On a (enfin) pu visiter le QG de la cyberdéfense française

La "tour Mercure", dans le XVe arrondissement, accueille le siège de l'Anssi. Un lieu ultrasécurisé, ouvert pour la première fois.

De l’extérieur, l’assemblage de Kapla blancs qu’est la "tour Mercure" ne détone pas particulièrement dans le complexe rétrofuturiste bétonné de Beaugrenelle. C’est pourtant là, tranquillement posé dans le 15e arrondissement, en face de l’île aux Cygnes et à un jet de pierre de la tour Eiffel, que se trouve depuis 2014 le centre de commandement de l’Agence nationale pour la sécurité des systèmes d’information (Anssi).

Ultra-sécurisé, le lieu abrite le centre névralgique de la cyberdéfense française. On n’y entre pas sans avoir de bonne raison. Téléphones portables, ordinateurs et tablettes restent à l’entrée. Pour la première fois de sa jeune histoire, l’Anssi a invité une poignée de journalistes, dont Konbini, à visiter ses locaux. Ou, du moins, la partie la moins sensible. "Vous ne verrez pas toute la réalité", nous glisse-t-on au début de la visite.

Publicité

Pour l’Anssi, l’objectif de cette opération médiatique est donc de "démystifier" la cyberdéfense. Pas facile, vu le nombre d’images d’Épinal que véhicule le secteur depuis Hackers, Mr Robot et autres joyeusetés encapuchonnées. Même habitués, on s’attend quand même à passer les portes et tomber sur une salle de crise façon Le Bureau des légendes, où de jeunes nerds à peine sortis de la puberté s’excitent sur des claviers dans la pénombre pendant que de gros points rouges scintillent méchamment sur une carte du Moyen-Orient.

Il n’en est rien. Les employés sont relativement jeunes, les bureaux anonymes sont ceux de n’importe quelle administration. À ceci près que les écrans sont tous tournés de manière à ne pas être observables depuis l’extérieur, qu’aucun papier ne traîne sur les bureaux, et que les autocollants "confidentiel défense" sont disséminés sur tous les ordinateurs. On se trouve bien dans un site d’importance stratégique.

Défense, formation, certifications…

Née en 2009, l’Anssi a pour vocation de protéger les infrastructures informatiques du pays contre les cyberattaques. Elle se concentre plus particulièrement sur les ministères, les entreprises, les 249 opérateurs d’importance vitale (OIV) – centrales énergétiques, services hospitaliers, opérateurs télécoms, entreprises aéronautiques et automobiles, groupes cotés au CAC 40, etc. – et les 122 opérateurs de service essentiels, créés en novembre 2018 (qui peuvent parfois être des OIV, la liste étant secrète). Capable de répondre immédiatement en cas d’urgence, l’agence est le "cyber-pompier" du pays.

Publicité

Au-delà de la protection rapprochée des acteurs stratégiques, la mission de l’agence est plus vaste. La sous-direction Expertise propose de l’aide aux PME et de la formation aux pratiques de sécurité, édite des MOOCs, effectue des audits de logiciel et de matériel (notamment en amont du déploiement du réseau mobile 5G) et distribue des certifications de sécurité. Elle développe même des produits maison : la super-clé USB chiffrée WooKey, spécialement conçue pour transporter des données sensibles, ou le système d’exploitation Clip OS, en développement depuis 2005 (!). Tous deux produits en open source et sous licence libre, afin que la communauté des développeurs puisse les améliorer. En tout, l’Anssi maintient 13 projets similaires.

Jusqu’ici, tout va bien…

Du côté de la sous-direction Opérations, l’agence s’attache à détecter, observer et analyser les menaces cyber. À commencer par les fameuses "menaces persistantes avancées", ou APT. Ces groupes de hackers, parfois financés par des gouvernements, s’infiltrent patiemment et profondément dans les réseaux informatiques. Leur but : espionner, comme l’ont fait les services de renseignement chinois avec l’équipementier Safran en 2018… mais aussi saboter à distance. Les précédents, comme dans les centrales iraniennes (avec le virus Stuxnet) ou ukrainiennes (avec Industroyer), font froid dans le dos.

"Notre cœur de métier, c’est l’espionnage, mais le sabotage, c’est le cas que l’on craint le plus", concède François Deruty, sous-directeur des Opérations. La France n' a encore jamais connu de "Pearl Harbor numérique" : "il n’y a pas de cas avéré", rassure Deruty, mais "il y a des signes qu’on endigue. Ou alors ils n’ont pas encore appuyé sur le bouton."

Publicité

Pour éviter le scénario catastrophe d’un cybersabotage, l’Anssi place notamment des "sondes passives" dans les ministères, qui font remonter des alertes de tentatives d’intrusion dans les systèmes. On dénombre "10 à 20 alertes par semaine en fonction des ministères et des événements", détaille François Deruty. Souvent, la méthode employée est celle du hameçonnage, dans laquelle un faux email permet à l’attaquant de récupérer les identifiants de connexion de la victime.

Que ce soit pour espionner ou saboter, les hackers ont leurs cibles de choix. Justice, défense, économie…."le régalien au sens large est le plus visé", affirme-t-on à l’Anssi. Le 13 décembre dernier, le Quai d’Orsay était à son tour visé : la base de données Ariane, qui permet aux ressortissants français en voyage de le faire savoir aux autorités, était piratée, mettant les données personnelles de 500 000 personnes en danger.

Salle de crise pour les "gilets jaunes"

En cas de crise, l’Anssi est la "caserne de pompiers" du cyber. Toute entreprise ou commune peut joindre le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT), qui dispose d’agents en astreinte 24 heures sur 24 (5 la journée, au moins un la nuit). L’année dernière, le "18" de l’Anssi a reçu "3 000 signalements", dénombre François Deruty. Parmi ces alertes, "de plus en plus" de communautés de communes et de PME. 

Publicité

Les premières, comme la ville de Sarrebourg (Moselle), doivent faire face à la menace des rançongiciels, qui paralysent les réseaux publics et demandent un paiement en cryptomonnaies. Quant aux petites entreprises sous-traitantes, elles servent désormais de portes d’entrées aux hackers pour attaquer des grands groupes industriels. Ce modèle dit "d’attaque de la chaîne d’approvisionnement" se répand car "attaquer un OIV en frontal est devenu très difficile", selon Deruty. Le rapport de force est toujours en faveur de l’attaquant, rappelle-t-il avec une métaphore claire : "on doit fermer toutes les portes, il leur suffit de trouver une fenêtre ouverte." L’approche de l’agence consiste donc à "rendre une attaque tellement coûteuse qu’elle n’en vaut pas la peine."

Lorsque l’attaque est suffisamment grave, le CERT se regroupe dans une salle de crise ultra-sécurisée pour se préparer au siège : "il y a une salle de repos et de quoi tenir 72 heures en continu", explique Deruty alors que nous visitons la fameuse salle, car "une crise cyber dure forcément longtemps". C’est ici, par exemple, que les "pompiers" de l’Anssi se sont battus contre les pirates informatiques qui avaient attaqué TV5 Monde le 8 avril 2015. La dernière fois que la salle a été (officiellement) utilisée, nous dit-on, c’était le 8 décembre dernier. Les manifestations des "gilets jaunes" à Paris prenaient les forces de l’ordre de court, autant sur les pavés parisiens que sur les réseaux informatiques. "On a eu peur qu’un site tombe", reconnaît François Deruty. Depuis, la salle est restée vide.

Si vis pacem, para bellum

Cet été, l’agence a fêté ses dix ans d’existence. Et les affaires tournent. De 120 agents à sa création, l’Anssi dispose désormais de près de 600 "cyberpompiers" et affirme vouloir recruter 120 à 150 collaborateurs pendant les deux prochaines années, contre 50 actuellement. Selon son directeur Guillaume Poupard, c’est en partie ce qui motive cet effort inédit de transparence : "on n’a pas cherché à mettre en valeur l’intérieur. Aujourd’hui, on a tout intérêt à montrer ce qu’on fait pour attirer de nouveaux talents", affirme-t-il. Et avertir au passage les autres belligérants de la cyberguerre que "la France est prête, et la France peut faire face." Mieux : la France s’autorise désormais à riposter. Pour viser la paix, autant préparer la guerre.

Le 19 janvier dernier, Florence Parly, ministre des Armées, déclare que "la guerre cyber a commencé". Dont acte : la doctrine du commandement de la cyberdéfense (COMCYBER) évolue. La France, dotée de capacités offensives "depuis 2008" selon Guillaume Poupard, est désormais autorisée à les utiliser pour répliquer. L’Anssi, à stricte vocation défensive, n’est pas concernée au premier chef… mais maintenant que la France a rejoint le rang des puissances belligérantes, le cyberespace hexagonal n’est pas près de se pacifier. Et Poupard le sait : "quand on voit l’équilibre géopolitique du monde, je ne vois pas comment cette tendance pourrait s’inverser. [Le cyber] est un endroit où l’on va se battre."

Se battre, donc, et dans un terrain sans contours : du point de vue des institutions mondiales, l’attaque informatique est dans un angle mort juridique – dans son rapport annuel 2018, l’Anssi dénonçait une "zone d’incertitude" –, puisqu’il n’existe pas encore de droit international de la cyberguerre. Dans un tel paradigme, assurer la cyberdéfense est une tâche immense, qui va "de faire attention à changer son mot de passe à préparer la troisième guerre mondiale." Tout ça à la fois, dans la tour Mercure.

 

Par Thibault Prévost, publié le 20/09/2019

Copié

Pour vous :