Suite à la recrudescence des cyberattaques, notamment dans les hôpitaux français[1][2], et aux annonces[3] du Président de la République, Emmanuel Macron, de faire de la cybersécurité « une priorité », la radio publique France Inter a invité Guillaume Poupard, directeur de l’ANSSI, dont la mission est d’« assurer la sécurité de l’État » et de « prévenir et détecter les attaques informatiques », dans son émission « Le Téléphone Sonne ».

L’émission, animée par Fabienne Sintes et diffusée à 19h15, permet aux auditeurs de prendre la parole et de poser des questions aux invités. Je suis donc intervenu pour poser mes questions au directeur de l’ANSSI, en lien avec mes récents signalements relatifs à la sécurité des sites Internet de l’Assemblée Nationale et du Sénat :

Écouter mon intervention sur France Inter

L’intégralité de l’émission est disponible sur le site de France Inter, et le contenu de mon intervention est proposé ci-dessous.

Propos de l’intervention

Fabienne Sintes : « Morgan nous attend depuis un bout de temps. Pardon Morgan, et on vous écoute. »

Morgan Schmiedt : « Il n’y a pas de problème, bonjour. Bonjour Monsieur Poupard. Je m’appelle Morgan Schmiedt, je suis ingénieur indépendant en informatique et dans le dans le cadre de mes travaux, j’édite un site d’informations sur la sécurité informatique, sur la sécurité sur Internet.
Dans le cadre de ces travaux-là, j’ai remarqué qu’il y avait des problèmes de sécurité sur les sites Internet des deux plus grandes institutions françaises : l’Assemblée Nationale et le Sénat, mais aussi le site du Ministère de la Justice et des dizaines de sites de préfectures.
J’ai dû personnellement écrire à tous les députés pour les alerter d’un problème de sécurité sur le site de l’Assemblée Nationale, car les services techniques de l’Assemblée ne trouvaient rien d’anormal à ce que leur site ne soit pas sécurisé avec HTTPS, qui est pourtant une pratique élémentaire de sécurité.
Pour le Sénat, c’est encore pire : encore aujourd’hui, tous les mots de passe des utilisateurs transitent en clair et tous les mots des utilisateurs sont stockés en clair. »

Fabienne Sintes : « N’allez pas donner des idées à l’antenne Morgan »

Morgan Schmiedt : « Ce ne sont pas des idées. Encore une fois, ce sont des pratiques élémentaires de sécurité. D’où mes questions pour Monsieur Poupard :
Comment justifiez-vous que nos institutions publiques ont des systèmes aussi peu sécurisés ?
Qui conseille ses institutions, et est-ce le rôle de l’ANSSI ?
Et enfin, qui est censé vérifier la sécurité de ces organismes publics ? Encore une fois, est-ce le rôle de l’ANSSI ?
J’ai moi-même fait un signalement auprès de l’ANSSI, il y a à peu près trois mois, et auprès de la CNIL. Comment vous expliquez que je n’ai reçu aucune réponse, ni aucune réaction ?
Et si vous me permettez une dernière phrase, j’aimerais ajouter que le budget de l’Assemblée Nationale c’est 500 millions d’euros annuels, dont 8 millions pour l’informatique. Le Sénat, c’est 300 millions d’euros annuels, dont 5 millions pour l’informatique.
Est-ce que vous êtes d’accord avec moi, Monsieur Poupard, quand je dis que, pour ces institutions-là, ce n’est pas un problème d’argent, mais un problème de volonté ? »

Fabienne Sintes : « De volonté, ou de passéisme ? De ne pas se rendre compte où on en est informatiquement. Il est où le problème que soulève Morgan ? »

Guillaume Poupard : « C’est mon quotidien que vous décrivez. L’idée c’est de vraiment convaincre systématiquement tout le monde du fait que les questions de sécurité informatique sont importantes. »

Fabienne Sintes : « Ça veut dire qu’on n’a pas pris conscience, y compris dans les hautes sphères ? »

Guillaume Poupard : « On est en train, sincèrement. J’ai quelques années de recul. Il y a 10 ans, quand on venait parler de ces choses-là, on nous répondait que c’était de la science-fiction et que cela n’arrivera jamais. Il y a cinq ans, on nous disait : "il y a peut-être un problème, mais c’est compliqué, ça coûte cher, on verra plus tard". Aujourd’hui, on a plutôt à faire à des gens qui sont paniqués, qui doivent reprendre en main des systèmes numériques qui sont très nombreux, où il y a parfois des questions de budget qui se posent, mais surtout des questions de compétences, effectivement. L’idée est de porter cette bonne parole, et on est tous utiles pour faire ça, il n’y a pas que l’ANSSI. Nous, évidemment, c’est notre rôle dans notre secteur, notamment le secteur public et auprès des entreprises les plus critiques, pour la sécurité nationale, et si je peux me permettre une forme de cynisme, c’est vrai que ce qui se passe aujourd’hui avec des menaces qui sont très visibles liées aux criminels, ça aide aussi avec cette prise de conscience. »

Fabienne Sintes : « Ça veut dire qu’il faut le dire, d’ailleurs, parce qu’il y a beaucoup d’entreprises et autres qui ne disent rien, et on comprend pourquoi par ailleurs : très mauvaise pub. »

Guillaume Poupard : « On comprend, mais nous ça nous aide énormément quand on a des victimes qui témoignent, parce que ça montre que ça n’arrive pas qu’aux autres et que c’est bien une réalité. »

Notes et références

  1. Un incident est intervenu à l’hopital de Dax rendant innaccessibles leurs systèmes informatiques. Voir « CENTRE HOSPITALIER DAX – Les systèmes informatiques paralysés par un ransomware ».
  2. Un incident est intervenu à l’hopital de Villefranche-Sur-Saône rendant innaccessibles leurs systèmes informatiques. Voir « HÔPITAL NORD OUEST – Les systèmes informatiques paralysés par un ransomware ».
  3. Le Président français, Emmanuel Macron, a annoncé des recrutements, des investissements et le soutien de l’État dans la lutte contre la cybercriminalité (source : @EmmanuelMacron).

Sigles et acronymes

  • ANSSI : Agence Nationale de la Sécurité des Systèmes d'Information