Intervention de Guillaume Poupard

Réunion du jeudi 19 avril 2018 à 10h45
Commission d'enquête sur la sûreté et la sécurité des installations nucléaires

Guillaume Poupard, directeur général de l'Agence nationale de sécurité des systèmes informatiques (ANSSI) :

L'ANSSI comporte une sous-direction d'environ 160 personnes, incluant des laboratoires de recherche qui, pour la moitié de leur temps, font de la recherche académique. Ce sont des laboratoires très ouverts vers l'extérieur. L'autre moitié du temps, ils entreprennent des recherches secrètes et très classifiées car on se trouve sur des cas d'attaques. Le rôle des laboratoires est d'être dans l'anticipation et dans la maîtrise des techniques de sécurité numérique. Il faut distinguer les technologies de leurs usages.

Nous n'allons pas nous mettre à courir derrière toutes les applications numériques, cela n'aurait aucun sens. En revanche, il existe toujours des invariants et notre mission consiste à anticiper les évolutions des usages à quatre ou cinq ans. Parmi les grandes évolutions passées, nous avons connu le cloud computing, le fait que l'informatique soit massivement sous-traitée et se retrouve dans des lieux très difficiles à identifier.

Désormais, la question de l'internet des objets ou des objets connectés transformera les champs économiques et de la vie privée. Tout se connecte et tout devient intelligent, c'est-à-dire doté de capacité de calcul et de communication. Face à de telles évolutions, l'idée consiste à mettre en place des approches et des règles pour sécuriser ces systèmes qui font évoluer les écosystèmes. Notamment dans l'industrie moderne, on trouve un ordinateur au cm2 ; tous les ordinateurs sont connectés sans fil. Quand deux automates doivent être connectés, plutôt que de tirer un câble de 10 centimètres, on les fait communiquer par radio. Ce sont ces techniques que nous suivons.

Nous parlons beaucoup avec les équipementiers qui sont à la source et qui ont été infectés par Stuxnet, afin que le développement numérique s'opère de manière maîtrisée. Dans les cas les plus sensibles, nous nous adressons directement aux développeurs. C'est le cas pour les centrales. Nous pouvons décider, par exemple, que telle technologie n'est pas prête, faute d'être sécurisée, et qu'il n'est donc pas possible de l'intégrer. Dans d'autres secteurs, où la pression de compétitivité est plus forte, nous recherchons toujours un bon équilibre entre la sécurité et le fait pour les entreprises de ne pas prendre de retard. Des sujets extrêmement complexes font actuellement leur apparition. Le véhicule autonome, par exemple, est un sujet majeur en termes de sécurité et pourtant tout le monde est obligé d'aller assez vite, car celui qui, dans dix ans, ne proposera pas de véhicules autonomes sera probablement voué à disparaître, y compris les grands équipementiers.

Telles sont les évolutions que nous essayons de suivre. Nous parvenons à une vision générique suffisante pour couvrir le risque, même si évidemment elle n'est pas exhaustive. Nous procédons beaucoup par recherche de coopérations.

Aucun commentaire n'a encore été formulé sur cette intervention.

Cette législature étant désormais achevée, les commentaires sont désactivés.
Vous pouvez commenter les travaux des nouveaux députés sur le NosDéputés.fr de la législature en cours.