PREMIER MINISTRE

Secrtariat gnral de la dfense et de la scurit nationale Agence nationale de la scurit des systmes dinformation

Discours de Patrick Pailloux, directeur gnral de lAgence nationale de la scurit des systmes dinformation lors des Assises de la scurit 2012

Monaco, le mercredi 3 octobre 2012 Seul le prononc fait foi Bonjour tous, La dernire fois que l'on s'est vu, c'tait quasiment il y a un an, jour pour jour, pour la clture des Assises 2011. On se retrouve pour l'ouverture des Assises 2012. Permettez-moi de profiter de l'occasion pour une nouvelle fois remercier et fliciter Grard Rio et son quipe, notamment Sophie Gurin. Ces mots de remerciement ne sont pas qu'une formule, mais avoir l'occasion de voir comme cela, une fois par an, runis quasiment tous les acteurs franais de la cyberscurit, c'est une chance unique et mon premier message, l'occasion de cette introduction, c'est : profitez-en ! Les enjeux que nous avons relever sont extraordinaires, donc changez, partagez, rencontrez, tudiez,... Si jen reviens l'anne dernire, jtais intervenu sur le thme de l'hygine informatique, du retour aux bases. Je voudrais bien vous dire que tout le monde s'y est mis. Mais videmment vous ne me croiriez pas, et vous auriez raison. Pour autant, nous avons rencontr plusieurs entreprises, dont de trs grandes qui ont, suite cette proposition dactions que je faisais lanne dernire, mis en place un plan concret de progrs. Cest dj le dbut d'un succs. Mais videmment, c'est sans doute l'arbre qui cache la fort. Je rencontre de nombreux chefs d'entreprises et la bonne nouvelle, c'est que la plupart d'entre eux sont dsormais conscients du problme et de la ncessit dagir dans le domaine de la cyberscurit, notamment pour protger le patrimoine de leur entreprise.

51 boulevard de La Tour-Maubourg 75700 PARIS 07 SP - Tl 01.71.75.84.05 - Fax 01.71.75.84.00

Par contre, la plupart du temps, ils sont assez dsarms, ne savent pas quoi faire concrtement. Je voudrais partager avec vous le conseil que je donne gnralement : En matire de scurit informatique, la priorit cest l'hygine. Concrtement, il y a un certain nombre de vrifications faire et de mesures prendre qui sont proposes par l'ANSSI. Demandez votre directeur des systmes dinformation de faire ces vrifications, de vous rendre compte point par point, de faire un bilan de situation sur les mesures proposes et de proposer un plan d'actions pour rpondre aux difficults ventuellement rencontres. Pour aider ce travail, lANSSI publie aujourd'hui un prcis dhygine informatique. Nous vous proposons en treize tapes, soit 40 rgles concrtes et pratiques, dassainir votre systme dinformation. Ces 40 rgles doivent toutes tre appliques systmatiquement, partout. Appliquer ces 40 rgles garantira vos systmes dinformation une meilleure rsilience face aux cyberattaques, et donc protgera lentreprise qui vous fait confiance pour sa scurit informatique. Avec ce document plus personne n'a dsormais dexcuse pour ne pas appliquer ces mesures. Je connais davance ce que l'on va me rtorquer : votre document est trop compliqu, n'est pas en relation avec la ralit terrain. Je ne crois pas. Nous avons maintenant, croyez-moi, une bonne exprience terrain. Mais admettons. Nous publions aujourd'hui une version 0 que l'on va appeler version de travail . Je fais appel vous tous aujourd'hui : faites-nous, dans le mois qui vient, tous les commentaires que vous estimerez utiles, si possible constructifs, et sur cette base, nous publierons une premire version officielle. Mon objectif dans cette affaire est simple. Je ne veux plus qu'il soit possible de me dire: on ne savait pas quoi faire, c'est compliqu, mon pauvre monsieur si vous saviez, on na pas la comptence . Il va dsormais y avoir une liste publique de vrifications faire, de mesures simples prendre, comprhensibles par presque tout le monde et, cest une certitude, par tous les informaticiens. Ceux qui n'auront pas appliqu ces mesures ne pourront s'en prendre qu' eux-mmes. * *

Cela m'amne au deuxime sujet que je voulais voquer devant vous, qui lui aussi fait souvent lobjet de mon pauvre monsieur si vous saviez et qui rsonne avec le titre de mon intervention sur le pouvoir de dire non. Sur les raisons de labsence de scurit informatique, je crois que j'ai entendu tous les arguments possibles et imaginables. Le plus souvent, ils se rsument deux sujets : - cest trop difficile, on na pas la comptence, on ne sait pas quoi faire... Le document que nous avons publi rpond cette question ; - ce nest pas accept par les utilisateurs, cest trop de contraintes. A force dentendre, comme vous, ces arguments, je me suis forg la conviction que l'on a, dans le monde immatriel, des modes de raisonnement que lon na pas dans le monde matriel.

Prenons ensemble quelques exemples : - la vitesse : dans le monde immatriel il faut tre connect tout, en permanence pour aller vite. Sur la route, pour faire Paris-Lyon, vous tes limits 130 km/h. Pourtant, si vous pouviez aller plus vite, vous pourriez gagner du temps, travailler plus, voir plus de monde. Oui, mais en moyenne, vous ne le faites pas parce qu'il y a une rgle, et que, globalement, vous la respectez. En plus, les gendarmes vous aident la respecter si jamais vous aviez quelques tentations. - les mots de passe, les cartes d'authentification c'est pnible, c'est long, on perd du temps et puis verrouiller son ordinateur quand on part c'est inutile... Pourtant, quand vous sortez de chez vous, vous fermez bien les fentres, les volets peut-tre, les serrures videmment, vous activez l'alarme, vous fermez le portail... vous ne laissez pas tout ouvert ? - vos affaires de valeur, vous les mettez peut-tre dans un coffre la banque ? Pourtant, pour y aller, il faut s'organiser, se dplacer aux horaires d'ouverture. Vos affaires de valeur, vous ne les laissez pas traner nimporte o ? - en plus, vos affaires de valeur sont tries. Je n'imagine pas que, chez vous par exemple, vos feuilles de salaires ou vos feuilles d'impts tranent au milieu de piles d'anciens prospectus. Pourtant, c'est bien ce que l'on fait dans le monde immatriel : on mlange les donnes sensibles et avec le tout-venant. Celles-ci sont stockes nimporte o. Et le nec plus ultra, les donnes sont accessibles depuis partout, depuis n'importe quel terminal, de faon immdiate et sans contrainte avec le Cloud, votre smartphone... J'arrte les exemples. La question c'est pourquoi dans limmatriel on naccepte pas les contraintes et que l'on se croit en scurit. Je ne suis pas sociologue, psychologue ou philosophe... je suis ingnieur. Mais ce dont je suis sr, c'est que si on ne change pas ces comportements, on narrivera pas grand-chose, comme avec l'hygine. Le message faire passer c'est que, dans le monde immatriel, comme ailleurs, il y a des rgles, il y a des contraintes, ce n'est pas la jungle, et ceux qui ne respectent pas les rgles, dune manire ou dune autre, sont sanctionns. Alors je sais, les systmes de scurit sont parfois lourds. Alors je sais, les tablettes, c'est formidable. Tenez, restons un instant sur les tablettes. C'est un sujet que j'entends souvent. Je n'ai rien contre cette technologie. Je suis convaincu qu'elle va remplacer terme, au moins pour partie, les ordinateurs portables. La technologie elle est ce qu'elle est. Mais ds qu'on la connecte, doit-on accepter, pour pouvoir l'utiliser de faon nominale, quil faille passer notamment par les fourches caudines de la gestion d'identit d'Apple ou de Google ? Je dis clairement non. En tout cas, ds que l'on manipule des donnes sensibles. Et franchement, qui dans le milieu professionnel ne manipule pas des donnes sensibles : les contrats, le fichier clients, les rsultats de lentreprise, lorganisation de la production sont des donnes sensibles.

Il y a des solutions, ou du moins elles commencent pointer leur nez, qui permettent de rpondre au besoin de mobilit et qui sadaptent tant bien que mal aux nouvelles technologies. Mais videmment, elles sont moins conviviales, plus difficiles grer pour les quipes informatiques, et elles cotent de l'argent. Toutes les bonnes raisons de ne pas les utiliser. Je vais vous dire ma vision des choses : il faut entrer en rsistance contre la libert totale dans l'usage des technologies de l'information. Dans une entreprise : non on ne travaille pas avec son terminal priv, non on ne connecte pas un terminal contrl par un tiers, non on n'installe pas le dernier joujou la mode, non je ne mets pas les donnes de mon entreprise dans le Cloud gratuit, non je ne mets pas au mme endroit mes donnes sensibles et les autres, non je ne laisse pas mon ordinateur connect si je ne suis pas l. A l'tranger : non je ne peux pas, depuis ma chambre d'htel, accder mes donnes sans un dispositif de scurit, non je ne vais pas au restaurant en laissant mon portable avec des donnes sensibles dans ma chambre d'htel, non je n'envoie pas par mail des informations trs sensibles,... La scurit c'est aussi avoir le courage de dire non. videmment, c'est au patron de l'entreprise d'assumer ces rgles et croyez-moi, c'est comme l'hygine, c'est possible. En matire de scurit, pardonnez-moi cette rfrence dtourne : il est autoris d'interdire. Attention, et ce point est videmment critique : face linterdiction, il faut dune part, expliquer les raisons de ces contraintes, et dautre part, lorsque la demande correspond un rel besoin (et non une envie), trouver et expliquer la faon, certes sans doute moins conviviale, darriver au mme rsultat. Donc en fait, la bonne rponse nest pas non, c'est non mais. Une telle posture a galement un autre avantage : plutt que denrichir encore un peu plus les fournisseurs de solutions non scurises, on favorisera les industriels, qui tant bien que mal, et ils sont nombreux ici, essayent de fournir des solutions scurises. * *

Il y a un dernier point que je voudrais exposer devant vous. Ce sujet est plus grave, dune certaine faon, que les deux autres. Il ne vous aura pas chapp, je l'espre, que l'ANSSI a publi un guide (un guide et un cas pdagogique) sur la cyberscurit des systmes industriels. Jen profite d'ailleurs : on na pas publi que cela. Nous avons publi : des recommandations de scurit relatives un systme GNU/Linux ; des recommandations de scurit relatives Ipsec pour la protection des flux rseau ; des recommandations de scurit relatives la tlassistance ; une mthodologie et des outils daudit des permissions dun Active Directory ; un guide sur les problmatiques de scurit associes la virtualisation des systmes dinformation ; un guide pour la dfinition d'une architecture de passerelles d'interconnexion scurise ; les bons rflexes en cas d'intrusion sur un systme d'information ; des conseils de prvention et de raction en cas de dnis de service.

Bref, pas mal de recommandations techniques que lon voudrait bien voir mises en uvre. Ces lments, vous pouvez en user et en abuser. Pour en revenir la scurit des systmes industriels, je dois vous dire que ce sujet m'inquite normment. Lexemple d'Aramco en Arabie Saoudite n'est d'ailleurs pas pour me rassurer. D'une part, on observe de plus en plus de systmes industriels informatiss, de plus en plus de systmes industriels interconnects avec le rseau de l'entreprise, voire avec Internet, et dautre part, on voit de plus en plus de personnes s'intresser l'attaque de ces dispositifs, on commence mme avoir quelques exemples dattaques ltranger. Il est absolument impratif que les entreprises qui disposent de systmes industriels vrifient bien l'isolation de ces derniers de l'Internet et, si ce n'est pas le cas, je n'ai pas d'autre recommandation faire que de les dconnecter, et je suis extrmement srieux. Si jamais, pour des raisons de fonctionnement, il est impossible de les dconnecter dInternet, je ne saurais trop recommander de rapidement chercher une solution alternative. De la mme faon, je voudrais attirer lattention des industriels qui dveloppent et installent des systmes industriels. Jai dit prcdemment quil fallait respecter les rgles dhygine informatique. Dans le cas des systmes industriels, cest presque criminel et je pse mes mots - de ne pas les respecter. Je vous rassure, dans la trs grande majorit des cas que nous avons observs, dans la totalit des affaires les plus critiques, ces rgles sont bien appliques, mais il y a de trs trs nombreux systmes industriels Plus largement, mme si ce n'est pas l'objet de la confrence d'aujourd'hui, plongez-vous dans l'tude de cas publie par l'ANSSI, vous y trouverez matire rflexion. Sachez en tout cas que ce sujet est une priorit pour l'ANSSI et que nous sommes la disposition de ceux d'entre vous qui voudraient changer sur ce sujet. On aura srement l'occasion d'y revenir dans les annes venir. * *

Au moment de clore mon intervention, je mesure bien une nouvelle fois le ct un peu agressif et professoral de mon discours. Sincrement, je prfrerais tre parmi vous et vous dire que cette anne les attaques ont baiss, que nos clignotants sont au vert, que mes quipes d'audit n'arrivent plus pntrer les systmes qu'ils testent, que le monde cyber s'apaise Malheureusement, ce n'est pas ce que je constate. Et si l'on ne fait pas changer les choses, je ne sais pas o l'on va. Ou plutt si je sais. Et personne naurait envie de ce monde l. L'ANSSI, plus que n'importe qui, doit agir et je veux rendre ici hommage mes collaborateurs dont les nuits sont souvent courtes. Je nai pas beaucoup parl de lANSSI dans mon intervention mais pour ceux que cela intresse trois petites brves :

Les divisions techniques de lANSSI vont dmnager au cours du second semestre 2013. Les locaux actuels sont devenus bien trop petits pour absorber notre monte en puissance. Nous allons nous installer dans des locaux de haute qualit environnementale dans le XVme arrondissement de Paris. Le challenge gliss dans notre logo sur le site nest toujours pas rsolu Mais surtout, l'ANSSI continue de recruter, sans doute autour de 80 personnes lanne prochaine, en tenant compte du turnover. Donc, si vous connaissez des candidats de valeur qui nont pas trop besoin de sommeil... La liste des fiches de poste est dailleurs consultable sur Internet et sur notre stand.

Voil, j'en ai termin. Il me reste vous souhaiter de bonnes assises de la scurit. L'ANSSI est, comme l'anne dernire, prsente avec un stand. Cela nous donnera l'occasion de multiplier les changes.