L’ANSSI sur le campus

Lundi 15 octobre, Epitech et l’EPITA ont reçu pour une conférence exceptionnelle Patrick Pailloux, directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Plus de 300 personnes ont assisté à sa présentation des enjeux actuels de la sécurité informatique. Un dispositif spécial a été mis en place, avec une retransmission sur les douze sites Epitech en France et un live suivi sur Internet.

L’ANSSI a pour mission de sécuriser et de défendre les systèmes d’information de la nation. Parmi ses différentes actions, on peut trouver du conseil, de la labellisation de logiciel ou encore de l’édiction de règles. L’Agence dispose en outre d’une équipe d’intervention 24h/24 pour déjouer les attaques dont les systèmes sous sa protection en sont la cible. L’ANSSI regroupe désormais 250 collaborateurs. Ils seront 360 à la fin de l’année prochaine.

Patrick Pailloux a commencé par dresser un portrait plutôt sombre des systèmes d’information actuels. Internet est arrivé et a bousculé les habitudes : il n’y a plus de frontière ni de délai et de distance. Le support s’est en outre développé sans contrôle extérieur et selon des règles de confiance. Actuellement, bien qu’elle soit très peu sécurisée et difficilement sécurisable, la technologie IP est omniprésente et le routeur IP est devenu un élément essentiel de chaque système d’information. Enfin, l’interconnexion dans l’entreprise est maintenant omniprésente : il s’agit de contrôler en temps réel, via le réseau, chacun des outils connectés. « Les systèmes d’information deviennent les systèmes nerveux de notre société » a-t-il affirmé.

La guerre contre les cybercriminels n’est pas perdue

Dans ce contexte de « Far West » informatique plutôt que d’État de droit, deux grandes catégories d’attaques informatiques sont à signaler. L’espionnage a maintenant un volume inimaginable, bien pire que du temps de la Guerre Froide. C’est maintenant à la portée de tous, pour un risque et un coût relativement faibles. L’installation d’un mouchard sur un téléphone portable pour surveiller ses enfants ou son conjoint ne coûte que quelques dizaines d’euros. Outre son caractère totalement illégal, une personne avec plus d’ambition que d’espionner sa famille peut utiliser ces mouchards pour bien pire – et les entreprises sont peu mobilisées sur la question. Quant au sabotage, qui s’apparente à une attaque informatique contre le système nerveux de l’entreprise, il est encore plus simple à effectuer que l’espionnage. Une fois introduit sur le système, il suffit d’envoyer l’ordre d’attaque pour effacer des données, surcharger des serveurs ou modifier irrémédiablement le comportement d’actionneurs pour les endommager, comme ce fut le cas avec le virus Stuxnet.

Pour l’ANSSI, la guerre contre les cybercriminels n’est pas perdue. La première chose à faire est d’appliquer l’hygiène informatique : un ensemble de 40 règles basiques édictées par l’Agence sans lesquelles il est trop risqué de travailler. Parmi elles : avoir la carte pour un responsable des systèmes d’information des points d’entrée et de sortie de son réseau, ne jamais connecter à Internet un compte administrateur d’ordinateur, ou encore supprimer les comptes par défaut des systèmes d’exploitation. Ces règles sont consultables en intégralité sur le site de l’ANSSI.

Avant de laisser la place aux questions du public, Patrick Pailloux a tenu à lancer une invitation à tous les étudiants de l’école intéressés par la sécurité informatique. Il a affirmé que le challenge technique de la sécurité informatique ne venait pas de la découverte et de l’exploitation de failles, mais de celui de la défense de systèmes d’information. Plutôt que d’être tenté de passer la ligner de la légalité, mieux vaut rejoindre ceux qui vont créer des logiciels résistants aux attaques informatiques. En France, il faudrait former aujourd’hui quatre fois plus d’experts spécialisés dans la sécurité qu’à l’heure actuelle : l’ANSSI de même que de nombreux organismes privés recrutent…

Parallèlement à sa venue sur le campus, Patrick Pailloux a donné deux entretiens à meltycampus et à meltystyle.