Sécurité : L’agence de cybersécurité souhaiterait disposer d’un pouvoir d’injonction, afin de forcer les entreprises et organisations qu’elle surveille à corriger des failles jugées critiques. Un choix « pragmatique » pour Guillaume Poupard.
L’Anssi veut pouvoir forcer les organisations sous sa coupe à patcher les failles de sécurité. « Le constat de départ, c’est un petit énervement de ma part. Lorsque l’Anssi signale un problème et demande à patcher, trop souvent c’est une information qui est noyée », expliquait Guillaume Poupard à l’occasion d’une conférence de presse au FIC.
Le déclic s’est produit suite à la découverte des failles affectant Microsoft Exchange au mois de mars. Le dirigeant avait évoqué la question d’un pouvoir d’injonction une première fois au mois de juin devant l’Assemblée nationale. L’Anssi avait alors identifié un peu plus de 15 000 serveurs Exchange vulnérables aux failles Proxylogon en France, et avait signalé la faille et les correctifs à appliquer aux organisations concernées. Bilan des courses : seuls 3 % ont répondu au signalement de l’agence. « C’est ce qui nous a poussés à communiquer sur ces sujets. Il y a plein de choses compliquées dans le domaine de la cybersécurité, mais quand l’Anssi signale une faille et un patch à appliquer, il faut le faire », explique Guillaume Poupard, qui note néanmoins qu’en la matière, le secteur privé est souvent plus réactif que le secteur public.
L’exemple américain
L’agence française a pris bonne note de l’initiative de son homologue américain, la CISA, qui a usé d’un pouvoir similaire pour forcer les administrations publiques américaines à corriger les failles sur les serveurs Exchange en mars. « Lorsque les failles Exchange ont été révélées, la CISA a écrit aux administrations pour leur dire qu’ils avaient 48 heures pour appliquer les patchs avant de s’exposer à des sanctions. Je ne dis pas que ça nous a donné des idées, mais un peu quand même », résume Guillaume Poupard qui se veut néanmoins rassurant : « le but pour nous n’est pas de sanctionner, ça serait absurde, mais lorsque l’on signale quelque chose, je ne veux pas que ça passe avec la pub ».
L’Anssi est chargée d’assurer la protection des systèmes d’information de l’Etat ainsi que des opérateurs d’importance vitale, qui peuvent regrouper des acteurs publics comme privés. Cette mission implique notamment pour les organisations supervisées par l’Anssi de se plier à un ensemble d’obligations réglementaires visant à assurer la sécurité de leurs systèmes d’information. Mais en dehors de ces obligations, l’Anssi n’est pas capable d’obliger les organisations à patcher une faille en particulier, et se contente d’informer les responsables d’éventuelles failles de sécurité connues, en recommandant des solutions et des correctifs au travers de l’activité du CERT-FR. « Assez logiquement, dans les évolutions législatives, on n’exclut pas d’étendre ce pouvoir aux opérateurs d’importance vitale. Ce n’est pas de l’autoritarisme, c’est du pragmatisme. Quand on voit des failles graves et des attaquants qui en profitent, c’est trop bête de ne pas avoir de réaction », résume Guillaume Poupard.
La gestion des patchs de sécurité est un problème récurrent en matière de sécurité : de nombreuses attaques s’appuient sur des failles connues de longue date et qui ont été corrigées par l’éditeur de la solution vulnérable. Les excuses pour repousser l’application d’un patch sont nombreuses, mais conserver des systèmes vulnérables exposés sur internet peut avoir des conséquences désastreuses pour une organisation.
Source : ZDNet.com