La montée en puissance permise avec la loi de programmation militaire pour les années 2019 à 2025
Si l’ANSSI disposait déjà de prérogatives importantes, la loi de programmation militaire du 13 juillet 2018 [1] est intervenue pour augmenter les prérogatives de cette Agence à compétence nationale, fer de lance en matière de cyberdéfense.
En premier lieu, cette Agence peut utiliser des « marqueurs techniques aux seules fins de détecter les événements susceptibles d’affecter la sécurité des systèmes d’information de leurs abonnés » [2]. Les marqueurs techniques étant l’adresse IP d’un serveur suspecté d’une cybermenace, ou encore le nom d’un site Internet piégé. Si cette disposition se retrouve dans le code des postes et télécommunications, cyberdéfense oblige, ces marqueurs sont aussi inscrits à l’article L. 2312-2-1 du code de la défense. Si un opérateur de communications électroniques ou tout autre individu tendait à faire obstacle à l’utilisation de ces marqueurs, la peine pourrait aller jusqu’à 150 000 euros d’amende [3].
Pour autant, afin d’éviter toutefois une erreur probable, mais encore d’intervenir dans un litige non contentieux lié à ces marqueurs techniques utilisés par l’ANSSI, la formation de règlement des différends de l’Autorité de régulation des communications électroniques et des postes, pourrait réunir sa formation de règlement des différends, de poursuite et d’instruction, avec un droit d’information pour cette dernière, et par l’ANSSI. Ce règlement des différends verrait potentiellement l’ARCEP intervenir afin de demander à l’Agence de sécurité des systèmes d’information d’interrompre les opérations propres aux marqueurs techniques.
Une Agence succédant à la Direction centrale de la sécurité des systèmes d’information
La première autorité pour la protection des informations a été la Commission interministérielle des chiffres et de la sécurité des télécommunications, créée le 8 mars 1977 [4]. Cette Commission a disparu le 3 mars 1986 quand furent créés auprès du Premier ministre le Directoire de la sécurité des systèmes d’information [5], et le Service central.
Le Directoire était composé d’un délégué interministériel pour la sécurité des systèmes d’information [6], qui devait notamment orienter les activités du Service central de la sécurité des systèmes d’information créé le même jour que le Directoire [7]. Quant au Service central, ce dernier émettait des notes sur la sécurité des systèmes d’information [8]
Le 31 juillet 2001, le Directoire ainsi que le Service central sur la sécurité des systèmes d’information remplacés par la Direction centrale de la sécurité des systèmes d’information (DCSSI), travaillant sous l’autorité du Secrétariat général de la défense nationale [9]. Pour exemple, cette Direction mit à jour la note sur la sécurité des systèmes d’information, avec la circulaire sur la question des menaces informatiques [10].
A plus forte raison, c’est sous l’autorité du Secrétaire général de la défense et de la sécurité nationale que cette Direction émet des textes infra-réglementaires relatifs à la sécurité des systèmes d’information :
- la recommandation du 1er mars 1993 sur la protection des informations sensibles ne relevant pas du secret défense ;
- la recommandation du 2 mars 1994 pour la protection des systèmes d’information traitant des informations sensibles non classifiées de défense ;
- la circulaire relative à la sécurité des systèmes d’information le 13 avril 1995 ;
- En 1997, le Guide interministériel sur les systèmes d’information et applications sensibles ;
- le 2 mai 2000 est émise une circulaire sur la protection de l’information et des systèmes sensibles dans l’administration ;
- le 26 février 2004, les règles relatives à la qualification des produits de sécurité par la Direction centrale de la sécurité des systèmes d’information ;
- la défense en profondeur appliquée aux systèmes d’information – version 1.1, le 19 juillet 2004 ;
- les recommandations de sécurité du 9 août 2005 pour l’application Skype ;
- le guide relatif aux menaces sur les systèmes informatiques du 12 septembre 2006 ;
- la procédure du 25 juin 2009 relative à la sécurité des centres d’évaluation de la sécurité des technologies de l’information.
Comme on le voit bien, la DCSSI joue un rôle important dans la réglementation et les orientations à prendre, celles qui sont propres à la cyberdéfense.
Les missions à compétence nationale de l’Agence nationale de la sécurité des systèmes d’information
Aujourd’hui, l’autorité remplaçant la Direction centrale de la sécurité des systèmes d’information est l’Agence nationale de la sécurité des systèmes d’informations (ANSSI), créée le 7 juillet 2009 [11].
Dans le cadre de ses attributions, elle « - […] propose au Premier ministre les mesures destinées à répondre aux crises affectant ou menaçant la sécurité des systèmes d’information des autorités publiques et des opérateurs d’importance vitale et elle coordonne, dans le cadre de ses orientations fixées par le Premier ministre, l’action gouvernementale en matière de défense des systèmes d’information » [12]. En ce sens, sur les travaux de l’Agence nationale de la sécurité des systèmes d’information, le Premier ministre a émis la circulaire du 17 juillet 2014 portant sur la politique de sécurité des systèmes d’information de l’État [13], puis, le 28 janvier 2015 une instruction interministérielle relative à la protection des systèmes d’informations sensibles [14]. En 2010, l’Agence employait « 130 personnes et [entendait] atteindre les 250 collaborateurs en 2012. Elle dispose en 2010 d’un budget annuel de 90 millions d’euros » [15].
Cette Agence a une mission « d’autorité nationale de défense des systèmes d’information » avec le décret du 11 février 2011 [16], ce qui permet que « la France se dote ainsi d’une force de frappe dissuasive et offensive sur la sécurité des systèmes d’information tout comme l’US CyberCommand aux États-Unis, créé en 2010 ».
Avec le décret du 27 mars 2015 relatif à la sécurité des systèmes d’information des opérateurs d’importance vitale [17], l’ANSSI devient en tant l’institution par excellence spécialisée dans la sécurité des systèmes d’information, à cet effet « elle conçoit, fait réaliser et met en œuvre les moyens interministériels sécurisés de communications électroniques nécessaires au Président de la République et au Gouvernement ; - elle anime et coordonne les travaux interministériels en matière de sécurité des systèmes d’information ; - elle élabore les mesures de protection des systèmes d’information des services de l’État et des opérateurs d’importance vitale ; - elle met en œuvre un système de détection des événements susceptibles d’affecter la sécurité des systèmes d’information de l’État et coordonne la réaction à ces événements.
Elle recueille les informations techniques relatives aux incidents affectant les systèmes d’information de l’État et des opérateurs d’importance vitale ; - elle délivre des agréments aux dispositifs et aux mécanismes de sécurité destinés à protéger, dans les systèmes d’information, les informations couvertes par le secret de la défense nationale ; - elle participe aux négociations internationales et assure la liaison avec ses homologues étrangers ; - elle assure la formation des personnels qualifiés dans le domaine de la sécurité des systèmes d’information » [18].
Succédant à la Direction centrale de la sécurité des systèmes d’information, cette agence continue donc d’émettre des réglementations en ce domaine comme l’instruction interministérielle du 22 octobre 2013, relative aux articles contrôlés de la sécurité des systèmes d’information (ACSSI) [19], ou encore l’instruction interministérielle du 28 janvier 2015 relative à la protection des systèmes d’information sensibles [20].
Enfin, depuis le 4 décembre 2014 [21], un délégué aux cybermenaces ou cyber-préfet est en charge de lutter contre les cyber-menaces au et travaille avec l’Agence nationale de la sécurité des systèmes d’information et « a pour but de développer et mettre en œuvre une stratégie ministérielle contre les cybermenaces » au sein du ministère de l’Intérieur.
Le rôle opérationnel assuré par les différents services.
L’ANSSI est composée de cinq Sous-directions : la Sous-direction Expertise, la Sous-direction Systèmes d’information sécurisés, la Sous-direction Relations extérieures et coordination, la Sous-direction Affaires générales (SDAG) et, la Sous-Directions Opérations (SDO) qui constitue de manière pragmatique, le Centre opérationnel de la sécurité des systèmes d’information (COSSI).
Depuis 2005, le Centre opérationnel de la sécurité des systèmes d’information (COSSI) « assure une veille permanente sur l’évolution de la menace, sur les vulnérabilités découvertes dans les divers produits informatiques, sur les attaques conduites dans le monde et sur les incidents affectant notamment les systèmes d’information gouvernementaux » [22]. Pour assurer sa mission, le Centre opérationnel est composé de trois divisions : la division Pilotage opérationnel (DPO), la Division Techniques opérationnelles et la division Moyens opérationnels (DMO).
Pour agir au mieux, depuis le 20 février 2014, le Centre de cyberdéfense, une composante du Centre opérationnel travaille au même endroit que le Centre d’analyse de lutte informatique défensive (CALID) du ministère de la Défense contre les cybermenaces, 24 heures sur 24 et 7 jours sur 7.
Créé en 1999, le Centre d’expertise gouvernemental de réponse et de traitement des attaques informatiques (CERTA) fut ensuite intégré au Centre opérationnel de la sécurité des systèmes d’information dès la création de ce dernier, en 2005. Ce centre d’expertise a une mission de veille et de réponse aux cyberattaques et participe au réseau mondial des CERT (Computer emergency response team). Il est l’un des quatre centres dont disposait la France, en 2008 [23].
De manière pratique, « le 10 octobre 2008, le CERTA a publié un bulletin d’alerte signalant une vulnérabilité dans Windows de Microsoft. La note (N° CERTA-2008-ALE-012) mentionne en deux pages le risque encouru, les systèmes pouvant être potentiellement affectés, une liste de mesures de contournement ainsi que des éléments de documentation » [24]. Le CERTA a changé de nom depuis, le 21 janvier 2014, pour se dénommer aujourd’hui CERT-FR afin de mettre en avant son appartenance au réseau mondial des CERT.
Enfin, même si une politique interministérielle de sécurité des systèmes d’information est mise en place, les ministères peuvent aussi disposer, en complément de leur propre politique de sécurité, des systèmes d’information à l’image de celle qui est appliquée pour les ministères économiques et financiers [25].
Gagnant progressivement en prérogatives, tout en permettant un règlement des différends, l’Agence nationale de la sécurité des systèmes d’information est aujourd’hui une institution plus que nécessaire en matière de cyberdéfense, d’autant plus dans un contexte de cybercriminalité grandissante, et d’ingérence informatique de la part des États, qu’ils soient alliés ou non à la France.