Cybersécurité : l’Anssi annonce ses mesures et ambitions au FIC

Lors du forum international de la cybersécurité (FIC), qui s’est déroulé du 28 au 30 janvier à Lille, Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes d’information (Anssi) a profité de l’occasion pour annoncer ses nouvelles mesures et ambitions pour les années à venir, dont une critique pour les opérateurs d’importance vitale et les opérateurs de services essentiels et administrations : la sécurité de l’Active Directory (AD).

L’Active Directory est un annuaire qui répertorie les éléments d’un réseau administré tels que les comptes utilisateurs, les serveurs, les postes de travail, les dossiers partagés ou encore les imprimantes. Son objectif principal est de fournir des services centralisés d’identification et d’authentification à un réseau d’ordinateurs. Il est, selon l’Anssi, “un élément critique permettant la gestion centralisée de l’ensemble des permissions sur les différents domaines qui composent un système d’information (SI) Microsoft. L’obtention de privilèges élevés sur l’AD entraîne par conséquent une prise de contrôle instantanée et complète de tout le SI”. L’Agence a ainsi développé un service ADS (Active Directory Security) orienté clients pour les aider à durcir le niveau de sécurité de cet annuaire.

“L’Active Directory est au centre d’un nombre incroyable d’affaires”, confie Guillaume Poupard lors du Forum international de la cybersécurité. “Les attaquants qui entrent dans les réseaux et prennent le contrôle de l’AD sont les rois du pétrole. La bonne configuration de l’AD est centrale”. A cet effet, l’Anssi met à disposition l’outil de collecte ORADAD pour récupérer l’ensemble des données permettant d’évaluer le niveau de sécurité des acteurs dits critiques – opérateurs d’importance vitale, opérateurs de services essentiels, administrations – de manière concrète, en lui donnant une note entre 1 à 5. Le niveau obtenu dépend de la gravité des vulnérabilités : 1 est synonyme de défauts critiques, 5 de haute sécurité. “La première fois, le partenaire a 1”, ajoute Guillaume Poupard. “Et je n’ai pas beaucoup de contre-exemple.”

Un outil complexe à paramétrer

Une question se pose : est-ce l’Active Directory le problème ? “Quand on sort l’AD de sa boîte, lorsqu’on l’installe, l’outil ADS lui donne une note de 3. C’est lorsque celui-ci est paramétré par l’utilisateur qu’il descend à 2 voire 1. C’est une technologie complexe à mettre en œuvre” justifie Guillaume Poupard. “En général, les utilisateurs qui le déploient dégradent involontairement la sécurité. Ce n’est pas un produit mal fichu de base, ce n’est pas un produit non sécurisable. C’est un outil difficile à maîtriser.”

L’objectif pour l’Anssi est de mettre à disposition des outils pour assurer l’audit de ces entreprises et des solutions “toutes prêtes” pour les personnes qui ne savent pas configurer leur AD. Selon le constat de l’Anssi : la majorité. “Le problème est à la fois sa complexité mais également son rôle central” détaille Guillaume Poupard. “On ne peut pas enfermer un AD sous une cloche de verre pour que ses problèmes de sécurité n’aillent pas contaminer le reste. Il est connecté à beaucoup de choses.”

Faire de la sécurité positive

L’évaluation par note permettrait de faire passer un message clair au décideur qui ne sait pas forcément ce qu’est un AD : le message est vite compris lorsque le niveau de sécurité est à 1 sur une échelle de 5. “Nous apportons un service, en expliquant les mesures à prendre pour passer au niveau 2, et suivants” ajoute Guillaume Poupard. En effet, chaque niveau donne accès à une liste de recommandations adaptées pour corriger les problèmes importants et autres points d’attention à intégrer. Une nouvelle évaluation est faite, avec une nouvelle note. “Notre méthode est globalement efficace” se réjouit le représentant. “Nous faisons de la sécurité positive, avec des progrès concrets qui se réalisent”.

Un portail en ligne appelé Club SSI, regroupant des outils d’accompagnement à la sécurisation des opérateurs réglementés et à la sphère publique, est en cours de développement. Une première version est déjà disponible pour les entités publiques, via le Réseau interministériel de l’Etat (RIE).

Ces autres mesures de l’Anssi…

Lors du FIC, l’Anssi a également rappelé l’importance de se rapprocher des spécialistes d’autres filières technologiques. Le directeur de l’Agence cite celle de l’intelligence artificielle en exemple, de plus en plus utilisée par les cyberattaquants et les opérateurs de défense. “Nous avons un écosystème en intelligence artificielle qui ne parle presque pas de sécurité alors que c’est un sujet fondamental pour le développement d’une activité. Et de notre côté, nous avons besoin d’intégrer les évolutions de cette technologie dans notre métier. Les attaquants ont compris cette importance.”

Former à ces compétences est également crucial. A la rentrée prochaine, l’Anssi va travailler en étroite collaboration avec l’Education Nationale pour former les lycéens de seconde et première en sécurité numérique. L’Anssi rebondit également sur la création du service national universel (SNU) pour “faire passer des messages utiles aux jeunes”.

L’ambition de l’Anssi et des acteurs de la cybersécurité est de construire sa souveraineté avec le soutien de l’Europe. “Notre souveraineté nationale dépend de l’Europe, tout comme l’Europe a besoin de la France pour se développer dans les domaines du numérique et de la cybersécurité”, affirme Guillaume Poupard. En témoignent les actions mises en place : Cyber Act, directive NIS, règlement eIDAS… La souveraineté européenne passera par les technologies. Première mise sur la table : la 5G. “Nous avons réalisé une analyse de risques commune sur la 5G” ajoute le directeur. “La Toolbox 5G de la Commission européenne montre ce que l’on peut faire dans les années à venir pour compter sur une 5G robuste, permettant le développement économique et d’assurer une souveraineté. Même si tous les composants ne sont pas européens.”