Surveillance des attaques informatiques : l’Anssi « part d’une feuille blanche »
Où en est exactement le centre opérationnel français de détection des attaques informatiques ? La question reste entourée d’une dense aura de mystère. Patrick Pailloux, directeur général de l’Agence Nationale pour la Sécurité des Systèmes d’Information (Anssi), indique que ce centre existe déjà et fonctionne, au moins à l’état de « prototype ». Mais l’Anssi ne devrait disposer d’un authentique centre de supervision de son système de détection des attaques qu’à l’horizon 2012. Difficile également de connaître le périmètre effectif du système alors même qu’il semble conçu comme un agrégateur de sous-systèmes et que le ministère de l’Intérieur n’aura pas encore finalisé la mise en place de ses « capacités de surveillance ».
Récemment, le Secrétariat Général de la Défense Nationale (SGDN) a attribué un marché portant « sur la fourniture de conseils et d’études pour la mise en œuvre d’un centre de détection des attaques informatiques ». Le tout pour le compte de l’Agence Nationale pour la Sécurité des Systèmes d’Information (Anssi), dirigée par Patrick Pailloux. Ce centre ne serait-il alors qu’à l’état de chantier ou est-il déjà opérationnel ?
A l’occasion du quatrième Forum International de la cybercriminalité, qui se déroulait ces mercredi 31 mars et jeudi 1er avril 2010 à Lille, nous avons interrogé Patrick Paillloux sur ces questions : « le centre existe déjà. On ne communique pas sur ce que l’on y fait techniquement. […] Structurellement, c’est déjà opérationnel sur un certain nombre de briques. » Lors d’une table ronde organisée sur l’événement, le directeur général de l’Anssi indiquait d’ailleurs que, en ce qui concerne les capacités de détection des attaques informatiques « sur les réseaux les plus sensibles de l’état », « c’est opérationnel, [à l’état de, NDLR] prototype ». Prototype en phase pilote ou système totalement opérationnel ? Difficile à dire. Mais quelques éléments plaident en faveur de la seconde option. Patrick Pailloux détaille sa mission : « notre travail, c’est essentiellement d’agréger en temps réel les remontées » sur un périmètre « qu’on ne détaille pas mais sur lequel on a travaillé avec les ministères ».
Et, justement, ces derniers sont-ils prêts ? Peut-être pas. Yann Jounot, directeur de la planification de la sécurité nationale, au ministère de l'Intérieur, expliquait ainsi, au cours de la même table ronde, que son ministère, « sur son périmètre, travaille à la mise en place d’un centre opérationnel de surveillance dans le Sud de la France. Un système qui fonctionnera H24 ».
Une structure finalisée à l’horizon 2012
Quid, alors, de ce marché portant « sur la fourniture de conseils et d’études pour la mise en œuvre d’un centre de détection des attaques informatiques » ? Selon Patrick Pailloux, il s’agit principalement de concevoir le centre de supervision de la sécurité des SI critiques de l’état : « qu’est-ce que l’on fait des informations que l’on remonte, comment organise-t-on un centre de crise, le bâtiment, les écrans, les salles, etc. On se fait aider, donc, sur un certain nombre de prestations. Il y aura forcément une inauguration lorsque l’on aura un vrai bâtiment à montrer. Mais ce sera à l’horizon 2012. » Et de définir la structure de supervision de l’Anssi comme une « tour de contrôle », doté d’un effectif de 80 personnes.
Reste la question de l’efficacité du dispositif avec, notamment, sa topologie. Patrick Pailloux ne manque pas de reconnaître la difficulté de sa mission : avec les menaces informatiques, « le système est renversé [par rapport aux menaces conventionnelles pouvant concerner les états, NDLR] : les armes sont dans le grand public, c’est plutôt l’état qui ne les a pas ». Et pour concevoir une infrastructure de défense numérique, « on est quand même très grandement devant une feuille blanche ». Concrètement, selon Patrick Pailloux, « notre souci, c’est ce qui vient de l’Internet principalement ». De quoi laisser à penser qu’une surveillance périmétrique est envisagée, avec toutes les limites que cela peut impliquer. Autre limite évoquée par le directeur général de l’Anssi : « on ne trouve que ce qu’on cherche. On a besoin de savoir ce qu’il faut chercher pour le trouver. » Et de comparer cette méthodologie avec les principes de fonctionnement des anti-virus, quitte à souligner, au passage, les faiblesses de l’approche : « c’est pour cela qu’ils posent tant de problèmes. »
En complément :
- Etats ciblés, course aux armements, raids cybernétiques : la cyberguerre a-t-elle déjà commencé ?
- Assises de la sécurité : en route vers la lutte informatique offensive ?
- Cyber-attaques par déni de service : la France aussi en a été victime