Imprimer: La montée en puissance de l’Agence nationale de la sécurité des systèmes d’information. Par Alexis Deprau, Docteur en droit.

Village de la Justice www.village-justice.com

La montée en puissance de l’Agence nationale de la sécurité des systèmes d’information. Par Alexis Deprau, Docteur en droit.

Parution : jeudi 1er novembre 2018

Adresse de l'article original :
https://www.village-justice.com/articles/montee-puissance-agence-nationale-securite-des-systemes-information,29867.html
Reproduction interdite sans autorisation de l'auteur.

L’Agence nationale de la sécurité des systèmes d’information (ANSSI) est le successeur de la Direction centrale de la sécurité des systèmes d’information, qui a aujourd’hui une mission à compétence nationale en matière de cyberdéfense. Forte d’un effectif de 500 personnes, sa riposte opérationnelle est assurée par les nombreux services qui la composent, et sa montée en puissance a été permise avec la loi de programmation militaire pour les années 2019 à 2025.

La montée en puissance permise avec la loi de programmation militaire pour les années 2019 à 2025

Si l’ANSSI disposait déjà de prérogatives importantes, la loi de programmation militaire du 13 juillet 2018 [1] est intervenue pour augmenter les prérogatives de cette Agence à compétence nationale, fer de lance en matière de cyberdéfense.
En premier lieu, cette Agence peut utiliser des « marqueurs techniques aux seules fins de détecter les événements susceptibles d’affecter la sécurité des systèmes d’information de leurs abonnés » [2]. Les marqueurs techniques étant l’adresse IP d’un serveur suspecté d’une cybermenace, ou encore le nom d’un site Internet piégé. Si cette disposition se retrouve dans le code des postes et télécommunications, cyberdéfense oblige, ces marqueurs sont aussi inscrits à l’article L. 2312-2-1 du code de la défense. Si un opérateur de communications électroniques ou tout autre individu tendait à faire obstacle à l’utilisation de ces marqueurs, la peine pourrait aller jusqu’à 150 000 euros d’amende [3].

Pour autant, afin d’éviter toutefois une erreur probable, mais encore d’intervenir dans un litige non contentieux lié à ces marqueurs techniques utilisés par l’ANSSI, la formation de règlement des différends de l’Autorité de régulation des communications électroniques et des postes, pourrait réunir sa formation de règlement des différends, de poursuite et d’instruction, avec un droit d’information pour cette dernière, et par l’ANSSI. Ce règlement des différends verrait potentiellement l’ARCEP intervenir afin de demander à l’Agence de sécurité des systèmes d’information d’interrompre les opérations propres aux marqueurs techniques.

Une Agence succédant à la Direction centrale de la sécurité des systèmes d’information

La première autorité pour la protection des informations a été la Commission interministérielle des chiffres et de la sécurité des télécommunications, créée le 8 mars 1977 [4]. Cette Commission a disparu le 3 mars 1986 quand furent créés auprès du Premier ministre le Directoire de la sécurité des systèmes d’information [5], et le Service central.

Le Directoire était composé d’un délégué interministériel pour la sécurité des systèmes d’information [6], qui devait notamment orienter les activités du Service central de la sécurité des systèmes d’information créé le même jour que le Directoire [7]. Quant au Service central, ce dernier émettait des notes sur la sécurité des systèmes d’information [8]

Le 31 juillet 2001, le Directoire ainsi que le Service central sur la sécurité des systèmes d’information remplacés par la Direction centrale de la sécurité des systèmes d’information (DCSSI), travaillant sous l’autorité du Secrétariat général de la défense nationale [9]. Pour exemple, cette Direction mit à jour la note sur la sécurité des systèmes d’information, avec la circulaire sur la question des menaces informatiques [10].
A plus forte raison, c’est sous l’autorité du Secrétaire général de la défense et de la sécurité nationale que cette Direction émet des textes infra-réglementaires relatifs à la sécurité des systèmes d’information :

la recommandation du 1er mars 1993 sur la protection des informations sensibles ne relevant pas du secret défense ;
la recommandation du 2 mars 1994 pour la protection des systèmes d’information traitant des informations sensibles non classifiées de défense ;
la circulaire relative à la sécurité des systèmes d’information le 13 avril 1995 ;
En 1997, le Guide interministériel sur les systèmes d’information et applications sensibles ;
le 2 mai 2000 est émise une circulaire sur la protection de l’information et des systèmes sensibles dans l’administration ;
le 26 février 2004, les règles relatives à la qualification des produits de sécurité par la Direction centrale de la sécurité des systèmes d’information ;
la défense en profondeur appliquée aux systèmes d’information – version 1.1, le 19 juillet 2004 ;
les recommandations de sécurité du 9 août 2005 pour l’application Skype ;
le guide relatif aux menaces sur les systèmes informatiques du 12 septembre 2006 ;
la procédure du 25 juin 2009 relative à la sécurité des centres d’évaluation de la sécurité des technologies de l’information.

Comme on le voit bien, la DCSSI joue un rôle important dans la réglementation et les orientations à prendre, celles qui sont propres à la cyberdéfense.

Les missions à compétence nationale de l’Agence nationale de la sécurité des systèmes d’information

Aujourd’hui, l’autorité remplaçant la Direction centrale de la sécurité des systèmes d’information est l’Agence nationale de la sécurité des systèmes d’informations (ANSSI), créée le 7 juillet 2009 [11].
Dans le cadre de ses attributions, elle « - […] propose au Premier ministre les mesures destinées à répondre aux crises affectant ou menaçant la sécurité des systèmes d’information des autorités publiques et des opérateurs d’importance vitale et elle coordonne, dans le cadre de ses orientations fixées par le Premier ministre, l’action gouvernementale en matière de défense des systèmes d’information » [12]. En ce sens, sur les travaux de l’Agence nationale de la sécurité des systèmes d’information, le Premier ministre a émis la circulaire du 17 juillet 2014 portant sur la politique de sécurité des systèmes d’information de l’État [13], puis, le 28 janvier 2015 une instruction interministérielle relative à la protection des systèmes d’informations sensibles [14]. En 2010, l’Agence employait « 130 personnes et [entendait] atteindre les 250 collaborateurs en 2012. Elle dispose en 2010 d’un budget annuel de 90 millions d’euros » [15].
Cette Agence a une mission « d’autorité nationale de défense des systèmes d’information » avec le décret du 11 février 2011 [16], ce qui permet que « la France se dote ainsi d’une force de frappe dissuasive et offensive sur la sécurité des systèmes d’information tout comme l’US CyberCommand aux États-Unis, créé en 2010 ».

Avec le décret du 27 mars 2015 relatif à la sécurité des systèmes d’information des opérateurs d’importance vitale [17], l’ANSSI devient en tant l’institution par excellence spécialisée dans la sécurité des systèmes d’information, à cet effet « elle conçoit, fait réaliser et met en œuvre les moyens interministériels sécurisés de communications électroniques nécessaires au Président de la République et au Gouvernement ; - elle anime et coordonne les travaux interministériels en matière de sécurité des systèmes d’information ; - elle élabore les mesures de protection des systèmes d’information des services de l’État et des opérateurs d’importance vitale ; - elle met en œuvre un système de détection des événements susceptibles d’affecter la sécurité des systèmes d’information de l’État et coordonne la réaction à ces événements.

Elle recueille les informations techniques relatives aux incidents affectant les systèmes d’information de l’État et des opérateurs d’importance vitale ; - elle délivre des agréments aux dispositifs et aux mécanismes de sécurité destinés à protéger, dans les systèmes d’information, les informations couvertes par le secret de la défense nationale ; - elle participe aux négociations internationales et assure la liaison avec ses homologues étrangers ; - elle assure la formation des personnels qualifiés dans le domaine de la sécurité des systèmes d’information » [18].

Succédant à la Direction centrale de la sécurité des systèmes d’information, cette agence continue donc d’émettre des réglementations en ce domaine comme l’instruction interministérielle du 22 octobre 2013, relative aux articles contrôlés de la sécurité des systèmes d’information (ACSSI) [19], ou encore l’instruction interministérielle du 28 janvier 2015 relative à la protection des systèmes d’information sensibles [20].

Enfin, depuis le 4 décembre 2014 [21], un délégué aux cybermenaces ou cyber-préfet est en charge de lutter contre les cyber-menaces au et travaille avec l’Agence nationale de la sécurité des systèmes d’information et « a pour but de développer et mettre en œuvre une stratégie ministérielle contre les cybermenaces » au sein du ministère de l’Intérieur.

Le rôle opérationnel assuré par les différents services.

L’ANSSI est composée de cinq Sous-directions : la Sous-direction Expertise, la Sous-direction Systèmes d’information sécurisés, la Sous-direction Relations extérieures et coordination, la Sous-direction Affaires générales (SDAG) et, la Sous-Directions Opérations (SDO) qui constitue de manière pragmatique, le Centre opérationnel de la sécurité des systèmes d’information (COSSI).

Depuis 2005, le Centre opérationnel de la sécurité des systèmes d’information (COSSI) « assure une veille permanente sur l’évolution de la menace, sur les vulnérabilités découvertes dans les divers produits informatiques, sur les attaques conduites dans le monde et sur les incidents affectant notamment les systèmes d’information gouvernementaux » [22]. Pour assurer sa mission, le Centre opérationnel est composé de trois divisions : la division Pilotage opérationnel (DPO), la Division Techniques opérationnelles et la division Moyens opérationnels (DMO).

Pour agir au mieux, depuis le 20 février 2014, le Centre de cyberdéfense, une composante du Centre opérationnel travaille au même endroit que le Centre d’analyse de lutte informatique défensive (CALID) du ministère de la Défense contre les cybermenaces, 24 heures sur 24 et 7 jours sur 7.

Créé en 1999, le Centre d’expertise gouvernemental de réponse et de traitement des attaques informatiques (CERTA) fut ensuite intégré au Centre opérationnel de la sécurité des systèmes d’information dès la création de ce dernier, en 2005. Ce centre d’expertise a une mission de veille et de réponse aux cyberattaques et participe au réseau mondial des CERT (Computer emergency response team). Il est l’un des quatre centres dont disposait la France, en 2008 [23].

De manière pratique, « le 10 octobre 2008, le CERTA a publié un bulletin d’alerte signalant une vulnérabilité dans Windows de Microsoft. La note (N° CERTA-2008-ALE-012) mentionne en deux pages le risque encouru, les systèmes pouvant être potentiellement affectés, une liste de mesures de contournement ainsi que des éléments de documentation » [24]. Le CERTA a changé de nom depuis, le 21 janvier 2014, pour se dénommer aujourd’hui CERT-FR afin de mettre en avant son appartenance au réseau mondial des CERT.

Enfin, même si une politique interministérielle de sécurité des systèmes d’information est mise en place, les ministères peuvent aussi disposer, en complément de leur propre politique de sécurité, des systèmes d’information à l’image de celle qui est appliquée pour les ministères économiques et financiers [25].

Gagnant progressivement en prérogatives, tout en permettant un règlement des différends, l’Agence nationale de la sécurité des systèmes d’information est aujourd’hui une institution plus que nécessaire en matière de cyberdéfense, d’autant plus dans un contexte de cybercriminalité grandissante, et d’ingérence informatique de la part des États, qu’ils soient alliés ou non à la France.

Alexis Deprau, Docteur en droit

[1] loi n°2018-607 du 13 juillet 2018 relative à la programmation militaire pour les années 2019 à 2025 et portant diverses dispositions intéressant la défense, JORF, n°161, 14 juillet 2018, texte n°1

[2] C. P. et T., art. L. 33-14

[3] C. déf., art. L. 2321-2-2

[4] D. n°77-218 du 8 mars 1977 portant création de la Commission interministérielle des chiffres et de la sécurité des télécommunications, JORF, 10 mars 1977, p. 1 339.

[5] D. n°86-316 du 3 mars 1986 portant création du Directoire de la sécurité des systèmes d’information, JORF, 8 mars 1986, p. 3 591.

[6] Ibid., art. 3.

[7] D. n°86-318 du 3 mars 1988 portant création du Service central de la sécurité des systèmes d’information, JORF, 8 mars 1986, p. 3 592.

[8] Service central de la sécurité des systèmes d’information, Note du Service central de la sécurité des systèmes d’information au sujet de la protection des informations et systèmes sensibles dans les administrations, n°00063e SGDN/SCSSI/SI/bc, Issy-les-Moulineaux, 2 mai 2000.

[9] D. n°2001-693 du 31 juillet 2001 créant au Secrétariat général de la Défense nationale une Direction centrale de la sécurité des systèmes d’information, JORF, n°177, 2 août 2001, p. 12 496, texte n°3.

[10] Bureau conseil de la Direction centrale de la sécurité des systèmes d’information, Menaces sur les systèmes informatiques, Guide n°650, Paris, 12 septembre 2006.

[11] D. n°2009-834 du 7 juillet 2009 portant création d’un service à compétence nationale dénommé « Agence nationale de la sécurité des systèmes d’information », JORF, n°156, 8 juillet 2009, texte n°3.

[12] Ibid., art. 3.

[13] Circ. du 17 juillet 2014 relative à la politique de sécurité des systèmes d’information de l’État, n°5725/SG.

[14] Instruction interministérielle relative à la protection des systèmes d’information sensibles, n°901/SGDSN/ANSSI, NOR :PRMD1503279J, 28 janvier 2015.

[15] Nicolas ARPAGIAN, La cybersécurité, PUF « Que sais-je », Paris, août 2010, p. 106.

[16] D. n°2011-170 du 11 février 2011 modifiant le D. n°2009-834 portant création d’un service à compétence nationale dénommé « Agence nationale de la sécurité des systèmes d’information », JORF, n°37, 13 février 2011, texte n°1.

[17] D. n°2015-351 du 27 mars 2015 relatif à la sécurité des systèmes d’information des opérateurs d’importance vitale et pris pour l’application de la section 2 du Chapitre II du Livre III de la première partie de la partie législative du Code de la défense, JORF, n°75, 29 mars 2015, p. 5 676, texte n°3.

[18] D. n°2009-834 du 7 juillet 2009 portant création d’un service à compétence nationale dénommé « Agence nationale de la sécurité des systèmes d’information », JORF, n°156, 8 juillet 2009, texte n°3, art. 3.

[19] Instr. interministérielle du 22 octobre 2013, relative aux articles contrôlés de la sécurité des systèmes d’information (ACSSI), n°910/SGDSN/ANSSI, NOR : PRMD13281117J.

[20] Instr. interministérielle du 28 janvier 2015 relative à la protection des systèmes d’information sensibles, n°901/SGDSN/ANSSI, NOR : PRMD1503279J.

[21] D. du 4 décembre 2014 portant nomination du préfet chargé de la lutte contre les cyber-menaces – M. LATOURNERIE (Jean-Yves), JORF, n°281, 5 décembre 2014, texte n°89.

[22] Jean-Marie BOCKEL, op. cit., 18 juillet 2012, p. 28.

[23] Il y a « le CERTA, dédié au secteur de l’administration ; le CERT-RENATER, établi au profit de la communauté de l’enseignement supérieur et de la recherche ; le CERT-IST (Industrie, services et tertiaire), centre d’alerte et de réaction constitué sous la forme d’une association de la loi de 1901 et destiné aux entreprises françaises qui ont souhaité y adhérer ; enfin le CERT-LEXSI (Laboratoire d’expertise en sécurité informatique) qui est un prestataire de service commercial », in Roger ROMANI, op. cit., 8 juillet 2008, p. 29.

[24] Nicolas ARPAGIAN, op. cit., Paris, 2009, p. 179.

[25] Arr. du 1er août 2016 portant approbation de la politique générale de sécurité des systèmes d’information pour les ministères économiques et financiers, JORF, n°195, 23 août 2016, texte n°6.