Ambroise Garel : Bonjour à toutes et à tous et bienvenue dans ce cinquième épisode, déjà, de La vigie, le podcast du Pavé numérique. Si vous ne le savez pas déjà, La vigie c’est un nouveau podcast, plus si nouveau maintenant, mensuel, qui est associé au Pavé numérique. Nos abonnés payants, en plus de recevoir chaque semaine l’intégralité des newsletters, c’est-à-dire la partie gratuite plus les chroniques payantes, ont également accès à une partie du contenu premium dont, notamment, La vigie qui est un podcast qui est disponible une fois par mois, à la moitié du mois. Encore une fois je vous remercie, chers abonnés, de soutenir nos publications, de nous permettre ce genre d’expérimentation et je vous remercie aussi, on en parle à chaque fois, d’accepter le côté extrêmement brut de décoffrage de ce podcast qui, non, n’a toujours pas de générique, je vous jure qu’il finira par arriver, notre équipe générique travaille dessus d’arrache-pied, nuit et jour.
On va refaire un petit peu le point sur les dernières émissions. Si vous les aviez ratées, sachez qu’elles sont évidemment disponibles à l’écoute sur Substack et sur les plateformes de podcast, si vous êtes abonné.
On avait donc parlé, la dernière fois, avec Julie Le Baron des deepfakes, de Taylor Swift, et la fois précédente encore on avait parlé des hacks et des opérations d’influence avec le journaliste Louis Adam qui est spécialiste de ces questions. On va un peu, quelque part, conclure cette suite d’émissions. On va parler des risques liés à Internet, des questions de sécurité, en s’adressant plutôt au bon dieu qu’à ses saints puisque, en l’occurrence, nous sommes en compagnie, aujourd’hui, d’Adrienne Charmet qui est chef au sein de la division Connaissance et Anticipation de l’ANSSI [1].
Bonjour Adrienne. Déjà merci d’avoir accepté de venir.
Adrienne Charmet : Bonjour.
Ambroise Garel : Comment présenterais-tu l’ANSSI pour ceux de nos auditeurs qui ne connaîtraient pas cette agence ?
Adrienne Charmet : L’ANSSI, c’est l’Agence nationale de la sécurité des systèmes d’information. C’est une agence qui est placée au sein des services du Premier ministre, au sein d’une institution qui est assez peu connue, qui s’appelle le SGDSN, parce qu’on adore les sigles, qui est le Secrétariat général de la Défense et de la Sécurité nationale.
En gros, l’ANSSI, c’est l’autorité de régulation sur les questions de cybersécurité et cyberdéfense.
On a pour mission, à la fois, d’assurer les missions de défense des systèmes d’information de l’État et des opérateurs critiques ;
on a aussi une fonction importante de participation à la création de la réglementation cyber, qu’elle soit française ou européenne ;
on a aussi une dimension importante de soutien au développement de produits et de services de sécurité ;
et puis, enfin, une mission de formation, d’information, de communication et de partage avec nos homologues en Europe et dans le monde.
Ça fait donc pas mal de missions dans une agence qui, aujourd’hui, compte un peu plus de 600 personnes qui sont installées sur plusieurs sites à Paris et à Rennes.
Ambroise Garel : D’accord. On va en parler, un nombre de missions non seulement très important, mais surtout des missions très diverses. Pour une agence de 600 personnes, ça paraît quand même assez impressionnant.
Avant de parler de tout cela, on va peut-être parler un petit peu de ton parcours, parce que c’est aussi une des raisons pour lesquelles je suis très content de te recevoir aujourd’hui. Ton nom est peut-être familier à certains de nos auditeurs, parce que, avant d’être à l’ANSSI, tu as un parcours particulièrement foisonnant. On va faire ça un petit peu dans l’ordre. Tu as commencé par des études d’histoire, tu as été chargée de cours à l’Université Paris-Nord c’est ça ?
Adrienne Charmet : Oui. À Villetaneuse.
Ambroise Garel : C’est une période durant laquelle tu as découvert Wikipédia. Est-ce que tu pourrais nous parler un peu de cette période, parce qu’on se dit que ce n’est pas un parcours qui devrait conduire vers des milieux, on va dire, plus geeks, plus informatiques, et, pourtant, tu t’es retrouvée un petit peu là-dedans.
Adrienne Charmet : Effectivement, j’ai un parcours qui est long parce que je suis un peu vieille.
Ambroise Garel : Ce n’est pas très gentil, parce qu’on a presque le même âge !
Adrienne Charmet : Qui a circulé dans les internets pour arriver, effectivement, de Wikipédia jusqu’à l’ANSSI.
L’époque à laquelle j’ai découvert Wikipédia, c’est un peu les âges préhistoriques de Wikipédia parce que c’était vers 2003/2004/2005, je ne me souviens plus exactement. À cette époque-là, j’étais doctorante en histoire religieuse, effectivement, au sein de l’Université Paris 13 Villetaneuse qui, maintenant, s’appelle Sorbonne-Paris-Nord. Et en fait un jour, en séminaire de doctorants, un chercheur, je ne sais absolument plus qui, nous parle des ressources numériques disponibles. À cette époque-là, il n’y a pas encore pas énormément de ressources disponibles sur Internet pour des chercheurs et, surtout, pour des chercheurs en lettres, sciences humaines et sociales, on est encore sur une image de l’Internet assez geek, effectivement. Il nous présente tout un tas de ressources, de bases documentaires littéraires, les débuts des bases de la BnF [Bibliothèque nationale de France], etc., et, au hasard de cette discussion, il nous parle d’un site qui s’appelle Wikipédia, un projet d’encyclopédie collaborative et libre. J’ai trouvé ça super intéressant. Je rentre chez moi le soir, je crois que je n’avais pas encore d’ADSL à cette époque-là, je mets mon disque AOL à 50 heures gratuites en route, je vais sur Wikipédia et j’ai trouvé ce projet d’encyclopédie complètement fascinant.
Ambroise Garel : Et tes 50 heures y sont passées !
Adrienne Charmet : Et mes 50 heures y sont passées et, en fait, ça a été le début de ma contribution sur Wikipédia avec au début, pas trop d’objectifs. J’ai dû commencer par corriger des fautes d’orthographe, comme tout le monde, et puis, assez rapidement, je me suis rendu compte que, d’une part, le partage de connaissances m’intéressait beaucoup, la partie logiciel libre, je ne connaissais pas du tout, mais, une fois que j’ai compris les principes, j’ai adhéré. À cette époque-là, je faisais des recherches pour ma thèse, je travaillais sur beaucoup de personnages, pas forcément les plus connus ; à l’époque, je faisais soit un .doc avec Word, soit des fiches en carton sur chacun de mes petits bonhommes où je mettais, à chaque fois, les informations que je collectais dans mes sources, dans mes archives, et assez vite, de façon hyper-pragmatique, je me suis dit « en fait, si je créais des articles sur Wikipédia, ce serait beaucoup plus simple pour synthétiser la connaissance. Non seulement je l’aurais pour moi, mais les autres l’auraient », parce que ça m’agaçait beaucoup de lire, dans des bouquins de chercheurs, trois lignes sur un type qui m’intéressait et j’étais obligée de retourner dans les mêmes archives que le chercheur en question pour avoir la suite de l’histoire. Je me suis dit « tant qu’à faire, une fois que j’ai fait la recherche, autant la mettre à disposition des autres ». C’est un peu comme cela que j’ai commencé et que je me suis investie de plus en plus dans le fonctionnement de Wikipédia et de Wikimédia France [2], l’association qui soutient et promeut les projets Wikimédia en France.
Ambroise Garel : Donc, tu es devenue présidente à partir de 2009.
Adrienne Charmet : Tout à fait.
Ambroise Garel : On va dire que c’est plus qu’un intérêt d’étudiante, tu t’es vraiment investie énormément dans le projet.
Adrienne Charmet : En fait, au bout de quelques années j’ai lâché la carrière universitaire, mais, pour autant, je n’ai pas lâché Wikipédia et je me suis investie de plus en plus dans cette association.
En 2009, j’en ai effectivement pris la présidence pour à peu près deux ans. Ensuite, quand on a monté une équipe salariée, je suis rentrée dans cette équipe salariée, j’y suis restée jusqu’en 2014. Là, on n’était plus uniquement dans la partie contribution à Wikipédia ou aux autres projets – Wikimédia Commons, Wikisource, etc. Je me suis aussi engagée un peu plus largement sur tout ce qui est communs de la connaissance, communs numériques et puis promotion et développement des projets en France ou à l’international, pour, déjà, faire accepter Wikipédia dans les institutions culturelles et universitaires et monter des partenariats pour que ces institutions soit favorisent la contribution de leurs membres, soit partagent du contenu sous licence libre pour qu’on puisse le réutiliser au sein des projets Wikimédia.
Ambroise Garel : Ce que je trouve intéressant c’est, justement, que tu es partie quand même de quelque chose de très universitaire et presque vraiment, en fait, un problème qui est, je pense, une sorte de désir, chez beaucoup de gens qui sont, par exemple, en master ou qui commencent leur thèse, de se demander « comment pourrais-je, dès maintenant, commencer à partager mes recherches ? ». C’est vrai que, pour ça, Wikipédia est un outil génial. De là, tu es arrivée plus vers l’ouverture, vers les avantages des licences libres, les avantages des communs. Je trouve vraiment intéressant de voir qu’en partant de problèmes presque universitaires, tu t’es retrouvée avec des questions qui sont presque des questions plus techniques et des questions liées au numérique.
Adrienne Charmet : En fait, ce n’est pas si étonnant que ça, parce que, quand on travaille dans le monde universitaire, la question de la diffusion du savoir est effectivement absolument fondamentale et puis on a un peu deux écoles : celle qui partage et celle qui ne partage pas. Je pense que, naturellement, je suis plutôt du côté de l’équipe qui partage.
Autant, à la fin des années 90, je ne voyais absolument pas l’intérêt d’Internet, franchement ça ne me parlait pas du tout et, n’ayant jamais développé quoi que ce soit, codé quoi que ce soit, c’était vraiment un monde qui ne me parlait pas, autant la partie contenus d’Internet m’a parlé tout de suite. Cette capacité à partager des choses et à découvrir des choses sur Internet m’a tout de suite beaucoup plu. Donc, je trouve que ce n’est pas si étonnant que ça quand on a une formation universitaire et une pratique de la recherche, en tout cas de l’écriture de la recherche, etc., de basculer sur des projets de communs. En fait, nous sommes assez nombreux, au sein des contributeurs de Wikipédia et des gens qui s’investissent dans la partie associative derrière, à venir de ce monde universitaire, notamment en lettres et en sciences sociales.
Ambroise Garel : Ce qui n’est pas forcément étonnant quand on voit tous les mouvements en faveur de l’open science, des choses comme ça, il y a une vraie volonté d’ouverture aussi de la part du milieu de la recherche, d’une partie du milieu de la recherche, encore une fois. C’est vrai que chez toi c’est quand même allé un petit peu plus loin, tu disais que c’est vraiment quelque chose qui était lié aux travaux universitaires, mais c’est quand même lié plus aussi au côté, par exemple, défense de la partie liberté, puisque après – merci de me corriger si je me trompe dans les dates –, en 2014, tu as quitté ton poste de directrice des programmes de Wikimédia France pour rejoindre La Quadrature de Net [3]. Il faut peut-être expliquer, encore une fois, ce qu’est La Quadrature du Net qui s’est fait connaître, à l’époque, en plein débat sur la loi Hadopi [4], quand, je ne sais pas si c’est Christine Albanel [ministre de la Culture] elle-même ou quelqu’un de son cabinet a dit « ils sont cinq gus dans un garage qui font des mails à la chaîne » [5], phrase qui est restée parce qu’ils étaient vraiment très militants contre la loi Hadopi et tu les as rejoints.
Pour le coup, autant Wikimédia, Wikipédia en général, c’est quand même quelque chose qui a un pied dans le monde de la recherche, un pied dans le monde du savoir, on va dire, autant La Quadrature de Net c’était vraiment quelque chose qui était un repère de libristes, des gens qui avaient un rapport beaucoup plus direct à l’informatique, beaucoup plus pratique.
Adrienne Charmet : Oui et non. En passant de Wikimédia à La Quadrature, je n’ai pas eu l’impression de faire un saut culturel énorme. Évidemment, on se connaissait. Il n’y avait pas, en France, 50 000 associations qui se prononçaient ou s’activaient en faveur des logiciels libres et des licences libres, donc, forcément, on se connaît, on se parle et on fait des choses ensemble. Je connaissais donc déjà bien La Quadrature. Oui, c’est un repaire de geeks, mais ce sont les mêmes que chez Wikimédia, c’est pareil, ce sont les mêmes ou pas loin. Et puis, contrairement à ce qu’on pourrait penser, au sein de La Quadrature et ce qui en fait vraiment son originalité, c’est cette alliance de gens avec des compétences techniques très poussées et très avérées, une connaissance de tout ce qui tourne autour des télécommunications, du chiffrement, de la vie privée, etc., et beaucoup de juristes, et aussi des sociologues, des gens qui travaillent dans les humanités numériques, etc., qui sont capables de faire ce lien entre la technique, les enjeux politiques et l’implication des problématiques techniques dans les enjeux politiques. Je trouve que c’est vraiment ça qui est intéressant, c’était vraiment ce qui m’intéressait beaucoup et je n’ai pas eu l’impression de changer de milieu social, c’était quand même assez proche et j’aimais beaucoup ce mélange entre des questions extrêmement techniques et des questions juridiques, sociales, politiques très poussées aussi.
Ambroise Garel : Manifestement, ton profil était intéressant pour eux. J’ai vu, j’ai lu – encore une fois je ne sais pas dans quelle mesure c’est vrai ou non – qu’apparemment ton profil avait particulièrement plu à La Quadrature, parce que c’était le genre de personne qu’il fallait. Tu as été porte-parole de La Quadrature parce que, justement, tu étais capable de parler aussi aux gens en dehors, peut-être, du milieu justement un peu des libristes ou du milieu des gens qui sont spécialisés de ces questions-là.
Adrienne Charmet : C’est quelque chose que j’ai un peu cultivé ; en gros, j’ai fait passer ma flemme pour une qualité, c’est-à-dire que je n’ai jamais voulu, justement, développer trop mes compétences techniques pour rester accessible et pour continuer à me mettre à la place – je déteste l’expression « madame Michu » parce que je la trouve hyper sexiste – de monsieur Michu. En gros, si on veut être capable de parler au plus large public possible, je ne dis pas qu’il faut être ignorant des questions techniques, en tout cas, il faut quand même se placer du côté des gens à qui on veut parler. Quand on connaît trop les choses, par exemple si je parle des questions liées aux logiciels libres, c’est hyper important de bien comprendre comment ça fonctionne, mais ce n’est pas évident pour tout le monde de travailler en ligne de commande, installer des logiciels en ligne de commande ça ne se fait pas si facilement que ça, je sais le faire, ce n’est pas la question, mais j’ai besoin, quand même, de garder un point de vue de grand public pour être capable de mieux lui parler.
Je ne sais pas quels sont les choix qui ont présidé aux fondateurs de La Quadrature pour me recruter, en tout cas, oui, ce côté non-geek était intéressant, je pense, pour parler au plus large public possible.
Ambroise Garel : Surtout qu’il permet de garder cette perspective-là. Un exemple me vient toujours en tête, c’était au moment où Dropbox s’est lancé : quelqu’un qui avait dit « ça ne marchera jamais parce que c’est très facile à faire, en gros vous faites un script qui compare les dates de mises à jour et vous fabriquez votre Dropbox tout seul sur votre NAS [Network">Attached Storage - Serveur de stockage en réseau], dans votre salon » et les gens ont dit « tu ne te rends pas compte ! ». Là, c’était un cas extrême, mais c’est un problème qu’on peut trouver : on a tellement pris l’habitude de l’évidence de certaines choses, on ne se rend pas compte qu’elles ne sont pas forcément évidentes.
Adrienne Charmet : C’est ça. Être capable d’héberger soi-même ses mails, d’avoir son serveur et de l’administrer, c’est loin d’être évident pour tout le monde, donc, forcément, ça entraîne le développement d’offres commerciales qui ont leurs qualités d’accessibilité et leurs défauts à côté, notamment dans l’exploitation des données ou les problématiques d’hébergement au sens large. Et, si on n’est pas capable de le comprendre ou si on pense qu’il n’y a qu’à se prendre en main et héberger ses contenus, on ne va pas être capable de parler à son public.
Ambroise Garel : Pour en revenir à cette dernière étape, avant d’attaquer le vif du sujet : en 2017, tu as quitté La Quadrature du Net pour rejoindre l’ANSSI. S’il y a vraiment des passerelles évidentes entre Wikimédia et La Quadrature, on va voir dans notre conversation qu’en fait il y en a pas mal, finalement je comprends mieux après avoir entendu tout ça, qu’on peut trouver des passerelles entre La Quadrature et l’ANSSI ; c’est vrai que ce n’était peut-être pas forcément évident de prime abord. Est-ce que ça s’est bien passé, déjà, de la part des gens de La Quadrature ? Ont-ils bien accepté que tu partes dans ce qui est quand même une agence d’État, qui plus est une agence liée à la sécurité.
Adrienne Charmet : Les raisons pour lesquelles j’ai choisi de postuler à l’ANSSI, c’est que, après de nombreuses années dans l’associatif, j’avais peut-être envie de changer un petit peu. Déjà, j’avais besoin de renouveler un peu mon travail, de changer un peu, c’est normal ; je n’avais pas forcément envie de continuer dans l’associatif et aucune envie d’aller faire de l’open washing dans une entreprise, une GAFAM quelconque ; c’était hors de question. En fait, j’avais envie de continuer à travailler pour l’intérêt général, le bien commun ; quand on veut travailler pour le bien commun, le service public, ce n’est pas absurde. L’ANSSI est une agence qui avait et qui a toujours, je crois, la réputation d’être à la fois hyper carrée techniquement dans ses missions et assez peu politisée, donc, ça m’intéressait ; je n’avais pas l’intention d’aller dans quelque chose de politisé, on va dire. Autant j’ai fait beaucoup de politique, que ce soit à Wikimédia ou à La Quadrature, autant, là, j’avais envie, en travaillant pour l’État, d’être dans quelque chose de peut-être plus neutre et l’ANSSI avait plutôt bonne réputation y compris chez les libristes et y compris à La Quadrature parce qu’elle est assez ferme sur un certain nombre de choses, notamment le droit individuel au chiffrement des communications.
Ambroise Garel : On va en parler beaucoup.
Adrienne Charmet : C’est une position que l’ANSSI a toujours défendu mordicus et ça me tenait vraiment à cœur.
Comment cela a-t-il été pris ? Je pense pas trop mal, en tout cas plus facilement que si j’étais peut-être partie à d’autres endroits de l’État. J’ai trouvé que c’était assez logique de ma part. Encore une fois, c’était une évolution, une réflexion de ma part de me dire : mon temps à La Quadrature est en train de se terminer, il faut que je bouge, où est-ce que je vais, où est-ce que je vais être raccord avec mes opinions, surtout avec mes convictions, et aussi faire un travail intéressant, avec cette petite difficulté de travailler, depuis des années, dans un milieu très technique en n’ayant aucune compétence d’ingénieur, j’ai d’autres compétences, mais aucune compétence d’ingénieur. C’est là où j’ai découvert qu’au sein de l’ANSSI il y a pas mal de métiers différents et qu’on pouvait trouver son bonheur.
Côté ANSSI, je crois que ma candidature a été bien reçue, avec une volonté de s’ouvrir à des profils peut-être un peu différents de leurs recrutements habituels. Je pense que pas mal de gens seraient étonnés de la diversité de profils qu’il peut y avoir à l’ANSSI : on n’est pas du tout dans une agence monolithique, il y a des gens vraiment très différents au sein de l’agence, donc, ça ne pose pas de problème, en fait.
Ambroise Garel : On va en parler, on va justement venir à l’ANSSI, à tout ce que fait l’agence, puisque c’est vrai qu’elle a un nombre de missions quand même assez important.
Question toute bête, un peu l’histoire de l’ANSSI. Elle a été créée en 2009, je crois, en remplacement de ce qui était la Direction centrale de la sécurité des systèmes d’information. J’ai remonté un peu toute l’histoire, je me rends compte que c’est quand même très vieux entre le Bureau du Chiffre et des choses comme, ça fait très longtemps que, en France, comme je suppose dans d’autres pays, la question de la sécurité informatique s’est posée.
Adrienne Charmet : C’est assez intéressant puisque l’ANSSI, qui est donc née en 2009 en tant qu’autorité nationale de la sécurité des systèmes d’information, a, en fait, une histoire assez ancienne qui remonte au moins à la Deuxième Guerre mondiale avec ce fameux Service du Chiffre, on se croirait au service de la France, c’est génial, j’adore, qui a été créé à Alger pendant la Deuxième Guerre mondiale avec, comme mission, de sécuriser les communications du BCRA [Bureau central de renseignements et d’action], des autorités françaises gaullistes de l’époque. Ce besoin de chiffrement des communications stratégiques existe depuis bien avant l’informatique, il existe depuis l’Antiquité, mais, au sein de l’État, il s’est fixé après la Deuxième Guerre mondiale à cet endroit-là. Et, avec l’arrivée de l’informatique au sein de l’appareil administratif et des communications de l’État, ce Service du Chiffre a élargi ses compétences petit à petit au systèmes d’information. La partie réponse à incident, ce qu’on appelle le CERT-FR [6] qui correspond aujourd’hui, globalement, à la Sous-direction des opérations de l’ANSSI, a été créé, lui, à la fin des années 90, au tournant 99/2000.
Ambroise Garel : D’accord. Pour vous, il y a eu, un peu, une massification de cet aspect-là.
Adrienne Charmet : À cette époque-là, c’était le Service central de la sécurité des systèmes d’information qui est devenu une Direction centrale de la sécurité des systèmes d’information et, en 2008, un livre blanc dit « face à la progression des attaques et pour mieux répondre à ses missions, il faudrait que cette mission de sécurité des systèmes d’information devienne une autorité nationale, qu’elle puisse, en étant placée au sein des services du Premier ministre, avoir une action interministérielle et remplir ses différentes missions en tant qu’autorité nationale. »
Les missions existaient globalement déjà avant, la plupart des missions de l’ANSSI existaient déjà. En revanche, elle a été créée nommément en 2009, mais il y a des personnes qui sont à l’ANSSI depuis avant l’ANSSI, en tout cas qui sont passées d’une agence à une autre au fur et à mesure du temps.
Ambroise Garel : Je trouve intéressante cette idée de regrouper plusieurs missions qui, on va le voir, sont quand même assez différentes, au sein d’une même agence ; ça montre aussi une compréhension un peu globale que ce sont des enjeux qui sont liés et, en soi, c’est assez intéressant. On peut peut-être les énumérer très rapidement. J’ai trouvé la liste des missions :
- défendre les systèmes d’information critiques de la nation et les victimes de cyberattaques, là on en est, je pense, sur ce que les gens imaginent quand ils pensent ANSSI ;
- connaître l’état de l’art en sécurité des technologies et des systèmes d’information ;
- partager des recommandations de cybersécurité, des solutions et des outils aux acteurs de la cybersécurité ;
- accompagner le développement d’une doctrine française de cybersécurité.
Il y a vraiment plein d’aspects qui sont quand même intéressants, parce que ces missions relèvent, pour certaines, directement de la sécurité de l’État, en tout cas de grandes administrations critiques ou de grandes entreprises critiques, et d’autres qui relèvent presque plus de l’éducation collective, de la recherche en cybersécurité ou de la communication sur l’état de l’art.
Adrienne Charmet : Tout à fait et ça se retrouve en fait dans l’organisation de l’agence. Si on va sur le site cyber.gouv.fr, qui est le site de l’ANSSI, on a un organigramme [7] qui montre un peu les différentes sous-directions de l’agence. On va retrouver, par exemple, une Sous-direction Expertise dans laquelle on va avoir des gens qui font de la recherche sur différents sujets liés à la cybersécurité au sens très large, que ce soit des questions de cryptographie sur les télécommunications, etc. ; en fait, c’est de la recherche un peu appliquée, mais, fondamentalement, c’est de la recherche, ce sont des gens qui encadrent des thésards, publient des papiers de recherche, etc.
Ambroise Garel : Donc, des gens qui font sur des thèses auprès de l’ANSSI ? Qui sont directement rattachés à l’ANSSI pour leur direction de thèse, leur directeur de thèse est à l’ANSSI. C’est intéressant.
Adrienne Charmet : Je n’ai pas les détails exacts, en tout cas il y a des thésards à l’ANSSI, notamment en cryptographie et dans d’autres domaines également ; ce n’est pas vraiment ma spécialité.
Ambroise Garel : C’est intéressant de voir que ça existe.
Adrienne Charmet : On va trouver aussi des gens qui vont gérer toute la partie tests de produits et de services en cybersécurité pour vraiment être capables de les certifier, de les qualifier à l’état de l’art en matière de sécurité ; d’autres qui vont faire de l’accompagnement des entreprises qui montent des offres de cybersécurité pour les aider à atteindre un certain niveau et à développer des offres qui soient celles dont on a besoin pour se défendre ; on a aussi toute une partie formation avec de la labellisation de diverses formations universitaires qui comprennent des modules de cybersécurité.
Ambroise Garel : Des modules qui sont donnés dans des facs, mais qui sont officialisés par l’ANSSI ?
Adrienne Charmet : En gros, qui répondent à une charte.
Ambroise Garel : Une charte de qualité, certifiée, en fait.
Adrienne Charmet : Je ne suis pas sûre que le mot soit « certifié », en tout cas il y a un label ANSSI.
On a aussi un certain nombre de formations internes, qui servent à la fois à nous former en interne mais aussi à former des agents de l’État sur tout un tas de questions, certaines formations assez courtes pour débutants et des formations parfois très longues et hyper-poussées sur certains domaines.
Dans la Sous-direction Stratégie, on va trouver la partie plutôt tournée vers l’extérieur, que ce soit de la communication pour différents types de publics – grand public, un peu plus spécialisé –, tout l’accompagnement des administrations.
L’idée c’est qu’on ne soit pas une autorité qui va simplement dire « fait ça, sinon je te sanctionne », il y a vraiment une démarche d’accompagnement qui est assez importante et qui va être pas mal menée par cette sous-direction. Et puis, on a effectivement la Sous-direction Opérations où on a cette fonction vraiment de défense des systèmes d’information critiques de la nation, où on va trouver la partie réponse à incident, ce sont les cyber-pompiers.
Ambroise Garel : Quand il y a un problème, ils arrivent.
Adrienne Charmet : Quand on entend que les équipes de l’ANSSI sont allées intervenir, c’est la Sous-direction Opérations. On va aussi trouver toutes les équipes qui travaillent sur les systèmes de détection d’attaques et puis les équipes qui travaillent sur la connaissance et l’anticipation, c’est la division dans laquelle je travaille, je suis chef d’un pôle de cette division qui va travailler sur l’analyse de la menace et tout ce qui est veille et diffusion autour des vulnérabilités informatiques et pas mal de questions autour des audits de sécurité.
Ambroise Garel : Pour une réflexion aussi à plus long terme sur l’évolution des menaces.
Adrienne Charmet : Ça peut être à très court terme, si on va nous attaquer demain, et ça peut être beaucoup à plus long terme sur les grandes tendances de la menace. La menace ne bouge pas tous les quarts d’heure, donc être capables aussi de donner une vision un peu plus long terme sur les choses.
Ambroise Garel : On va parler de l’évolution des menaces. Ça fait maintenant sept ans que tu es à l’ANSSI, tu es une vétérane de l’ANSSI, tu as dû voir des évolutions. Juste avant, pour en finir, on ne va pas rentrer dans le détail de l’organigramme parce que ça ne serait pas forcément extrêmement intéressant, mais, au niveau des profils, parce qu’on a parlé un peu de ton profil en introduction, tu dis qu’il y a des profils extrêmement divers ; vu les différentes missions, c’est évident. En général, d’où viennent les gens ? Ce sont des informaticiens de sécurité, des gens qui viennent de la recherche, d’autres qui viennent de la défense, du renseignement ?
Adrienne Charmet : Il y a effectivement des profils très variés, je ne saurais pas dire combien il y a de métiers différents au sein de l’agence, mais vraiment beaucoup, c’est extrêmement varié. Qu’est-ce qu’on a comme profils ? J’essaye de balayer un petit peu, dans les grandes lignes.
On a des profils d’ingénieur réseaux, ingénieur systèmes, des gens qui vont faire de la réponse à incident, donc gros profils d’ingénieur ;
on va avoir des ingénieurs plus spécialisés sur certains sujets, qui vont plutôt analyser des infrastructures, d’autres qui vont plutôt analyser du code, des ingénieurs qui vont faire de l’audit technique ;
on peut avoir également des profils pas du tout ingénieur, c’est bien pour cela que je suis allée travailler à l’ANSSI, des profils qui vont être plutôt formés en relations internationales, géopolitiques, qui ont une appétence pour les questions techniques, mais qui vont avoir une vision de la menace ou des attaques un peu différente ;
on a besoin de gens qui savent bien écrire, c’est très important de savoir analyser, écrire, et être capable de faire remonter de la connaissance soit sur des attaques en cours soit sur de l’analyse de la menace ;
je parlais des chercheurs, on a des chercheurs ;
on a des gens qui sont plus en capacité d’accompagner des entreprises ;
on a des juristes ;
on a des gens qui font là com’.
On a vraiment des profils assez différents et l’origine des gens va avec : pas mal de gens viennent d’écoles d’ingénieurs ou de boîtes de cybersécurité ; un peu de militaires qui sont détachés au sein de l’agence, pas tant que ça, mais un petit peu ; et puis des gens qui, globalement, ont travaillé dans la défense, mais on a aussi des profils complètement différents, je venais de l’associatif, on peut avoir des gens qui, précédemment, ont travaillé dans des start-ups qui n’ont rien à voir. Franchement, c’est assez varié, à partir du moment où on a cette appétence pour les questions de sécurité et où on est prêt à travailler pour l’État et pour l’intérêt général. C’est vraiment très varié.
Ambroise Garel : Je trouve intéressant, justement, que ce sont des profils qui viennent quand même de milieux différents, de cultures, aussi, très différentes. Pour connaître des gens qui sont dans le milieu militaire, dans le milieu des start-ups, ce sont quand même des profils très différents, des cultures très différentes, et les voir collaborer sur un intérêt commun, je trouve ça assez intéressant comme structure.
Adrienne Charmet : Effectivement, une des choses qui m’a le plus surprise, c’est à quel point la mayonnaise prend bien. Je pense que ce n’est pas totalement anodin de dire que dans un milieu de la cybersécurité, qui est typiquement très masculin, on est largement au-dessus des quotas en nombre de femmes présentes, on n’est pas loin de 30 %.
Ambroise Garel : Ah oui, c’est beaucoup pour un milieu comme ça, militaire plus sécurité plus informatique.
Adrienne Charmet : Encore une fois, il n’y a pas beaucoup de militaires. Mais oui, on a une proportion de femmes beaucoup plus importante qu’ailleurs, il ne faut pas s’en satisfaire, il ne faut pas se dire que tout est acquis, mais c’est plutôt intéressant de se dire qu’on a un environnement qui est quand même relativement accueillant pour les femmes ; on a beaucoup de jeunes, beaucoup de jeunes qui sortent d’école, à qui ça fait un premier poste assez intéressant pour démarrer leur carrière.
Globalement, je trouve que c’est une agence plutôt sympathique.
Ambroise Garel : C’est une agence qui a beaucoup de travail aussi, on va en parler, on va parler justement de la question des menaces. Avant de parler de ça, je dois dire que chaque année l’ANSSI sort un Panorama annuel de la cybermenace [8]. Je ne sais pas depuis de combien d’années vous le faites.
Adrienne Charmet : C’est la troisième année.
Ambroise Garel : Troisième année, j’avais déjà lu celui de l’année dernière. Donc un Panorama annuel de la cybermenace, ça fait 50 pages ; ça se trouve facilement sur Internet, on postera le lien dans la description du podcast ; ça résume à peu près l’état de la situation, on va dire. Si vous vous intéressez à ces questions, c’est vraiment intéressant, je trouve que ça rentre quand même dans des détails très techniques, tout en étant accessible pour les gens qui s’intéressent à ces questions, en donnant, en brossant un panorama assez large, donc c’est très intéressant.
D’abord, et ça fera peut-être une transition entre ces deux parties, on a déjà un petit peu parlé de la question des menaces, vous parlez de menaces très différentes qui vont de menaces de gens qui sont vraiment motivés essentiellement par l’argent, on pense évidemment aux ransomwares, aux choses comme ça, à des menaces d’acteurs étatiques où, là, les intérêts sont évidemment de nature beaucoup plus géopolitique ; on en a parlé, c’est vrai qu’il y a donc des pôles spécialisés pour ces différentes menaces.
Adrienne Charmet : Oui, en gros, on fait un peu d’analyse de la menace, en tout cas, au sein de l’ANSSI, on a travaillé sur notre manière de voir cette menace. En fait, on voit trois grandes motivations principales pour des attaquants, en tout cas ceux qu’on traite, parce qu’on n’adresse pas forcément l’ensemble des menaces cyber, il y a une partie qui va être plus traitée par cybermalveillance.gouv.fr [9]. Ce que nous allons traiter, c’est la menace qui va cibler les intérêts stratégiques de la nation que sont les administrations ou qui peuvent être des entreprises stratégiques.
Les trois grandes motivations des attaquants qui nous occupent, ce sont, effectivement, la menace à but lucratif, la menace à but d’espionnage et la menace à but de déstabilisation.
Dans la déstabilisation, on va entendre des choses assez diverses qui vont des attaques DDoS [10] d’activistes qui veulent soutenir une cause jusqu’à du sabotage bien hardcore.
Du coup, nous nous sommes un peu organisés en fonction, je ne vais pas rentrer dans les détails de l’organisation, pour adresser, de façon spécifique, ces différentes menaces. Certaines sont très opportunistes, c’est notamment le cas de pas mal de menaces à but lucratif. On entend beaucoup parler des rançongiciels sur les hôpitaux, par exemple, parce que ça nous frappe particulièrement, on se dit « qu’est-ce que c’est que ces gens qui s’attaquent à des hôpitaux ! », mais, en fait, ça cible énormément de TPE, PME, de collectivités territoriales, globalement d’acteurs qui sont d’une taille relativement moyenne, en tout cas qui n’ont pas forcément une sécurisation au top niveau. On a des acteurs, des cybercriminels, qui vont, de façon assez opportuniste, aller chercher de l’argent là où ils peuvent, éventuellement, en trouver, là où c’est moins bien sécurisé.
Ambroise Garel : Pour reprendre et renvoyer aussi les gens à ça, donc pas le rapport de cette année mais celui de l’année dernière, de votre ancien directeur de l’agence, Guillaume Poupard à l’époque, maintenant c’est Vincent Strubel, c’est ça ? Le dernier rapport, le rapport de 2022, c’est le côté pêche au chalut, l’expression m’a marqué, c’est-à-dire qu’on frappe tout le monde, c’est vraiment l’opportunisme par excellence.
Adrienne Charmet : Oui. Il y a vraiment un caractère un peu systémique de cette menace. Chaque cas individuel ne met pas en péril les intérêts fondamentaux de la nation, pour autant, tous ensemble, on se rend compte que ça coûte très cher, ça paralyse des administrations, des hôpitaux, des collectivités, des entreprises ; il y a un coût sur l’emploi : quand on a une PME de 100 personnes qui se prend un rançongiciel, qui n’a pas de sauvegarde, qui doit fermer boutique et mettre 100 personnes au chômage, c’est un problème ; quand un hôpital est touché par un rançongiciel, revenir à un état nominal de fonctionnement ça prend des mois, ça peut prendre une année complète et ça peut être des semaines complètes de désorganisation profonde.
Donc oui, c’est à la fois de la pêche au chalut dans le sens où c’est de l’opportunisme, ils ne sont pas ciblés en tant qu’hôpital de tel endroit ou PME de tel secteur, mais on arrive quand même à un niveau de menace qui est important et on l’a mis dans le Panorama de cette année : les attaques par rançongiciels ont augmenté encore et elles ne cessent d’augmenter en France et partout en Europe et dans le monde, ce n’est pas uniquement en France.
Ambroise Garel : Sur la question de l’augmentation, dans le rapport 2022, sur la question des rançongiciels et du côté opportuniste, c’est très fréquent. On va parler après du rapport de l’année dernière qui parle plus des menaces que vous appelez ciblées, en fait un peu l’inverse. Dans ce cas-là, est-ce que c’est lié à quelque chose qu’on constate par exemple beaucoup en informatique, notamment dans le développement, c’est qu’il y a de plus en plus d’outils un peu fournis clés en main, qui permettent, avec des connaissances techniques bien moins importantes, de réaliser des opérations qui, avant, demandaient des gens plus qualifiés. Est-ce que c’est quelque chose qu’on observe aussi aujourd’hui ?
Adrienne Charmet : Oui et non.
Ambroise Garel : En fait, des outils pour faire des actions de masse.
Adrienne Charmet : Ça existe depuis très longtemps, c’est très facile à trouver. Ce qui existe, c’est une spécialisation de l’écosystème cybercriminel, c’est-à-dire que là où, il y a encore quelques années, un acteur qui voulait faire du rançongiciel, il fallait qu’il soit capable de trouver des accès, de s’introduire, de se latéraliser dans un système d’information, de pouvoir développer sa charge malveillante, la déclencher, négocier une rançon, fournir des clés de déchiffrement, ça demande, en fait, plein de compétences différentes. Comme le rançongiciel ramène pas mal d’argent, le secteur s’est étoffé et on a, aujourd’hui, des acteurs spécialisés, certains qui vont se spécialiser dans la collecte d’accès à des systèmes d’information d’entreprises, d’autres qui développent des malwares, d’autres qui vont développer des capacités de latéralisation, d’autres qui vont se spécialiser dans la négociation de rançons, etc.
Ambroise Garel : On collabore sur une même attaque, il y en a plein d’acteurs qui collaborent.
Adrienne Charmet : On a un écosystème complètement atomisé avec, en fait, une offre de services. Certains sont spécialisés dans l’hébergement pour des cybercriminels où on peut payer en crypto-monnaie, où on n’est pas obligé de dire qui on est, on est situé dans un pays où personne ne viendra nous chercher, même Interpol ne viendra jamais nous chercher. Bref, il y a toute une spécialisation de l’écosystème qui fait que, si je suis un acteur cybercriminel, je ne suis plus obligé de maîtriser l’ensemble de la chaîne technique. En ce sens, oui, il y a des outils qui sont plus accessibles pour des gens moins forts techniquement, mais il faut quand même avoir accès à ce marché du cybercrime.
Pour le reste, il n’y a pas une évolution énorme des types d’acteurs. Encore une fois, on ne traite pas les arnaques.
Ambroise Garel : Le phishing du quotidien, les choses comme ça.
Adrienne Charmet : Il y a un seuil à partir duquel on ne traite pas vraiment. Je ne saurais pas dire exactement s’il y a une évolution de la menace là-dessus, c’est plutôt cybermalveillance.gouv.fr qui a d’ailleurs publié son état de la menace, son rapport annuel il y a quelques jours, qui pourrait mieux répondre.
Si on pense aux outils type ChatGPT, etc., on ne peut pas dire, aujourd’hui, que ça représente un changement de paradigme dans la menace, on verra ce que ça donne plus tard. Sur des attaques opportunistes ça peut, éventuellement, changer des choses d’ici quelque temps, aujourd’hui ce n’est pas quelque chose qu’on a constaté et, pour le coup, ce qu’on met dans le Panorama de la menace c’est vraiment ce qu’on constate ou ce que constatent nos partenaires. On ne fait pas de prospective sur la menace, on est vraiment sur ce qui s’est passé en 2023, ce qu’on a vu en 2023, pour éviter de partir dans des conjectures sur des menaces de l’IA quantique. On reste sur les choses qu’on voit vraiment passer.
Ambroise Garel : Justement, à propos du rapport de cette année, le précédent était quand même très centré sur les menaces opportunistes, celui-là parle aussi d’une augmentation des menaces ciblées. C’est quelque chose d’un peu nouveau. On a envie de se dire qu’on sait immédiatement, par opposition à une menace opportuniste, ce qu’est une menace ciblée. Est-ce que tu pourrais définir, quand même un petit peu, ce que vous appelez comme ça à l’ANSSI ?
Adrienne Charmet : Ce qu’on appelle menaces ciblées, ce sont des menaces qui ne sont pas opportunistes ! Essentiellement des menaces à but d’espionnage ou de déstabilisation et, globalement, des menaces portées par des groupes d’attaquants liés à des États, pas que, mais liés à des États pour la plupart qui, du coup, vont aller chercher précisément un effet sur une cible particulière, la cible compte. Ça n’empêche pas certains d’aller, par exemple, faire un ciblage hyper-large pour monter des infrastructures qui, ensuite, vont servir à cibler plus précisément. En tout cas, cette menace ciblée a comme caractéristique de répondre à des objectifs qui sont différents de ceux de la menace cybercriminelle opportuniste où l’idée c’est de faire de l’argent un peu quelle que soit la victime. Là, on a des attaquants qui ont plus de temps, qui sont payés pour faire ce qu’ils font, ils peuvent donc rester un an, deux ans dans un système d’information. S’ils ont une mission de collecte d’informations stratégiques, ils vont revenir, systématiquement. Si la cible est d’intérêt et qu’elle reste d’intérêt, ce sont des attaquants qui vont persister, qui vont être hyper-discrets, qui vont se placer à des endroits stratégiques et on sait qu’ils reviendront. On va les expulser, ils vont revenir. C’est vraiment une menace extrêmement persistante et extrêmement ciblée.
Ambroise Garel : Du coup, c’est d’une nature complètement différente, surtout d’une nature qui donne l’impression, au-delà de la question de l’intention, qu’il y a aussi la question du temps, notamment quelque chose dont tu m’as parlé : on constate aussi, de façon assez croissante, la question du pré-positionnement, que j’ai trouvée assez intéressante. C’est-à-dire des gens qui vont s’introduire dans des systèmes d’information pour être là au cas où ; en gros, à être prêts à déclencher quelque chose – ça peut être des files, ça peut être des chevaux de Troie, n’importe quoi. L’idée c’est de dire « on a un pied dans la place et comme ça on est prêt à agir ». C’est une forme, on va dire, de sabotage par anticipation.
Adrienne Charmet : On n’est pas dans le sabotage, on est plutôt dans ce qu’on appelle le pré-positionnement.
C’est quelque chose sur lequel les deux derniers directeurs généraux de l’agence, que ce soit Guillaume Poupard ou Vincent Strubel, ont souvent insisté : le fait que si ces attaquants ont pour mission de se positionner au sein de systèmes d’information critiques au cas où, nous pouvons constater ce type de chose, c’est particulièrement inquiétant parce que si jamais c’est déclenché, ça pourrait être critique. Du coup, c’est un type de menace sur lequel on est particulièrement attentif, qui est un peu différent de l’espionnage où, là, l’objectif est d’exfiltrer de l’information. Là, l’objectif est surtout d’être très discret et d’être positionné sur des endroits critiques.
Ambroise Garel : D’accord. On peut se demander : positionnés en vue de quoi ? C’est vrai qu’il y a aussi tout un aspect auquel, forcément, beaucoup de gens pensent, dans le dernier rapport, sur la question de ce qu’ils appellent les grands événements ; on pense évidemment aux Jeux olympiques de cette année, mais c’est vrai pour tous les évènements d’ampleur. D’ailleurs, avec Louis Adam, on en avait parlé dans un podcast il y a deux mois. En fait, je m’étais posé la question de l’intention là-dedans. Je lui avais dit, par exemple, que le fait de saboter la cérémonie d’ouverture des JO, c’est un peu minable quelque part. Il m’avait dit « non, ça a vraiment une importance, notamment du point de vue des acteurs étatiques hostiles, du point de vue, simplement, de leur politique intérieure ou de leur opinion publique intérieure ».
Il y a un autre aspect auquel je n’avais tout simplement pas pensé et dont parle le rapport, c’est que tous les grands évènements ont en commun d’augmenter la surface exposée. C’est vrai que vous en parlez beaucoup. Je trouve intéressant de dire que tous ces grands événements, que ce soit des événements sportifs, politiques ou autres, on peut penser à une grosse année d’élections comme la nôtre, ça augmente la surface à protéger.
Adrienne Charmet : Tout à fait. En septembre, avant la coupe du monde de rugby, on a publié un état de la menace sur les grands événements sportifs, sur le site du CERT-FR, où on expliquait un peu ça et c’est la même chose pour les Jeux olympiques, évidemment puissance dix, mais ça peut être le cas aussi pour les élections ou autres.
L’analyse de la menace sur les grands événements, qu’ils soient sportifs, électoraux ou autres, est un peu différente de l’analyse de la menace classique, parce qu’en fait on a un instant t. Si on a un acteur malveillant qui veut agir à cet instant t, typiquement la menace à but d’espionnage n’est pas celle qui va nous préoccuper ; elle est préoccupante, mais ce n’est peut-être pas la plus préoccupante, même si, encore une fois, les JO sont un événement diplomatique. À la cérémonie d’ouverture, on a plein de chefs d’État, plein de gens, c’est donc un moment qui peut être intéressant pour faire de l’espionnage.
La partie déstabilisation est très importante. En 2018, aux JO de Pyeongchang en Corée du Sud, des attaquants ont perturbé la cérémonie d’ouverture des JO par une cyberattaque qui avait été préparée, etc., vraiment à but de déstabilisation.
Ambroise Garel : Clairement préparée en amont.
Adrienne Charmet : C’est important, pour un acteur qui veut déstabiliser un État, d’attaquer effectivement pendant ce moment-là. Donc oui, saboter la cérémonie d’ouverture des JO, ça fait partie des scénarios contre lesquels on se prépare.
Et puis, il y a une augmentation de la surface d’attaque. Quand on regarde un petit peu qui sont les acteurs qui sont impliqués dans l’organisation des Jeux olympiques, on a des très gros acteurs qui, pour le coup, sont déjà habitués aux questions de cybersécurité, qui savent se protéger, qui vont mettre le paquet, pour lesquels, ce n’est pas quelque chose de nouveau. Et puis on a une multitude de sous-traitants, de sous-traitants de sous-traitants, etc., d’entités de plus en plus petites et de plus en plus éloignées de nos problématiques, qui n’ont jamais entendu parler de l’agence et là tout l’enjeu c’est d’arriver à les embarquer avec nous et à ce qu’ils comprennent que la menace peut passer par eux aussi.
Dans le Panorama de la menace on dit, et on le disait déjà l’année dernière je crois, que les attaques passent souvent par les prestataires. Quand une entité est suffisamment bien protégée, les attaquants passent par ses prestataires ou par les prestataires de ses prestataires pour, petit à petit, se ménager des pieds vers leur cible finale. C’est un peu le cas pour les JO, on a une multitude de parties prenantes, avec des niveaux de sécurité qui sont extrêmement hétérogènes, et tout l’enjeu c’est d’arriver à les embarquer.
Ambroise Garel : On sait que dans les systèmes comme ça, généralement un maillon faible peut suffire à endommager toute la chaîne.
Adrienne Charmet : Peut-être pas toute la chaîne !
Ambroise Garel : En tout cas, ça fait un point d’entrée.
Adrienne Charmet : En tout cas, il faut faire attention à ça et, sur cette question de sécurité numérique des JO, il y a vraiment un enjeu au fait que tout le monde se sente concerné.
Ambroise Garel : D’une façon générale, ce travail d’audit que vous faites auprès d’entreprises petites, plus petites, est présenté comme un travail assez important pour des gens qui ont des entreprises et qui se disent « on est petit, on n’est pas concerné », mais, en même temps, puisqu’elles travaillent pour des plus grosses !
Adrienne Charmet : L’ANSSI ne fait pas des audits dans des petites entreprises ou dans des grosses entreprises. Des audits sont faits sur un certain nombre d’entreprises ou d’entités qui, en tout cas, sont bien définies à l’avance. Il y a surtout des entreprises privées qui font des audits de sécurité dans des petites entreprises. En tout cas, l’enjeu de se sentir concerné est vraiment important. Un des grands problèmes dans les questions de compréhension de la menace, c’est le nombre d’entités qui pensent qu’elles ne sont pas une cible d’intérêt pour des attaquants, alors qu’en fait elles le sont, pas forcément pour elles, parfois pour elles, mais aussi par les accès qu’elles peuvent ménager à des cibles plus intéressantes.
Ambroise Garel : Y compris, donc, pour des attaques ciblées, alors qu’on a plutôt tendance à penser qu’on sera juste menacé par des rançongiciels, des choses comme ça, pas forcément.
On a parlé des mauvaises nouvelles, en tout cas des choses importantes sur lesquelles vous travaillez. On va parler aussi d’un sujet un peu plus léger, mais que je trouve extrêmement intéressant, je disais que c’est là que j’ai vu une vraie passerelle entre l’ANSSI et, on va dire, tes vies précédentes, c’est que l’ANSSI organise aussi des choses, pas forcément à destination du grand public, même si c’est vrai aussi, mais surtout à destination du public initié et je trouve que c’est vraiment très intéressant.
Déjà, il y a la SecNumacadémie [11], j’ai vu ça. C’est un MOOC qui permet de s’initier à la cybersécurité, qui est accessible ?
Adrienne Charmet : C’est un MOOC qui commence à être assez ancien, ça fait plusieurs années qu’il existe, qui a été extrêmement pratiqué par beaucoup de gens, je n’ai plus le nombre exact de gens qui ont terminé ce MOOC, mais il est vraiment très important. C’est un MOOC qui a été fait pour s’initier un peu à tous les aspects de la cybersécurité, qui a été fait par l’agence il y a un certain nombre d’années maintenant. Je pense que c’est une bonne introduction aux questions cybersécurité.
Ambroise Garel : Qui est destiné à toute personne que ça intéresse ou plus à des gens qui ont un background informatique ?
Adrienne Charmet : Il demande un petit peu d’investissement, ce sont quand même plusieurs heures de travail, mais il n’y a pas besoin d’être ingénieur pour le faire, loin de là.
Ambroise Garel : D’accord, OK. Quand je l’avais vu, je m’étais dit que c’était plus quelque chose à destination de gens qui ont déjà des compétences informatiques, donc pas forcément.
Adrienne Charmet : Non, il n’y a pas besoin.
Ambroise Garel : C’est intéressant.
Pour des gens qui sont plus, on va dire, sur l’aspect technique des choses, j’ai découvert qu’il y a aussi le France Cybersecurity Challenge [12], que l’ANSSI s’occupe d’organiser, directement ? Ou vous êtes partenaire ?
Adrienne Charmet : Il me semble que c’est essentiellement organisé par l’ANSSI, en tout cas les agents de l’ANSSI sont particulièrement impliqués dedans, au niveau de la Sous-direction Opérations et de la Sous-direction Expertise. C’est un challenge qui a pour objectif d’attirer des jeunes intéressés par les questions cyber, pour leur faire connaître l’ANSSI, comprendre un petit peu ce que c’est qu’un CTF, Capture the flag, le jeu de s’introduire dans un système pour récupérer quelque chose.
Ensuite, le FCFC qualifie des jeunes qui vont ensuite aller faire cette compétition au niveau européen et la France est, à chaque fois, dans les meilleures équipes au niveau européen, c’est donc intéressant. Pour nous, c’est un enjeu de faire connaître les métiers de la cybersécurité, ce qu’on fait avec plaisir auprès de ces jeunes, c’est évidemment aussi un enjeu de recrutement.
Ambroise Garel : Évidemment, je n’osais pas le demander, forcément il y a des arrière-pensées.
Adrienne Charmet : Pas que des arrière-pensées, en tout cas ça permet aussi de détecter, éventuellement, des personnes particulièrement talentueuses.
Ambroise Garel : Surtout que c’est de 14 à 25 ans, il y a différentes catégories d’âge, il y a aussi des gens très jeunes, c’est bien.
Et aussi, à destination plutôt, encore une fois, à des gens qui sont intéressés par les questions techniques un peu poussées, j’ai vu qu’il y a aussi pas mal de productions open source par l’ANSSI, des outils de cybersécurité.
Adrienne Charmet : En fait, on a une politique open source assez assumée depuis pas mal d’années et un certain nombre d’outils, qui ont pu être développés, au sein de l’agence, pour des besoins métiers de l’agence ou des besoins auprès des bénéficiaires de l’agence, ont été diffusés. Ça fait un peu partie de notre mission de service public de diffuser des outils open source, si ça peut contribuer à élever le niveau de sécurité des bénéficiaires le plus largement possible, c’est bien ; si ça peut leur permettre d’être améliorés, c’est bien aussi. Cette mise à disposition d’outils open source est complètement assumée, de la même façon qu’on met à disposition des alertes sur les vulnérabilités, des rapports sur la menace, des publications qui vont comprendre des recommandations de sécurisation, etc. Il y a beaucoup de publications d’accompagnement à la sécurisation.
Ambroise Garel : Plus à destination des entreprises ou des particuliers ?
Adrienne Charmet : Certaines sont à destination de particuliers, d’autres à destination des entreprises. J’ai parlé plusieurs fois de cybermalveillance.gouv.fr, mais sans beaucoup expliquer ce que c’est.
Ambroise Garel : C’est vrai. On en a parlé. J’allais poser une question là-dessus. On va en parler après.
Adrienne Charmet : En gros, la partie particuliers, TPE, petites PME, va plutôt se tourner vers Cybermalveillance et des entreprises peut-être un peu plus grosses, avec, on va dire, des services informatiques peut-être un petit peu plus capés, vont plutôt se tourner vers les publications de l’ANSSI. Mais on a quand même tout un tas de publications qui sont à destination du grand public, des individus : comment avoir de bonnes de sécurité quand on voyage ; des règles de sécurité essentielles qui sont mises à disposition, puis d’autres beaucoup plus spécialisées.
Ambroise Garel : De toute façon, ça reste, on va dire, du semi-grand public, que ce soit la production open source ou le Cybersecurity Challenge, c’est quand même adressé à des gens qui s’intéressent déjà, qui ont des compétences techniques avancées.
Adrienne Charmet : Pour le coup, c’est plutôt ça.
Ambroise Garel : Par contre, pour le grand public, il y a un truc que je n’avais pas vu, c’est toi qui m’en as parlé, c’est Le cybermoi/s [13], au mois d’octobre chaque année, où là, pareil vous faites des événements.
Adrienne Charmet : En gros, tous les ans au mois d’octobre, organisé au niveau européen, on a un mois européen de la cybersécurité. En France cela s’appelle Le Cybermoi/s, une espèce jeu de mots entre « moi » et le « mois » d’octobre. Donc, pendant ce mois-là, pas mal d’acteurs de la cybersécurité en France montent des activités, publient des choses pour sensibiliser le grand public aux questions sécurité numérique. En France, historiquement, ça avait été pris en charge par l’ANSSI ; aujourd’hui, c’est beaucoup cybermalveillance qui le lead. En tout cas, c’est un moment où les acteurs du monde de la cyber s’adressent au grand public pour sensibiliser aux questions de cybersécurité.
Ambroise Garel : D’accord. Juste une question pour le grand public, je m’étais dit on va conclure avec une question simplement pratique : imaginons que je découvre, par exemple lorsqu’un site quelconque a été piraté, que toutes mes paires identifiants/mots de passe sont dans la nature, mes e-mails, etc. Quelle est la bonne pratique que tu conseillerais à quelqu’un qui vient de s’apercevoir, par exemple, que plusieurs sites sur lesquels il est allé ont été piratés, ont fait l’objet de fuites massives, comme ça, des comptes ?
Adrienne Charmet : Ce sont effectivement des choses qui arrivent, malheureusement.
Ambroise Garel : Très souvent !
Adrienne Charmet : On peut envoyer les gens sur le site cybermalveillance.gouv.fr pour être assistés s’ils ont besoin d’une assistance un peu précise. Sinon, évidemment, changer ses mots de passe. Faire extrêmement attention aux risques d’hameçonnage par mail, par SMS, etc. Malheureusement, il n’y a pas forcément grand-chose à faire de plus. On peut vraiment sensibiliser à cette question des mots de passe : faire attention à les changer régulièrement, à ce qu’ils soient relativement robustes, mettre en place des authentifications à double facteur et, surtout, avoir des mots de passe différents entre les différents services qu’on utilise et sa boîte mail qui va servir à la récupération de tous les autres mots de passe.
Ambroise Garel : Ce qui est une erreur extrêmement commune, qui quand même peut-être le maillon le plus faible, sur lequel on a plus, finalement, la capacité d’agir, de protéger, on va donner un nom : le compte gmail qui, souvent, est l’espèce de clé majoritaire chez beaucoup de gens.
Adrienne Charmet : La messagerie est effectivement celle qui est la plus sensible et s’il y en a une qu’il faut sécuriser particulièrement, c’est celle-ci.
En tout cas, ces fuites massives de données vont essentiellement servir, derrière, à faire de l’hameçonnage. Du coup, il faut être particulièrement vigilant à ces mails, SMS et autres qu’on peut recevoir.
Ambroise Garel : Surtout qu’on sait que, maintenant, c’est quasiment une industrie avec la possibilité de se revendre les uns les autres pour organiser des attaques.
Adrienne Charmet : Exactement.
Ambroise Garel : Enfin, une dernière question. Je me suis dit qu’il y a forcément des gens qui nous ont entendu parler depuis une heure, qui se disent « ça me dirait bien de travailler à l’ANSSI ». Que faut-il faire dans ce cas-là ? Quels genres de profils recherchez-vous ? Je sais que vous recrutez encore, vous êtes 600, on m’a dit que vous continuiez à grandir. Quels genres de profils recherchez-vous ? Comment, quelqu’un qui serait intéressé à aller travailler à l’ANSSI, pourrait vous contacter ?
Adrienne Charmet : Il y a un site qui rassemble toutes les offres d’emploi de l’ANSSI, qui s’appelle talents.ssi.gouv.fr [14]. J’invite les gens qui voudraient postuler à aller sur ce site. Effectivement, on recrute pas mal, d’une part parce qu’on grossit toujours un peu, d’autre part parce qu’il y a, évidemment, des gens qui partent, qui arrivent. On a donc toujours pas mal d’offres d’emploi à disposition sur ce site talents.
On recrute un peu dans tous les types de métiers que ce soit des analystes cyber débutants, confirmés ; on recrute aussi pour toute la partie expertise. C’est difficile de dire là, à l’instant t, parce que ce sera obsolète dans deux semaines. En tout cas, il ne faut pas hésiter à aller voir et à se sentir concerné par l’ANSSI. C’est parfois difficile, ça peut avoir, éventuellement, un côté presque intimidant, on pourrait ne pas se sentir forcément hyper-légitime pour postuler. Je pense qu’il ne faut pas hésiter à le faire, il ne faut pas postuler à n’importe quoi, en tout cas, il ne faut pas hésiter à le faire à partir du moment où on a l’air de cocher les cases demandées dans la fiche de poste. En tout cas, il y a vraiment des types d’emploi pour tout type de profil. Par exemple, une des dernières offres que j’ai vues était une offre de traducteur. On a besoin d’échanger avec nos partenaires internationaux.
Ambroise Garel : On peut donc être traducteur, on touche à l’international. Il n’y a pas besoin de maîtriser l’assembleur pour ça !
Adrienne Charmet : On peut avoir fait des études à Sciences Po ou autre et travailler à l’ANSSI. Ça peut être intéressant d’aller voir de temps en temps ce qui ce qui est ouvert comme offres d’emploi, regarder un petit peu les niveaux d’expérience qui sont demandés et puis se sentir autorisé à postuler. C’est vraiment super intéressant si on veut venir.
Ambroise Garel : J’imagine. Merci beaucoup d’être venue parce que c’était vraiment très intéressant. Je suis très content, ça nous a permis de parler de plein d’aspects sur ces questions-là, notamment d’avoir un peu une vision de l’intérieur, on va dire, qu’on n’a pas forcément très souvent.
Adrienne Charmet : C’était un plaisir. C’est vrai qu’on ne parle pas souvent, comme ça, de façon libre, de l’intérieur ; c’est un grand plaisir.
Ambroise Garel : Je trouve intéressant, justement, d’avoir ce point de vue de l’intérieur, ça permet de mieux comprendre les missions l’ANSSI et puis toutes ces questions de cybersécurité, avoir les points de vue de l’experte, c’est plus intéressant.
En tout cas, merci à vous, chers auditeurs, d’avoir suivi cet épisode de La Vigie. On se retrouve le mois prochain avec une nouvelle invitée, ce sera encore une invitée. Je pense qu’on a dépassé, nous aussi, les 30 % de femmes au micro de La Vigie.
Merci de soutenir le Pavé numérique. Vous retrouverez, évidemment chaque semaine, la newsletter, on continue, donc, évidemment, chaque mois. Les abonnés premium, vous aurez le podcast et aussi le longue forme qui paraît une fois par mois.
En attendant, nous allons continuer à expérimenter de nouvelles choses avec votre soutien. Je vous remercie encore de nous avoir écoutés. Au mois prochain pour un nouvel épisode de La Vigie.