L'Anssi, que j'ai l'honneur de diriger depuis près de trois mois, incarne un modèle français de la cybersécurité qui permet à la France de se tenir au premier rang des pays en la matière.
Ce modèle se caractérise d'abord par notre choix de séparer l'épée et le bouclier : l'Anssi n'est pas un service de renseignement, ni de police ; elle est chargée de la cybersécurité. En outre, dans l'organisation de l'État, cette mission relève directement de la Première ministre et revêt une dimension interministérielle qui constitue un atout majeur pour organiser la cohérence d'ensemble du dispositif national de cybersécurité.
L'Anssi doit remplir trois missions. La première est la réponse aux attaques : il ne s'agit pas de contre-attaquer, mais de détecter, comprendre, alerter et remédier, directement ou par le biais de prestataires, aux conséquences des attaques. La deuxième mission de l'Anssi consiste à sécuriser l'État et les activités d'importance vitale. Pour la mener à bien, vous nous avez accordé des pouvoirs réglementaires qui nous permettent de contraindre une administration ou un opérateur d'importance vitale à renforcer sa sécurité. Enfin, l'Anssi est chargée de protéger nos concitoyens, dans un rôle de conseil des politiques publiques en lien avec la cybersécurité, de mobilisation d'un écosystème de prestataires privés, de construction d'une offre de formation pour développer la cybersécurité et l'étendre à toute la société.
Nous exerçons ces missions dans un contexte d'augmentation sensible de la menace. Alors qu'elle restait très concentrée sur quelques acteurs qui se distinguaient par leur taille ou leur visibilité, cette menace touche désormais nos établissements de santé, nos PME ou encore nos collectivités. Elle est de trois ordres : il s'agit d'abord d'une menace stratégique, qui perdure et reste concentrée sur les activités régaliennes. Des États en sont généralement à l'origine. S'y ajoute une menace à vocation lucrative, qui est le fait du crime organisé, et dont le mode opératoire privilégié est le rançongiciel. Enfin, la menace revendicative – dont vous avez récemment été victimes – se contente de saturer des sites internet pour les rendre inaccessibles, sans dégâts pérennes, mais en engendrant une importante visibilité.
Cette menace touche tout le monde – particulièrement la menace criminelle à but lucratif. Son impact est évidemment inacceptable, notamment lorsqu'elle touche des hôpitaux, qu'elle remet en cause la délivrance de services publics de proximité ou qu'elle met en danger la santé de nos entreprises, en particulier les PME.
Cette menace évolue aussi sur le plan technique : une convergence s'est opérée entre les outils utilisés par les attaquants de nature stratégique – les États – et le crime organisé. Elle s'est industrialisée, pour viser massivement un secteur d'activité entier, ou, au contraire, sélectionner très précisément ses cibles. Enfin, nous avons vu se développer son agilité, c'est-à-dire sa capacité tant à s'adapter aux technologies qu'à trouver des parades à nos propres réponses.
Cette menace repose sur des vulnérabilités connues des systèmes d'information, qui font souvent l'objet de correctifs publiés par des éditeurs, mais qui ne sont pas appliqués. En l'absence de telles vulnérabilités, cette menace sait contourner les défenses les plus fortes pour s'attaquer aux maillons faibles, en s'attaquant par exemple aux sous-traitants d'activité critique ou en ciblant de nouveaux usages mal appréhendés en matière de sécurité, comme le cloud.
Une attaque de cybersécurité se déroule en plusieurs phases, qui durent parfois plusieurs semaines ou plusieurs mois. La reconnaissance en est la première étape : l'attaquant – sans action visible – cherche à comprendre sa cible et à déterminer ses vulnérabilités. Il procède ensuite à une intrusion initiale par laquelle il pénètre dans le système d'information. Suit l'escalade des privilèges : l'attaquant essaie d'outrepasser les droits qu'il a pu obtenir lors de la phase d'intrusion initiale et de récupérer des droits d'administration pour prendre le contrôle de l'ensemble du système d'information. Vient enfin la phase d'exploitation, lors de laquelle l'attaquant va exploiter l'accès qu'il a obtenu pour atteindre son objectif.
Il n'y a jamais de lien direct entre un ordinateur à la main d'un attaquant et celui de la victime. En effet, les attaquants passent par des rebonds multiples sur des systèmes intermédiaires afin de masquer leurs traces : il peut s'agir de serveurs qu'ils ont loués eux-mêmes, ou de systèmes de tiers, qui, sous le contrôle de l'attaquant, participent à leur insu à une attaque. Ce chemin de commande et contrôle garantit aux attaquants leur anonymisation et leur persistance. La remontée de ce chemin est l'un des enjeux clés de l'analyse de cette attaque, du déploiement de parades et dans l'alerte de potentielles victimes.
Au défi fondamental de massification des attaques s'ajoute celui de la massification des bénéficiaires. La directive européenne NIS 2 publiée en décembre devrait multiplier par dix ou vingt le nombre d'opérateurs assujettis à des règles de cybersécurité et tombant dans le champ de responsabilité de l'Anssi. Cette massification engendre ainsi un enjeu d'efficacité et de célérité dans les réponses aux attaques. Il nous faut mieux anticiper les vulnérabilités, plus vite identifier les victimes potentielles, comprendre mieux et plus rapidement les attaques et leur évolution, et pouvoir, dans des cas extrêmes, les bloquer au moins temporairement.
Cette finalité de gain d'efficacité est visée par les articles 32 à 35 du projet de loi : ils complètent, en en tirant les bilans, les articles de la LPM de 2018 qui nous avait déjà dotés de certaines capacités en la matière. Elle avait instauré pour la première fois un régime de contrôle de ces activités, reposant sur l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (Arcep), et distinct de celui assuré par la Commission nationale de contrôle des techniques de renseignement (CNCTR).
Les articles 32 et 33 concernent le système de noms de domaine (DNS). Ce protocole universel et fondateur des réseaux internet consiste à transformer un nom de domaine en adresse IP, c'est-à-dire une suite de chiffres utilisée pour identifier une machine et acheminer les flux au sein des réseaux. Ces services DNS, qui sont opérés par des fournisseurs d'accès ou des acteurs spécialisés, interviennent à leur insu dans les attaques pour accéder au système de leurs victimes. Les articles 32 et 33 capitalisent sur le rôle du DNS pour augmenter notre efficacité opérationnelle. L'article 32 propose d'étendre le régime de blocage de certains noms de domaine – qui existe dans le cadre de la lutte contre la pédopornographie en ligne ou les appels au terrorisme – au domaine de la cybersécurité. Deux régimes seraient établis : le premier permettrait à l'Anssi de demander aux propriétaires légitimes d'un nom de domaine, attaqués à leur insu, de prendre toute mesure visant à évincer l'attaquant qui se sert de leur serveur, ou de bloquer le nom de domaine s'ils n'y parviennent pas. Le deuxième régime concernerait les noms de domaine détenus par l'attaquant lui-même : il permettrait alors le blocage immédiat des flux. Ces dispositifs auraient une utilisation limitée : ils ne visent en rien à procéder à des blocages massifs. Toutefois, ils seraient très utiles pour jouer un rôle de frein d'arrêt d'urgence en cas d'une vague d'attaques massive, par exemple lors des Jeux olympiques.
L'article 33 vise à nous donner accès à l'historique des serveurs de DNS – c'est-à-dire l'historique de la traduction d'un nom de domaine en adresse IP –, sans inclure les adresses IP des demandeurs qui auraient cherché à accéder directement au site internet. Ces informations, dont disposent de manière générale les fournisseurs de ces services, nous seraient très utiles pour contribuer à la compréhension d'une infrastructure d'attaque, pour contribuer à son suivi dans le temps, pour mieux les entraver, et, surtout, mieux anticiper les prochaines victimes.
Dans un autre domaine, l'article 34 du projet de LPM porte une obligation de notification des vulnérabilités ou des incidents de sécurité connus par les éditeurs de produits numériques qui commercialisent ces derniers sur le marché français, auprès des utilisateurs et de l'Anssi. Cette pratique est bien établie chez les principaux éditeurs tels que Microsoft, qui publie chaque mois une liste de vulnérabilités de ses produits et des correctifs associés. Cependant, elle est moins courante chez les petits éditeurs très spécialisés, par exemple dans le domaine de la santé.
Par ailleurs, cet article vise à répondre à une forme d'incertitude juridique sur les informations qui peuvent être transmises à l'Anssi dans un tel contexte. En effet, au-delà de la notification aux utilisateurs, il est intéressant que l'Anssi soit informée de telles vulnérabilités, car elle peut coordonner elle aussi la réponse, prendre contact avec les utilisateurs, notamment quand ils sont identifiés comme porteurs d'une activité d'importance vitale, et les enjoindre, le cas échéant, à appliquer des correctifs rapidement.
Enfin, cet article évoque les incidents significatifs connus par les éditeurs, comblant un vide juridique : s'il est bien établi dans les pratiques que les éditeurs partagent les vulnérabilités de leurs produits, ils ne communiquent pas aussi volontiers sur les incidents de sécurité qu'ils ont eux-mêmes connus – c'est-à-dire les attaques qui se sont propagées à leur infrastructure. Or, ces attaques sont aujourd'hui des vecteurs majeurs d'infection.
Pour finir, l'article 35 tire le bilan des dispositions introduites par la loi de programmation militaire de 2018. Il clarifie et étend notamment le cadre de détection des attaques par les opérateurs de télécommunication. La LPM de 2018 avait créé un article L. 33-14 dans le code des postes et des communications électroniques, qui permettait aux opérateurs de communications électroniques de se doter de capacités de détection des attaques et précisait les modalités de déploiement de ces capacités. Or, cette possibilité – qui n'était pas une contrainte – a été très inégalement exploitée par les opérateurs. Tirant le bilan de ce constat, l'article 35 propose de créer une obligation de mise en place de capacités de détection, et l'assortit d'un régime de juste rémunération des investissements consentis par les opérateurs en ce sens, puisque ces actions sont conduites dans l'intérêt commun. Il précise, et étend par ailleurs, le périmètre des données qui peuvent être recueillies au titre de l'article L. 2321-2-1 du code de la défense – également issu de la LPM de 2018 –, qui permet à l'Anssi, dans le cadre de l'identification de victimes et de la compréhension d'attaque, d'accéder à des données traitées par les opérateurs. L'article 35 précise que cette analyse peut porter sur des données de contenu dès lors qu'elles sont liées à la menace observée, ce qui n'est pas l'interprétation retenue actuellement par l'Arcep ; pourtant, nous considérons au regard des débats parlementaires de l'époque que le législateur avait bien l'intention de nous donner accès à ces données, lequel est rendu plus nécessaire encore par le niveau de sophistication des attaques, dont l'analyse ne peut plus uniquement reposer sur l'accès aux métadonnées.
Cet article étend également ces modalités d'accès aux données traitées dans les centres d'hébergement, qui sont très largement utilisés par les attaquants pour louer des serveurs faisant partie de leur infrastructure. Il élargit le motif d'utilisation de ces dispositions – très centré dans le texte existant sur les atteintes aux services essentiels, aux activités de l'État et aux autres activités d'importance vitale – aux sous-traitants de ces opérateurs, puisque ces derniers sont désormais souvent plus ciblés que les opérateurs eux-mêmes.
L'article 35 renforce le contrôle déjà exercé par l'Arcep sur les dispositions de 2018. Les autres articles introduisent également les modalités de contrôle renforcées par l'Arcep pour encadrer ces dispositions nouvelles.
Ces mesures nous paraissent indispensables pour relever le défi de la massification des attaques. Elles sont justement proportionnées aux enjeux, et assorties de limites, de garanties et de modalités de contrôle visant à préserver les droits et libertés de nos concitoyens dans le traitement de ces menaces.