L'examen de la sécurité d'un produit porte non seulement sur la sécurité du produit initial, mais aussi sur celle de son environnement de développement avant même sa fabrication, et sur celle de tout son cycle de vie. Il est évidemment hors de question de certifier un produit qui serait initialement bon et qui serait ensuite mis à jour de manière aberrante pour devenir un mauvais produit. Le risque est limité s'agissant d'un compteur mais le système d'un gros opérateur de télécommunications, par exemple, est mis à jour quotidiennement. C'est ce qui explique pourquoi il est si difficile d'en préserver la sécurité dans le temps.
S'agissant du développement de systèmes d'État, Madame Trisse, des projets intéressants sont déjà en cours. Nous travaillons notamment avec la direction interministérielle du numérique et du système d'information et de communication de l'État (DINSIC), une sorte de direction des systèmes d'information de l'État qui dépend elle aussi du Premier ministre. Nous basculons par exemple vers un réseau interministériel de l'État destiné à innerver tous les ministères. Nous sommes de fervents partisans de ce genre d'actions, qui renforcent considérablement l'efficacité de la détection.
Plus généralement, vous soulevez la question des centres de stockage des données. Pendant assez longtemps, certains industriels étrangers non européens nous ont expliqué que la construction de nos propres centres de données n'avait aucun sens – et d'aucuns les ont crus. Ce n'est pas acceptable. Selon moi, il faut à l'évidence faire revenir les données personnelles en Europe, car on sait bien que les lois étrangères, américaines notamment, n'assurent pas la sécurité de données européennes stockées aux États-Unis ou ailleurs. Se pose ensuite la question de l'application extraterritoriale du droit américain : des données stockées en Irlande sur des serveurs appartenant à des industriels américains, par exemple, ne sont pas non plus totalement en sécurité. Il peut donc être envisagé de développer des espaces de stockage à distance – en cloud – et des centres de stockage pour des applications spécifiques. Une fois encore, je pense que pour de nombreuses applications, le périmètre adapté est européen ; dans certains cas, ayons même le courage de dire que les données doivent rester en France.
C'est le cas des informations classifiées de défense. Cela peut paraître une évidence, mais il faut s'assurer que les différents textes que l'on négocie le prévoient bien. Il peut s'agir d'une exception au principe de la libre circulation des données, free flow of data. Nous sommes très favorables à la libre circulation au niveau européen, mais il faut prendre garde aux risques qu'elle fait peser sur la sécurité au-delà de l'Union.
Je ne suis pas certain qu'il faille promouvoir l'idée d'un Patriot Act à la française. Il s'agit plutôt de constituer une plaque européenne, cohérente en termes de valeurs et de droits, et suffisamment grande pour que l'on ne soit pas tenté de laisser les centres de données de l'autre côté de l'Atlantique, ce qui serait un non-sens technologique.
Nous entretenons des liens très étroits avec le COMCYBER. Les structures, et les hommes, s'entendent très bien depuis fort longtemps, ce qui est plutôt rassurant !
Le schéma est simple : il y a une seule autorité nationale, l'ANSSI. Mais, ainsi que je l'ai dit à plusieurs reprises, les moyens de cette autorité nationale unique sont limités. Par conséquent, je ne veux surtout pas les gaspiller là où existent déjà des compétences et des moyens. C'est bien le cas du ministère des Armées qui dispose de moyens et de compétences réelles, et a développé notamment des chaînes internes pour la sécurité informatique. Je préfère que les moyens de l'ANSSI soient concentrés vers d'autres ministères, moins armés – voire pas du tout – ou d'autres acteurs, notamment les OIV.
En pratique, l'ANSSI délègue certaines de ses activités, notamment d'audit et de détection, au COMCYBER – pour commandement de cyberdéfense. Le centre névralgique de la lutte informatique défensive, le CALID (Centre d'analyse de lutte informatique), tête de pont du COMCYBER, est logé dans la tour Mercure, au même étage que le centre opérationnel de l'ANSSI. Ces personnels ne peuvent être plus proches, à l'image d'un centre de contrôle aérien, où les contrôleurs civils contrôlent l'espace civil et les contrôleurs militaires, l'espace militaire, mais tournent leur siège et se parlent lorsqu'un avion passe d'un espace à l'autre. C'est, depuis le départ, le modèle un peu naïf que je promeus, avec le ministère des armées. Chacun a son domaine. Le COMCYBER traite de la question des réseaux nationaux, des réseaux en opérations extérieures (OPEX), des systèmes d'armes, ce qui exige beaucoup de ressources et de compétences, mais le jour où il y a un problème, nous sommes capables de reporter notre expertise et notre énergie. L'ANSSI vient en support si des réseaux dépendant du ministère des Armées sont attaqués. Les sondes utilisées par le COMCYBER, opérées par le CALID, ont été développées par l'ANSSI. Ce n'est pas à proprement parler de l'intégration, mais un niveau de coopération très élevé. Nous comptons, avec Olivier Bonnet de Paillerets, développer encore cette coopération pour éviter des redondances inefficaces et surtout des trous dans la raquette.
Au niveau européen, la directive NIS, prévoit que les États s'efforcent d'assurer un niveau de sécurité élevé, en fonction de leurs compétences et de leurs moyens, et que ces capacités fonctionnent en réseau. Nous ne croyons pas à un modèle européen, ou otanien, où des grandes puissances apporteraient une protection cyber aux autres États, d'abord parce qu'il existe des questions de souveraineté nationale, ensuite parce que certains domaines ne relèvent pas du militaire. Ainsi, nous nous sommes toujours opposés à ce que l'OTAN puisse s'occuper de la sécurité bancaire. La tentation existe, mais ce n'est pas le métier de l'OTAN Et il y a une ligne rouge à ne pas franchir. En revanche, chaque pays doit développer sa sécurité bancaire, les opérateurs bancaires assurer leur propre sécurité et ainsi de suite.
Tout cela doit fonctionner en réseau, et c'est un domaine où nous devons encore faire des progrès. Trop souvent, l'information est connue, mais elle n'est pas partagée, parce que c'est compliqué. Nous y mettons beaucoup d'énergie : les centres opérationnels qui gèrent ces questions de cybersécurité, les CERT – Computer Emergency Response Team – ou CSIRT – Computer Security Incident Response Team – ont vocation à travailler en réseau. En France, il s'agit du Centre opérationnel de la sécurité des systèmes d'information, le COSSI, et du CALID en matière militaire. Il faut y ajouter le centre technique de la capacité OTAN de réaction aux incidents informatiques – NCIRC – et le CERT-EU, au niveau des institutions européennes.
Monsieur Michel-Kleisbauer, il serait totalement contre-productif de chercher à bloquer l'exportation de solutions défensives. Mais nous savons aussi, et les industriels nous le disent, que ces pays cherchent, certes à se protéger, mais surtout à attaquer. C'est là où le contrôle-export intervient : il s'agit de faire en sorte que les industriels vendent des systèmes défensifs, mais n'aident pas à développer les capacités offensives. Pour ma part, je suis très opposé à toute forme d'export qui pourrait faciliter la prolifération de technologies offensives.
Objectivement, la tâche est très difficile, dans un domaine qui relève de l'intangible, du savoir-faire. Certaines technologies défensives peuvent facilement être transformées. Je l'ai dit tout à l'heure, les auditeurs ont des compétences d'attaquant. Comment s'assurer que les auditeurs que l'on forme à la protection des systèmes d'information, dans un pays un peu louche, ne sont pas les embryons d'une capacité offensive ? C'est une question que nous discutons constamment et qui suppose une relation de confiance avec les industriels. Il est nécessaire aussi de faire évoluer le dispositif de contrôle à l'exportation, porté par le service des biens à double usage et par la commission interministérielle pour l'étude des exportations de matériel de guerre – CIEEMG. Ce qui fonctionne pour des biens matériels ne se transpose pas aisément dans un domaine aussi intangible.