C. UNE CAPACITÉ D'EXPERTISE DE TRÈS HAUT NIVEAU
Six laboratoires, intégrés à la sous-direction Expertise, concentrent l'essentiel des activités de recherche de l'agence. Leurs domaines de compétence se répartissent entre la cryptographie, la sécurité des composants, la sécurité des technologies sans fil, les architectures matérielles et logicielles, les réseaux et protocoles, et les techniques de détection d'attaques. Ces structures aux rôles multiples sont à l'origine des référentiels techniques utilisés par l'ANSSI, et constituent donc un rouage essentiel des mécanismes d'évaluation, de labellisation et d'audit mis en oeuvre par l'agence. L'élaboration de ces référentiels techniques est éclairée par le contact avec des infrastructures opérationnelles.
Ces laboratoires peuvent également contribuer à la création de produits sécurisés, à l'instar du laboratoire architectures matérielles et logicielles (LAM), et donnent lieu à des contacts suivis avec des acteurs industriels, mais aussi avec des utilisateurs, administrations ou opérateurs d'importance vitale (OIV).
L'ANSSI veille à appuyer ses recherches sur les avancées enregistrées par le monde scientifique académique.
À cet égard, la création en 2015 du laboratoire exploration et recherche en détection (LED) est représentative de la stratégie de l'agence en la matière. Ce laboratoire, dont l'activité est dédiée à la problématique de la détection d'attaques, mène des travaux de recherche en collaboration avec l'École normale supérieure (ENS) et l'Inria, comme avec les équipes internes de l'agence. |
Les travaux menés en son sein font régulièrement l'objet de publications à l'occasion de conférences scientifiques nationales et internationales. Ainsi, en 2015, pas moins de 40 publications ont vu le jour. Les compétences portées par les laboratoires de l'ANSSI lui permettent de s'affirmer comme un acteur crédible au niveau international.
D. LES ACTIONS DE L'ANSSI VERS LES ADMINISTRATIONS
1. La protection de l'information de souveraineté
Depuis 2013, pour protéger les communications les plus importantes ou les plus secrètes des autorités, l'ANSSI continue, en partenariat étroit avec le Centre de transmission gouvernemental (CTG) de développer, de déployer et d'assurer le support technique de systèmes de téléphones fixes (TEOREM), de visio-conférence (HORUS) ou d'intranet (ISIS).
Le réseau de données interministériel Confidentiel Défense ISIS, utilisé pour coordonner la gestion de crises et pour l'échange de données très sensibles entre administrations, poursuit sa modernisation et son extension. Parallèlement à l'élargissement de son emploi par les services de l'État, y compris hors situations de crise, ce système a remplacé la messagerie sécurisée qui équipait les préfectures. Cela s'est traduit par une densification importante du réseau, avec le déploiement de 500 terminaux supplémentaires, portant leur nombre total à 1 350.
Vos rapporteurs s'interrogent d'ailleurs sur l'opportunité qu'il y aurait à connecter les deux assemblées du Parlement à ce réseau, pour améliorer la fiabilité des transmissions avec le Gouvernement, notamment pour la communication ou l'échange d'informations sensibles nécessaires à l'information des commissions parlementaires.
En parallèle de ses efforts en développement de technologies propres, l'agence cherche également à explorer de nouvelles approches en matière de fourniture de solutions sécurisées aux pouvoirs publics. Cette philosophie a présidé au lancement de projets portant sur l'exploitation de smartphones et tablettes disponibles dans le commerce, dans le souci permanent de privilégier l'ergonomie. Ainsi, en 2015, un système sécurisé fondé sur l'architecture Android, a été porté sur certains téléphones et tablettes et expérimenté à grande échelle de ce système en collaboration avec la Police nationale et avec la Gendarmerie nationale.
De la même manière, l'ANSSI s'est pour la première fois portée acquéreur d'une licence globale pour l'utilisation, par les services de l'État, d'un ensemble de logiciels de sécurité qualifiés auprès de la société Prim'X 38 ( * ) . Cette initiative inédite permet à la fois d'optimiser la dépense publique et d'inciter les administrations à utiliser des produits de confiance tout en facilitant leur déploiement.
2. Une sensibilisation de l'ensemble du Gouvernement par circulaire du Premier ministre : la « PSSIE »
Le Premier ministre a publié en juillet 2014 une circulaire fixant les règles de protection des systèmes d'information des différents départements ministériels 39 ( * ) . Ce document préparé par l'ANSSI fixe les contours d'une « Politique de sécurité des systèmes d'information de l'État » (PSSIE). Elle décline dix principes fondamentaux portant sur le choix d'éléments de confiance pour construire les systèmes d'information, sur la gouvernance de la sécurité et sur la sensibilisation des acteurs. Les administrations sont désormais tenues de recourir à des produits et services qualifiés par l'ANSSI et d'héberger leurs données sensibles sur le territoire national.
La mise en conformité des ministères avec la PSSIE est en cours, sous le pilotage des services des hauts fonctionnaires de défense et de sécurité. L'ANSSI apporte son soutien à cette démarche, à travers notamment les inspections qu'elle conduit, des actions de sensibilisation et un accompagnement ciblé pour la mise en place de certaines mesures.
Deux ans après sa publication, la PSSIE a été adoptée par l'ensemble des ministères, qui l'ont pour la plupart prise en compte dans leur politique ministérielle. Le niveau effectif de conformité des systèmes d'information de l'État aux règles de la PSSIE s'est légèrement amélioré entre 2015 et 2016. Il est attendu que les plans d'action engagés par les différents ministères permettent des progrès significatifs dans l'année à venir, notamment en matière de gouvernance et de maîtrise des risques.
Une révision de la PSSIE et des indicateurs associés n'apparaît pas nécessaire à court terme, les ministères ayant la possibilité de déroger si nécessaire à certaines règles de la PSSIE. Une telle révision pourra être engagée à partir de 2017, sur la base des retours d'expérience relatifs à la mise en oeuvre du document.
La sécurité des systèmes d'information devenant un enjeu essentiel, il est apparu important d'introduire, dans les objectifs et indicateurs de performance du programme 129, un indicateur lié à la sécurité des systèmes d'information de l'État.
Cet indicateur recouvre deux objectifs 40 ( * ) :
- améliorer la maturité globale des différents départements ministériels en matière de SSI ;
- mener à bien des projets interministériels structurants prévus par le Livre blanc sur la défense et la sécurité nationale de juin 2008 qui ont contribué à justifier la création de l'ANSSI.
INDICATEUR 6.1 |
mission |
||
Niveau de sécurité des systèmes d'information de l'Etat |
(du point de vue de l'usager)
Unité |
2014
|
2015
|
2016
|
2016
|
2017
|
2017
|
|
Maturité globale en sécurité des systèmes d'information de l'Etat |
note de 0 à 5 |
3,3 |
2,3 |
2,4 |
2,6 |
3,1 |
2,7 |
Niveau d'avancement des grands projets interministériels en matière de sécurité des systèmes d'information |
% |
80 |
83 |
87 |
88 |
90 |
89 |
La poursuite des plans d'actions ministériels, relatifs à la mise en oeuvre des règles de la politique de sécurité des systèmes d'information de l'État (PSSIE) ainsi que la correction des vulnérabilités les plus sensibles constatées lors d'audits et d'inspections 41 ( * ) , permettent de revoir la prévision pour l'année 2016 du sous-indicateur 1 : « Maturité globale en sécurité des systèmes d'information de l'État » légèrement à la hausse. Cette amélioration devrait se poursuivre en 2017 par la mise en conformité de l'essentiel des ministères avec les dispositions de la PSSIE relatives à la gouvernance et à la maîtrise des risques. Cette situation reste néanmoins insatisfaisante au regard des objectifs de conformité complète à la PSSIE. Elle peut, comme en 2015, être expliquée par un manque de moyens budgétaires et humains en matière de sécurité des systèmes d'information, ainsi que par une prise de conscience encore insuffisante des autorités, utilisateurs et exploitants face aux enjeux de cybersécurité. Si les ministères ont, pour la plupart, engagé des plans d'action de mise en conformité avec la PSSIE, le succès de ces plans et le maintien dans le temps d'un niveau de sécurité satisfaisant nécessite la mise en place d'une gouvernance adéquate, assortie de moyens adaptés. Cet effort a d'ores et déjà été consenti par plusieurs ministères et il est attendu qu'il soit étendu à l'ensemble des ministères. L'ANSSI s'efforcera donc en 2017 de continuer les efforts entrepris afin d'améliorer la sécurité des systèmes d'information de l'État.
Vos rapporteurs s'inquiètent de la lenteur du processus de mise en conformité des ministères avec les dispositions de la PSSIE, compte tenu des efforts déployés par l'ANSSI.
Concernant le niveau d'avancement des grands projets interministériels en matière de sécurité des systèmes d'information (sous-indicateur n° 2). L'aboutissement avant fin 2016 d'un projet relatif à un produit souverain (chiffreur PMPS) permettra d'améliorer la prévision 2016 et la prévision qu'au moins trois sondes commerciales soient qualifiées, permettant ainsi de gagner un point par rapport à la cible 2017 fixée en début de triennal, permet ainsi de gagner un point par rapport à la cible 2017 fixée en début de triennal.
En parallèle, l'ANSSI a développé une offre de formation en direction des agents de l'Etat.
Le Centre de formation à la sécurité des systèmes d'information (CFSSI) remplit tout d'abord l'une des tâches stratégiques de l'agence, à savoir la formation des agents de l'État en matière de cybersécurité et propose à un important catalogue de stages adaptés à la multiplicité des besoins et des profils. En 2015, 1 450 stagiaires ont participé aux 28 formations organisées par l'agence. Par ailleurs, le CFSSI assure une formation longue d'expert en sécurité des systèmes d'information (ESSI). Étalée sur une durée de treize mois et sanctionnée par un titre de niveau I (bac +5), elle est inscrite au Répertoire national des certifications professionnelles (RNCP). En 2015, le titre d'expert a été attribué à 8 élèves au sein du CFSSI et, dans le cadre d'un partenariat, à 11 élèves de la voie d'approfondissement Sécurité des systèmes et réseaux, en formation d'ingénieur à Télécom Sud Paris. Le titre peut également être obtenu par le biais d'une validation des acquis de l'expérience (VAE). |
3. La politique d'investissement de l'ANSSI
Dans le cadre de ses missions, l'ANSSI contribue au financement des besoins des administrations en produits et services de sécurité. Cette démarche regroupe deux volets :
- la conception et la réalisation des moyens de communications électroniques sécurisées utiles au Gouvernement et à la présidence de la République, qui représente une part importante du budget de l'agence et implique l'utilisation de décrets de transfert annuels entre programmes en lien avec la DGA ;
- l'évaluation et les recommandations de produits ou de services pour l'usage des administrations, ce qui implique de définir les exigences techniques, de développer les outils nécessaires à leur évaluation, de les suivre dans le temps et d'en promouvoir l'utilisation 42 ( * ) .
L'ANSSI porte également la mission de définir, concevoir et de mettre en oeuvre des systèmes d'informations en adéquation avec les besoins fonctionnels exprimés et les besoins de sécurité requis pour ces systèmes. Elle assure un rôle de direction des systèmes d'information (DSI) et des ministères dans le cadre des systèmes d'information interministériels sécurisés dont elle assure la maitrise d'oeuvre. Elle est également en charge de la conception des systèmes d'information internes et externes vers les administrations. Elle assure enfin le soutien des infrastructures informatiques de production relevant de la DSI.
Un projet de « centre informatique interministériel de haute sécurité » permettra d'accompagner la montée en puissance de l'ANSSI à travers un outil informatique performant et fiable. L'ANSSI utilise des données en masse ( big data ) et collecte énormément d'informations qui sont très précieuses pour la connaissance des modalités d'attaques de systèmes d'information et la mise au point de mesures de détection et de protection. Ces données proviennent de victimes de cyberattaques, de victimes potentielles, d'opérateurs d'importance vitale. Elles ne peuvent être stockées sur des serveurs étrangers ou privés, et doivent être protégées dans une enceinte sécurisée. La construction de ce centre est donc indispensable. Le projet est conduit avec le ministère de l'intérieur, maître d'ouvrage de l'opération. Une convention-cadre pour la réalisation et l'exploitation de ce site, ainsi qu'une convention de réalisation, ont été signées le 9 juillet 2015 afin de préciser les modalités de conception, de construction et de financement conjoints. La durée d'exécution prévue des travaux est de 30 mois, soit une mise en service de l'installation programmée pour le second semestre 2018.
4. La mobilisation du ministère de la défense sur l'enjeu « cyber »
Lancé en février 2014, le « Pacte défense Cyber » est destiné à rassembler toutes les actions conduites en matière de cyberdéfense par le ministère de la défense 43 ( * ) . Son exécution est suivie au travers d'indicateurs précis. Il concerne, au-delà du seul ministère, les industriels et PME/PMI, les organismes de recherche et les organismes de formation. Au total, le ministère de la défense indique qu'un milliard d'euros seront investis pour la cybersécurité d'ici 2019 et que 1 000 agents dédiés au cyber seront recrutés et affectés dans les états-majors, à la DGA, et dans les services de renseignement. En outre, le ministère de la défense va accélérer la sécurisation du réseau interne du ministère de la défense (Intradef : 150 000 postes utilisateurs).
L'ANSSI est étroitement associée aux quatre actions d'axe 4 du pacte tout comme elle entretient plus généralement des échanges réguliers avec le Pôle d'excellence en cyberdéfense (PEC).
La coopération entre l'ANSSI et le Pôle d'excellence de cyberdéfense Ces liens transparaissent notamment dans la coordination des actions en matière de formation à la cyberdéfense et à la sécurité numérique. Ainsi, le PEC a été représenté et a intégré le fruit de ses travaux au sein du groupe de travail, instauré dans le cadre de la NFI, qui a élaboré le mécanisme de labellisation de formations « SecNumEdu » 44 ( * ) et assure également, dans le même cadre le pilotage d'un autre groupe de travail, portant sur les plateformes de formation et d'entraînement à la cybersécurité, et participe à des travaux sur l'amélioration de l'attractivité de la filière pour les étudiants. La coopération s'étend également aux actions menées conjointement par l'ANSSI et le PEC pour promouvoir le développement économique des acteurs nationaux de la sécurité du numérique. Ainsi, le PEC s'est fortement impliqué, notamment par la fourniture d'un référentiel, dans l'action NFI visant la création d'un observatoire national du marché de la sécurité numérique. Il a également piloté l'action visant à recenser les plateformes nationales de tests et de recherche & développement dans le domaine de la sécurité numérique, et plus généralement, été un acteur important dans la définition de la feuille de route de la solution « Confiance Numérique » de la NFI. Plus récemment, la mise en place d'un partenariat public-privé « cyber » au niveau européen a naturellement amené le PEC et l'ANSSI à se concerter étroitement afin d'assurer la meilleure représentation des acteurs nationaux au sein des instances de gouvernance de ce partenariat. |
Dans le cadre de ce pacte, l'agence est également impliquée fortement dans la planification et le jeu de l'exercice annuel « DEFNET », placé sous la responsabilité du ministère de la défense, ainsi que dans l'organisation et le jeu d'exercices nationaux et internationaux.
5. La mise en place d'un réseau unifié et sécurisé : le réseau interministériel de l'État (RIE)
Les administrations de l'État sont des cibles potentielles pour les attaques informatiques.
Dès 2011, l'État a mis en chantier un réseau informatique unifié et sécurisé, destiné tout à la fois à mieux maîtriser la sécurité dans un contexte de cyberattaques croissantes, mais aussi à améliorer le service rendu aux citoyens en facilitant les échanges entre les administrations et le développement d'applications partagées. Le décret n° 2014-879 du 1 er août 2014 relatif au système d'information et de communication de l'État est venu affirmer cette « unicité » du système d'information de l'État.
Le réseau interministériel de l'Etat (RIE) constitue le support de l'ensemble des échanges interministériels. Il remplace progressivement, depuis 2013, les réseaux ministériels existants, représentant près de 17 000 sites au démarrage du projet, et permet une fluidification des échanges interministériels, en particulier pour les sites de l'administration territoriale de l'État, qui sont enfin raccordés sur un réseau commun. Il marque la première étape de la modernisation et de l'unification du système d'information de l'État. A fin juillet 2016, il est déployé sur plus de 11 500 sites en métropole et dans les DOM COM, et 400 000 agents de l'État accèdent à internet via les passerelles d'accès à internet du RIE.
Le service à compétence nationale (SCN), en charge de la gestion du RIE et des services associés, a été créé par voie d'arrêté le 17 décembre 2012. Rattaché au directeur interministériel du numérique et du système d'information et de communication de l'État, ce service s'appuie sur les instances de gouvernance de la DINSIC 45 ( * ) .
Le RIE : un investissement important Le cadrage budgétaire initial du projet RIE, en 2012, repose sur un budget de fonctionnement annuel estimé pour 15 822 sites à 53,9 M€ à mettre en regard avec ce qu'aurait coûté le maintien à l'existant des réseaux ministériels sans le projet RIE, 72,1 M€. Les investissements cumulés de 2012 à 2016 estimés initialement à 21,7 M€ devaient ainsi permettre des gains récurrents annuels de plus de 18 M€ à la cible (2017) et un retour sur investissement inférieur à quatre ans. Ce modèle budgétaire est confirmé mi-2016 au regard des engagements effectivement réalisés et des migrations des ministères. En effet, alors que les trois quarts du périmètre ont été migrés et mis en facturation sur les marchés du RIE, le coût prévisionnel récurrent annuel en année pleine des réseaux de transport est aujourd'hui actualisé à 53,2 M€. Ce coût récurrent annuel concerne les réseaux de collecte capillaire ministériels (42,5 M€ essentiellement supportés par les programmes budgétaires des administrations centrales bénéficiaires), le socle interministériel mutualisé 46 ( * ) (7,1 M€ supportés par le programme 129 « Coordination du travail gouvernemental » sur le BOP SGMAP), ainsi qu'une estimation à 3,5 M€ du restant à la charge des ministères après migration pour leurs infrastructures spécifiques. La maîtrise des coûts d'investissements et de fonctionnement du socle interministériel a permis de financer, au sein de l'enveloppe initialement allouée, le déploiement et l'exploitation des passerelles d'accès sécurisé à internet. |
6. Une capacité centralisée de détection des attaques informatiques
L'ANSSI a développé depuis 2010 une capacité centralisée de détection des attaques informatiques visant les systèmes d'information des services de l'État.
Dans ce cadre, elle déploie sur leur réseau des sondes dont elle assure la mise en oeuvre et le maintien en condition opérationnelle. Le COSSI est chargé de leur supervision. En 2015, plus d'une dizaine de déploiements ont permis d'améliorer cette activité. La prochaine étape est l'installation, sur le réseau interministériel de l'État (RIE), de sondes de nouvelle génération, capables de supporter de très hauts débits.
L'ANSSI assure également la collecte et la qualification des vulnérabilités et des codes qui les exploitent. En 2015, ses équipes ont identifié plus de 2 300 codes malveillants. Elles ont également rédigé près d'une vingtaine de rapports d'analyse. Elles ont, en outre, publié 568 avis sur des correctifs de sécurité et diffusé 15 alertes sur des vulnérabilités critiques. L'agence est par ailleurs chargée de l'anticipation et de l'analyse des risques et des menaces. En cas d'incident majeur, ses équipes réalisent notamment des notes de synthèse à destination des autorités gouvernementales.
L'accroissement de l'activité opérationnelle de l'ANSSI et le besoin d'améliorer la coordination et le pilotage des opérations ont conduit à mettre en place une structure de centralisation et de pilotage des opérations de cyberdéfense. Afin de mieux gérer une crise d'ampleur, l'organisation de crise de l'ANSSI a été affinée au premier semestre 2015 à la suite des attentats survenus à Paris en janvier et à la résolution de l'attaque informatique contre TV5Monde.
L'agence, via la permanence opérationnelle du COSSI, active 24 heures sur 24 et 7 jours sur 7, reçoit et effectue ensuite un premier traitement des signalements d'événements de sécurité numérique. Le COSSI traite tous types d'événements de sécurité informatique, rapportés par les sondes de détection installées par l'ANSSI, des partenaires français ou étrangers ou encore les victimes. En cas de nécessité, les équipes du centre peuvent se rendre sur place.
En 2015, l'activité de réponse aux incidents a connu une importante croissance : 4 000 signalements ont été reçus, soit 50 % de plus qu'en 2014. Cette augmentation est notamment due au développement, par des prestataires privés, de services de détection des attaques au profit des entreprises. Après investigation, un grand nombre de signalements se sont avérés être des incidents de sécurité et ont été traités par le COSSI. Ce travail a permis de constater l'émergence de nouvelles attaques, dont les « rançongiciels », des logiciels malveillants chiffrant les données d'une ordinatrice victime qui sont alors prises en otage le temps de payer une rançon. En cas d'attaque de grande ampleur - comme le sabotage ou la prise de contrôle du système d'information à des fins d'espionnage -, une procédure spécifique de gestion est mise en place. En 2015, l'ANSSI a mené une vingtaine d'opérations de cet ordre. L'agence a non seulement travaillé à reprendre le contrôle des systèmes d'information victimes et à remettre en état les éléments compromis, mais aussi à renforcer leur sécurité. En cas d'événement exceptionnel, l'ANSSI met en place un dispositif de crise, afin de coordonner les différents acteurs et d'apporter une réponse adaptée. Cette organisation permet également à l'agence d'être particulièrement flexible et réactive. En 2015, elle a été activée à quatre reprises. Lors de ces événements, l'ANSSI a été pleinement intégrée au dispositif interministériel de gestion des crises, quand ce dernier a été activé. |
En parallèle, le centre de détection des attaques informatiques de l'ANSSI continue d'industrialiser les solutions développées et d'améliorer ses capacités afin d'anticiper de nouvelles menaces.
Enfin, les équipes réalisent plusieurs dizaines de prestations d'audit au profit de l'administration ainsi que des opérateurs d'importance vitale privés.
* 38 Cette opération permet aux administrations de répondre à leurs besoins de sécurisation pour un coût de licence nul, ne laissant à leur charge que les frais de support.
* 39 N° 5725/SG du 17 juillet 2014.
* 40 Pour les précisions méthodologiques voir PAP programme 129 http://www.performance-publique.budget.gouv.fr/sites/performance_publique/files/farandole/ressources/2017/pap/html/DBGPGMOBJINDPGM129.htm
* 41 L'ANSSI mène régulièrement des audits de sécurité des systèmes d'information des services de l'État, soumis à des inspections cycliques réglementaires. Ainsi, chaque ministère doit, par exemple, se soumettre à une inspection, en principe tous les 3 à 4 ans, portant à la fois sur la sécurité des systèmes informatiques considérés comme prioritaires et sur l'identification d'axes d'amélioration adaptés. Ces audits peuvent également être sollicités par les administrations, notamment lors de la mise en oeuvre de grands projets de systèmes d'information.
* 42 Dans ce cadre, l'acquisition de licences globales pour l'administration permet l'adoption rapide et massive de logiciels recommandés conduisant à une élévation significative du niveau de sécurité des différents ministères. Ces licences sont incluses dans les dépenses de l'ANSSI pour 2017 à 3,9 M€ en AE et 4,4 M€ en CP- voir infra p.76
* 43
Les 6 priorités du « pacte défense Cyber », voir Rapport pour avis n° 166 Tome IX (2015-2016) de MM. Jean-Marie Bockel et Jean-Pierre Masseret, sénateurs, au nom de la commission des affaires étrangères, de la défense et des forces armées - 19 novembre 2015, p. 34 - http://www.senat.fr/rap/a15-166-9/a15-166-9.html . |
* 44 Voir infra p.52
* 45 Direction interministérielle du numérique et du système d'information et de communication de l'Etat : article 5 du décret n° 2015-1165 du 21 septembre 2015 relatif au secrétariat général pour la modernisation de l'action publique.
* 46 L'offre de services mutualisés au sein du socle interministériel est destinée à s'accroître au bénéfice des échanges interministériels. Par exemple, plusieurs des principaux data centers interministériels étant colocalisés avec les points d'interconnexion au coeur de réseau RIE, leur raccordement s'effectue directement sur le coeur de réseau mutualisé. De plus, le RIE propose un catalogue de services d'infrastructure en progression (services de nommage d'ores et déjà mis en oeuvre, services fédérateur d'annuaire et de routage de messages électroniques pour l'interministériel en projets). Enfin, l'activité de sécurité opérationnelle du RIE contribue à la sécurisation et la défense des systèmes d'information ministériels par une surveillance continue des infrastructures du RIE.