ANSSI : vers un renforcement des liens avec la recherche académique

L'Agence nationale de la sécurité des systèmes d'information (ANSSI) est un service du Premier ministre, rattaché au Secrétariat général de la défense et de la sécurité nationale (SGDSN). Dotée de 568 agents, l'ANSSI est l’autorité nationale en matière de cyberdéfense et de cybersécurité. L’agence apporte son expertise et son assistance technique aux administrations et aux entreprises avec une mission renforcée au profit des opérateurs d’importance vitale (OIV) et des opérateurs de service essentiel (OSE) au sens de la directive NIS. Elle assure un service de veille, de détection, d’alerte et de réaction aux attaques informatiques. Le travail de l’agence est également tourné vers la prévention et l’anticipation, en favorisant l’émergence d’une culture partagée de la sécurité du numérique. La sécurité du numérique passe par la mise en place d’une réponse collective impliquant les différents ministères, coordonnée par une autorité nationale qu’est l’ANSSI. De plus, l’agence favorise l’émergence d’un cadre de confiance grâce à la réglementation, l’évaluation des solutions de sécurité, la prescription de bonnes pratiques à destination de niveaux d’expertise variés, le soutien du développement de solutions à la pointe de la technologie ou encore l’accompagnement des industriels de la cybersécurité.

La recherche scientifique à l'ANSSI. Les activités de recherche ne sont pas la mission principale de l’ANSSI, mais la recherche figure pourtant au premier plan de ses activités, parmi ses autres préoccupations, notamment opérationnelles. Mener des activités de recherche permet à l'ANSSI de garantir que ses référentiels techniques sont à l'état de l'art, et de se prononcer de manière éclairée dans les instances nationales ou européennes d'orientation de la recherche où elle est représentée. La recherche à l’agence, c'est également former les agents et les maintenir au meilleur niveau dans un domaine aussi évolutif que la sécurité informatique. Pour évaluer un dispositif informatique ou réagir à une vulnérabilité récemment mise au jour, il ne suffit pas en effet de suivre les avancées scientifiques à distance, il faut être au cœur du dispositif, il faut anticiper. Les activités de recherche permettent donc d'avoir une longueur d'avance, mais elles permettent aussi de renforcer les liens avec le monde de la recherche académique. Ces liens, établis de longue date, favorisent les échanges de compétence, les collaborations, ils permettent d'attirer les jeunes talents vers l'agence, et ils permettent de garantir la souveraineté nationale, si ce n'est sur les  produits, au moins sur les compétences.

Un conseil scientifique à l'ANSSI. Forte de cette ambition de conduire des activités de recherche de haut niveau, l'ANSSI a décidé de se doter d'un conseil scientifique constitué d'experts académiques et étatiques. La création de ce conseil marque la volonté d’ouverture, impulsée par le directeur général de l'ANSSI, Guillaume Poupard, lui-même expert scientifique reconnu dans le domaine de la cryptologie. Le conseil scientifique est composé de 12 experts issus des mondes académiques et étatiques sélectionnés pour leur compétence et expérience en sécurité informatique, ainsi que du directeur général de l'ANSSI et du sous-directeur « expertise » de l'ANSSI. Les premières activités de ce conseil scientifique frais émoulu se tiendront à l'été 2019. Les experts académiques du conseil scientifique sont issus des grands laboratoires français reconnus pour leurs compétences en sécurité informatique, notamment les UMR DI-ENS, IRISA, LIX, et LORIA. Le conseil scientifique est un organe consultatif de réflexion et de proposition. Il faut interpréter sa mission au premier sens du terme, c'est-à-dire « conseiller » l'ANSSI dans ses activités de recherche, ce qui nécessite un regard extérieur et inintéressé. Il apparaît alors naturel de faire appel aux chercheurs et enseignants-chercheurs, qui possèdent des compétences en recherche mais aussi en gestion de la recherche. D'un point de vue plus pragmatique, le conseil scientifique vise à proposer des thèmes de recherche, à s'exprimer sur le programme scientifique de l'agence et sur sa politique de rayonnement et de collaboration, à formuler un avis sur la veille technologique réalisée.

La sécurité informatique en mutation. La création de ce conseil scientifique prend tout son sens aujourd'hui car la sécurité informatique est un domaine en pleine mutation. Historiquement ancré dans la cryptologie, ce domaine à la croisée de l'informatique, des mathématiques et de l'électronique ne peut plus considérer la protection de l'information de manière aseptisée, c'est-à-dire sans prendre en compte l'environnement dans lequel le dispositif est utilisé. C'est en effet l'environnement qui conditionne les attaques, qui portent de moins en moins sur les primitives cryptographiques à proprement parler, mais sur la manière dont elles sont assemblées, implémentées et utilisées. Inutile en effet de crocheter la serrure d'une chambre forte si les gonds de la porte sont mal scellés. La recherche académique s'intéresse donc aujourd'hui à la sécurité informatique avec une approche holistique, ce qui la rapproche des préoccupations des autres acteurs du domaine, à savoir le monde étatique et le monde économique.

Pour conclure, on peut relever que l'ANSSI n'est pas la première organisation non dévolue à la recherche qui met en place un conseil scientifique, mais on peut regretter qu'il s'agisse d'une initiative (trop) peu courante ou parfois (trop) peu efficace. L'ANSSI est la figure de proue de la sécurité informatique en France, avec des compétences incontestées et un fort potentiel de confiance auprès de tous les acteurs, ce qui laisse présager que certaines grandes entreprises qui mènent des activités de recherche en sécurité informatique pourraient lui emboiter le pas. Il est en effet important de souligner que l'un des éléments qui expliquent la valse actuelle des « cyberattaques » est le manque de sécurité – par conception – dans les produits que nous utilisons. Dans la grande majorité des cas (pas la totalité !) ce manquement n'est pas imputable aux chercheurs, mais aux concepteurs qui ont – par ignorance ou pression financière – mis en place des mesures de sécurité insuffisantes ou inappropriées, loin de l'état de l'art des connaissances du monde académique. Qu'il n'y ait pas d'ambiguïté, un tel conseil n'a pour objectif ni d'évaluer les produits de l'entreprise, ni de juger ses compétences, mais bien de guider l'entreprise pour mettre en place une démarche « recherche » auprès de ses ingénieurs afin de maintenir un niveau de connaissance et un état d'esprit scientifique au plus haut niveau.