mercredi 2 mars 2011

Non : l'ANSSI n'est pas le "French" Cyber Command !

PC Inpact a publié la semaine dernière une interview intéressante de Patrick Pailloux, Directeur Général de l'ANSSI. Intéressante parce ce qu'elle permet, à mon sens, d'illustrer la façon dont chacun peut percevoir la place de la cybersécurité dans les Nations développées, en particulier en France et en Europe mais aussi aux Etats-Unis qui en sont le fer de lance. D'illustrer mais aussi d'essayer d'en comprendre les rouages visibles, moins visibles voire invisibles et de venir les communiquer pour informer, transmettre et parfois en débattre.

Depuis sa création, ce blog essaie modestement de poser les problématiques  qui me tiennent à cœur ainsi que les bonnes questions (on peut toujours rêver, non ?). Tout cela de manière sûrement imparfaite, parcellaire mais enthousiaste (quand ce n'est pas passionnée). Ce qui me fait singulièrement réagir, sans lassitude aucune (ou presque :), c'est de noter dans certains médias  (institutionnels mais aussi sur la blogosphère) le traitement partiel (et parfois partial) quant aux nouvelles attributions confiées à l'ANSSI (le décret du 11 février 2011). A l'aune d'un précédent billet, j'aurais pu intituler celui-ci "ANSSI : 1 - Médias : 0" mais il est à craindre qu'ANSSI et Stuxnet puissent être remplacés à l'infini. Ce n'est donc plus du jeu mais du systématisme doté d'une certaine arrogance dont j'essaye de préserver mon ego (ni démesuré, ni dégradé).

Ceci étant dit sur un ton badin, redevenons sérieux quelques instants : certains médias clament et déclament ces dernières semaines que l'ANSSI serait devenue le Cyber Command (il faut être ambitieux mais le pas franchi mérite que l'on s'y intéresse) , sorte d'agence de choc à la française dans la lutte contre les cyber-menaces.

Je pense pourtant que l'on est (très) loin du compte et Patrick Pailloux ne me semble pas dire autre chose quand il explique que :
- ce décret permet avant tout de donner une assise juridique donc un gain de temps (2 à 3 heures) en terme d'autorité légale identifiée quant aux éventuels "ordres" de déconnexion que les FAI pourraient recevoir des autorités françaises en cas de cyber attaque majeure;
- l'ANSSI aura un rôle de gestion de crise, ni plus ni moins, et j'aime beaucoup la métaphore filée quant à la gestion des incendies l'été; au mieux elle coordonnera les quelques moyens mobilisables et tentera de limiter une attaque éventuelle;
- pour le reste, il ne faut pas oublier que l'agence a d'abord un rôle de conseil et de support en direction des administrations (voire des entreprises) et consacre une partie importante de son activité à travers la certification de produits et de solutions de sécurité.

Il faut donc raison garder et considérer que l'attribution étatique de la cybersécurité vers l'ANSSI pourrait être une solution transitoire en attendant que :
- Soit le champ du cyberespace devient un axe stratégique à moyen terme (donc politique ce qui sous-tend une vision prospective et d'anticipation...I have a dream) et l'agence pourrait se voir doter de moyens en conséquence; le rôle de "Nation leader en cybersécurité"  dans l'Union européenne pourrait être l'une des conséquences - raisonnable et intéressante;
- Soit elle conserve ses "modestes" attributions et participera de manière complémentaire ou intégrée à une future autorité Otanienne ou Européenne (l'ENISA ? Face à l'OTAN, le "match" me semble joué d'avance...);
- Enfin, la 3ème voie : une nouvelle agence est créée, entièrement dédiée à la cybersécurité et intégrant, pourquoi pas, les CERT avec des interfaces fortes vers le monde militaire (la DRM aurait dès lors un rôle à jouer) mais aussi vers les grandes entreprises.

En fait cette dernière voie ressemble furieusement à celle empruntée par les États-Unis, toute proportion gardée : une autorité centralisatrice dotée de moyens de surveillance de la menace dans le cyberespace (avec sa Common Operational Picture, j'y reviendrai une autre fois) en liaison permanente avec toutes les entités étatiques occupée par la cybersécurité ainsi que l'ensemble des département sécurité des plus grandes entreprises.

Aucun commentaire: