Intervention de Guillaume Poupard

Réunion du jeudi 19 avril 2018 à 10h45
Commission d'enquête sur la sûreté et la sécurité des installations nucléaires

Guillaume Poupard, directeur général de l'Agence nationale de sécurité des systèmes informatiques (ANSSI) :

C'est ce à quoi nous nous attachons en priorité. J'espère ne contredire personne – ou tant pis si c'est le cas ! –, mais les réseaux étanches, au sens de réseaux informatiques qui n'auraient aucune communication à aucun moment avec l'extérieur, quelle que soit la définition que l'on retient du terme « extérieur », n'existent pas. Les réseaux totalement autistes, sauf cas très exceptionnels, n'existent pas. Dans tous les secteurs, le propre d'un réseau informatique est d'être en mesure de faire du pilotage, de remonter et de recevoir certaines données. Même s'il ne s'agit pas de fonctionnement courant et quotidien du réseau, quand des mises à jour d'équipements, de logiciels, une connexion au réseau se réalisent, l'étanchéité n'est pas parfaite. Y compris sur le plan de la conception, on a renoncé à cette idée, faite pour se rassurer, de systèmes totalement autonomes et fermés vis-à-vis de connexions informatiques, d'internet ou de clés USB. Parmi les nombreux systèmes que nous avons étudiés, les plus anciens n'avaient pas de port USB, mais ils avaient des lecteurs de disquettes. Ce sont des portes d'entrée et de sortie. La notion d'étanchéité est assez conceptuelle ; en tout cas, dans la réalité, l'étanchéité n'est jamais parfaite. C'est évidemment aux points de vulnérabilité que nous nous attachons.

Ce que je puis dire de la conception des centrales – et c'est ce que me disent mes experts –, deux points restent totalement séparés : le système de commande de contrôle et les mécanismes de sûreté. Les systèmes de commande de contrôle sont les systèmes numériques qui permettent de commander le fonctionnement de la centrale. L'on a d'un côté les systèmes qui font fonctionner la centrale, de l'autre, les mécanismes de sûreté qui, s'ils détectent un fonctionnement anormal dans l'activité de la centrale, enclenchent des processus de sécurité. Dans leur conception même, ces deux fonctions, dans les centrales, sont séparées. C'est extrêmement rassurant.

En cas d'accès au système de commande de contrôle, des données pourraient être prélevées qui remonteraient et qui, probablement, sortiraient des systèmes. De telles voies existent. Au cours des audits, nous nous attachons très précisément à la manière dont on peut entrer ou sortir d'un système depuis internet. Ce sont les menaces les plus graves, mais il ne faut pas oublier qu'une personne à l'intérieur de la centrale pourrait également intervenir. Je connais peu d'endroits où l'on puisse s'assurer que personne ne trahira jamais, volontairement ou non. Ce peut être un ingénieur comme du personnel de ménage. On peut tout imaginer et il convient d'anticiper.

Dans le cadre des audits, nous prenons en compte les scénarios où une personne ayant accès à une machine branchera une clé USB sans même savoir ce qu'elle fait. Il est possible qu'on lui ait demandé de connecter telle clé sur telle machine, sans rien faire d'autre. Le scénario est anticipé et des mécanismes de protection mis en place, que nous sommes amenés à expertiser et que nous préconisons de durcir. Un gros travail a été entrepris par EDF pour que ces liens ne soient pas de la connexion informatique. Ce sont des systèmes de diodes, par exemple, pour s'assurer que les données ne peuvent aller que dans un sens. On parle aussi de découplage protocolaire, de systèmes conçus sur mesure. Ce n'est même plus de l'informatique, mais de l'électronique, seule passe l'information qui doit passer. Un virus, par exemple, ne peut passer par ce biais.

Lorsque les clés USB ou de telles connexions sont nécessaires, nous mettons en place des batteries de mesures qui n'autorisent que les seules clés identifiées. Nous utilisons des mécanismes cryptographiques pour éviter qu'une clé venant de l'extérieur puisse être branchée et pour la rendre inactive. Dans certains cas, les ports USB ont été retirés pour supprimer toute connexion physique. Ces éléments sont de nature à rassurer. Une fois encore, je ne peux assurer qu'il n'y a aucune entréesortie, mais ces entréessorties sont les points les plus étudiés dans le cadre des audits, voire dès la conception des systèmes car ce sont les points de fragilité.

S'agissant des points plus aisés d'accès, tels que les réseaux sans fil, wifi entre autres, nous y portons une attention particulière. Pour un attaquant, l'accès est facilité. Mais l'hypothèse d'un attaquant qui pourrait accéder à des prises physiques sans passer par des réseaux sans fil est également prise en compte, a fortiori dans le cas de réseaux sans fil. Ces points font l'objet de toute notre vigilance. Si cela était mal fait, nous serions confrontés à des vulnérabilités béantes mais tel n'est pas le cas à l'heure actuelle, car nous avons porté tous nos efforts sur ce point.

Aucun commentaire n'a encore été formulé sur cette intervention.

Cette législature étant désormais achevée, les commentaires sont désactivés.
Vous pouvez commenter les travaux des nouveaux députés sur le NosDéputés.fr de la législature en cours.