Bockel au pays de l'ANSSI...

'indiscutable victoire du rapport Bockel publié la semaine dernière aura été d'avoir fait les gros titres de la presse généraliste. Il faut dire qu'en élevant au rang de priorité nationale l'éviction de nos infrastructures vitales des équipements d'origine chinoise, il y avait de quoi attirer l'attention. Ce n'est pour autant pas un succès totalement démérité pour ce document qui, au gré de ses dix priorités et cinquante propositions, aborde sans grande originalité quelques sujets intéressants.

Cependant, comme le savent mes lecteurs réguliers, je n'ai pas l'habitude d'écrire des billets pour lancer des fleurs. Aussi, si j'ai choisi de m'attarder comme tant d'autres sur ce rapport, c'est pour parler de ce qui me semble être un biais majeur et malheureusement dommageable : ne s'intéresser qu'aux infrastructures gouvernementales et "vitales" française. Bref, faire la part belle à l'ANSSI...

Certes, le rapporteur indique clairement en introduction qu'il entend ne s'intéresser qu'aux "attaques informatiques susceptibles de porter atteinte aux intérêts fondamentaux de la Nation et les moyens de s'en protéger". Ce choix est certes critiquable, mais il est clair et assumé. Si vouloir limiter son champ de réflexion lorsqu'on aborde un domaine aussi vaste que la sécurité informatique n'est pas néfaste en soi, un tel exercice reste difficile. Dans le cas présent, le rapport Bockel fait l'erreur de ne pas avoir seulement limité l'objet de sa réflexion, mais également ses moyens, à commencer par la constitution du panel de gens interviewés dans la cadre de ce rapport...

Premier biais, considérer que les "intérêts fondamentaux de la Nation" se limitent aux infrastructures dites vitales du pays, ou en tout cas que la protection de ces intérêts ne repose que sur la défense de ces dernières infrastructures. Car c'est en oublier l'interconnexion avec d'autres ressources n'entrant pas dans le même périmètre, et ne faisant donc pas l'objet des attentions du rapport. Juste un exemple. Si le rapport souligne le rôle majeur des botnets dans la conduite des attaques, qu'il s'agisse évidemment de dénis de service distributés mais également d'exfiltration de données et d'anonymisation entre autres applications courantes de ces outils, il ne semble pas faire grand cas du fait que cette menace, qui pèse indéniablement sur nos infrastructures vitales, se nourrit le plus souvent de machines personnelles. Or, la sécurisation de ces dernières n'est abordée que sous l'angle d'un plan de sensibilisation "inspirée de la prévention routière", puisqu'il est bien connu que la baisse du nombre de morts sur la route est bien plus imputable aux campagnes de communication de l'APR qu'aux innovations techniques, normes de sécurité, et autres certifications et contrôles des véhicules par exemple. De fait, qu'une puissance hostile puisse se constituer à dessein une branche de botnet sur le sol français et s'en servir contre les intérêts nationaux ne semble pas une éventualité considérée comme une menace si terrible que cela. Les esprits taquins ne manqueront pas de rétorquer que le retard dans le déploiement de la fibre optique et plus largement du très haut débit en France est probablement la meilleure façon d'en limiter l'impact...
On pourrait égrener à l'envie les ressources mais exclues du domaine de réflexion dont la vulnérabilité pourrait avoir un impact sur les intérêt nationaux. Ce seraient autant d'exemples que ce rapport laisse de côté, ou évoque timidement, mais qu'il me semble pourtant difficile d'oublier dès lors qu'il s'agit de penser la défense de l'espace numérique national, en particulier à l'heure de la dématérialisation massive des échanges, de l'administration numérique et du vote en ligne.

Second biais, limiter les acteurs bénéficiaires de ces propositions, qui vont très majoritairement dans le sens d'un renforcement des pouvoirs de l'ANSSI, puis dans une moindre mesure de l'armée et quelques services gouvernementaux. Encore une fois, quand on regarde le panel des personnes consultées, cette conclusion semble assez naturelle. Malheureusement, si l'agence est manifestement destinée à assurer la protection du monde numérique français face aux menaces extérieures, cette promesse pose aujourd'hui un double problème. En premier lieu, en l'état actuel des choses, l'ANSSI n'a pas les moyens, ne serait-ce qu'humains, d'assurer sa mission. Et si on s'en tient à ce seul aspect du problème, ce n'est certainement pas la maigre centaine de diplômés sortis chaque année des cursus spécialisés français qui lui suffiront. Aussi, il me semble difficile d'envisager qu'elle puisse rapidement s'extraire du monde pompier pour atteindre l'altitude nécessaire aux ambitions affichées par ce rapport. En second lieu, parce que le paysage numérique français ne se résume pas au champ de responsabilité de l'ANSSI, et encore moins au sous-ensemble que ses moyens actuels lui permettent d'adresser.
Ainsi, renforcer les pouvoirs de l'agence, comme ils disent là-bas, aura peut-être un effet de façade bénéfique, toujours est-il que, quand bien même de telles mesures deviendraient-elles réalité, cela ne changerait strictement rien au quotidien de nombre de DSI. Y compris dans des entreprises pourtant qualifiées d'importance vitale.

Mon analyse est moins sévère que celle de mon collègue mais néanmoins ami Newsoft, mais force est de reconnaître que les priorités et recommandations avancées par ce rapport ont parfois de quoi laisser pensif. En particulier, mes lecteurs savent combien je suis partisan d'une évolution d'un cadre législatif français contre-productif. En particulier sur deux points qui sont quasiment absents de ce rapport, en tout cas sous une forme susceptible de faire sensiblement évoluer la situation.
Le premier est l'autorisation du reverse engineering, ou rétro-ingénierie^[1] en langue de Molière, à des fins de sécurité. cette capacité me semble en effet indispensable à l'évaluation de la sécurité de produits propriétaires étrangers sur lesquels s'appuient l'essentiel des moyens numériques modernes mis en œuvre chez les particuliers, les entreprises et les administrations. Et si le sujet est explicitement avancé par le rapport, ce n'est malheureusement que pour en limiter l'usage à "l'ANSSI, l'armée et les services spécialisés" et afin d'étudier du malware. On pourrait croire à une mauvaise blague en ce que cette utilisation aurait, à mon avis^[2], du mal à tomber sous le coup de la loi, mais c'est effectivement le cas. Concernant l'évaluation de sécurité ? Rien. Concernant d'éventuels acteurs privés ? Une allusion à des évolutions législatives indéterminées via une labellisation par l'ANSSI. Quand on voit où en est la réflexion sur la labellisation des sociétés de service, on a un peu de mal à envisager un changement à courte échéance...
Le second est une restriction explicite de l'article 323-3-1 du code pénal qui pénalise et donc limite considérablement la diffusion de savoirs indispensables, en particulier dans des cursus de formation que le rapport voudrait voir se développer. Et là pour le coup, il n'y a rien. Alors quand on nous explique, par exemple, qu'il faut renforcer les capacités offensives de la France, on se demande bien comment vont être formés tous ces cyber-soldats si de telles notions ne sont pas enseignées. Mais sans aller aussi loin, il est risible de constater qu'au moment où tout le monde déplore un manque cruel d'experts, au moment où tout le monde cherche du pentester de haut vol pour assurer des missions d'évaluation, on s'obstine encore à amputer les cursus de formation de savoirs indispensables^[3] sinon à tout expert en sécurité informatique, tout au moins à ceux appelés à assurer ce genre de mission.

Ce rapport, malgré quelques annonces aussi choc qu'inapplicables, semble donc s'inscrire en droite ligne dans la vieille doctrine française qui consiste à limiter l'acquisition et l'usage de savoirs, compétences et capacités d'action à un cercle fermé d'acteurs. Et ce tout en constatant les lacunes et manques que des politiques similaires laissent derrière elles. D'aucuns en appelleront aux Shadoks pour illustrer la pertinence d'une telle approche, je me contenterai de constater que ça tourne quelque peu en rond...

Notes

[1] Voire rétroconception comme dans le rapport.

[2] Mais je suis pas juriste...

[3] On se félicitera que, bien que la théorie l'interdise, ce ne le soit pas le cas en pratique...