Cette nouvelle agence succède à la DCSSI, direction centrale de la sécurité des systèmes d’information, et reste placée sous l’autorité du secrétaire général pour la défense nationale. Toutefois, la création de cette agence présente très clairement la volonté d’en augmenter la portée et les missions, qui sont beaucoup plus détaillées que dans le décret qui créait précédemment la DCSSI. Ainsi, dans les mois qui viennent, on peut compter sur une augmentation sensible et nécessaire de ses effectifs.

Ses missions redéfinies sont:

• d’assister le SGDN dans ses attributions dans le domaine de la SSI ;
• d’être l’autorité nationale en matière de SSI (moyens sécurisés de communication pour la Présidence de la République et le gouvernement, inspection des systèmes de l’État, délivrance d’agréments, formation, etc.) ;
• de se prononcer sur la sécurité de certains produits et services (signature électronique, agrément des centres d’évaluation, délivrance des autorisations en matière de cryptologie, instruction des demandes d’autorisation présentées en application de l’article 226-3 du code pénal) ;
• d’apporter son concours aux services de l’État en matière de SSI ;
• de soutenir et orienter la recherche et l’innovation dans ces domaines.

Un comité stratégique de la sécurité des systèmes d’information est créé pour proposer les orientations stratégiques de l’État en matière de SSI.

Le site web de l’ANSSI est accessible ici : http://www.anssi.gouv.fr/

Colloque HCFDC

Le Haut comité français pour la défense civile (HCFDC) organisait le 14 novembre 2008, dans les locaux de l’INHES à la Plaine Saint Denis (93), un colloque sur la “Cyberdéfense”. Il était conclu par une intervention du sénateur Roger ROMANI qui a été le rapporteur du rapport d’information de la commission des affaires étrangères, de la défense et des forces armées sur la Cyberdéfense.

Ce colloque était organisé en partenariat avec le Secrétariat général de la défense nationale (SGDN) et sa Direction centrale de la sécurité des systèmes d’information (DCSSI) et sponsorisé par Agilent et Thalès.

Le programme de la conférence était organisé autour de 4 tables rondes :

• Typologie des menaces ;
• Cartographie, enjeux et complexités ;
• Cibles et impacts ;
• Réponses et solutions.

Des différentes présentations on retiendra que :

• il est encore difficile aujourd’hui d’évaluer l’impact des différentes attaques contre les systèmes d’information en France et dans le Monde ;
• la future agence nationale de la sécurité des systèmes d’information est en bonne voie, avec un futur périmètre bien plus large que celui de la DCSSI actuelle et donc notamment avec un impact plus important sur la sécurité de l’information des entreprises et des citoyens (certification de logiciels et de solutions de sécurité) et certainement un pouvoir de contrainte plus fort sur la sécurité existant dans les administrations ;
• des progrès sont reconnus dans la mise en place de politiques de sécurité des SI dans les grandes entreprises, les démarches semblent beaucoup plus mûres ;
• le constat est maintenant tangible d’une évolution vers des cyberconflits, parallèles aux conflits physiques, comme l’ont montré les incidents des derniers mois (Estonie, Géorgie, attaques imputées à des chinois, etc.) et la France, l’Europe, doivent s’y préparer ;
• les représentants des services dits répressifs (dont moi-même) ont beaucoup insisté sur l’intérêt d’associer mieux la sphère judiciaire dans la lutte contre les abus criminels contre les systèmes d’information et notamment sur la nécessité selon les cas de porter plainte ou de signaler les faits intéressants.

J’en retire aussi qu’il subsiste un grand flou autour des évolutions à venir de l’Internet et de la démarche de cyberdéfense :

• quel avenir pour la gouvernance de l’Internet (rôle de l’ICANN, rôle que veut se donner l’Union Européenne, rôle des nouvelles puissances extrême-orientales,…) ?
• quel va être l’impact d’IP v6 sur la sécurité des systèmes d’information et la cybercriminalité en général ?
• quelle direction concrète doivent prendre des pays comme la France en matière de lutte informatique offensive (le Livre blanc sur la défense et la sécurité nationale donne quelques pistes, page 207) ?