Intervention de Guillaume Poupard

Réunion du jeudi 24 janvier 2019 à 9h30
Office parlementaire d'évaluation des choix scientifiques et technologiques

Guillaume Poupard, directeur général de l'Agence nationale de la sécurité des systèmes d'information (ANSSI) :

S'agissant du cloisonnement, dans les cas extrêmes, on impose bien sûr des réseaux qui ne sont pas connectés à l'internet, qui sont cloisonnés, qui sont fermés, dont l'accès est strictement contrôlé. Mais ce qu'il faut bien voir, c'est que ça ne peut être réservé qu'à des cas extrêmement limités. Tout l'intérêt d'un système d'information moderne, et ça fait un certain temps que ça dure, c'est justement d'être capable de fonctionner en interconnexion et en échange avec l'extérieur. Aujourd'hui, je ne connais plus beaucoup de systèmes d'information qui fonctionnent sans avoir une interface assez forte avec l'extérieur. Deuxièmement, parfois, on a l'impression de faire des réseaux cloisonnés, des réseaux fermés, mais en fait ce n'est pas cloisonné si vous passez votre temps à entrer et sortir avec des clés USB. On peut donc avoir un faux sentiment de sécurité. Nous avons observé de manière courante que les attaquants savent passer par des canaux qui ne sont pas des canaux de connexion directe. Cela prend un peu plus de temps, cela induit de la latence, mais en pratique, cela marche tout aussi bien. Je cite un exemple qui est public, c'est celui d'un logiciel malveillant (malware), d'un virus qu'on a appelé Stuxnet, qui a manifestement ciblé des sites nucléaires iraniens. Ce virus a mis à mal le programme des centrifugeuses iraniennes, qui était pourtant complètement déconnecté. Il a fait cela pendant trois ans, en passant par des clés USB. L'isolement (air gap), la coupure, avaient été franchis par le fait qu'il y avait des échanges. Je m'en méfie beaucoup, parce que, pour la plupart des partenaires avec qui nous travaillons, il est extrêmement compliqué d'expliquer qu'il faut fermer leur réseau, car cela va complètement à l'encontre de leurs besoins. Il faut tenir compte de cet aspect fonctionnel. Et puis, d'un point de vue technologique, on peut parfois résister, mais l'informatique en nuage (cloud computing) consiste précisément à supprimer les frontières.

Toute la difficulté de notre métier aujourd'hui est de savoir comment faire pour accompagner cette évolution technologique. Quand on explique aux gens que l'informatique est dangereuse, et qu'ils pensent qu'on veut les ramener au Moyen-Âge, évidemment ils ne nous entendent pas, c'est tout à fait naturel. L'idée est de voir comment on peut aller ensemble vers un usage raisonné de ces nouvelles technologies, comment, parfois, il faut accepter de ne pas aller trop loin dans cette ouverture et dans ce partage. C'est un équilibre. Comme je le disais un peu tout à l'heure, si on l'impose aux gens sans leur expliquer, ça ne marche pas, il faut vraiment que nous soyons capables de définir des solutions ensemble.

Aucun commentaire n'a encore été formulé sur cette intervention.

Cette législature étant désormais achevée, les commentaires sont désactivés.
Vous pouvez commenter les travaux des nouveaux députés sur le NosDéputés.fr de la législature en cours.