* A l'avenir, des industries de plus en plus menacées
* L'Anssi réoriente ses efforts vers ces cibles
* Ses effectifs pourraient être portés à 700-750 agents
* L'Anssi mise aussi sur des prestataires privés
par Emmanuel Jarry
PARIS, 6 juin (Reuters) - La sécurité des industries est
désormais la "priorité des priorités" de l'Agence nationale de
sécurité des systèmes d'information (Anssi), a déclaré mardi son
directeur général Guillaume Poupard, qui souhaite disposer de
plus de moyens.
Pour Guillaume Poupard et le secrétaire général de la défense
et de la sécurité nationale, Louis Gautier, qui présentaient le
rapport d'activité 2016 de l'Anssi, l'année passée a constitué
un "tournant" dans la prise de conscience du risque cyber.
Les attaques qui ont visé le Parti démocrate pendant la
campagne présidentielle américaine, la chaîne de télévision TV5
Monde ou le Parlement allemand y ont puissamment contribué.
"Mon intuition est qu'en 2017 et dans les années à venir
(...) le champ des attaques va probablement se déplacer", a dit
à la presse le directeur général de l'Anssi, selon qui les
réseaux "classiques" seront, eux, de mieux en mieux protégés.
Sa crainte est désormais "l'attaque à des fins de sabotage de
systèmes industriels, de systèmes d'importance vitale, de
systèmes de transport, de systèmes énergétiques, soit à des fins
de conflit entre Etats (...) soit à des fins de terrorisme".
L'Anssi oriente ses efforts et ses équipes d'audit sur ces
thèmes et le constat est parfois inquiétant, admet-il : "Pour
être franc, on se fait peur, au cours de ces audits."
Le navire amiral d'une industrie n'est que la partie émergée
d'une chaîne de développeurs industriels, d'équipementiers, de
sous-traitants et de logisticiens. "In fine, celui dont le nom
est connu n'est très souvent qu'opérateur et ne maîtrise plus
ses propres systèmes. C'est toute la chaîne qu'il faut être
capable de gérer", explique Guillaume Poupard.
DISCRÉTION
A ce facteur s'ajoutent des réflexes hérités d'un temps où
le numérique n'avait qu'une part minime dans les usines.
"En gros, quand un système fonctionne on n'y touche plus.
Dans certains systèmes, on ne peut pas mettre à jour : quand un
haut-fourneau est lancé, on ne l'arrête plus pendant 30 ans",
souligne-t-il. "Quand on regarde les conséquences que ça peut
avoir (...), on peut se faire vraiment peur."
Dans son rapport, l'Anssi mentionne 3.235 alertes de
sécurité en 2016, dont 79 "événements importants", 159 traités
et trois qualifiés de "critiques".
L'Anssi désigne ainsi une attaque dont le but est d'entrer
dans le réseau informatique d'une institution régalienne ou d'un
"opérateur d'importance vitale" (OIV) pour voler des
informations sur une longue période ou provoquer son arrêt.
L'Anssi refuse d'identifier les victimes de telles attaques.
Le constructeur automobile Renault RENA.PA , contraint en mai
d'arrêter plusieurs sites après avoir été la cible d'un virus de
type "WannaCry", est à ce titre une exception.
"La plupart du temps, aider la victime, c'est garder le
secret sur l'attaque, sur les opérations qui sont menées pour
résoudre les difficultés", souligne Guillaume Poupard.
"Parce qu'au-delà de l'attaque elle-même, l'impact en termes
d'image, de confiance, sur le cours de Bourse, sur des
opérations en cours, peut être encore bien supérieur aux impacts
directs liés à l'attaque informatique", explique-t-il.
Guillaume Poupard reconnaît que le nombre d'"opérations
majeures" de cyber-défense recensées pour 2016 traduit avant
tout la capacité de traitement de l'Anssi.
PRESTATAIRES PRIVÉS
"Ce qui fixe le nombre d'opérations majeures, ce sont nos
capacités, pas le nombre d'attaques, malheureusement", a-t-il
expliqué. "On peut très vite être consommé. Quand on va aider
une victime, ce sont des semaines, des mois d'accompagnement."
Pour Louis Gautier, l'aggravation des menaces "rend
indispensable l'évolution (des) moyens financiers et humains" de
l'Anssi "au-delà de la programmation actuelle".
L'agence, qui comptait environ 120 personnes à sa création
en 2009, employait quelque 500 agents fin 2016, dont 69% avait
moins de 40 ans, et doit en recruter une cinquantaine en 2017.
Louis Gautier a émis le souhait que ces effectifs continuent
à croître au même rythme dans les années à venir pour atteindre
700 à 750 agents. Ce qui pose un problème de recrutement en
raison d'un écart croissant entre des besoins, qui explosent, et
l'offre, admet Guillaume Poupard.
L'agence, dont l'activité se concentre sur les institutions
publiques et les OIV, mise aussi sur la prévention et sur la
formation et l'agrément de prestataires privés, tant pour les
audits et la détection que pour réparer les systèmes infectés.
"L'engagement que l'on prend, c'est que ces prestataires
sont d'un niveau de compétence et de confiance comparable" à
celui de l'Anssi, précise Guillaume Poupard, selon qui l'agence
envisage de faire payer ses interventions, jusqu'ici gratuites.
"L'idée à terme est (pour l'Anssi) de rester sur les cas les
plus graves et les plus atypiques et de transférer le traitement
des cas plus classiques à des prestataires", a-t-il ajouté.
(Edité par Yves Clarisse)