Intervention de Guillaume Poupard

La coopération est un sujet vaste et complexe. Nous coopérons de façon bilatérale dans les domaines les plus sensibles. Nous coopérons très bien avec deux grands acteurs. Nous sommes très proches de l'Allemagne en termes d'organisation et de manière de penser. La coopération s'exerce dans pratiquement tous les domaines avec ce pays, et notre homologue, le Bundesamt für Sicherheit in der Informationstechnik (BSI), qui se trouve au sein du ministère de l'Intérieur, bien que le travail relève de l'interministériel, envie le positionnement de l'ANSSI. L'autre grand partenaire est le Royaume-Uni, avec qui nous pratiquons une coopération opérationnelle de très haut niveau : c'est probablement notre premier partenaire opérationnel.

Pour être très direct, on ne peut pas faire abstraction de l'épisode Snowden, on ne peut pas faire abstraction de tout ce dont on se doutait et dont nous avons la preuve aujourd'hui : les services de renseignement font du renseignement, y compris sur des cibles qui peuvent être françaises, y compris étatiques. La coopération est donc est très fine : toute information que nous donnons ou que nous recevons est pesée de manière extrêmement délicate.

Nous travaillons également avec les Américains, même si cela est plus compliqué à cause d'un problème de taille bien connu.

À l'échelon européen, nous développons un réseau d'agences homologues de l'ANSSI, c'est à cela que la Revue stratégique de cyberdéfense fait allusion. Nous avons besoin d'un réseau à vingt-huit ou à vingt-sept pour échanger beaucoup plus que nous le faisons aujourd'hui, notamment sur le plan opérationnel.

Au-delà, nous avons des partenaires historiques privilégiés. Nous nous entendons très bien avec le Maroc, avec qui nous nous entraînons : ce pays est très sensible à notre manière de faire, notamment dans le domaine du règlement. Nous travaillons beaucoup avec Singapour, qui est une porte d'entrée classiquement plus facile vers l'Asie, et qui connaît également des problématiques qui nous intéressent particulièrement. En France on parle de Smart Cities (villes intelligentes), les Singapouriens de Smart Nation parce que la ville se confond avec la nation. Nous travaillons beaucoup avec eux à la protection des opérateurs locaux d'importance vitale et des infrastructures critiques.

Nous avons donc toute une galaxie de coopérations bilatérales et multilatérales, et toute une diplomatie – je ne parle pas encore de coopération – se met en place, y compris avec des pays comme la Chine. Nous avons besoin de parler cyber avec eux, mais nous le faisons via le Quai d'Orsay – chacun son métier –, notamment avec l'ambassadeur pour le numérique David Martinon. Nous parlerons dorénavant de plus en plus avec des partenaires un peu plus éloignés d'un point de vue idéologique.

Quant aux capteurs des opérateurs, le fait que la question soit traitée en un seul article peut créer un peu de confusion, mais il faut faire la distinction.

D'une part, les opérateurs vont développer leurs capteurs. Et avant même de le faire, ils vont simplement exploiter toutes les informations dont ils disposent déjà : pour gérer leurs réseaux d'opérateurs de communications électroniques, ils ont énormément d'informations. Ils s'interdisent d'y chercher des traces d'attaque, mais ils ont déjà ces informations. Il s'agit vraiment de big data et il faudra demain recourir à l'intelligence artificielle pour fouiller dans ces données tant elles sont hétérogènes et nombreuses.

D'autre part, les capteurs de l'ANSSI, objet du II de cet article 19, seront mis au plus près des machines identifiées. Contrairement à ce qu'ont dit certains médias, il est hors de question que l'ANSSI aille placer des capteurs dans les coeurs de réseau des opérateurs. Je n'ai aucune envie de le faire, ce serait très compliqué et très risqué, même en termes de responsabilité. Il est important que les opérateurs restent maîtres de leur coeur de réseau. Ce sont des systèmes d'une très grande complexité et je n'imagine pas des experts, même très bons, y mettre les mains. Je n'ai aucune envie d'être considéré responsable de défauts ou de problèmes qui seraient constatés.

Il s'agit donc de deux réalités très différentes, qui ne se confondent pas, mais qui peuvent se répondre. Si l'opérateur soupçonne ou détecte une attaque, il pourra identifier une adresse IP sur laquelle l'ANSSI ira poser une sonde – mais ce sera en général chez un hébergeur pas chez un opérateur de communications électroniques.

Quant aux acteurs privés, en effet, il y a des acteurs importants, les opérateurs d'importance vitale et, demain, à la suite des évolutions réglementaires, les opérateurs de services essentiels. Nous leur imposons, en quelque sorte, la cybersécurité. Nous leur imposons la coopération, nous leur fixons des règles, dont l'obligation de faire de la détection, nous leur imposons de nous dire quand ils sont attaqués. La France a été le premier pays au monde à développer une telle approche réglementaire, et nous pouvons en être fiers : ce n'était pas gagné, mais cela a fait tache d'huile. Toute l'Europe retient dorénavant une telle approche et d'autres pays, même les États-Unis, commencent à considérer que la question est trop grave pour que l'on s'en tienne au conseil.

Cette approche réglementaire n'a cependant de sens qu'à l'égard d'acteurs organisés qui disposent de moyens importants. Ce n'est pas pertinent avec des petites et moyennes entreprises (PME), des collectivités locales ou des particuliers. Je n'imagine pas que l'on impose demain la cybersécurité aux PME ; cela n'aurait aucun sens. Il faut aider les PME. Nous ne pouvons demander au patron de PME qui s'occupe de l'informatique de son entreprise lorsqu'il a une heure le dimanche soir de devenir expert en cybersécurité. En revanche, il est impératif que les solutions auxquelles il recourt soient nativement sécurisées. Le cloud computing est une source de menaces supplémentaires, mais si une PME ou une collectivité locale opte pour une solution sécurisée afin de se « débarrasser » de l'informatique, qui représente une charge pour elle car ce n'est pas son métier, elle paiera peut-être un peu plus pour un service sécurisé, mais il ne lui restera qu'à appliquer des règles élémentaires : faire attention à ses clés USB, à ses smartphones, etc. Nous en revenons donc à la sensibilisation, et à des comportements à la portée des personnes : ne pas faire n'importe quoi avec ses mots de passe, c'est simple. En revanche, leur demander de comprendre ce qu'est une attaque informatique et de la détecter quand elle arrive, n'a pas de sens. Nous travaillons beaucoup au développement d'offres sécurisées – il reste fort à faire ; nous soutenons le développement de certaines, notamment via le programme d'investissements d'avenir, mobilisé au moins à cinq reprises pour cela.

Nous travaillons avec certains industriels importants, qui sont conscients de la nécessité de sécuriser leur écosystème. Les attaquants attaquent où il est facile de le faire. Celui qui ne sait pas attaquer un opérateur d'importance vitale s'en prendra à ses sous-traitants – je ne prétends pas que les attaquants ne savent pas attaquer les opérateurs d'importance vitale, mais le jour où ils ne pourront plus du tout le faire, ils s'en prendront à toute la myriade de ses sous-traitants. Un industriel comme Airbus l'a très bien compris, qui est en train de promouvoir le développement de solutions sécurisées au profit de son écosystème. C'est une excellente démarche ; nous les y encourageons et les y aidons.

Quant à la responsabilité des opérateurs, je vous livre l'historique récent. Il y a un an les box de Deutsche Telekom ont été la cible d'une assez grave attaque. Les parlementaires allemands, qui l'ont convoqué, ont interrogé à juste titre le patron de Deutsche Telekom : comment était-ce possible, et qu'avait-il fait pour s'en prémunir ? Simplifions à peine : il a répondu qu'il n'avait rien fait car il n'en avait pas le droit. Le Parlement lui en a donc donné le droit, et la loi allemande, dont nous nous sommes inspirés, a un an d'avance sur nous. Elle n'impose pas aux opérateurs de faire de la détection – cela n'aurait pas de sens aujourd'hui – mais elle le leur permet. L'idée est d'exercer ainsi une sorte de pression pour que les opérateurs fassent ce travail de détection et pour que les clients eux-mêmes demandent aux opérateurs de le faire. Ce raisonnement m'a paru particulièrement malin, d'autant que cette démarche utile et habile permet d'éviter certains écueils, qui tiennent par exemple à la neutralité du net.

Évidemment, nous avons parlé de cela aux opérateurs : qu'en était-il de la faisabilité technique et de leur volonté ? Ils sont prudents, car cela coûtera un peu d'argent et fera peser sur eux, de fait, une forme de responsabilité. Ils ont cependant bien compris que le travail d'un opérateur de communications électroniques ne pouvait plus être simplement de veiller à ce qu'une attaque aille bien de l'attaquant à la cible – je caricature à peine. Ils ont envie de faire plus de sécurité ; certains ont au moins l'intuition du fait que l'opérateur du futur fera de la distribution sécurisée de données. Orange, dont l'activité de cyberdéfense est importante, l'a d'ailleurs clairement dit : à l'avenir, il s'agira en somme de distinguer entre ceux qui distribuent de l'eau potable et ceux qui distribuent de l'eau non potable. Les opérateurs devront fournir de l'eau potable à leurs clients.