Comment l’Anssi s’est faite pivot d’un écosystème ouvert de la cybersécurité en France
L’agence vient de souffler ses dix bougies. L’occasion de faire le point sur une décennie bien remplie qui lui a consacré un rôle clé dans l’Hexagone, et non négligeable au-delà.
C’est en juillet 2009 qu’est officiellement née l’Agence nationale de la sécurité des systèmes d’information (Anssi), avec notamment pour mission initiale l’animation et la coordination des travaux interministériels en matière de sécurité des SI. Elle succédait ainsi à la direction centrale de la sécurité des systèmes d’information (DCSSI), avec un rôle considérablement élargi.
Car sur fond d’inquiétude croissante à l’égard des activités malicieuses d’Etats, l’agence, alors pilotée par Patrick Pailloux, passé depuis à la direction technique de la DGSE, a notamment dû s’atteler à l’épineux dossier de la sécurisation des infrastructures critiques et de leurs opérateurs, les OIV, dans la foulée de l’adoption de la loi de programmation militaire (LPM) de 2013. Un travail de longue haleine : les sondes réseau qualifiées ne sont disponibles que depuis le mois d’avril de cette année 2019.
Mais la posture de sécurité de certains systèmes d’information d’importance vitale (SIIV) n’a pas manqué de laisser à l’Anssi un certain temps : début 2017, Guillaume Poupard, qui a pris la direction de l’agence à la suite de Patrick Pailloux début 2014, le reconnaissait : certains OIV partaient de très loin. Accessoirement, le décret déterminant les procédures de qualification des produits et services de confiance pour SIIV aura attendu le printemps 2015.
Qu’à cela ne tienne, entre temps, l’Anssi n’a pas manqué de chantiers auxquels s’atteler, avec les PME, toujours au printemps 2015, mais aussi la directive européenne pour la sécurité des réseaux et des systèmes d’information (NIS). Sa transposition en droit français a défini un statut d’opérateur de services essentiels rappelant fortement celui des OIV. Un texte qui n’a pas manqué de donner un pouvoir important à l’Anssi. Et s’ils ont longtemps donné l’impression d’avoir été oubliés, les citoyens ont finalement été pris en compte, que ce soit pour la sensibilisation, avec notamment un MOOC, ou pour l’accompagnement en cas d’incident. A noter que l’agence vient de profiter de la célébration de son dixième anniversaire pour actualiser son recueil de conseils à l’intention des professionnels en déplacement.
Et puis c’est sans compter des interventions, comme l’attaque de TV5 Monde, qui ont conduit Guillaume Poupard à se voir parfois en urgentiste de la cybersécurité. Mais l’Anssi n’est pas que cela.
Du fait de ses missions, l’agence s’est imposée comme un acteur essentiel de l’écosystème national, voire européen, de la cybersécurité. Cela commence avec la formation, et le label SecNumEdu pour l’enseignement supérieur. Aujourd’hui, l’Anssi veut aller plus loin, avec l’intégration de la cybersécurité dans les programmes scolaires et le futur service national universel. Mais plus généralement, l’agence assure que « la formation sera un axe de travail majeur » pour elle, sur les 10 années à venir.
L’agence revendique aussi une ambition d’ouverture et d’innovation. Et celle-ci n’a rien d’usurpée. L’Anssi contribue au développement de l’IDS Suricata et partage de nombreux projets en open source, que ce soit son système d’exploitation durci Clip OS ou plus récemment son projet Wookey de disque externe sécurisé. Dans un échange avec la rédaction, à l’automne dernier, Guillaume Poupard l’affirmait : « l’open source est dans l’ADN de l’agence ».
Extrêmement fier et enthousiaste de la mission qui m est confiée par le gouvernement ce soir au profit de cyber sécurité française. A construire tous ensemblehttps://t.co/sGkf4WQAXD
— Michel VanDenBerghe (@VanDenBergheOCD) June 4, 2019
Mais l’Anssi contribue également à l’écosystème français de la cybersécurité par ses talents et les entreprises qu’ils créent, à l’instar d’Alsid, de Citalid, ou encore de Zyroc.
La célébration de l’anniversaire de l’agence, par ailleurs, a été l’occasion pour Cédric O, secrétaire d’Etat chargé du Numérique, d’annoncer le lancement d’une mission pour la création d’un écosystème regroupant privé, public et recherche, un « grand campus de la cybersécurité ». Et Michel Van Den Berghe, patron d’Orange Cyberdéfense s’en est vu confier le pilotage.