Intervention de Guillaume Poupard

Réunion du jeudi 19 avril 2018 à 10h45
Commission d'enquête sur la sûreté et la sécurité des installations nucléaires

Guillaume Poupard, directeur général de l'Agence nationale de sécurité des systèmes informatiques (ANSSI) :

Je ne dispose pas d'informations particulières. J'ai vu ce qui circulait dans la presse. Je suis incapable d'infirmer ou de confirmer les propos entendus.

Les plans, qu'ils soient physiques ou de réseaux informatiques, sont une difficulté. Nous avons observé en France, pour des secteurs sensibles autres que les centrales, que des plans circulaient sur le dark net, voire sur internet, suite à des erreurs commises par certains. Par exemple, dans le cadre d'appel d'offres en génie civil, en réseau informatique ou en sécurité, des acteurs annexent le plan au cahier des clauses techniques particulières pour que les entreprises qui répondent à l'appel d'offres dimensionnent leur devis. On est parfois confrontés à une certaine naïveté de la part de certains acteurs ; dans d'autres cas, on souffre d'un manque de responsabilités de sous-traitants qui disposent des plans. Ils ne comprennent pas que les documents sont sensibles et les mettent en ligne sur leur serveur. Des erreurs se produisent donc, nous commençons à en faire la chasse, notamment en formant des agents qui préparent les marchés.

J'ai à l'esprit le cas étonnant d'une présentation qui avait été faite par un dirigeant de société à l'occasion d'une visite scolaire. Pour illustrer le fait qu'il existait un réseau informatique dans son entreprise, il avait ajouté à sa présentation le plan informatique exact, avec toutes les adresses IP, de son entreprise. On trouve parfois sur internet des informations qui font bondir et qui, de fait, ne sont pas classifiées alors qu'elles le mériteraient. Par le biais de marchés, de rapports avec les sous-traitants, des informations sont rendues publiques.

Je n'ai pas l'exemple de plans de centrales nucléaires françaises qui circuleraient sur le net, les donneurs d'ordre sont sensibilisés ; cela n'en reste pas moins un sujet de préoccupation. Il faut qu'un système soit bien pensé de bout en bout et éviter que l'information sensible fuite par inadvertance, méconnaissance ou pour toute autre raison, mais dont les conséquences peuvent être graves. Des plans physiques ou informatiques ne font qu'aider l'attaquant.

Les travaux que nous avons conduits avec EDF reposent sur des hypothèses extrêmement fortes. Comme nous le disons, nous n'agissons pas sur la sécurité par l'obscurité ; nous partons du principe que l'attaquant dispose de la connaissance des réseaux et que, malgré cet avantage, il ne doit pas être en mesure d'attaquer. Pour autant, ce n'est pas une raison pour que ces plans « fuitent. »

Aucun commentaire n'a encore été formulé sur cette intervention.

Cette législature étant désormais achevée, les commentaires sont désactivés.
Vous pouvez commenter les travaux des nouveaux députés sur le NosDéputés.fr de la législature en cours.