Le député Pierre Lasbordes, Francis Delon, SGDN, Patrick Pailloux, ANSSI, le sénateur Roger Romani

Un an après la parution du Livre blanc, le décret publié au Journal Officiel le 8 juillet 2009 crée l’ANSSI à la suite d’une mission de préfiguration mise en place dès le 1er janvier 2009. Cette agence se substitue à la direction centrale de la sécurité des systèmes d’information (DCSSI) du secrétariat général de la défense nationale (SGDN) tout en en renforçant les compétences, les effectifs et les moyens. Cette nécessité a été soulignée par plusieurs rapports, notamment ceux du député Pierre Lasbordes et du sénateur Roger Romani.

Pour Francis Delon, SGDN, la création de l’agence nationale de la sécurité des systèmes d’information est une étape marquante dans la mise en place progressive d’une capacité de protection renforcée des systèmes d’information sensibles français. « Tous les secteurs d’activité sont aujourd’hui tributaire des SI et pourraient donc être affectés en cas de guerre électronique. En 2008, 1 million de sites dans le mondé ont été déffacés, le phishing a explosé depuis 2005 ou encore 2.200 sites ont été fermés par le SGDN en 2008 contre 400 en 2006… »

L’agence nationale de la sécurité des systèmes d’information a notamment pour missions :

• de détecter les attaques informatiques et de réagir au plus tôt, grâce à un centre opérationnel
renforcé de cyberdéfense, actif 24 heures sur 24 et 7j/7j, chargé de la surveillance permanente des réseaux les plus sensibles de l’administration et de la mise en oeuvre de mécanismes de
défense adaptés ;

• de prévenir la menace : l’agence contribuera au développement d’une offre de produits et de
services de confiance pour les administrations et les acteurs économiques ;

• de jouer un rôle permanent de conseil et de soutien aux administrations et aux opérateurs
d’importance vitale ;

• d’informer régulièrement les entreprises et le grand public sur les menaces et les moyens de
s’en protéger, en développant une politique de communication et de sensibilisation active.

Désormais, outre les missions assurées auparavant par la DCSSI, l’ANSSI s’est vu affectée la mission d’autorité nationale en matière de sécurité des systèmes d’information. A ce titre elle est chargée de proposer les règles à appliquer pour la protection des systèmes d’information de l’État et de vérifier l’application des mesures adoptées.
Dans le domaine de la défense informatique, elle assure un service de veille, de détection, d’alerte et de réaction aux attaques informatiques, notamment sur les réseaux de l’État.

L’agence va créer un centre de détection précoce des attaques informatiques.

S’agissant des produits et des réseaux de sécurité, elle est chargée :

• de développer et d’acquérir les produits essentiels à la protection des réseaux nonmilitaires les plus sensibles de l’État ;

• de mettre en oeuvre les moyens gouvernementaux sécurisés de commandement et de liaison interministériels, notamment le réseau téléphonique Rimbaud et l’intranet Isis.
Elle constitue un réservoir de compétences qui doit pouvoir mettre son expertise et son assistance technique au profit des administrations et des opérateurs d’importance vitale.
Elle est chargée de la promotion des technologies, des systèmes et des savoir-faire nationaux. Elle contribue au développement de la confiance dans l’économie numérique.
Elle assure la tutelle du centre de transmission gouvernemental chargé de mettre en oeuvre les moyens sécurisés de commandement et de liaison nécessaires au Président de la République et au Gouvernement.

La gouvernance de l’agence s’exercera au travers d’un comité stratégique constitué de
responsables de haut niveau de l’administration. La mission de ce comité sera d’orienter la stratégie de l’État en la matière et d’arrêter le programme annuel d’activité de l’agence

La Direction de l’ANSSI est constituée d’un directeur général Patrick Pailloux assisté par un directeur général adjoint. Une cellule de communication lui est rattachée.

L’Agence est organisée en quatre sous-directions et un centre de formation qui reflètent ses
principales missions :
1. Cyberdéfense
2. Stratégie et réglementation
3. Assistance, conseil et expertise
4. Développement des systèmes d’information sécurisés
5. Formation

1. Cyberdéfense

Le centre opérationnel de la sécurité des systèmes d’information (COSSI) assure un service
permanent de veille, de détection et d’alerte en cas d’incidents ou de vulnérabilités susceptibles d’affecter la sécurité des systèmes d’information de l’État et plus largement de la société de l’information. Il coordonne la réaction à ces incidents.
Il est chargé de la planification des mesures de réponse aux attaques informatiques et conduit des exercices afin de mesurer le degré de préparation de l’État et d’entraîner les personnels concernés.
Pour l’accomplissement de ses missions, le COSSI entretient des relations opérationnelles avec ses homologues notamment étrangers, les industriels du secteur des technologies de l’information et de la communication, les opérateurs de communications électroniques et les opérateurs d’importance vitale.
Il dispose d’une capacité d’audit pour évaluer la sécurité des systèmes d’information des services de l’État. Cette capacité peut également être utilisée dans le cadre du contrôle qu’exerce l’État sur les opérateurs d’importance vitale. Elle vient renforcer la capacité de gestion de crise en cas de besoin.

2. Stratégie et réglementation (SR)

L’agence coordonne la mise en oeuvre de la fonction d’autorité nationale dans le domaine de la sécurité des systèmes d’information. A ce titre elle est chargée de :
• la gouvernance, la préparation de la stratégie nationale, l’animation interministérielle ;
• la préparation des textes réglementaires ;
• la labellisation de produits et de services ; A ce propos, le Sénateur Roger Romani souhaite que la France d’une véritable industrie de la sécurité afin de produire ses propres produits de sécurité.
• l’organisation et le suivi des relations internationales et industrielles ;
• l’instruction des dossiers de déclaration et d’autorisation relatifs aux produits réglementés.

3. Assistance, conseil et expertise (ACE)

L’agence apporte son concours aux administrations et aux opérateurs d’importance vitale pour la sécurisation de leurs systèmes d’information.
Elle est également chargée de définir les recommandations générales, les référentiels techniques et les guides méthodologiques.
Elle dispose de laboratoires techniques de haut niveau, aptes à anticiper les évolutions
technologiques et à les sécuriser (cryptologie, réseaux, composants, signaux...).

4. Développement des systèmes d’information sécurisés (SIS)

L’agence est chargée de la conception, de la réalisation et des évolutions de systèmes d’information sécurisés et de produits de sécurité.
Elle veille notamment à la mise à disposition de moyens sécurisés de communication électronique, disponibles en toutes circonstances pour les plus hautes autorités gouvernementales, ainsi que pour les autorités publiques et les organismes associés à la gestion des situations d’urgence et des crises.

5. Formation

L’agence dispose d’un centre de formation à la sécurité des systèmes d’information (CFSSI). Ce dernier dispense des enseignements spécialisés qui vont de la sensibilisation à la formation
d’experts en cryptologie ou en systèmes. Il dispense la formation d’expert en sécurité des systèmes d’information (ESSI), sanctionnée par un titre de niveau I (Bac +5). Chaque année, il forme plus de 1500 agents publics.

L’ANSSI devrait compter plus de 250 personnes pour un budget de 90 millions d’euros d’ici à 2012

Les effectifs de l’agence nationale de la sécurité des systèmes d’information (ANSSI) seront
sensiblement renforcés au cours des prochaines années. A l’horizon 2012, l’agence devrait compter 250 personnes, soit un doublement des effectifs actuels.
Le soutien de l’agence est assuré par le secrétariat général de la défense nationale (SGDN). Hors les fonctions de direction et de secrétariat, la totalité de l’effectif est affectée à l’activité directement productive de l’agence.

La création de l’agence s’accompagne d’un effort financier destiné, d’une part, à créer le centre de détection des attaques informatiques, et d’autre part, à permettre l’accroissement des compétences et des moyens humains. Les crédits d’investissement, de masse salariale et de fonctionnement courant connaîtront ainsi une progression significative, en cohérence avec cette montée en puissance, pour atteindre une somme d’environ 90 millions d’euros en 2012.

Patrick Pailloux a rappelé que le rôle de l’ANSSI restera purement défensif. Son agence collaborera avec les forces de polices mais uniquement au niveau technique. Il a conclu son intervention en insistant sur le fait qu’avec « les pirates informatiques l’imagination est au pouvoir ! » Pierre Lasbordes et Roger Romani se sont dit d’ailleurs inquiets et ont confirmer que la France pourrait être sous la menace d’une attaque électronique soit en provenance d’un pays hostile soit par des pirates. « Il est vrai que la facilité et le coût d’une attaque sont suffisamment faible pour pouvoir être conduite d’autant que les poursuites judiciaires sont très complexes à mener… »

Le nouveau site de l’ANSSI
http://www.ssi.gouv.fr
(L’ancien site reste disponible pendant la durée de son transfert)

Le site du Centre d’expertise gouvernemental
de réponse et de traitement des attaques informatiques (CERTA)
http://www.certa.ssi.gouv.fr

Le portail de la sécurité informatique
http://www.securite-informatique.gouv.fr