A peine créée, l'Agence nationale de la sécurité des systèmes d'information (Anssi) a édité une première liste de produits de sécurité informatiques « certifiés ». Une démarche qui illustre bien le nouveau rôle qu'ont désiré donner les pouvoirs publics à l'ancienne Direction centrale de la sécurité des systèmes d'information (DCSSI) : un rôle de prévention.
L'Anssi a été présentée jeudi 9 juillet 2009 à l'hôtel des Invalides (Paris), par Francis Delon, Secrétaire général de la Défense nationale, son directeur Patrick Pailloux ainsi que Roger Romani et Pierre Lasbordes, parlementaires auteurs d'un rapport sur les cybermenaces. Elle relève du Premier ministre tout en étant placée sous la tutelle du Secrétariat général de la défense et de la sécurité nationale (SGDSN). Elle devrait compter 250 personnes à l'horizon 2012, pour un budget de 90 millions d'euros. « Sachant que ceci ne prend pas en compte la totalité de l'effort national en matière de sécurité informatique », a par ailleurs précisé Francis Delon.
Car là est la question. Alors le Livre Blanc sur la Défense officialise l'existence de la guerre numérique, les fonctions de l'agence paraissent limitées. Elle n'est pas dotée d'un arsenal offensif comme préconisé par le rapport « sur la sécurité intérieure », car « ce n'est pas sa fonction ». En revanche, elle aura un rôle de vigie, veillant simultanément à répertorier les attaques sur le territoire, sensibiliser le secteur public et privé, mais aussi à développer des outils de défense, tels que les réseaux Rimbaud et Isis, par exemple (téléphonie et intranet sécurisé du gouvernement). « Ce ne sera pas pour autant qu'une nouvelle ligne Maginot (une erreur que nous ne voulons absolument pas reproduire) car elle sera en constante évolution », a insisté le Directeur général de l'Anssi Patrick Pailloux.
« Ce week-end encore, au moins 7000 ordinateurs zombies (botnets) s'en sont pris aux services Internet de l'État a expliqué le « Monsieur sécurité du gouvernement ». L'attaque en réseau distribué a paralysé un service de messagerie et surchargé (déni de service) un site Internet. Ce qui est remarquable, c'est que ces attaques de 24 heures débutent et s'interrompent presque instantanément, comme si les armées de serveurs étaient littéralement louées », ironise-t-il. Des méthodes « techniquement » comparables à celles utilisées, en 2008, en Estonie (un million d'attaques par seconde provenant d'une cinquantaine de pays), en Georgie ou, la semaine dernière, aux États unis et en Corée du sud. L'avantage de celles-ci réside dans l'impossibilité d'identifier leurs instigateurs. « De toute façon, les poursuites judiciaires seraient sans conséquences », a expliqué Roger Romani, effleurant l'idée de « barrières diplomatiques » dues à certains accords internationaux.
Pour exercer son mandat, exclusivement défensif, on l'aura compris, l'Agence continuera donc d'entretenir des liaisons permanentes et quotidiennes avec la police (sans pour autant lutter contre la cybercriminalité), la communauté informatique, ses homologues internationaux et surtout avec les opérateurs. Elle n'aura en revanche aucune possibilité d'obliger les entreprises touchées par des attaques à lui en communiquer les détails, contrairement à ce qui se fait en Grande-Bretagne, par exemple. Ou encore à avoir un droit de regard sur ce qui se trame au niveau des DNS, nœuds stratégiques de l'Internet dont le plus proche se trouve outre-Manche.