L’ANSSI sur le Campus technologique du Groupe IONIS
Lundi 15 octobre, l’EPITA et Epitech ont reçu Patrick Pailloux, directeur général de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) dans le cadre d’une conférence exceptionnelle. Plus de 300 personnes ont assisté à cette présentation des enjeux actuels de la sécurité informatique.
L’ANSSI a pour mission de sécuriser et de défendre les systèmes d’information du pays. Le conseil en sécurité, la labélisation de logiciel ou l’édiction de règles font partie de son champ d’action. L’Agence dispose en outre d’une équipe d’intervention disponible 24 h / 24 pour déjouer les attaques que subissent les systèmes sous sa protection. Regroupant aujourd’hui plus de 250 collaborateurs, l’ANSSI devrait voir ses effectifs passer à 360 à la fin 2013.
Patrick Pailloux a commencé par dresser un portrait plutôt sombre des systèmes d’information actuels : l’arrivée d’Internet dans un très grand nombre de foyers français (près de 70 % équipés en 2010) a bousculé les habitudes : les limites d’espace et de temps se sont effondrées. Internet s’est développé sans contrôle extérieur et selon des règles de confiance. Actuellement, bien qu’elle soit très peu sécurisée (parce que difficilement sécurisable), la norme IP est omniprésente et le routeur IP est devenu un élément essentiel de chaque système d’information. Enfin, l’interconnexion dans l’entreprise est maintenant omniprésente : il s’agit de contrôler en temps réel, via le réseau, chacun des outils en ligne. « Les systèmes d’information deviennent les systèmes nerveux de notre société » a-t-il ainsi affirmé.
La guerre contre les cybercriminels n’est pas perdue
Dans ce contexte de « Far West » informatique plutôt que d’Etat de droit, deux grandes catégories d’attaques informatiques sont à signaler. L’espionnage a maintenant un volume inimaginable, bien pire que du temps de la Guerre Froide : aujourd’hui, il est à la portée de tous, pour un risque et un coût relativement faibles. Par exemple, l’installation d’un mouchard sur un téléphone portable pour surveiller ses enfants ou son conjoint ne coûte que quelques dizaines d’euros. Outre son caractère totalement illégal, une personne avec plus d’ambition peut utiliser ces mouchards à des fins bien pires. Or, les entreprises sont très peu mobilisées sur la question. Quant au sabotage, qui s’apparente à une attaque informatique contre le système nerveux de l’entreprise, il est encore plus simple à mettre en place que l’espionnage. Une fois introduit dans le système, il suffit d’envoyer l’ordre d’attaque pour effacer certaines données, surcharger les serveurs ou modifier irrémédiablement le comportement d’actionneurs pour les endommager, comme ça a été le cas avec le virus Stuxnet.
Pour l’ANSSI, la guerre contre les cybercriminels n’est pas perdue. La première chose à faire est d’appliquer des règles d’hygiène informatique simple. L’Agence a édicté un ensemble de 40 règles basiques sans lesquelles il est trop risqué de travailler. Parmi elles, on compte : avoir la carte des points d’entrée et de sortie de son réseau lorsque l’on est responsable des systèmes d’information ; ne jamais connecter un compte administrateur d’ordinateur à Internet ; supprimer les comptes par défaut des systèmes d’exploitation. Ces règles sont consultables dans leur intégralité sur le site de l’ANSSI.
Avant de laisser la parole au public pour lui poser des questions, Patrick Pailloux a tenu à lancer une invitation à tous les étudiants présents intéressés par la sécurité informatique. Il a affirmé que le challenge technique de la sécurité informatique ne venait pas de la découverte et de l’exploitation de failles, mais de celui de la défense de systèmes d’information. Plutôt que d’être tenté de franchir la ligne de la légalité, mieux vaut rejoindre ceux qui vont créer des logiciels résistants aux attaques informatiques. En France, il faudrait former quatre fois plus d’experts spécialisés dans la sécurité qu’on n’en compte aujourd’hui : l’ANSSI, ainsi que de nombreux organismes privés, recrutent…