Anssi : le besoin de faire plus avec plus de transparence
Un rapport sénatorial appelle à plus d’autonomie et de transparence pour l’agence nationale de la sécurité des systèmes d’information. Il fait également ressortir un très vaste éventail de missions en partie minées par des ministères aux pratiques discutables.
Que fait l’Agence Nationale pour la Sécurité des Systèmes d’Information (Anssi) ? A la lecture du rapport du sénateur Albéric de Mongolfier sur le sujet, on est en tenté de répondre : un peu de tout, et toujours plus.
Il est ainsi souligné que l’agence remplit des « missions diverses » avec, au programme, la sécurité opérationnelle des systèmes d’information de l’Etat et des opérateurs d’importance vitale (IOV), c’est le Cossi. La sous-direction des systèmes d’information (SIS) œuvre également à la protection des systèmes d’information des ministères et des OIV, mais sous l’angle préventif, à travers la conception et la mise en œuvre des SI sécurisés.
La sous-direction expertise (SDE) apparaît plus orientée veille et formation, avec pour mission de « présenter des recommandations techniques et prototypes » mais également de « développer et mettre en œuvre la politique de formation de l’Anssi ». C’est à la SDE que des chercheurs travaillent en outre sur le chiffrement.
Communiquer de plus en plus
Et bien sûr, l’agence communique et travaille à sensibiliser, dans les ministères et les administrations, mais aussi en régions via les observatoires zonaux de la sécurité des SI, les OzSSI, à raison d’un par zone de défense en lien avec le préfet délégué pour la sécurité et la défense correspondant. Les sept OzSSI de la métropole interviennent là encore auprès des acteurs publics et des OIV, mais aussi des entreprises dites « sensibles » et des organismes dits « métiers », comme les CCI. Cette année, l’Anssi va plus loin dans cette approche avec le déploiement d’un référent dans chaque région.
Et cela passe par un effort de communication croissant, bien qu’encore limité. En 2014, l’Anssi a ainsi consacré 140 000 € à sa communication, dont près de 120 000 € à l’organisation et participation à des séminaires et événements. En 2013, cette part du budget était inférieure à 80 000 €, et près de 30 000 € avaient été consacrés à la production de 16 guides d’information, notamment.
Mais si certains estiment que formation et sensibilisation sont essentiels, la part de son budget que l’Anssi consacré à la communication baisse depuis 2012 : elle était de 0,18 % à l’époque, contre 0,14 % en 2013, et 0,12 % en 2014. L’an passé, l’agence a dépensé près de 84 M€, contre 43 M€ en 2010.
Sur tous les fronts
Il faut dire que l’Anssi apparaît, à travers le rapport sénatorial, engagée sur de nombreux fronts. Ainsi, elle a procédé à 28 audits en 2013, pour la Présidence de la République, les services du Premier ministre, mais aussi ceux des ministères de la défense, des affaires étrangères, de la justice, et de l’écologie, du développement durable et de l’énergie, et 37 de plus en 2014. En 2014, elle supervisait la sécurité des SI de 218 OIV. Et c’est sans compter avec ses activités de labélisation.
Et comme le souligne le rapport, « la montrée en charge de l’Anssi ne devrait pas s’arrêter ». L’agence a d’ailleurs « vocation à intervenir lors de négociations internationales afin de faire valoir les intérêts français au sujet de la cyberdéfense ». Et ses missions de « recherche et de défense des systèmes d’information »… leur « périmètre ne cesse de s’élargir ».
Reste que l’Anssi apparaît, dans le rapport sénatorial, sous les traits d’un pompier – le terme est d’ailleurs employé par les auteurs – chargé d’intervenir sur un vaste territoire où l’essentiel des constructions sont bâties avec des matériaux hautement inflammables. Ainsi, les entités victimes d’attaques informatiques détectées par l’agence sont à 43 % des « institutions, juridictions, ministères et autorités indépendantes », et à 42 % des collectivités territoriales. Les opérateurs d’importance vitale semblent relativement épargnés : ils ne comptent que pour 12 % du lot. Et les incidents recensés pourraient prêter à sourire : à 63 %, il s’agit de défiguration de site Web. La compromission d’un système d’information n’apparaît que pour 11 % des cas, et la fuite d’informations pour 2 %.
Besoin de transparence et d’autonomie
Mais voilà, si l’Anssi apparaît si importante, elle ne dispose pourtant pas de budget propre : elle tire ses crédits du secrétariat général de la défense et de la sécurité nationale (SGDSN). Pour les auteurs du rapport, « faire de l’Anssi un budget opérationnel de programme lui donnerait une meilleure visibilité et faciliterait l’évaluation budgétaire et l’information du Parlement ». L’agence disposerait en outre d’une « plus grande liberté dans la gestion de ses crédits ».
Car en l’état, « il n’est pas possible, à parti des documents budgétaires, de reconstituer précisément le budget de l’Anssi ». Surtout, « le suivi des dépenses de personnel est complexe et aucune information n’est fournie dans les rapports annuels de performances » : cette information relève du budget du SGDSN.
Ces rapports sont d’ailleurs, selon les auteurs, « trop succincts » : « un seul indicateur de performance est associé à l’Anssi ; il mesure le ‘niveau de sécurité des systèmes d’information de l’Etat’ ». Et de déplorer que cet indicateur est « synthétique et ne distingue pas la sécurité des systèmes d’information des différents ministères ». Trop embarrassant ? On l’imagine sans peine.
Ne pas stigmatiser les mauvais élèves ?
Les sénateurs regrettent que ce seul indicateur ne permette pas « d’identifier les ministères qui sous-estiment l’enjeu que représente la cybersécurité ». Et c’est apparemment un vrai sujet car « la faiblesse des ressources consacrées par les ministères à la sécurité de leurs systèmes d’information […] constitue une difficulté importante pour l’Anssi. […] ‘Les ministères peinent à maîtriser leurs propres systèmes d’information, ce qui rend difficile la mise en œuvre des préconisations de l’Anssi’ […] ‘le niveau de sécurité constaté est hétérogène, mais généralement faible et de nombreuses règles élémentaires d’hygiène informatique restent souvent inappliquées’ ».
Enfin, lorsque l’agence intervient comme pompier, les parlementaires estiment qu’il pourrait être pertinent de mesurer son efficacité comme prestataire, avec des indicateurs ad hoc.