxième partie

Frédéric Couchet : Nous venons d’écouter Follow me par Vendredi, disponible sous licence libre Creative Commons Attribution.
Vous écoutez toujours l’émission Libre à vous ! sur radio Cause Commune 93.1 en Île-de-France et partout dans le monde sur le site causecommune.fm.
Si vous voulez participer à notre conversation vous pouvez appeler le 09 50 39 67 59, je répète 09 50 39 67 59, Patrick prendra votre appel.

Nous poursuivons notre sujet sur l’ANSSI avec Guillaume Poupard, son directeur général. Juste avant la pause musicale on parlait du rôle de l’ANSSI notamment par rapport au grand public et du rôle de toutes les personnes par rapport à la sécurité. Là on va aborder un sujet qui nous tient évidemment à cœur à l’April, l’association de promotion et de défense du logiciel libre, c’est la question de la sécurité par la transparence versus la sécurité par les boîtes noires et, plus globalement, la position qu’a l’ANSSI sur le lien entre sécurité, logiciel libre et logiciel privateur. Quelle est la doctrine de l’ANSSI à ce sujet-là ?

Guillaume Poupard : La doctrine se veut assez équilibrée au sens où pour nous l’objectif, à la fin, c’est que les systèmes soient sécurisés au bon niveau face à des menaces identifiées. Tout ce blabla pour dire que l’important c’est le résultat. On veut éviter de tomber dans la caricature d’un part. Il n’y aurait pas d’un côté un logiciel libre ou du logiciel libre qui serait forcément sécurisé et, de l’autre côté, des logiciels propriétaires qui seraient forcément mauvais en termes de sécurité. C’est évidemment plus complexe que ça. Nous, ce qu’on souhaite vraiment, c’est que ce qui est utilisé par « nos clients » entre guillemets soit d’un bon niveau de sécurité et soit bien utilisé.
Une fois qu’on a dit ça, ce sont un peu les mentions de protection légale, il est évident que quand on veut rentrer dans un produit logiciel, quand on veut se convaincre de son niveau de sécurité, nous on promeut énormément de la certification, de l’évaluation, de manière à pouvoir attester auprès des utilisateurs qui ne sont pas forcément des experts et qui n’ont pas forcément le temps du niveau de qualité atteint par des produits. On sait le faire pour des produits propriétaires aussi bien que pour des produits open source directement disponibles. Après, l’important c’est de voir quelle est la démarche qu’il peut y avoir derrière, comment est conduite l’évaluation et ainsi de suite. Voilà. Ce n’est pas pour dire qu’il y a forcément un système meilleur qu’un autre, c’est plus compliqué que ça en pratique.
L’autre chose, évidemment pour nous on ne peut pas faire de l’usage du logiciel libre un prérequis pour travailler avec tous ceux avec qui on doit travailler ou avec qui on a envie de travailler. Quand on arrive chez une victime qui est intégralement équipée en logiciels propriétaires, on ne va pas lui dire « c’est bien fait pour toi ! »

Frédéric Couchet : Là-dessus nous sommes d’accord.

Guillaume Poupard : Tout ça ce sont des évidences.
La dernière remarque un peu préliminaire que je peux faire c’est que nous on a quand même à faire à beaucoup de « clients », je rajoute les guillemets, qui ne sont pas équipés pour bien gérer du logiciel open source. Ça demande une démarche, ça demande un effort. Ceux qui atteignent un certain niveau de maturité ils y vont naturellement, très souvent, mais il y en beaucoup qui ne sont pas à ce niveau de maturité justement notamment dans beaucoup d’entreprises où, pendant très longtemps, le message qu’on leur a martelé dans le crâne au niveau commercial c’était que l’informatique c’estt du soutien, c’est quelque chose qui coûte cher, c’est quelque chose dont il faut se débarrasser, c’est quelque chose qu’il faut sous-traiter et ces gens-là sont devenus totalement dépendants de leurs sous-traitants et je parle aussi bien, finalement, d’acteurs publics que d’acteurs privés en parlant de ça.
Donc revenir vers eux en disant « il faut tout changer, il faut passer à des logiciels que vous maîtrisez, des architectures que vous maîtrisez et ainsi de suite », ça fait beaucoup d’un coup. Tout ça pour dire qu’on essaye de s’adapter, on essaye de pousser nos partenaires à plus de maîtrise des architectures, à plus de maîtrise ce qu’ils déploient dessus et, quelles que soient les solutions déployées à bien le faire en termes de sécurité. Une fois encore, que ce soit libre ou propriétaire, très souvent c’est mal fait, c’est ce qu’on observe dans le cadre des audits, donc il y a un vrai progrès à mener.

Frédéric Couchet : D’accord. Nous on ne dit pas forcément que le logiciel libre c’est la garantie à 100 %, on pense que c’est une brique essentielle mais que ça dépend, évidemment ,des ressources, comme vous le dites, et d’un certain nombre de facteurs. Vous parlez d’absence d’une certaine maturité chez certains acteurs, je ne peux pas m’empêcher de penser au ministère de la Défense. Est-ce que le ministère de la Défense manque de maturité pour, depuis des années, être pieds et poings liés avec Microsoft ? Ça c’est ma première question et j’en ai d’autres derrière.

Guillaume Poupard : Oui, c’est une question récurrente. La logique du ministère de la Défense – je suis extérieur au débat fondamentalement – ça a été une logique, mais vous le savez, qui est une logique assez comptable, finalement de dire « plutôt que d’avoir 3000 contrats avec le même éditeur on va tout rassembler dans un seul contrat ». Le gros danger, évidemment, de ce genre de démarche c’est que ça rend assez facile le fait de passer par ces solutions-là et, du coup, plus compliqué le fait de faire l’effort d’aller vers des solutions mieux maîtrisées, plus sures peut-être, et encore, là le débat mériterait d’être creusé, ça dépend des cas, en tout cas qui permettent de garantir un plus forte souveraineté.
En fait le vrai sujet est là : qu’est-ce que l’on veut maîtriser par nous-mêmes pour assurer notre souveraineté, notre autonomie ? Souveraineté c’est un terme important mais au sens de notre autonomie de décision, d’action. On sait que dans le domaine militaire, notamment en France, on construit notre propre armement de manière à rester souverain et à ne pas être dépendants. Il ne faudrait surtout pas que dans le domaine numérique, dans le domaine logiciel, on devienne à notre insu dépendants et que finalement tous les efforts qu’on a faits pour avoir une souveraineté au sens très fort du terme soient un peu battus en brèche par une dépendance à des éditeurs logiciels non européens.

Frédéric Couchet : Justement, je bascule directement sur une de mes dernières questions puisque vous abordez le sujet que je voulais aborder à la fin si on avait le temps. Récemment il y a une commission d’enquête sur la souveraineté numérique par laquelle l’April a été auditionnée ; vous avez été auditionné à huis-clos ainsi que trois autres structures à huis-clos, ce qu’on peut parfaitement comprendre, même si vous avez commencé à répondre un petit peu à la question, j’aimerais bien que vous précisiez ce que vous entendez par souveraineté numérique de l’État et par quoi ça passe principalement ? C’est quoi les principaux facteurs de cette souveraineté numérique de l’État et qu’est-ce que c’est cette souveraineté numérique de l’État ?

Guillaume Poupard : Auditionné à huis-clos non pas que j’aie des choses à cacher, mais simplement évidemment quand c’est à huis-clos je peux dire des choses plus facilement que quand c’est retranscrit.

Frédéric Couchet : On comprend parfaitement.

Guillaume Poupard : C’était un choix qui avait été fait avec les parlementaires de la commission.
La souveraineté c’est vraiment au cœur de nos préoccupations, ça consiste à garder une vraie capacité, un vrai libre arbitre dans le choix des solutions, dans la confiance que l’on a de ce qu’on développe, numérique ou pas, mais ça s’applique particulièrement au numérique. Et ça ne doit surtout pas être confondu avec une forme de protectionnisme ou une forme un peu obsessionnelle de la souveraineté qui consiste à vouloir tout faire au niveau national en France.

Frédéric Couchet : Pas d’OS souverain, par exemple. Pas de système d’exploitation souverain.

Guillaume Poupard : Ce n’est pas mon truc l’OS souverain, j’ai eu l’occasion de m’expliquer là-dessus !
Si on veut tout faire nous-mêmes, si on veut faire nos propres composants, nos propres ordinateurs, nos propres OS, nos propres logiciels, tout ça, je connais le résultat : on ne va pas y arriver. Ce n’est pas que ça me réjouit, c’est juste que personne, quasiment personne, je pense même que personne au monde ne peut faire ça. Quasiment aucun un pays, même les plus puissants, ne sont capables de faire ça par eux-mêmes ou bien ils renoncent au progrès technologique.
Par contre, assurer sa souveraineté au sens maîtriser ses systèmes, en garantir la sécurité, en garantir la capacité de fonctionnement et l’accès à ces systèmes même si des ennemis ou des alliés changent d’avis au niveau économique à notre le sujet, ça c’est faisable. La ligne de crête à suivre pour un pays comme la France et que l’on peut encore suivre aujourd’hui, c’est vraiment d’être capable de maîtriser les architectures de ces systèmes. II faut comprendre comment ça marche. Quand on ne comprend plus comment ça marche ça n’a aucune chance d’être maîtrisé.

Frédéric Couchet : Architecture logicielle et matérielle donc.

Guillaume Poupard : Logicielle et matérielle. Un datacenter peut être maîtrisé en architecture sans forcément maîtriser tout ce qu’il y a dans les composants. L’idée c’est bien de maîtriser les architectures, de concevoir des architectures en tenant compte de ce besoin de souveraineté, pour ensuite voir quelles sont les briques que l’on peut acheter n’importe où, fondamentalement sur étagère, n’importe où,quelles sont, à l’autre bout du spectre, les briques, logicielles ou matérielles, que l’on doit à tout prix fabriquer par nous-mêmes dans des conditions de confiance très élevées et entre les deux tous les scénarios sont possibles. Et c’est là où le logiciel libre a tout son intérêt. Et c’est là où vous seriez surpris de voir, y compris dans des systèmes extrêmement sensibles, des systèmes d’armes, des choses comme ça, qu’il y a de plus en plus de logiciel libre parce que c’est du logiciel beaucoup plus facile à maîtriser et à intégrer quand on a la main sur l’architecture.
Le gros problème de certaines solutions propriétaires, c’est qu’elles ont tendance à faire perdre la main sur le fonctionnement de l’architecture, à nous déposséder de tout ça, donc à nous faire renoncer à la souveraineté. C’est là où le Libre devient vraiment une solution intéressante, mais j’insiste là-dessus, à condition d’avoir cette capacité de définir les architectures, de les mettre en œuvre et de les maîtriser dans le temps.
Il y a un autre sujet qui est très actuel, dont on parle beaucoup en ce moment, ce sont les réseaux télécoms. Il y a un débat qui est importé de la guerre économique entre les États-Unis et la Chine qui voudrait nous faire croire que la sécurité d’un réseau 5G se résume au choix d’un équipementier. Ça, je n’y crois pas du tout ! Un réseau 5G bien sécurisé sera un réseau dont l’architecture sera maîtrisée par les opérateurs, dont l’opération sera maîtrisée par les opérateurs. Évidemment après, peut-être que dans cette architecture, si l’analyse est bien faite, on en viendra à décider que tel ou tel équipement est plus sensible qu’un autre et il faut faire attention à l’origine de l’équipement, suivez mon regard.

Frédéric Couchet : Je ne vois pas où vous voulez en venir !

Guillaume Poupard : Pas du tout ! Mais tout résumer à l’origine des équipements, en gros dire « il ne faut pas d’équipement chinois dans le réseau pour faire un réseau sécurisé » c’est complètement faux. Avec des équipements européens on peut faire de très mauvais réseaux télécoms, c’est évident. Donc il faut maîtriser les architectures, il faut des experts en termes d’architecture, de sécurité, il faut que les opérateurs télécoms gardent cette maîtrise et à ce prix-là on peut rester souverain sur ces questions-là.
À l’instant je parlais de souveraineté nationale mais de plus en plus c’est une question de souveraineté européenne qui se pose : on a les mêmes problématiques que les autres États membres de l’Union européenne, on a un droit commun, on a des valeurs communes, donc fondamentalement, typiquement sur les questions télécoms, ce sont des questions qui doivent remonter à l’échelle européenne même si on ne veut pas renoncer à notre souveraineté nationale. Là ça devient un peu technique.

Frédéric Couchet : En tout cas c’est l’importance de cette souveraineté, finalement cette souveraineté numérique que sont les conditions d’exploitation et de mise en œuvre de nos activités et libertés fondamentales dans les réseaux informatiques. C’est un sujet essentiel et j’invite les personnes à consulter le rapport de la commission du Sénat, la commission d’enquête du Sénat qui d’ailleurs encourage : il y a une recommandation à mettre en place une politique publique logiciel libre. On verra si ce sera suivi d’effets. En tout cas c’est passionnant.
J’avais une dernière question sur la partie audit, vous avez parlé tout à l’heure des audits et des systèmes privateurs. On sait qu’il y a ce qu’on appelle des accords de sécurité entre États et certains éditeurs, est-ce que ces accords vous donnent, par exemple, accès au code source de certains logiciels, sans citer forcément de noms, mais pour des audits par exemple ?

Guillaume Poupard : Oui, ça peut.

Frédéric Couchet : Ça peut ?

Guillaume Poupard : Ça peut. Quand on évalue en France des systèmes logiciels, en général on demande l’accès au code source, parce que sincèrement, évaluer la boîte ça a un intérêt très limité ou faire ça en boîte noire, ça peut se faire pour des bas niveaux de sécurité mais à haut niveau de sécurité ça ne fonctionne pas, donc on demande l’accès au code source et les accords que l’on a ce sont des accords qui visent à rassurer tout le monde : à rassurer d’une part les éditeurs pour garantir que le but ce n’est pas de voler leur propriété intellectuelle, et c’est normal, et d’autre part, nous protéger nous, quelque part, pour nous assurer qu’on a bien accès lors de l’évaluation aux bonnes informations et surtout après, ce qui est intéressant c’est toute la démarche qui va se mettre en place en termes de gestion des vulnérabilités, de correction des vulnérabilités. On veut s’assurer qu’il n’y a pas de vulnérabilités volontaires, évidemment, ou involontaires au départ, mais on veut également que tout ce qui pourrait être découvert après puisse être corrigé. C’est ça qu’il y a dans les accords. On a d’autres accords avec pas mal d’éditeurs.
Moi je suis très opportuniste, finalement, dans la relation avec les éditeurs de sécurité, soit ceux qui développent du logiciel, soit ceux qui font de la cybersécurité en général, et ils sont souvent prêts à nous donner pas mal d’informations en avant-première sur les problèmes de sécurité qui sont identifiés. Ils voient bien qu’on est une agence d’État, qu’on est des gens séreux, qu’on n’est là que pour faire du défensif, pas pour faire de l’offensif, donc au fil des années on a mis en place des accords qui nous permettent de bénéficier d’informations je dis en avant-première, parce que des fois l’idée c’est d’avoir l’info quelques jours avant pour pouvoir éviter un effet d’aubaine quand certaines vulnérabilités sont révélées ou certains patchs sont mis en ligne.

Frédéric Couchet : Un patch c’est une correction.

Guillaume Poupard : Une correction, voilà exactement. Donc que l’on soit prêt à nous assurer que ces corrections sont bien appliquées.
Ça fait en pratique beaucoup d’accords, pas uniquement avec des acteurs européens mais également avec beaucoup d’acteurs américains.

Frédéric Couchet : D’accord. On va revenir sur la partie logiciel libre, je vois que le temps file, mais c’est tout à fait passionnant. On a bien compris la doctrine, en tout cas la position de l’ANSSI par rapport au logiciel libre versus logiciel privateur, mais on a pu noter quand même depuis quelque temps maintenant, peut-être deux/trois ans, une accélération de la publication de codes sources en logiciels libres faits par l’ANSSI. Quelle est cette politique ? Pourquoi faire ça ? Comment sont choisis les logiciels qui sont mis en Libre ? Peut-être qu’on va citer deux/trois exemples, sans rentrer forcément dans les détails, pour montrer le périmètre de libération des codes. Donc la politique logiciel libre de l’ANSSI ?

Guillaume Poupard : Je disais on est 600 à l’ANSSI. Sur les 600 il doit y avoir à peu près 500 informaticiens, je ne sais pas si je dois me compter dans le lot, mais quelque part j’en fais un peu partie. 500 informaticiens ça veut dire presque 500 personnes qui développent pour des besoins internes. Chacun dans ses métiers, que ce soit au sein des laboratoires pour tester des idées ou bien les personnes en charge des opérations c’est-à-dire de l’aide, de la réponse à incident comme on dit, de l’aide aux victimes, tous ces gens-là développent leurs propres outils.
Là pour le coup, en termes d’usages internes, on est très orientés techno libre parce que c’est comme ça qu’on peut développer de manière efficace. Et c’est vrai qu’au début on a beaucoup développé en interne de manière assez fermée parce que le but pour nous ce n’était pas forcément de libérer du code, c’était de bien tester des choses et d’avoir nos propres outils, sans avoir forcément besoin de nous justifier ou d’avoir des regards extérieurs de contrôle de maturité. Ce qui fait que quand je suis arrivé il y a un peu plus de cinq ans il y avait déjà quelques tentatives de démarches ouvertes, mais à chaque fois on se posait beaucoup de questions : est-ce que ça va mettre en danger nos opérations ? Est-ce qu’on ne va pas révéler des choses à nos attaquants ? Est-ce qu’on ne va pas leur faciliter la tâche ?

Frédéric Couchet : En fait assez classiques quand on veut mettre en libre ou, en tout cas, publier du code.

Guillaume Poupard : Exactement. Chemin faisant, je passe sur les détails, aujourd’hui on est dans une situation est exactement inverse : ce que je demande à mes équipes c’est de tout mettre en open source, de tout partager.

Frédéric Couchet : Par défaut ?

Guillaume Poupard : Par défaut, sauf s’il y a une bonne raison pour ne pas le faire. Donc c’est une inversion totale du paradigme et évidemment les résultats sont très différents. En pratique, on se rend compte qu’il y a énormément d’outils pour lesquels il n’y a aucune vraie bonne raison de les garder pour nous et au contraire, le logiciel libre c’est une manière pour nous de développer de la coconstruction, de développer des communautés, d’aller chercher de la ressource à l’extérieur, de diffuser du savoir-faire qui va dans le sens d’une meilleure sécurité.
Vous me demandez des exemples, il y a pas mal d’exemples récents qui sont arrivés, qui ont abouti quelque part. Il y a une démarche de système d’exploitation sécurisé qui s’appelle CLIP OS.

Frédéric Couchet : CLIP OS.

Guillaume Poupard : Dont on a libéré une première version, mais surtout avec comme objectif d’encourager la création d’une communauté pour développer la nouvelle version, donc la version 5 de CLIP OS. On compte beaucoup sur la création de cette communauté et, pour l’instant, ça se passe plutôt bien, objectivement. Le fait d’avoir un OS basé sur des souches Linux, évidemment, un OS qui soit de confiance avec des fonctions de sécurité qui ne sont pas classiques, ça nous semble être un vrai besoin qui, aujourd’hui, n’est pas forcément couvert par des offres disponibles. On n’est pas non plus là pour faire de la concurrence. Quand il y a des bonnes offres disponibles évidemment on ne va pas se mettre en concurrence, ça n’aurait aucun sens.

Frédéric Couchet : Sur CLIP OS on va peut-être préciser une des spécificités, c’est d’avoir deux environnements de travail différents : l’un pour faire des choses à peu près banales et l’autre, qu’on appelle sécurisé ou durci, où là on veut de la sécurité. C’est un peu le principe.

Guillaume Poupard : C’est ça. Il y a deux OS en un, quelque part, avec, comme cas d’usage le plus classique, un environnement qu’on qualifie de bas qui va être connecté à Internet, donc forcément plus vulnérable, et un environnement haut qui lui ne va pas être connecté, donc va être beaucoup plus sécurisé, durci, et puis avec évidemment une maîtrise forte de ce qui se passe entre ces deux environnements pour éviter que le niveau bas contamine le niveau haut en cas d’attaque.
Il y a plein de cas d’usage, on le voit pour les administrations, mais, au-delà de ça, où on a besoin de ce genre de poste, par exemple un administrateur. On est horrifiés quand il y a des administrateurs réseau qui sont connectés sur Internet parce qu’on voit tout de suite le chemin d’attaque que ça crée pour les attaquants. Avec un tel poste ça permet aux administrateurs d’avoir accès à Internet, ce qui est évidemment un besoin qu’on ne nie pas et, d’autre part, ils peuvent faire leur travail d’administration depuis un niveau haut qui lui est protégé. C’est juste un cas d’usage.

Frédéric Couchet : D’accord. Ça c’était CLIP OS.

Guillaume Poupard : Ça c’était CLIP OS. Qu’est-ce qu’on a d’autre en soute ? Récemment on a libéré un outil qui nous permet de faire de la collecte massive de données sur des réseaux compromis. Quand nos équipes opérationnelles arrivent sur un réseau qui est attaqué, donc compromis par un attaquant, s’il y a dix poste c’est facile, s’il y en a 100 000 c’est une autre affaire. Donc ces outils permettent de faire de la récupération massive des données utiles à l’analyse rapide de ce qui s’est passé, ce sont des outils qui n’existent pas aujourd’hui à disposition, donc nous ce qu’on a développé depuis 2011 de mémoire aujourd’hui ça arrive à un niveau de maturité où on peut le partager, donc on l’a mis en open source.

Frédéric Couchet : Ça s’appelle comment ?

Guillaume Poupard : DFIR ORC.

Frédéric Couchet : ORC, O, R, C, donc.

Guillaume Poupard : Entre nous on dit « ORC », mais apparemment c’était déjà pris donc c’est DFIR ORC.

Frédéric Couchet : D’accord. Outil de recherche de compromission.

Guillaume Poupard : C’est ça, exactement, et après il y a plein de blagues derrière mais ce sont des blagues d’informaticien.
L’idée c’est bien de partager ça, y compris d’ailleurs avec des sociétés privées qui font de la réponse à incident et qu’on a envie de développer. Ça va dans l’idée que nous on ne peut pas tout faire, évidemment, donc plus on aura de prestataires capables de faire le travail avec des outils efficaces et mieux ça marchera

Frédéric Couchet : J’ai une question qui est très classique, qu’on doit vous poser quand vous parlez de ça : vous mettez en Libre, donc en accès, un outil de compromission, est-ce que qu’il ne peut pas être utilisé entre guillemets par le « camp adverse », par des méchants, pour compromettre des machines ? Je pense que cette question est assez classique.

Guillaume Poupard : Voilà. C’est typiquement le genre de question qui est posée avant de libérer des outils. Et comme le déploiement des outils n’est pas un déploiement viral, ça ne se comporte comme un malware, finalement c’est juste de l’automatisation de scripts qui vont chercher les bonnes informations quand on fait l’analyse, mes experts me disent qu’il n’y a pas de risques et je leur fais confiance.

Frédéric Couchet : Pas de risques d’un détournement d’usage en fait.

Guillaume Poupard : C’est vrai que sur certains outils, là où ce genre de questions peut se poser directement, c’est sur certains outils d’audit, on parle de pentest.

Frédéric Couchet : Pentest ?

Guillaume Poupard : De Pentest, Penetration test.

Frédéric Couchet : Penetration test. OK. Des tests de pénétration de système, d’intrusion de système.

Guillaume Poupard : On a pudiquement ce qu’on appelle des auditeurs qui vont tester la sécurité des systèmes et qui, de fait, se comportent comme des attaquants. Leurs outils pour aller tester la robustesse de la sécurité des systèmes ça ressemble étonnement à des outils d’attaque. Donc on a cette problématique classique du statut des outils d’audit qui peuvent assez facilement être transformés en outils d’attaque et inversement.
Là, par contre, on est aux limites, donc libérer ce genre d’outils-là c’est quelque chose qu’on ne s’autorise pas à faire.

Frédéric Couchet : D’accord. Il y a un exemple que je voudrais citer parce que je trouve qu’il est particulier au-delà de l’aspect technique, c’est Suricata. Vous avez donc rejoint une fondation qui s’appelle l’Open Information Security Foundation, donc là ça veut dire que l’ANSSI contribue avec d’autres personnes ?

Guillaume Poupard : Ce n’est pas l’ANSSI qui a libéré du code.

Frédéric Couchet : Ce n’est pas l’ANSSI qui a libéré du code. Suricata c’est quoi ?

Guillaume Poupard : Suricata est un projet international qui vise à développer une brique essentielle qui est une brique de détection. On sait aujourd’hui que pour protéger des réseaux il faut élever le niveau de sécurité, il faut bien les paramétrer, il faut mettre les bons outils, mais il faut également, en permanence, être capable de chercher à détecter s’il n’y a pas, malgré ça, une capacité à rentrer à l’intérieur. Et plutôt que de réinventer ça chez nous en interne, on a identifié depuis plusieurs années ces travaux libres particulièrement intéressants et aujourd’hui on développe, on contribue en termes de développement, donc on reverse du code dans ce projet, et on finance un petit peu pour les aider à survivre. Quelque part ça se fait naturellement et aujourd’hui, dans d’autres outils d’ailleurs développé par des industriels français, on retrouve ces souches-là parce que finalement c’est super bien fait, c’est évolutif, ça continue à progresser et ça permet de mutualiser les efforts sur ces outils essentiels.
Là encore on est dans une démarche où l’open source permet de mutualiser les efforts, de partager les développements de manière intelligente et sincèrement, refermer tout ça ou avoir des solutions propriétaires, pour le coup je ne connais rien qui arrive à la cheville pour ce projet-là pour faire de la détection efficace, donc c’est vraiment un très bon succès.

Frédéric Couchet : D’accord. Ça s’appelle Suricata. Évidemment on mettra les références de tous ces outils libres, soit libérés par l’ANSSI soit auxquels l’ANSSI contribue. L’ANSSI a également aussi un dépôt ANSSI sur GitHub qui est une plateforme d’hébergement de code.
Le temps file, vous en avez un petit parlé au tout début que vous travaillez avec les ministères, car vous êtes une agence qui dépend du Premier ministre. Rapidement, quels sont vos liens avec les ministères et quel est votre lien avec ce qui s’appelle aujourd’hui la DINUM, la Direction interministérielle du numérique ? Quels sont vos liens de travail avec les ministères et la DINUM ?

Guillaume Poupard : On a deux types de liens différents. Il y a d’abord le lien qu’on peut avoir avec l’ensemble des administrations dans le but de les protéger. On sait que nos administrations, nos ministères sont attaqués régulièrement. Le but c’est d’élever le niveau de sécurité de leurs systèmes au bon niveau de manière à limiter les attaques et, en parallèle, on déploie tout un système de détection d’attaques sur l’ensemble du périmètre ministériel qui nous permet de voir ce qui pourrait passer malgré les protections. Ça c’est un premier travail.
L’autre travail c’est d’utiliser les compétences de chaque ministère pour développer une sécurité numérique commune. On travaille évidemment avec le ministre des Armées, on travaille avec le ministère de l’Intérieur donc le ministère sécuritaire, on travaille également avec le quai d’Orsay – il y a une diplomatie cyber qui est aujourd’hui très développée, qui se développe de plus en plus ; on travaille avec Bercy parce que la sécurité des entreprises est évidemment un sujet pour eux ; on travaille avec la Justice pour traiter de plus en plus de cas et développer une pénalisation des films cyber. En fait tous les ministères, petit à petit, rentrent dans notre périmètre quelque part, dans notre périmètre de coopération. Le dernier en date étant l’Éducation nationale.

Frédéric Couchet : Justement c’est la question que je voulais vous poser. Avec le ministère de l’Éducation nationale est-ce que vous avez non pas un partenariat mais peut-être des actions ?

Guillaume Poupard : Depuis un an on travaille étroitement avec eux. Le but est très concret, c’est qu’à la rentrée prochaine, que ce soit un peu au collège mais surtout au lycée, il y ait assez systématiquement un enseignement en sécurité numérique, qui n’est pas vraiment en place aujourd’hui, qui est prévu dans les programmes scolaires mais ça ne fait pas tout, donc on a un travail aujourd’hui avec tous ceux qui développent les supports, la matière, pour permettre aux enseignants d’enseigner ces questions de sécurité numérique dans les créneaux qui sont prévus au niveau des programmes scolaires. Ça c’est un très gros travail, c’est récent. Je suis très content de ce qui est en train de se passer, je croise vraiment les doigts pour qu’à la rentrée prochaine nos enfants soient enfin un peu formés à ces questions de sécurité numérique. Juste pour répondre sur la DINUM. La DINUM, dans le privé on parlerait de DSI groupe, c’est un peu pompeux, en gros ce sont les responsables du développement numérique de l’État. Nous on est responsables de la sécurité numérique de l’État. Les deux doivent travailler étroitement ensemble, c’est une évidence, parce que du numérique non sécurisé c’est voué à la catastrophe et de la sécurité abstraite comme ça, indépendamment de tout projet, ça ne sert à rien, on se fait juste plaisir. Donc on a vocation à travailler ensemble de plus en plus étroitement.

Frédéric Couchet : D’accord. Je relaye une question que je vois sur le salon, qui revient au tout début sur la partie sensibilisation. La question : est-ce que vous vous appuyez donc sur les groupes d’utilisateurs et d’utilisatrices de logiciels libres pour promouvoir la sensibilisation ou est-ce que c’est prévu un jour ?

Guillaume Poupard : Pas assez et ça passera très probablement par cybermalveillance.gouv.fr. On est très preneur de propositions. Tout reste à construire. Toutes les bonnes volontés sont les bienvenues, sincèrement. Si moi je peux aider à mettre en contact, ce sera avec grand plaisir.

Frédéric Couchet : Très bien. La mise en contact va être facilitée en plus. Ma dernière question, les annonces à faire, et je vous laisserai si vous en avez, annoncer des évènements à venir. Vous avez la présence au POSS à Paris la semaine prochaine, si je me souviens bien vous avez à la fois des conférences et un stand ANSSI. C’est donc les 10 et 11 décembre 2019 à Aubervilliers, c’est opensourcesummit.paris le site web, donc ce sera l’occasion de vous rencontrer. Est-ce qu’il y a d’autres évènements, est-ce que vous avez d’autres annonces à faire ou des appels à lancer ?

Guillaume Poupard : Je vais en citer un seul. On a plein d’idées, c’est ça qui est sympa à l’ANSSI, c’est que ce ne sont pas les idées qui manquent, en tout cas pour moi c’est sympa en interne. On a un nouveau projet qui est en cours de construction, c’est la création d’un Cyber Campus, je suis désolé pour l’anglicisme mais c’est comme ça qu’on l’appelle entre nous. On voit qu’aujourd’hui il manque un lieu où les différentes communautés de recherche, industrielles, étatiques, pourraient construire ensemble de la sécurité numérique. Il y a un écosystème qui existe, on s’entend bien, même très bien. L’autre jour je prenais l’image du village d’Astérix 4.0, c’est sympa le village d’Astérix, ce sont avant tout des gens qui font front ensemble contre des envahisseurs extérieurs. C’est un peu ça qui se passe dans la cyber. Les acteurs se connaissent, s’apprécient, il manque un lieu aujourd’hui. Donc sous l’impulsion d’ailleurs des plus hautes autorités on est en tain de construire – ce n’est pas une initiative de l’ANSSI, c’est vraiment une initiative collective – un Campus Cyber qui devrait se matérialiser par un lieu où on aurait enfin un point d’ancrage de ces questions de sécurité numérique en France.
Donc ça c’est un très gros projet et il faut impérativement que ce projet soit le plus ouvert possible parce que si c’est uniquement un projet d’administration ce n’est pas intéressant, si ce n’est que des grands industriels ce n’est pas intéressant, si ce n’est que startups ça existe déjà par ailleurs. C’est vraiment un petit peu tout ça qu’il faut être capable de mettre ensemble et je suis persuadé que la somme de toutes ces composantes sera bien supérieure, le tout sera bien supérieur à la somme des composantes, pour dire ça de manière un peu pompeuse. Ça c’est quelque chose qui va être à suivre à mon avis.

Frédéric Couchet : D’accord. On aurait pu parler de plein de choses et je pense qu’on fera une seconde parce qu’il y a plein à dire, on aurait pu parler aussi de Health Data Hub, la plateforme qui va être annoncée pour développer l’intelligence artificielle dans les données de santé. Je vais en profiter pour annoncer qu’on a une émission consacrée à ce sujet-là normalement le 17 décembre 2019, donc on en parlera à ce moment-là et d’autres sujets.
Guillaume Poupard en tout cas je vous remercie. Je ne sais pas si vous voulez ajouter quelque chose ?

Guillaume Poupard : Non, merci à vous. Je suis ravi d’être là. Et à disposition pour continuer.

Frédéric Couchet : Très bien, donc je lance l’invitation pour une seconde émission en 2020.

Guillaume Poupard : Avec plaisir.

Frédéric Couchet : Nous étions avec Guillaume Poupard, directeur général de l’ANSSI, l’Agence nationale de la sécurité des systèmes d’information.
On va mettre toutes les références qu’on a citées sur le site de l’April, april.org et causecommune.fm. Je vous souhaite une belle fin de journée Guillaume.

Guillaume Poupard : Merci beaucoup.

Frédéric Couchet : On va faire une pause musicale.

[Virgule musicale]

Frédéric Couchet : Nous allons écouter à nouveau Jahzzar, Intruder par Jahzzar. On se retrouve juste après. Belle journée à l’écoute de Cause Commune.

Pause musicale : Intruder par Jahzzar.

Frédéric Couchet : Nous avons écouté Intruder par Jahzzar, disponible sous licence libre Creative Commons Partage dans les mêmes conditions.. Vous retrouverez les références sur le site de l’April, april.org, et sur le site de Cause Commune, causecommune.fm.

Nous allons passer au sujet suivant.

[Virgule musicale]

On aurait dû passer au sujet suivant mais Patrick, en régie, me signale qu’on attend la personne pour la chronique. Patrick est-ce qu’elle est disponible ou on passe à autre chose ? Je pense qu’on doit avoir Jean-Christophe au téléphone. Il arrive. J’entends un bruit.

Jean-Christophe Becquet : Allô. Bonjour.

Chronique « Pépites libres » de Jean-Christophe Becquet, président de l'April, sur le thème « Les polices libres n'ont pas mauvais caractère »

Frédéric Couchet : Bonjour Jean-Christophe.