Chiffrement vs Police : « Le choix sera politique », prévient le patron de l'ANSSI - Interview

Dix signalements et quatre incidents traités chaque jour, 7 jours sur 7 : c'est le quotidien de l'ANSSI face à la menace cyber. Son directeur général Vincent Strubel revient sur le débat autour du chiffrement, la dépendance technologique de la France et le calendrier de la migration post-quantique.

Polytechnicien et ingénieur général des Mines, Vincent Strubel a pris la direction de l'ANSSI, l'Agence nationale de la sécurité des systèmes d'information, le 4 janvier 2023, après quinze ans passés au sein de la maison. Il a accepté de répondre à quelques-unes de nos questions sur plusieurs sujets sensibles : l'amendement visant à affaiblir le chiffrement dans la loi Narcotrafic, les restrictions américaines à l'export imposées à Anthropic, et l'avancement de la transposition de la directive NIS2, freinée par des demandes d'accès dérogatoires aux messageries. Il revient aussi sur la fuite de données de l'ANTS et sur le calendrier fixé par l'ANSSI pour la migration vers la cryptographie post-quantique, avec un objectif de conformité totale d'ici 2035.

La situation cyber devient de plus en plus tendue. Comment ça va à l'ANSSI ?

Vincent Strubel : On est dans un contexte de menace intense, mais qui n'est pas nouveau de notre point de vue. Cela fait 5 ans que nous y sommes confrontés. Nous traitons en moyenne 10 signalements et quatre incidents par jour, 7 jours sur 7 et 24 heures sur 24. C'est ce que nous avons fait en 2024 et en 2025. Nous avons une visibilité particulière sur un pan de la menace qui est le vol de données. Cela nous occupe beaucoup, mais ce n'est pas le seul type d'attaque que nous traitons, loin de là. On nous voit souvent à travers le prisme du cyber-pompier, mais en réalité, nous faisons plein d'autres choses. Notre activité et notre focus principal, aujourd'hui plus que jamais, c'est la prévention. Il s'agit de faire en sorte de relever le niveau de sécurité pour limiter le volume des attaques, en tout cas celles qui réussissent. Nous sommes donc très occupés, mais à des choses utiles.

Il y a quelques mois, dans le cadre de la loi Narcotrafic, l'amendement visant à affaiblir le chiffrement a été rejeté. Quel est votre rôle dans ce type de débat ?

V.S : Dans un débat de cette nature, nous avons le rôle d'une administration experte. Cela signifie que nous ne sommes pas un acteur politique : nous ne participons pas au débat politique et nous n'avons pas d'opinion. En revanche, nous sommes là pour éclairer les choix du gouvernement et du Parlement. Notre rôle est de poser les faits. Sur ce débat du chiffrement, il ne faut pas tomber dans une vision binaire de "qui a raison, qui a tort". C'est un sujet éminemment compliqué où s'affrontent deux injonctions tout à fait légitimes : d'un côté, protéger le secret des communications par le chiffrement (un enjeu de vie privée et de sécurité nationale) et, de l'autre, permettre aux services de police de faire leur travail. Il n'existe pas de solution parfaite. Il y aura donc des débats sur des solutions imparfaites, et le choix final sera politique. Notre rôle consiste uniquement à exposer les limites, les imperfections et les inconvénients des différentes options pour que ce choix soit pleinement éclairé.

Vous êtes le garant de la sécurité nationale, et sur le chiffrement, vous ne prenez pas position ?

V.S : La sécurité nationale fait que nous sommes particulièrement sensibles au chiffrement et au besoin d'avoir des protocoles robustes pour protéger les communications. Mais il n'y a pas de parti pris idéologique. Nous avons une préoccupation métier et une expertise technique. Nous ne sommes pas un service enquêteur, nous n'avons donc pas la même vision que les services de police, dont le besoin est par ailleurs légitime. Nous n'avons pas d'opinion ni d'idéologie en la matière, simplement une expertise que nous mettons au profit du débat public.

Plus tôt ce mois-ci, on a vu que le gouvernement américain imposait des restrictions à Anthropic, notamment en coupant l'accès à certains de ses modèles les plus avancés en dehors des États-Unis. Qu'en pensez-vous ? Est-ce un scénario sur lequel vous aviez déjà alerté ?

V.S : Qu'un gouvernement étranger interdise l'export de certaines technologies n'a rien de surprenant ; leur droit le permet et ce n'est pas nouveau. C'est plutôt surprenant que cela surprenne. Ce sont des questions de dépendance sur lesquelles nous alertons régulièrement. C'est une réalité face à laquelle nous construisons des réponses, par exemple avec la qualification SecNumCloud dans le domaine du cloud. Elle permet de contrer certains risques comme le "kill switch", c'est-à-dire la coupure soudaine d'accès à certains utilisateurs, comme cela est arrivé aux magistrats de la Cour pénale internationale. SecNumCloud protège les données contre l'accès extraterritorial d'autorités étrangères (qu'elles soient américaines, chinoises ou autres) et prémunit contre l'interruption de service. Évidemment, cela ne garantit pas l'accès à la technologie elle-même si un gouvernement décide d'en bloquer l'export. On touche là à une problématique plus vaste de dépendance et de nécessité de créer des alternatives nationales ou européennes, sans pour autant tomber dans une logique d'autarcie qui n'aurait aucun sens. C'est un débat qui émerge au niveau européen et c'est une très bonne chose.

Par ailleurs, il y a une forme d'obsession autour du modèle Mythos [NDLR : le modèle d'Anthropic]. Ce n'est pas que du marketing, il y a une avancée réelle, mais ce n'est qu'une étape dans l'évolution globale de l'IA. D'autres modèles émergeront bientôt et feront aussi bien, voire mieux. Nous ne nous focalisons pas uniquement sur l'accès à un outil précis, mais sur l'accompagnement et le test de l'ensemble de ces technologies pour évaluer leur impact sur la cybersécurité.

Pour en revenir à SecNumCloud, on voit aujourd'hui des solutions hybrides hébergées sur des infrastructures françaises mais basées sur des technologies américaines, comme S3NS ou le projet de Bleu avec Orange. Comment se fait-il qu'elles soient qualifiées ?

V.S : Nous nous préoccupons de risques bien identifiés : nous garantissons qu'il n'y a pas d'accès extraterritorial aux données et qu'il n'y a pas de possibilité de coupure unilatérale du service. En revanche, la qualification ne garantit pas l'absence de dépendance technologique. La solution S3NS coche toutes nos cases : Google n'a pas accès aux données et ne peut pas couper le compte d'un utilisateur, même si le logiciel fourni est exploité par Thales. Ce sera la même chose pour Bleu. La distinction entre cloud hybride et non hybride est assez artificielle. Aucun cloud 100% français n'existe sans utiliser de logiciels américains, qu'il s'agisse de VMware, de Microsoft ou d'Oracle. Notre rôle avec SecNumCloud n'est pas d'éliminer toute dépendance technologique, mais bien de protéger les données et la continuité du service.

J'ai pourtant cru comprendre que, selon votre prédécesseur, Google ou Microsoft gardaient la possibilité de couper les mises à jour s'ils le souhaitaient ?

V.S : Ils peuvent effectivement couper les mises à jour, mais cela n'arrête pas le fonctionnement du cloud en soi. Si un acteur comme VMware coupait ses mises à jour, même les fournisseurs de cloud exclusivement français rencontreraient des problèmes majeurs. On bascule ici sur la question de l'autonomie stratégique à long terme. Aujourd'hui, personne n'est totalement indépendant des technologies étrangères. C'est un enjeu qui se mesure et se corrige, mais ce n'est pas le risque que SecNumCloud a vocation à couvrir.

SecNumCloud protège de la saisie de données et de l'interruption brutale de service. Je passe beaucoup de temps à expliquer ces subtilités, car on a tendance à voir cette qualification comme une panacée. Elle ne va pas régler magiquement tous les enjeux de dépendance numérique ni créer des champions européens du jour au lendemain. Elle apporte des garanties robustes face à des risques précis. Cela n'exclut pas la nécessité de mener une politique industrielle forte pour soutenir nos acteurs, mais cela relève d'autres leviers que ceux de l'ANSSI.

Depuis la fuite de données de l'ANTS, comment l'ANSSI a-t-elle réagi ? Y a-t-il des processus qui ont été revus ?

V.S : Nous n'avons pas attendu cet incident pour agir contre le vol de données. Qu'est-ce qui change concrètement aujourd'hui ? Une feuille de route ministérielle détaillant les efforts prioritaires a été publiée pour la première fois. Elle accentue la priorité sur des mesures fondamentales comme l'authentification double facteur et la lutte contre l'obsolescence, qui restent les principaux points d'entrée des cyberattaques. Ces vulnérabilités ne sont pas propres à l'État, même si ce dernier est par nature une cible plus volumineuse et stratégique, avec un devoir d'exemplarité évident. Ces priorités sont désormais pilotées en circuit court par le Premier ministre.

Il y a également eu l'annonce de la création d'Ariane.

V.S : Oui, cela a parfois été mal interprété : il ne s'agit pas d'une réforme ou d'une remise en cause des missions de l'ANSSI. Notre rôle reste le même : préconiser des mesures, auditer les systèmes critiques et intervenir sur les crises majeures. Ariane vient renforcer le pilotage du numérique au sein de l'État, une mission portée par la DINUM, avec un cadre et des leviers consolidés. L'objectif est de rationaliser l'infrastructure de l'État. Imposer le double facteur à l'échelle de milliers d'applications parfois obsolètes, sous-traitées ou basées sur des technologies disparates est un travail de Sisyphe. Les annonces du Premier ministre visent à harmoniser les choix technologiques et à mutualiser ce qui peut l'être. Cela nous donne un partenaire institutionnel plus fort pour déployer la cybersécurité.

La cybersécurité fonctionne toujours en binôme entre les experts Cyber et les directions du numérique (DSI). Cette réforme vient précisément renforcer la gouvernance numérique de l'État pour nous permettre d'agir plus efficacement.

On voit de plus en plus d'entreprises développer des solutions prêtes pour le post-quantique. Où en êtes-vous sur ce sujet et quelles sont vos échéances ?

V.S : Nous avons fixé des échéances claires. Personne ne peut prédire avec certitude quand un ordinateur quantique sera capable de briser les algorithmes de chiffrement actuels, mais la communauté s'accorde sur un horizon d'une dizaine d'années. Notre objectif est que la migration soit finalisée d'ici 2035. Pour lisser les coûts, il faut intégrer cette transition de manière naturelle lors du renouvellement des infrastructures et des logiciels. Sur le plan technique, le cadre est prêt : les algorithmes post-quantiques sont standardisés et nos guides de recommandations sont à jour.

Le défi actuel est un défi de déploiement : il faut stimuler l'offre et orienter la demande. Pour cela, nous fixons des étapes incitatives. Dès 2027, l'ANSSI n'acceptera plus en phase de qualification de solutions qui ne prennent pas en compte le risque quantique. C'est un levier fort pour pousser les éditeurs à s'adapter rapidement. De plus, nous demandons dès à présent aux acheteurs de questionner leurs fournisseurs. À partir de 2030, l'État n'acquerra plus aucune solution qui ne soit pas compatible avec la cryptographie post-quantique. D'ici là, un travail d'inventaire est nécessaire pour identifier et prioriser les données les plus sensibles, notamment celles qui pourraient être interceptées aujourd'hui pour être déchiffrées plus tard. C'est une urgence de long terme : ce n'est pas immédiat, mais si on ne s'y met pas dès maintenant, il sera trop tard dans dix ans.

Concernant la transposition de la directive NIS 2. On entend dire que le texte bloque en raison de demandes de la DGSI qui souhaiterait imposer des accès dérogatoires (backdoors) dans les messageries. Pouvez-vous nous éclairer sur l'état d'avancement du texte ?

V.S : Concernant l'avancement, le projet de loi a été finalisé par nos soins en juin 2024. Le processus législatif prend du temps et il reste désormais l'étape du vote en séance plénière à l'Assemblée nationale. Le texte n'est pas encore inscrit à l'ordre du jour et il ne m'appartient pas de commenter le calendrier parlementaire. En revanche, l'adoption de ce texte est une urgence absolue. Nous en avons besoin pour doter l'ANSSI d'un véritable pouvoir de contrôle et de sanction. Aujourd'hui, nous sommes principalement dans une posture d'accompagnement et de conseil, ce qui est excellent pour la confiance avec nos partenaires, mais cela ne suffit plus. Il n'y a pas un agent de l'ANSSI derrière chaque serveur en France. Il faut donc responsabiliser juridiquement les dirigeants et les entités qui opèrent le numérique. C'est tout l'enjeu de NIS 2.

En attendant la loi, nous continuons d'avancer sur le plan technique. Nous avons publié le RECIF (Référentiel Cyber Français), qui servira de base de conformité pour NIS 2. C'est la colonne vertébrale des bonnes pratiques pour toutes les structures exposées à la menace courante. Ces mesures de base permettent de bloquer 80 % des attaques et de construire notre immunité collective. Il ne faut pas attendre la promulgation de la loi pour commencer à se sécuriser. Notre priorité reste de changer d'échelle en massifiant l'adoption de ces règles de sécurité élémentaires.