Libre à vous ! Radio Cause Commune - Transcription de l'émission du 3 décembre 2019
Titre : Émission Libre à vous ! diffusée mardi 3 décembre 2019 sur radio Cause Commune
Intervenant·e·s : Nicolas Barteau - Isabella Vanni - Guillaume Poupard - Jean-Christophe Becquet - Frédéric Couchet - Patrick Creusot à la régie
Lieu : Radio Cause Commune
Date : 3 décembre 2019
Durée : 1 h 30 min
Écouter ou enregistrer le podcast
Page des références utiles concernant cette émission
Licence de la transcription : Verbatim
Illustration :
NB : transcription réalisée par nos soins, fidèle aux propos des intervenant·e·s mais rendant le discours fluide.
Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.
- Chronique « Le libre fait sa comm' » d'Isabella Vanni, coordinatrice vie associative et responsable projets à l'April, qui présentera le GULL (groupe d'utilisateurs et d'utilisatrices de logiciels libres) eTHiX avec l'interview de Nicolas Barteau, médiateur numérique libre et président d'eTHiX
- ANSSI, Agence nationale de la sécurité des systèmes d'information, avec l'interview de son directeur général Guillaume Poupard
- Chronique « Pépites libres » de Jean-Christophe Becquet, président de l'April, sur le thème « Les polices libres n'ont pas mauvais caractère »
- Annonces
Voix off : Libre à vous !, l’émission pour comprendre et agir avec l’April, l’association de promotion et de défense du logiciel libre.
Frédéric Couchet : Bonjour à toutes. Bonjour à tous. Vous êtes sur la radio Cause Commune 93.1 en Île-de-France et partout dans le monde sur le site causecommune.fm. La radio dispose également d’une application Cause Commune pour téléphone mobile.
Merci d’être avec nous pour cette nouvelle édition de Libre à vous !, l’émission pour comprendre et agir avec l’April, l’association de promotion et de défense du logiciel libre. Je suis Frédéric Couchet, le délégué général de l’April.
Nous sommes mardi 3 décembre 2019, nous diffusons en direct, mais vous écoutez peut-être une rediffusion ou un podcast.
Le site web de l’April c’est april.org et vous y retrouvez déjà une page consacrée à l’émission avec un certain nombre de références que nous mettrons à jour après l’émission. N’hésitez pas également à nous faire des retours.
Si vous souhaitez réagir, poser une question pendant ce direct, n’hésitez pas à nous appeler au 09 50 39 67 59.
Nous vous souhaitons une excellente écoute.
Place au programme de l’émission.
Nous allons commencer dans quelques secondes par la chronique de ma collègue Isabella Vanni qui va présenter un groupe d’utilisateurs et d’utilisatrices de logiciels libres de la région d’Alençon.
D’ici une dizaine de minutes nous aborderons notre sujet principal qui portera sur l’ANSSI, Agence nationale de la sécurité des systèmes d’information avec l’interview de son directeur général Guillaume Poupard.
En fin d’émission nous aurons la chronique « Pépites libres » de Jean-Christophe Becquet, président de l’April, sur le thème « Les polices libres n’ont pas mauvais caractère ».
À la réalisation de l’émission aujourd’hui Patrick Creusot. Bonjour Patrick.
Patrick Creusot : Bonjour tout le monde et bonne émission.
Frédéric Couchet : Tout de suite place au premier sujet.
[Virgule musicale]
Frédéric Couchet : Nous allons commencer par la chronique de ma collègue Isabella Vanni qui est coordinatrice vie associative et responsable projets à l’April. Le sujet du jour c’est le logiciel libre en Normandie et plus particulièrement un groupe d’utilisateurs et d’utilisatrices de logiciels libres de la région d’Alençon. Je te passe la parole Isabella.
Chronique « Le libre fait sa comm' » d'Isabella Vanni, coordinatrice vie associative et responsable projets à l'April, qui présentera le GULL (groupe d'utilisateurs et d'utilisatrices de logiciels libres) eTHiX avec l'interview de Nicolas Barteau, médiateur numérique libre et président d'eTHiX
Isabella Vanni : Merci. Bonjour tout le monde.
Pour la chronique « Le libre fait sa comm' » d’aujourd’hui nous avons le plaisir d’avoir avec nous Nicolas Barteau qui est médiateur numérique libre et président de l’association eTHiX qui est basée à Alençon, en Normandie. eTHiX est un GULL qui est l’acronyme de « Groupe d’utilisateurs et d’utilisatrices de logiciels libres », on en a parlé à plusieurs reprises dans notre émission ; pour plus de rapidité et de praticité nous allons utiliser le terme GULL pendant cette chronique.
La particularité d'eTHiX, en plus d’être un nouveau GULL, plutôt récent, est qu’il œuvre dans une région où les organisations de promotion du logiciel libre et du Libre en général se rencontrent régulièrement pour faire avancer des projets ensemble. Commençons l’échange pour en savoir plus.
Bonjour Nicolas, tu es avec nous ?
Nicolas Barteau : Bonjour Isabella. Bonjour tout le monde.
Isabella Vanni : Tu nous entends bien ?
Nicolas Barteau : Oui, très bien.
Isabella Vanni : Super, parfait. Je disais qu’eTHiX est un GULL qui est né assez récemment, il y a à peu près un an. C’est bien ça ?
Nicolas Barteau : Oui. Je n’aime pas spécialement le terme GULL, même si ça correspond bien à ce qu’on fait, on n’est pas que des utilisateurs et utilisatrices de logiciels libres. Ce sont surtout des gens qui ont pris conscience de l’importance d’une société numérique un peu différente. Du coup on œuvre dans cette optique-là.
Isabella Vanni : Très bien. On peut parler d’association tout court.
Nicolas Barteau : On peut parler de GULL si c’est plus simple pour tout le monde. J’ai l’habitude.
Isabella Vanni : C’est comme tu préfères. Pourquoi vous avez créé cette association eTHiX ? Qu’est-ce qui vous a poussés ? Qu’est-ce qui vous a motivés ? Quels sont les objectifs que vous vous donnez avec cette association ?
Nicolas Barteau : Pourquoi je l’ai créée ? En fait j’avais créé mon entreprise qui s’appelait eTHiX aussi à l’époque parce que j’étais médiateur numérique et j’avais envie d’œuvrer pour le Libre à mon compte, donc j’avais créé une entreprise et je me suis rendu compte que l’angle logiciel libre n’était pas très vendeur, donc je me suis dit que j’allais plutôt créer une association. Dans mon réseau j’ai trouvé quelques personnes pour m’accompagner et on a créé l’association, on a gardé le nom et on a gardé un petit peu les missions du truc. Du coup c’est maintenant une association.
Isabella Vanni : D’accord. L’association a été créée peut-être parce qu’à Alençon il n’y avait pas d’associations de promotion du Libre ?
Nicolas Barteau : Voilà. Pendant mes démarches avec mon entreprise, l’angle logiciel libre n’était pas vendeur parce que les gens ne connaissaient pas, ils ne savaient pas tous les enjeux qu’il y avait derrière, donc j’avais du mal à faire passer mon message en tant qu’entrepreneur. Je me suis dit qu’en tant qu’association on aurait peut-être un peu plus de poids pour faire changer les mentalités.
Isabella Vanni : Donc il y avait un vrai besoin, en fait, à Alençon. Vous êtes plutôt récents, du coup quelles sont les activités que vous avez réussi à mettre en place jusqu’à présent et quel est votre périmètre d’action ? Vous agissez seulement à Alençon ?
Nicolas Barteau : C’est Alençon et le bassin alençonnais, parce qu’on en parlera un peu tout à l’heure, mais on fait partie d’un réseau qui s’appelle Normandie Libre. L’idée c’est de multiplier les initiatives locales pour toucher tout le monde. Nous on se concentre principalement sur Alençon et une vingtaine de kilomètres, une trentaine de kilomètres autour.
Isabella Vanni : D’accord. Et comme types d’activité c’est quoi ? C’est plutôt de la sensibilisation ? Des ateliers ? Des évènements ?
Nicolas Barteau : On s’est cherché un petit peu l’année dernière, parce que, du coup, l’association a été créée à l’été 2018. L’année dernière on a fait quelques ateliers déjà entre nous pour se familiariser avec le logiciel libre parce que, comme je disais tout à l’heure, tout le monde n’est pas forcément fervent utilisateur de l’informatique dans l’association. On a fait des ateliers d’initiation à Scribus. Ça nous a aussi permis de travailler en même temps sur notre communication. On a fait des ateliers autour des outils collaboratifs de Framasoft, donc là pour commencer à préparer des choses, et on a fait surtout un évènement en 2019 qui s’appelait La Journée du Libre à l’occasion de Libre en Fête de l’April, on s’est intégré au programme qui était une après-midi de sensibilisation au Libre en général. On a parlé un petit peu de santé, de logiciel libre évidemment, de jeux vidéo, il y avait aussi un stand sur les semences, sur l’interopérabilité, etc.
Isabella Vanni : C’était le Libre au sens vaste effectivement. C’était un bel évènement avec beaucoup avec d’activités proposées pour être une première, donc bravo !
Nicolas Barteau : Merci, merci !
Isabella Vanni : Tu disais qu’eTHiX fait partie d’un réseau qui s’appelle Normandie Libre. Je crois que vous avez intégré ce réseau d’associations dès le début, dès votre création. Pourrais-tu nous dire brièvement, en quelques mots, de quoi il s’agit et également qu’est-ce que ce réseau vous a apporté et comment vous contribuez vous-mêmes à ce réseau ?
Nicolas Barteau : En fait j’en fais partie depuis le début, j’en suis un petit peu le moteur avec d’autres personnes évidemment. En fait la toute première journée du Libre que j’ai faite j’étais encore encore avec le statut d'entrepreneur, mais j’avais rencontré tellement de gens intéressants que je voulais que tout le monde intervienne un peu sur une après-midi. Là, du coup, j’ai revu des gens qui se sont dit « il faut qu’on se crée un réseau ». On a commencé par Orne Libre et en créant Orne Libre on s’est rendu compte qu’il y avait des villes qui n’étaient pas forcément dans l’Orne mais qui étaient aussi intéressées par le réseau, donc on est monté à faire plutôt un Normandie Libre.
On s’est aussi rendu compte qu’il y avait quelqu’un sur Le Havre ou sur Rouen, je crois, qui avait déjà monté un site qu’il avait appelé normandielibre.fr. Du coup on a intégré un petit peu tous ces gens-là. L’idée c’est de créer un réseau pour l’instant informel – il faudra bien le formaliser un jour – d’associations, d’entreprises, éventuellement d’institutions aussi, pour œuvrer vers le logiciel libre.
Les objectifs c’est de rompre l’isolement de chacun, de multiplier les GULL dans les différentes villes, un petit peu pour que les gens qui n’ont pas encore forcément créé une association dans les villes créent des associations. Et puis on mutualise les ressources, qu’elles soient humaines, matérielles ou quoi que ce soit, on se file un coup de main les uns les autres.
Et puis on organise une fois par an ce qu’on a appelé le Sommet Normand du Libre, qui n’est pas ouvert au grand public, mais qui nous permet de nous rencontrer entre nous et d’échanger des choses, d’échanger des idées, d’échanger des trucs pour faire monter la sauce.
Isabella Vanni : Très bien. Bravo pour cette organisation, pour cette mise en relation.
Nicolas Barteau : On peut remercier Nicolas Floquet.
Isabella Vanni : Nous le remercions.
Nicolas Barteau : Et plein d’autres qui ont aussi œuvré pour ça, je n’ai pas vraiment pas été tout seul, et j’ai même suivi ça depuis un peu plus loin parce que c'est surtout autour du Domfrontais que ça s’est motivé et c’est une chouette idée.
Isabella Vanni : À noter, comme tu disais, qu’il y a un réseau d’associations. En fait, si je me souviens bien, vous allez peut-être devenir une association fédérant toutes les associations en 2020, mais sur le portail normandielibre – vous trouverez la référence sur le site de l’April – en fait on trouve aussi des entreprises, on pourra trouver des collectivités, c’est-à-dire que c’est le Libre au sens large : tous les organismes, toutes les structures qui participent à la promotion sont les bienvenues.
Nicolas Barteau : Voilà. C’est ça exactement
Isabella Vanni : J’ai bien résumé ?
Nicolas Barteau : Oui, c’est ça, exactement.
Isabella Vanni : Je voulais savoir quelles sont les activités, les évènements à venir d’eTHiX ou les projets en chantier. J’ai lu qu’il y avait peut-être la possibilité de faire devenir eTHiX un chaton. Je rappelle ce qu’est CHATONS pour les personnes qui nous écoutent, c’est l’acronyme de Collectif des Hébergeurs Alternatifs Transparents Ouverts Neutres et Solidaires, donc ce sont des hébergeurs de services en ligne solidaires, décentralisés. Est-ce que c’est une information vraie ?
Nicolas Barteau : Oui, c’est un truc qui vient surtout de moi personnellement, pas forcément de l’association. Je porte beaucoup ça en ce moment. Je n’ai pas beaucoup le temps de travailler dessus, il y a un petit peu de réticence au sein de l’association donc ce n’est pas le projet phare, on va dire.
Isabella Vanni : D’accord. Pas pour tout de suite.
Nicolas Barteau : Voilà. On y pense et on réfléchit surtout pour l’instant à accompagner des associations peut-être plus vers de l’auto-hébergement ; vers des outils libres en un premier temps et puis les accompagner vers un auto-hébergement avec YunoHost qui est un outil que je suis en train de découvrir et qui me semble bien intéressant pour faire ce genre de choses.
Isabella Vanni : Accompagner d’autres associations qui ne sont pas forcément dans le Libre, si j’ai bien compris, de la zone.
Nicolas Barteau : Pour l’instant on a surtout une association, là où on a notre siège social, qui fait beaucoup dans le culturel, qui a une liste d’information assez importante et qui utilise pour l’instant des applis qui ne sont pas libres, donc on va les accompagner. L’idée c’est de proposer ça à d’autres associations une fois qu’on se sera un peu rodé et qu’on aura acquis une position.
Isabella Vanni : Super. Effectivement c’est très important pour un GULL ou pour une association au sens large de promotion d’une informatique solidaire, de faire effectivement des partenariats avec les autres associations, de n’importe quelle nature, qui peuvent être dans la région. Ça permet de créer des évènements ensemble, de faire des actions ensemble, donc c’est très bien.
Je pense qu’on a fait le tour des questions, des sujets que j’avais en tête. Il y a peut-être un sujet, une question que je n’ai posée à laquelle tu aurais voulu répondre ?
Nicolas Barteau : Dans les choses à venir on refait une Journée du Libre en 2020, donc le 28 mars, en fait on s’est fixé le dernier week-end du mois de mars, tous les ans, jusqu’à ce qu’on en ait marre.
Isabella Vanni : Je n’espère pas. Merci.
Nicolas Barteau : Tout a une fin, mais on espère aussi que ce sera le plus tard possible. En tout cas on remet ça en 2020, le 28 mars 2020, un samedi après-midi encore et on est en train de construire le programme. On a eu aussi une projection, le 8 décembre prochain, on projette le film La Bataille du Libre ; j’invite les auditeurs à écouter le podcast du 14 mai dernier, le réalisateur Philippe Borrel était venu dans Libre à vous !. On fait la diffusion de ce film. On a tous vu la version courte et on a envie de partager la version longue avec tout le monde, donc le 8 décembre, à 16 heures, à Chapêlemêle, à Alençon, au 41 chemin des Châtelets. Et puis au printemps on essaiera de faire un évènement un peu plus dans la pratique, moins dans la démonstration et plus dans la pratique : accompagner les gens, une sorte d’install-partie mais beaucoup ouverte. On fera des démonstrations de Firefox et d’outils libres, de YunoHost devant tout le monde, pourquoi pas. Voilà les trois gros évènement à venir.
Isabella Vanni : Très bien. Merci. Je te remercie. On voit bien que tu as un passé, si je peux le dire, d’animateur radio, parce que j’allais justement rappeler aux personnes qui nous écoutent notre émission du 14 mai sur La Bataille du Libre, le film-documentaire de Philippe Borrel et tu avais déjà pris note, donc c’est parfait. Excellente collaboration.
Nicolas, je te remercie beaucoup pour ton intervention.
Nicolas Barteau : Dernière chose s’il me reste quelques secondes, on recherche justement pour la Journée du Libre des conférenciers, des intervenants, même sur des ateliers, pas forcément une conférence, mais sur des ateliers, on est vraiment ouverts à toute proposition. J’ai écouté aussi l’émission du 5 novembre sur les femmes dans l’informatique et si ça peut être des femmes c’est avec grand plaisir, ce ne sera pas pour cocher une case, mais ce sera vraiment pour échanger. On manque de femmes dans l’association, on n’en a qu’une et elle se plaint souvent, donc on sera heureux d’accueillir aussi des intervenants féminins.
Isabella Vanni : Très bien. L’appel est lancé. J’espère que pas mal de personnes vont répondre.
Merci beaucoup pour cet échange et bon courage pour tous vos projets.
Nicolas Barteau : Merci beaucoup à vous. Bonne fin d’émission et à bientôt.
Isabella Vanni : A bientôt. Au revoir.
Nicolas Barteau : Au revoir.
Frédéric Couchet : Merci Nicolas Barteau. On va quand même rappeler les sites web des deux structures nommées : asso-ethix.org, je précise que « ethix » c'est avec un « h », e, t, h, i, x. Et pour Normandie Libre c’est normandie-libre.fr.
Merci Isabella pour cette chronique. La prochaine ce sera à la rentrée de janvier.
Isabella Vanni : Je pense, oui.
Frédéric Couchet : Bonne journée Isabella.
Isabella Vanni : Bonne journée.
Frédéric Couchet : On va faire une pause musicale.
[Virgule musicale]
Frédéric Couchet : Nous allons écouter Fuzz par Jhazzar. On se retrouve juste après. Belle journée à l’écoute de Cause commune.
Voix off : Cause Commune 93.1.
Pause musicale : Nous venons d’écouter Fuzz par Jhazzar, disponible sous licence libre Creative Commons Partage dans les mêmes conditions. Vous retrouverez les références sur le site de l’April, april.org.
Vous écoutez l’émission Libre à vous ! sur radio Cause Commune 93.1 en Île-de-France et partout ailleurs sur le site causecommune.fm, partout dans le monde d’ailleurs.
Nous allons passer à notre sujet principal.
[Virgule musicale]
ANSSI, Agence nationale de la sécurité des systèmes d'information, avec l'interview de son directeur général Guillaume Poupard
Frédéric Couchet : Nous allons poursuivre avec notre sujet principal qui va porter sur une agence importante, l’ANSSI, Agence nationale de la sécurité des systèmes d’information, et nous avons la chance d’avoir avec nous son directeur général Guillaume Poupard. Bonjour Guillaume.
Guillaume Poupard : Bonjour.
Frédéric Couchet : L’idée de cette première émission – on en discutait hors antenne juste avant, je pense qu’on en fera une deuxième parce qu’il y a beaucoup de sujets à aborder – c’est essayer que les gens qui écoutent l’émission, que ce soit le grand public, les spécialistes ou les professionnels, comprennent un peu mieux, enfin comprennent, découvrent peut-être ce qu’est l‘ANSSI, ce qu’elle fait et aussi certaines de ses positions sur les sujets évidemment qui nous intéressent comme le logiciel libre et les accords avec certaines grandes entreprises américaines.
Première question, une question personnelle, le parcours. Quel est votre parcours Guillaume Poupard ?
Guillaume Poupard : Je suis informaticien, je suis ingénieur avec une thèse en cryptographie. Je suis tombé dans la marmite cyber très tôt à une époque où on ne parlait pas de cyber et où, quelque part, le sujet [l'objectif, Note de l'orateur] quand on aimait l’informatique, les maths et tout ça c’était de faire de la crypto, d’abord faire de la recherche et ensuite, pas au sein de l’ANSSI mais au sein de la DSSI qui est l’ancêtre [de l'ANSSI, NdT], donc j’ai commencé là-bas dans mon premier poste.
Frédéric Couchet : La DSSI c’est la Direction centrale systèmes et sécurité ?
Guillaume Poupard : Direction de la sécurité des systèmes d’information. Tout ça est très techno, évidemment, mais c’était une autre époque, c’était il y a 20 ans, c’était un moment où, finalement, avec quelques dizaines de personnes on arrivait à couvrir les questions de sécurité numérique pour les besoins de l’État. On voit évidemment qu’aujourd’hui les choses ont énormément évolué avec une étape clef qui est la création de l’Agence il y a dix ans face à une prise de conscience de nos autorités des risques numériques, les risques qui allaient peser sur notre pays, sur nos concitoyens, sur ce qu’on appelle nos infrastructures critiques.
Frédéric Couchet : D’accord. On va y revenir juste après. On va juste finir la présentation personnelle parce que j’ai vu que vous aviez aussi un diplôme en psychologie.
Guillaume Poupard : Oui, c’est celui qui me sert le plus !
Frédéric Couchet : C’est la question que j’allais vous poser : quand on a la compétence technique qui est très forte parce que la cryptographie c’est quand même du haut niveau et la compétence en psychologie, laquelle vous sert le plus dans votre rôle de directeur de l’ANSSI ?
Guillaume Poupard : C’est définitivement celui en psycho ! D’abord être à la tête de l’Agence, c’est une belle agence, on est 600 experts et des gens de haut niveau très engagés, parfois ça nécessite un peu de psycho et puis surtout, vis-à-vis de tous les gens qu’on veut protéger, protéger les victimes c’est facile parce que c’est un peu comme les pompiers quand ils arrivent sur un sinistre les choses sont simples, mais quand on arrive avant finalement pour prévenir les gens qu’il y a des risques alors qu’ils n’en ont pas conscience, là la psycho est fondamentale pour essayer d’être un peu convaincant.
Frédéric Couchet : D’accord. Vous aviez commencé à présenter l’ANSSI. Justement je voulais vous poser la question : d’où vient l’ANSSI qui fête ses dix ans aujourd’hui ? Si j’ai bien suivi, si j’ai bien préparé, c’est notamment suite à une attaque célèbre contre l’Estonie en 2007, une attaque contre le système d’information de l’Estonie qui est très en avance sur l’informatisation de l’État, qu’il a commencé à avoir une réflexion en interne au niveau français pour créer une agence spécialisée. Est-ce que c’est bien ça et comment ça c’est fait ?
Guillaume Poupard : C’est exactement ça. En fait, régulièrement il y a des travaux stratégiques qui sont faits en France, comme dans les autres pays, pour se dire quels sont les risques qui pèsent sur la nation et comment est-ce qu’on fait pour s’en prémunir ? En général, dans ces travaux, on parle de risques militaires, de risques terroristes, ce sont tous les malheurs du monde qui défilent et, en 2008, ces travaux ont été menés juste après une attaque en Estonie en 2007. Attaque qui est intéressante, qu’on a presque oubliée depuis, mais qui est intéressante parce que l’Estonie, comme vous le disiez, a été probablement le pays le plus en avance sur la numérisation. C’est un pari en fait : là où ils sont placés avec peu de ressources naturelles, peu d’habitants, une position géographique un peu compliquée, le pari de l’Estonie, pour exister, c’est le numérique. En fait en 2007, c’est une anecdote, ils avaient déplacé la statue à la gloire du soldat russe, ce n’est pas la statue que les Estoniens préfèrent quand on leur en parle et ça, ça a créé une colère de la part de certains partisans russes, on va dire – tout ce que je dis là est en source ouverte, évidemment – et il y a eu plein d’attaques contre ses systèmes numériques. Ce qui fait que, du jour au lendemain, les Estoniens se sont retrouvés sans transports en commun, sans banque, sans système de santé et ce pendant plusieurs jours, voire plusieurs semaines.
Donc un an après, quand on a fait ces travaux stratégiques, on s’est dit « une des menaces du futur c’est cette menace numérique ; on va se numériser nous aussi, bien évidemment, et il faut impérativement que cette numérisation se fasse dans de bonnes conditions et que ça ne devienne pas notre talon d’Achille comme ça a été le cas en 2007 en Estonie ». D’où deux décisions : une qui est de développer des capacités offensives qui sont assumées en France et une autre décision qui est de créer une agence, qui allait devenir l’ANSSI, en charge vraiment des questions de protection, de prévention, de détection des attaques et d’aide aux victimes en commençant par les victimes les plus critiques, donc celles dont le fonctionnement est essentiel à la nation et dans un modèle qui est assez original. À cette époque, nos alliés anglo-saxons étaient partis plutôt sur un mélange des genres entre attaque et défense. En France les choses sont claires, les différents métiers existent, les différentes missions existent, mais l’ANSSI est une agence purement protectrice au sens où elle ne fait pas d’attaques, elle n’est pas service de renseignement, elle n’est pas un service de police ; on coopère, évidemment, on a des liens avec les autres services, mais on a une mission qui est très claire, qui évite toute forme d’ambiguïté et pour nos agents et pour ceux qu’on veut protéger, qu’ils soient victimes ou bien en prévention.
Ça c’est un modèle qui était très original à l’époque, qui a plutôt fait école depuis, et qui nous positionne. Sans rentrer trop dans des détails technos on est rattachés au Premier ministre ce qui nous permet d’être relativement neutres, de travailler avec l’ensemble des administrations, l’ensemble des ministères et, en même temps, d’avoir nos capacités en propre. Aujourd’hui on est 600. Ce sont 600 experts qui travaillent à l’ANSSI, vraiment sur toutes les thématiques, tous les champs qui permettent, à la fin, d’élever le niveau de sécurité au juste niveau pour les acteurs les plus critiques en France.
Frédéric Couchet : D’accord. Ce qui est très bien avec Guillaume Poupard c’est qu’il répond à une partie des questions que j’ai préparées sur la présentation de l’ANSSI, donc c’est absolument génial !
Vous dites 600 personnes. Je vais aller directement à cette question-là : quels types de profils vous recrutez et comment vous les recrutez ? J’imagine quand même que ce sont souvent des profils de haut niveau qui peuvent donc être pistés par des grandes entreprises. Quelle est la motivation des gens qui viennent travailler à l’ANSSI ?
Guillaume Poupard : On parle de ressources humaines en général, un terme que je n’aime pas trop, mais c’est bien ça la question : la richesse de l’Agence et ce qui fait qu’on est efficaces, c’est la qualité de nos experts. Il y a une question majeure qui est d’attirer des talents pour venir renforcer les rangs de l’ANSSI, pour pouvoir remplir nos missions et ce, évidemment, dans des conditions de concurrence assez fortes. Aujourd’hui sur le marché du travail, en termes de sécurité numérique, il y a peu d’offres et beaucoup de demandes ; le marché est très déséquilibré, il continue à se déséquilibrer : la demande continue à croître parce que tout le monde a besoin de se protéger, les entreprises privées ont besoin de développer des capacités en termes de cybersécurité. Donc quelque part, pour schématiser, ce qu’on propose à l’ANSSI c’est d’abord d’embaucher des jeunes – il n’y a pas que des jeunes sortis d’école à l’ANSSI mais c’est quand même le processus majoritaire – faire venir des jeunes, le faire également un peu par la connaissance, par le bouche-à-oreille. Ce sont souvent des gens qui sont déjà à l’ANSSI qui attirent d’autres personnes au sein de l’Agence. Et puis, ce qui est absolument essentiel, c’est de proposer des métiers, des valeurs qui soient en adéquation avec ce que pensent nos experts. Donc idéalement, et je pense que c’est le cas, quelqu’un qui vient chez nous fait quelque chose qu’il ne pourrait pas faire ailleurs, il fait quelque chose d’exceptionnel, il fait quelque chose d’utile au niveau national que ce soit en prévention ou bien en aide aux victimes, et je pense que ça c’est la grande motivation de nos agents sachant qu’après on ne passe pas sa vie à l’ANSSI, probablement, il faut raisonner de manière ouverte.
Frédéric Couchet : Il y a même une vie après l‘ANSSI pour certaines personnes !
Guillaume Poupard : Certains commencent avant, heureusement, et il y a autre chose après l’ANSSI et ça c’est très bien parce qu’on voit aujourd’hui, dix ans après, on commence à voir tout un écosystème qui s’est construit et souvent, quand on a à faire à des partenaires nationaux au sein des entreprises ou au sein du secteur public, on commence à voir des anciens de l’ANSSI qui sont là et cet écosystème est excellent parce qu’on se comprend, on sait comment on travaille et on est très efficaces. C’est d’autant plus important que quand il y a une crise, par exemple quand il y a une attaque forte ou quelque chose comme ça, chaque minute compte et je dis ça sans dramatiser, c’est la réalité, et quand on se connaît déjà, quand les liens sont bien établis, c’est particulièrement efficace. Voilà.
Frédéric Couchet : D’accord.
Guillaume Poupard : L’ANSSI c’est un peu bizarre d’un point de vue administratif. Dans les services du Premier ministre ce n’est pas classique : 600 personnes c’est une grosse entité ; 80 % de contractuels c’est totalement atypique pour un service du Premier ministre, mais c’est assumé comme tel, c’est assumé avec bienveillance et on essaye de faire en sorte que les conditions globales de nos experts soient les meilleures possible pour qu’ils soient le plus efficaces possible.
Frédéric Couchet : Dernière question sur la présentation générale de l’ANSSI : quand l’ANSSI a été créée, je suppose qu’il y avait quoi ? Dix ou vingt personnes ?
Guillaume Poupard : Une centaine.
Frédéric Couchet : Une centaine. On est passé de 100 à 600 en dix ans. En introduction on a parlé de l’attaque contre le système d’information de l’Estonie. Je suppose que les menaces ont évolué. Assez rapidement, quelle a été la principale évolution ? Est-ce qu’aujourd’hui l’ANSSI, par exemple, a encore besoin de plus de gens ou est-ce que, finalement, avec 600 personnes plus les experts qui essaiment dans les structures privées ou publiques, ça suffit ?
Guillaume Poupard : La menace évolue très clairement. La menace d’il y a dix ans, la menace réelle c’était de l’espionnage qui existait déjà, de l’espionnage industriel, de l’espionnage stratégique, les États s’espionnent entre eux, c’est comme ça que va le monde. En l’espace de dix ans, on a vu se développer d’autres risques qu’on avait identifiés, un peu à l’image de ce qui s'est passé en Estonie, qui sont des risques pas uniquement d’espionnage mais bien des risques d’atteinte au fonctionnement des systèmes. On voit très bien, et c’est un peu d’actualité, si les transports ne fonctionnent plus, si l’énergie ne fonctionne plus, si les télécoms ne fonctionnent plus, immédiatement les conséquences sur le pays, sur l’économie mais pas seulement, sur la vie et la sécurité même de nos concitoyens, peuvent très vite être graves. Il y a quinze jours c’était un hôpital qui se faisait attaquer.
Frédéric Couchet : À Rouen.
Guillaume Poupard : À Rouen. Ça, ça fait partie des scénarios qu’on avait anticipés. Notre rôle, fondamentalement, est d’essayer d’anticiper ce genre d’attaque et, dans le pire des cas où ça se produit, d’être capables de réagir. C’est quelque chose qui s’est quand même rapidement développé. On a d’autres types d’attaques qu’on n’avait pas forcément vu venir, par contre, ce sont notamment tous les risques pesant sur des mécanismes démocratiques comme les élections par exemple. On sait qu’aujourd’hui les élections sont des moments à risque où certains seront tentés d’interférer, de nuire au bon déroulement des élections. Ça s’est déroulé aux États-Unis en 2016, ça a failli se dérouler en France en 2017. Dorénavant on aura besoin aussi de lutter contre ça.
Sur la question des moyens, est-ce qu’on est suffisamment nombreux ? Un directeur dira toujours qu’il n’y a pas assez de ressources, ça fait partie de la fiche de poste, mais plus sérieusement, je pense que l’ANSSI va continuer à croître un petit peu, mais il faut éviter la boulimie et surtout, il faut éviter de déresponsabiliser les autres acteurs. J’ai l’habitude de dire que ce n’est pas à 600 ou à 1000 qu’on va protéger la France contre toutes les menaces numériques. L’important c’est qu’on soit là pour créer une politique, une stratégie qui soit structurée, que chacun soit à son rôle et puis, à la fin, c’est bien à chacun de se protéger fondamentalement, à l’ensemble des échelles, à titre individuel en tant que personne, au niveau des sociétés, au niveau des administrations. La protection numérique c’est vraiment quelque chose multi-échelles.
Frédéric Couchet : C’est super. Vous faites même les enchaînements sur le sujet d’après.
ANSSI, finalement, c’est prévention-réaction quelque part.
Guillaume Poupard : Avec détection au milieu.
Frédéric Couchet : Avec détection au milieu, effectivement. Vous avez parlé des élections, ça me fait penser qu’on fera sans doute en 2020 un sujet sur les ordinateurs de vote. Je ne vais pas vous demander votre avis aujourd’hui parce que sinon on va dépasser le temps imparti, mais je pense qu’on fera un sujet.
Guillaume Poupard : Je garde mon avis !
Frédéric Couchet : Après vous parlez de ce que vous voulez, vous êtes notre invité, mais je pense qu’on fera une émission sur ce sujet-là.
Vous venez de dire que c’est effectivement la responsabilité de toutes les personnes et on pourrait penser, à nous écouter, que l’ANSSI c’est pour les spécialistes d’informatique, c’est pour les grandes entreprises, pour les grands centres publics, le CHU de Rouen dont on a parlé qui a subi une cyberattaque de type rançongiciel il y a quelque temps et sur lequel vous êtes intervenu, mais ça concerne aussi le grand public comme vous l’avez dit. Justement, un rôle méconnu et que, finalement, je connaissais moins de l’ANSSI avant de préparer l’émission, c’est la présence de guides pratiques, de guides d’hygiène numérique, qui s’adressent directement au grand public. Est-ce que vous pouvez nous faire un petit tour d’horizon de ce que proposent ces guides et quels types de public ça cible ?
Guillaume Poupard : C’est vrai que la priorité de l’Agence, on ne va pas se mentir, ce sont vraiment les acteurs les plus critiques, ceux qu’on appelle les opérateurs d’importance vitale que sont les acteurs publics ou privés dont le fonctionnement est essentiel à la sécurité nationale. En fait, quand on déroule un petit peu la logique qu’il y a autour de ça, on se rend compte qu’au-delà de la protection de ces grandes entreprises, il y a tout un écosystème à protéger et puis, à la fin, ce sont bien des femmes et des hommes qui vont utiliser les moyens numériques et s’ils n’ont pas les bonnes pratiques – on parle précisémentd’hygiène informatique, c’est assez parlant et je pense que le terme est bon, même s’il est choquant il est bon – aujourd’hui la plupart des personnes ont une mauvaise hygiène informatique ce qui fait que ça favorise énormément le travail des attaquants, parfois il n’y a même pas de mérite et, en même temps, l’hygiène ce n’est pas si compliqué une fois qu’on a compris comment ça fonctionne.
Donc le fait d’apprendre aux personnes, soit nous directement, soit aux couleurs des différentes entreprises, des différentes entités, leur apprendre les gestes essentiels : on fait attention à des mails bizarres, on fait attention à ses clefs USB, on ne recharge pas son téléphone n’importe où, on fait attention à ses mots de passe, autant de règles une fois qu’on les a comprises qui sont des évidences, mais quand on ne les a jamais entendu expliquer ce n’est pas si évident que ça, ça fait également partie de nos missions de fournir, comme ça, des guides expliquant soit au plus grand public, soit on a d’autres guides qui sont plus spécialisés, les bonnes pratiques à mettre en place pour faire de la sécurité numérique.
Si je peux faire une parenthèse, l’ANSSI a évidemment un rôle dans ce domaine-là, il y a également une autre initiative qui elle est vraiment ciblée sur les individus et les petites structures comme les PME [et entreprises de taille intermédiaire, Note de l'orateur], c’est la plateforme qui s’appelle cybermalveillance.gouv.fr, son nom et son URL se confondent. L’ANSSI est très présente, je suis le président du GIP [Groupement d'intérêt public] de la structure, mais elle a une existence en propre. Il y a d’autres administrations, d’autres ministères qui sont associés, il y a surtout des acteurs privés qui nous ont rejoints, des opérateurs, des éditeurs, y compris des éditeurs que vous n’aimez pas, mais en gros des gens qui sont là pour porter cette cause commune quelque part qui est de développer une forme de sécurité numérique. Cette plateforme est intéressante parce qu’elle reprend tous les codes et tout le matériel de sensibilisation, mais elle propose également des solutions pour les gens qui sont victimes. Si, à titre individuel, vous êtes victime d’une tentative d’escroquerie, d’un rançongiciel, de quelque chose comme ça, évidemment la bonne solution n’est pas la même que celle pour un opérateur d’importance vitale coté au CAC 40. Nous, on ne peut pas grand-chose pour des particuliers, c’est évident qu’on n’a pas les capacités ou la structure pour y répondre. Cette plateforme a le grand mérite de mettre en relation des prestataires locaux qui sont prêts à faire ça, qui sont souvent des petits prestataires informatiques, qui s’engagent en signant une charte et qui peuvent travailler pour des particuliers. Très souvent ça revient à essayer de récupérer des fichiers, de remettre l’ordinateur en état, ce ne sont pas des grandes opérations de cyberdéfense, mais, pour les victimes qui sont touchées, ça apporte une aide concrète, une aide que les forces de police et de gendarmerie ne peuvent pas apporter bien évidemment ; elles sont là pour prendre la plainte mais certainement pas pour réparer les choses.
C’est une initiative qui mérite d’être mieux connue, je pense, et, pour ceux qui sont touchés par de telles attaques, c'est particulièrement pratique. Je répète c’est cybermalveillance.gouv.fr.
Frédéric Couchet : On mettra aussi les références sur le site de l’April et sur le site de Cause commune.
Vous parliez des moyens, vous ne pouvez intervenir partout, ça me fait venir une question : est-ce que vous avez, par exemple, des sortes de référents dans les régions, qui ne s’adressent pas forcément au grand public, ça j’ai bien compris, mais qui pourraient s’adresser aux PME, aux PMI [Petites et moyennes entreprises], aux entreprises ? Est-ce que vous avez ce mécanisme ?
Guillaume Poupard : C’est vrai que l’ANSSI est une agence qui est parisienne par sa localisation, avec une capacité de déploiement rapide chez des victimes comme on l'a fait à Rouen, mais fondamentalement on est à Paris et on a ressenti le besoin, il y a quelques années, d’avoir des référents en région. On ne va pas mettre des dizaines ou des centaines de personnes en région, mais aujourd’hui j’ai un référent par région, donc ça en fait 13 en France métropolitaine, dont le rôle est d’aller se connecter aux différents réseaux locaux. Les réseaux locaux ça peut être les réseaux des chambres de commerce et d’industrie, des réseaux portés par la préfecture, des réseaux portés par des associations d’entreprises. En fait moi je prends tout, quelque part. L’important c’est de voir qui est actif, qui a envie de faire. Lorsque notre référent arrive avec de la matière, avec des supports, avec la possibilité d’intervenir dans des conférences, des choses comme ça, il me sert également de capteur pour faire remonter les besoins locaux. On se rend compte que finalement, d’une région à l’autre – c’est souvent lié à l’activité économique ou à la spécialisation – les besoins ne sont pas les mêmes et ça nous permet de répondre au mieux et de commencer à adapter notre réponse, à la rendre un peu moins générique, un peu plus adaptée à des besoins locaux.
Donc ce n’est pas encore du déploiement territorial et ça ne le deviendra pas, mais le fait de couvrir l’ensemble de la France, métropole et également Outremer puisqu’on a évidemment des zones très sensibles outremer, c’est quelque chose qui doit être particulièrement conduit. Il n’y a pas que Paris à protéger.
Frédéric Couchet : D’accord. Pour revenir sur la partie grand public, je crois que vous avez aussi une autre initiative qui est SecNumAcadémie, une formation en ligne, ce qu’on appelle aujourd’hui un MOOC, c’est de la formation en ligne. C’est une formation ouverte pour toutes les personnes, grand public et professionnels ? C’est gratuit ? Payant ?
Guillaume Poupard : C’est ouvert à tout le monde. C’est gratuit. On est très fiers de ce MOOC, c’est le premier MOOC de France en termes d’audience. C’est une belle réussite. C’est vraiment pour apprendre les bases de la sécurité numérique et l’usage. Certaines entreprises ou certaines administrations le reprennent à leur compte et le rendent soit fortement incitatif soit obligatoire dans le cadre des formations professionnelles. N’importe qui peut s’y inscrire sur notre site ssi.gouv.fr qui redirige vers le MOOC. Le seul truc, je le dis au passage, il y a besoin de s’enregistrer. Ce n’est certainement pas pour faire du suivi ou du tracking des stagiaires comme le font la plupart des MOOC parce qu’il faut bien qu’il y ait un modèle économique derrière, nous on ne gagne pas d’argent, évidemment, avec le MOOC. Par contre, il y a à peu près une vingtaine d’heures de MOOC, donc l’inscription évite de faire les 20 heures d’affilée ce qui donnerait un peu mal à la tête, donc ça permet de revenir là où on en était, ce n’est pas plus compliqué que ça. C’est quelque chose qui est utile et que l’on donne également. Le but ce n’est pas d’en être propriétaire, ce n’est pas de faire des profits là-dessus, c’est que ce soit le plus possible utile et on a un certaines entreprises qui le reprennent, qui le complètent avec des modules qui leur sont propres, notamment à usage interne en termes de formation.
Frédéric Couchet : D’accord. Sur le salon web, qui n’est pas vraiment un salon web aujourd’hui, il y a une remarque de quelqu’un : vous avez dit, vous avez cité ou plutôt non cité « des éditeurs qu’on n’aime pas » ; ce ne sont pas les éditeurs qu’on n’aime pas, ce sont les pratiques consistant à priver les personnes de leurs libertés informatiques. Il y a des gens qui nous écoutent donc je relaie la remarque.
Guillaume Poupard : Très bien. C’est plus précis.
Frédéric Couchet : Voilà, c’est plus précis.
En tout cas j’invite évidemment les personnes qui nous écoutent, que ce soit grand public ou professionnels, vous l’avez bien compris, à aller sur le site de l’ANSSI, ssi.gouv.fr, pour retrouver à la fois les guides dont on a parlé, les règles d’hygiène qu’il faut effectivement apprendre – est-ce qu’on peut toutes les appliquer ? Ça c’est autre chose – et puis cette fameuse formation en ligne, ouverte à toute personne, d’une durée de 20 heures. Vous découvrirez que l’ANSSI c’est aussi fait pour toutes les personnes, quelles qu’elles soient, et pas uniquement les professionnels de la sécurité ou plutôt, tout le monde doit s’intéresser à ce sujet de la sécurité.
Guillaume Poupard : C’est exactement ça, il le faut. On sait très bien que la sécurité numérique ne doit pas rester la chasse gardée de quelques experts, ça, ça ne marche pas. Chacun est utilisateur de moyens numériques, ou quasiment, donc chacun a un rôle à jouer et puis les autres qui ont un rôle à jouer ce sont typiquement les décideurs, qu’ils soient publics, politiques ou privés. Je passe du temps, avec mon bâton de pèlerin, à leur expliquer qu’ils ne sont peut-être pas experts en sécurité numérique, ils ne sont peut-être pas informaticiens, peut-être qu’ils n’y comprennent rien, mais fondamentalement c’est leur responsabilité aujourd’hui de développer la sécurité numérique parce que les conséquences peuvent être telles que là, pour le coup, ça devient vraiment leur responsabilité. Donc aujourd’hui ces questions-là concernent tout le monde.
Frédéric Couchet : On va continuer la discussion et on va aborder la partie logiciel libre et ce que fait l’ANSSI par rapport au logiciel libre, mais d’abord on va faire une petite pause musicale. Nous allons écouter Follow me par Vendredi. On se retrouve juste après. Belle journée à l’écoute de Cause Commune.
Pause musicale : Follow me par Vendredi.
Frédéric Couchet : Nous venons d’écouter Follow me par Vendredi, disponible sous licence libre Creative Commons Attribution.
Vous écoutez toujours l’émission Libre à vous ! sur radio Cause Commune 93.1 en Île-de-France et partout dans le monde sur le site causecommune.fm.
Si vous voulez participer à notre conversation vous pouvez appeler le 09 50 39 67 59, je répète 09 50 39 67 59, Patrick prendra votre appel.
Nous poursuivons notre sujet sur l’ANSSI avec Guillaume Poupard, son directeur général.
Juste avant la pause musicale on parlait du rôle de l’ANSSI notamment par rapport au grand public et du rôle de toutes les personnes par rapport à la sécurité. Là on va aborder un sujet qui nous tient évidemment à cœur à l’April, l’association de promotion et de défense du logiciel libre, c’est la question de la sécurité par la transparence versus la sécurité par les boîtes noires et, plus globalement, la position qu’a l’ANSSI sur le lien entre sécurité, logiciel libre et logiciel privateur. Quelle est la doctrine de l’ANSSI à ce sujet-là ?
Guillaume Poupard : La doctrine se veut assez équilibrée au sens où pour nous l’objectif, à la fin, c’est que les systèmes soient sécurisés au bon niveau face à des menaces identifiées. Tout ce blabla pour dire que l’important c’est le résultat. D’une part, on veut éviter de tomber dans la caricature. Il n’y aurait pas, d’un côté, un logiciel libre ou du logiciel libre qui serait forcément sécurisé et, de l’autre côté, des logiciels propriétaires qui seraient forcément mauvais en termes de sécurité. C’est évidemment plus complexe que ça. Nous, ce qu’on souhaite vraiment, c’est que ce qui est utilisé par « nos clients » entre guillemets soit d’un bon niveau de sécurité et soit bien utilisé.
Une fois qu’on a dit ça, ce sont un peu les mentions légales de protection, il est évident que quand on veut rentrer dans un produit logiciel, quand on veut se convaincre de son niveau de sécurité, nous on promeut énormément de la certification, de l’évaluation, de manière à pouvoir attester auprès des utilisateurs qui ne sont pas forcément des experts et qui n’ont pas forcément le temps, du niveau de qualité atteint par des produits. On sait le faire pour des produits propriétaires aussi bien que pour des produits open source directement disponibles. Après, l’important c’est de voir quelle est la démarche qu’il peut y avoir derrière, comment est conduite l’évaluation et ainsi de suite. Voilà. Ce n’est pas pour dire qu’il y a forcément un système meilleur qu’un autre, c’est plus compliqué que ça en pratique.
L’autre chose, évidemment pour nous on ne peut pas faire de l’usage du logiciel libre un prérequis pour travailler avec tous ceux avec qui on doit travailler ou avec qui on a envie de travailler. Quand on arrive chez une victime qui est intégralement équipée en logiciels propriétaires, on ne va pas lui dire « c’est bien fait pour toi ! »
Frédéric Couchet : Même là-dessus nous sommes d’accord !
Guillaume Poupard : Tout ça ce sont des évidences.
La dernière remarque un peu préliminaire que je peux faire c’est que nous on a quand même à faire à beaucoup de « clients », je rajoute les guillemets, qui ne sont pas équipés pour bien gérer du logiciel open source. Ça demande une démarche, ça demande un effort. Ceux qui atteignent un certain niveau de maturité y vont naturellement, très souvent, mais il y en beaucoup qui ne sont pas à ce niveau de maturité justement, notamment dans beaucoup d’entreprises où, pendant très longtemps, le message qu’on leur a martelé dans le crâne au niveau commercial c’était que l’informatique c’est du soutien, c’est quelque chose qui coûte cher, c’est quelque chose dont il faut se débarrasser, c’est quelque chose qu’il faut sous-traiter et ces gens-là sont devenus totalement dépendants de leurs sous-traitants et je parle aussi bien, finalement, d’acteurs publics que d’acteurs privés en parlant de ça. Donc revenir vers eux en disant « il faut tout changer, il faut passer à des logiciels que vous maîtrisez, des architectures que vous maîtrisez et ainsi de suite », ça fait beaucoup d’un coup.
Tout ça pour dire qu’on essaye de s’adapter, on essaye de pousser nos partenaires à plus de maîtrise des architectures, à plus de maîtrise de ce qu’ils déploient dessus et, quelles que soient les solutions déployées, à bien le faire en termes de sécurité. Une fois encore, que ce soit libre ou propriétaire, très souvent c’est mal fait, c’est ce qu’on observe dans le cadre des audits, donc il y a un vrai progrès à mener.
Frédéric Couchet : D’accord. Nous on ne dit pas forcément que le logiciel libre c’est la garantie à 100 %, on pense que c’est une brique essentielle mais que ça dépend, évidemment, des ressources comme vous le dites et d’un certain nombre de facteurs. Vous parlez d’absence d’une certaine maturité chez certains acteurs, je ne peux pas m’empêcher de penser au ministère de la Défense. Est-ce que le ministère de la Défense manque de maturité pour, depuis des années, être pieds et poings liés avec Microsoft ? Ça c’est ma première question et j’en ai d’autres derrière.
Guillaume Poupard : Oui, c’est une question récurrente. La logique du ministère de la Défense – je suis extérieur au débat fondamentalement – ça a été une logique, mais vous le savez, qui est une logique assez comptable, finalement de dire « plutôt que d’avoir 3000 contrats avec le même éditeur on va tout rassembler dans un seul contrat ». Le gros danger, évidemment, de ce genre de démarche c’est que ça rend assez facile le fait de passer par ces solutions-là et, du coup, plus compliqué le fait de faire l’effort d’aller vers des solutions mieux maîtrisées, plus sures peut-être, et encore, là le débat mériterait d’être creusé, ça dépend des cas, en tout cas qui permettent de garantir une plus forte souveraineté.
En fait le vrai sujet est là : qu’est-ce que l’on veut maîtriser par nous-mêmes pour assurer notre souveraineté, notre autonomie ? Souveraineté c’est un terme important mais au sens de notre autonomie de décision, d’action. On sait que dans le domaine militaire, notamment en France, on construit notre propre armement de manière à rester souverains et à ne pas être dépendants. Il ne faudrait surtout pas que dans le domaine numérique, dans le domaine logiciel, on devienne à notre insu dépendants et que, finalement, tous les efforts qu’on a faits pour avoir une souveraineté au sens très fort du terme soient un peu battus en brèche par une dépendance à des éditeurs logiciels non européens.
Frédéric Couchet : Justement, je bascule directement sur une de mes dernières questions puisque vous abordez le sujet que je voulais aborder à la fin si on avait le temps. Récemment il y a eu une commission d’enquête sur la souveraineté numérique par laquelle l’April a été auditionnée ; vous avez été auditionné ainsi que trois autres structures à huis-clos, ce qu’on peut parfaitement comprendre, même si vous avez commencé à répondre un petit peu à la question, j’aimerais bien que vous précisiez ce que vous entendez par souveraineté numérique de l’État et par quoi ça passe principalement ? Quels sont les principaux facteurs de cette souveraineté numérique de l’État et qu’est-ce que c’est cette souveraineté numérique de l’État ?
Guillaume Poupard : Auditionné à huis-clos non pas que j’aie des choses à cacher, mais simplement, évidemment quand c’est à huis-clos, je peux dire des choses plus facilement que quand c’est retranscrit.
Frédéric Couchet : On comprend parfaitement.
Guillaume Poupard : C’était un choix qui avait été fait avec les parlementaires de la commission.
La souveraineté c’est vraiment au cœur de nos préoccupations. Ça consiste à garder une vraie capacité, un vrai libre arbitre dans le choix des solutions, dans la confiance que l’on a de ce qu’on développe, numérique ou pas, mais ça s’applique particulièrement au numérique, et ça ne doit surtout pas être confondu avec une forme de protectionnisme ou une forme un peu obsessionnelle de la souveraineté qui consiste à vouloir tout faire au niveau national en France.
Frédéric Couchet : Pas d’OS souverain, par exemple. Pas de système d’exploitation souverain.
Guillaume Poupard : Ce n’est pas mon truc l’OS souverain, j’ai eu l’occasion de m’expliquer là-dessus !
Si on veut tout faire nous-mêmes, si on veut faire nos propres composants, nos propres ordinateurs, nos propres OS, nos propres logiciels, tout ça, je connais le résultat : on ne va pas y arriver. Ce n’est pas que ça me réjouit, c’est juste que personne, quasiment personne, je pense même que personne au monde ne peut faire ça. Il n'y a aucun pays, même les plus puissants, capables de faire ça par eux-mêmes ou bien ils renoncent au progrès technologique.
Par contre, assurer sa souveraineté au sens maîtriser ses systèmes, en garantir la sécurité, en garantir la capacité de fonctionnement et l’accès à ces systèmes même si des ennemis ou des alliés changent d’avis au niveau économique à notre sujet, ça c’est faisable. La ligne de crête à suivre pour un pays comme la France et que l’on peut encore suivre aujourd’hui, c’est vraiment d’être capable de maîtriser les architectures de ces systèmes : iI faut comprendre comment ça marche. Quand on ne comprend plus comment ça marche ça n’a aucune chance d’être maîtrisé.
Frédéric Couchet : Architecture logicielle et matérielle donc.
Guillaume Poupard : Logicielle et matérielle. Un datacenter peut être maîtrisé en termes d'architecture sans forcément maîtriser tout ce qu’il y a dans les composants. L’idée c’est bien de maîtriser les architectures, de concevoir des architectures en tenant compte de ce besoin de souveraineté, pour ensuite voir quelles sont les briques que l’on peut acheter n’importe où, fondamentalement sur étagère, n’importe où, quelles sont, à l’autre bout du spectre, les briques, logicielles ou matérielles, que l’on doit à tout prix fabriquer par nous-mêmes dans des conditions de confiance très élevées et, entre les deux, tous les scénarios sont possibles. Et c’est là où le logiciel libre a tout son intérêt. Et c’est là où vous seriez surpris de voir, y compris dans des systèmes extrêmement sensibles, des systèmes d’armes, des choses comme ça, qu’il y a de plus en plus de logiciel libre parce que c’est du logiciel beaucoup plus facile à maîtriser et à intégrer quand on a la main sur l’architecture.
Le gros problème de certaines solutions propriétaires c’est qu’elles ont tendance à faire perdre la main sur le fonctionnement de l’architecture, à nous déposséder de tout ça, donc à nous faire renoncer à la souveraineté. C’est là où le Libre devient vraiment une solution intéressante, mais, j’insiste là-dessus, à condition d’avoir cette capacité de définir les architectures, de les mettre en œuvre et de les maîtriser dans le temps.
Il y a un autre sujet qui est très actuel, dont on parle beaucoup en ce moment, ce sont les réseaux télécoms. Il y a un débat qui est importé de la guerre économique entre les États-Unis et la Chine, qui voudrait nous faire croire que la sécurité d’un réseau 5G se résume au choix d’un équipementier. Ça je n’y crois pas du tout ! Un réseau 5G bien sécurisé sera un réseau dont l’architecture sera maîtrisée par les opérateurs, dont l’opération sera maîtrisée par les opérateurs. Évidemment après, peut-être que dans cette architecture, si l’analyse est bien faite, on en viendra à décider que tel ou tel équipement est plus sensible qu’un autre et il faut faire attention à l’origine de l’équipement, suivez mon regard.
Frédéric Couchet : Je ne vois pas où vous voulez en venir !
Guillaume Poupard : Pas du tout ! Mais tout résumer à l’origine des équipements, en gros dire « il ne faut pas d’équipement chinois dans le réseau pour faire un réseau sécurisé » c’est complètement faux. Avec des équipements européens on peut faire de très mauvais réseaux télécoms, c’est évident. Donc il faut maîtriser les architectures, il faut des experts en termes d’architecture, de sécurité, il faut que les opérateurs télécoms gardent cette maîtrise et, à ce prix-là, on peut rester souverain sur ces questions-là.
À l’instant je parlais de souveraineté nationale mais de plus en plus c’est une question de souveraineté européenne qui se pose : on a les mêmes problématiques que les autres États membres de l’Union européenne, on a un droit commun, on a des valeurs communes, donc fondamentalement, typiquement sur les questions télécoms, ce sont des questions qui doivent remonter à l’échelle européenne même si on ne veut pas renoncer à notre souveraineté nationale. Là ça devient un peu technique.
Frédéric Couchet : En tout cas c’est l’importance de cette souveraineté, finalement cette souveraineté numérique que sont les conditions d’exploitation et de mise en œuvre de nos activités et libertés fondamentales dans les réseaux informatiques. C’est un sujet essentiel et j’invite les personnes à consulter le rapport de la commission du Sénat, la commission d’enquête du Sénat qui d’ailleurs encourage : il y a une recommandation à mettre en place une politique publique logiciel libre. On verra si ce sera suivi d’effets. En tout cas c’est passionnant.
J’avais une dernière question sur la partie audit, vous avez parlé tout à l’heure des audits et des systèmes privateurs. On sait qu’il y a ce qu’on appelle des accords de sécurité entre États et certains éditeurs, est-ce que ces accords vous donnent, par exemple, accès au code source de certains logiciels, sans citer forcément de noms, mais pour des audits par exemple ?
Guillaume Poupard : Oui, ça peut.
Frédéric Couchet : Ça peut ?
Guillaume Poupard : Ça peut. Quand on évalue en France des systèmes logiciels, en général on demande l’accès au code source, parce que, sincèrement, évaluer la boîte ça a un intérêt très limité ou faire ça en boîte noire, ça peut se faire pour des bas niveaux de sécurité mais à haut niveau de sécurité ça ne fonctionne pas, donc on demande l’accès au code source. Les accords que l’on a sont des accords qui visent à rassurer tout le monde : d’une part à rassurer les éditeurs pour garantir que le but ce n’est pas de voler leur propriété intellectuelle, et c’est normal, et, d’autre part, nous protéger nous, quelque part, pour nous assurer qu’on a bien accès lors de l’évaluation aux bonnes informations et surtout après, ce qui est intéressant c’est toute la démarche qui va se mettre en place en termes de gestion des vulnérabilités, de correction des vulnérabilités. On veut s’assurer qu’il n’y a pas de vulnérabilités volontaires, évidemment, ou involontaires au départ, mais on veut également que tout ce qui pourrait être découvert après puisse être corrigé. C’est ça qu’il y a dans les accords. On a d’autres accords avec pas mal d’éditeurs.
Moi je suis très opportuniste, finalement, dans la relation avec les éditeurs de sécurité, soit ceux qui développent du logiciel, soit ceux qui font de la cybersécurité en général, et ils sont souvent prêts à nous donner pas mal d’informations en avant-première sur les problèmes de sécurité qui sont identifiés. Ils voient bien qu’on est une agence d’État, qu’on est des gens sérieux, qu’on n’est là que pour faire du défensif, pas pour faire de l’offensif, donc au fil des années on a mis en place des accords qui nous permettent de bénéficier d’informations je dis en avant-première, parce que des fois l’idée c’est d’avoir l’info quelques jours avant pour pouvoir éviter un effet d’aubaine quand certaines vulnérabilités sont révélées ou certains patchs sont mis en ligne.
Frédéric Couchet : Un patch c’est une correction.
Guillaume Poupard : Une correction, voilà exactement. Donc que l’on soit prêt à nous assurer que ces corrections sont bien appliquées.
Ça fait en pratique beaucoup d’accords, pas uniquement avec des acteurs européens mais également avec beaucoup d’acteurs américains.
Frédéric Couchet : D’accord.
On va revenir sur la partie logiciel libre, je vois que le temps file, mais c’est tout à fait passionnant. On a bien compris la doctrine, en tout cas la position de l’ANSSI par rapport au logiciel libre versus logiciel privateur, mais on a pu noter quand même depuis quelque temps maintenant, peut-être deux/trois ans, une accélération de la publication de codes sources en logiciel libre faits par l’ANSSI. Quelle est cette politique ? Pourquoi faire ça ? Comment sont choisis les logiciels qui sont mis en Libre ? Peut-être qu’on va citer deux/trois exemples, sans rentrer forcément dans les détails, pour montrer un petit peu le périmètre de libération des codes. Donc la politique logiciel libre de l’ANSSI ?
Guillaume Poupard : Je disais on est 600 à l’ANSSI. Sur les 600 il doit y avoir à peu près 500 informaticiens, je ne sais pas si je dois me compter dans le lot, mais quelque part j’en fais un peu partie. 500 informaticiens ça veut dire presque 500 personnes qui développent pour des besoins internes. Chacun dans ses métiers, que ce soit au sein des laboratoires pour tester des idées ou bien les personnes en charge des opérations c’est-à-dire de l’aide, de la réponse à incident comme on dit, de l’aide aux victimes, tous ces gens-là développent leurs propres outils.
Là pour le coup, en termes d’usages internes, on est très orientés techno libre parce que c’est comme ça qu’on peut développer de manière efficace. Et c’est vrai qu’au début on a beaucoup développé en interne, de manière assez fermée, parce que le but pour nous ce n’était pas forcément de libérer du code, c’était de bien tester des choses et d’avoir nos propres outils, sans avoir forcément besoin de nous justifier ou d’avoir des regards extérieurs dessus ; c'est une question de maturité. Ce qui fait que quand je suis arrivé il y a un peu plus de cinq ans il y avait déjà quelques tentatives de démarche ouverte, mais à chaque fois on se posait beaucoup de questions : est-ce que ça va mettre en danger nos opérations ? Est-ce qu’on ne va pas révéler des choses à nos attaquants ? Est-ce qu’on ne va pas leur faciliter la tâche ?
Frédéric Couchet : En fait assez classiques quand on veut mettre en libre ou, en tout cas, publier du code.
Guillaume Poupard : Exactement. Chemin faisant, je passe sur les détails, aujourd’hui on est dans une situation exactement inverse : ce que je demande à mes équipes c’est de tout mettre en open source, de tout partager.
Frédéric Couchet : Par défaut ?
Guillaume Poupard : Par défaut, sauf s’il y a une bonne raison pour ne pas le faire. Donc c’est une inversion totale du paradigme et évidemment les résultats sont très différents. En pratique, on se rend compte qu’il y a énormément d’outils pour lesquels il n’y a aucune vraie bonne raison de les garder pour nous et au contraire, le logiciel libre c’est une manière pour nous de développer de la co-construction, de développer des communautés, d’aller chercher de la ressource à l’extérieur, de diffuser du savoir-faire qui va dans le sens d’une meilleure sécurité.
Vous me demandez des exemples, il y a pas mal d’exemples récents qui sont arrivés, qui ont abouti quelque part. Il y a une démarche de système d’exploitation sécurisé qui s’appelle CLIP OS.
Frédéric Couchet : CLIP OS.
Guillaume Poupard : Dont on a libéré une première version, mais surtout avec comme objectif d’encourager la création d’une communauté pour développer la nouvelle version, donc la version 5 de CLIP OS. On compte beaucoup sur la création de cette communauté et, pour l’instant, ça se passe plutôt bien, objectivement. Le fait d’avoir un OS basé sur des souches Linux, évidemment, un OS qui soit de confiance avec des fonctions de sécurité qui ne sont pas classiques, ça nous semble être un vrai besoin qui, aujourd’hui, n’est pas forcément couvert par des offres disponibles. On n’est pas non plus là pour faire de la concurrence. Quand il y a des bonnes offres disponibles évidemment on ne va pas se mettre en concurrence, ça n’aurait aucun sens.
Frédéric Couchet : Sur CLIP OS on va peut-être préciser une des spécificités, c’est d’avoir deux environnements de travail différents : l’un pour faire des choses à peu près banales et l’autre, qu’on appelle sécurisé ou durci, où là on veut de la sécurité. C’est un peu le principe.
Guillaume Poupard : C’est ça. Il y a deux OS en un, quelque part, avec, comme cas d’usage le plus classique, un environnement qu’on qualifie de bas qui va être connecté à Internet, donc forcément plus vulnérable, et un environnement haut qui lui ne va pas être connecté, donc va être beaucoup plus sécurisé, durci, et puis avec évidemment une maîtrise forte de ce qui se passe entre ces deux environnements pour éviter que le niveau bas contamine le niveau haut en cas d’attaque.
Il y a plein de cas d’usage, on le voit pour les administrations, où on a besoin de ce genre de poste mais, au-delà de ça, par exemple un administrateur : on est horrifiés quand il y a des administrateurs réseau qui sont connectés sur Internet parce qu’on voit tout de suite le chemin d’attaque que ça crée pour les attaquants. Avec un tel poste ça permet aux administrateurs d’avoir accès à Internet, ce qui est évidemment un besoin qu’on ne nie pas et, d’autre part, ils peuvent faire leur travail d’administration depuis un niveau haut qui lui est protégé. C’est juste un cas d’usage.
Frédéric Couchet : D’accord. Ça c’était CLIP OS.
Guillaume Poupard : Ça c’est CLIP OS. Qu’est-ce qu’on a d’autre en soute ? Récemment on a libéré un outil qui nous permet de faire de la collecte massive de données sur des réseaux compromis. Qquand nos équipes opérationnelles arrivent sur un réseau qui est attaqué, donc compromis par un attaquant, s’il y a dix postes c’est facile, s’il y en a 100 000 c’est une autre affaire. Ces outils permettent de faire de la récupération massive des données utiles à l’analyse rapide de ce qui s’est passé — ce sont des outils qui n’existent pas aujourd’hui à disposition — donc nous, ce qu’on a développé depuis 2011 de mémoire, arrive aujourd’hui à un niveau de maturité où on peut le partager, donc on l’a mis en open source.
Frédéric Couchet : Ça s’appelle comment ?
Guillaume Poupard : DFIR ORC.
Frédéric Couchet : ORC, O, R, C, donc.
Guillaume Poupard : Entre nous on dit « ORC », mais apparemment c’était déjà pris donc c’est DFIR ORC.
Frédéric Couchet : D’accord. Outil de recherche de compromission.
Guillaume Poupard : C’est ça, exactement, et après il y a plein de blagues derrière mais ce sont des blagues d’informaticien.
L’idée c’est bien de partager ça, y compris d’ailleurs avec des sociétés privées qui font de la réponse à incident et qu’on a envie de développer. Ça va dans l’idée que nous on ne peut pas tout faire, évidemment, donc plus on aura de prestataires capables de faire le travail avec des outils efficaces et mieux ça marchera.
Frédéric Couchet : J’ai une question qui est très classique, qu’on doit vous poser quand vous parlez de ça : vous mettez en Libre, donc en accès, un outil de compromission, est-ce que qu’il ne peut pas être utilisé entre guillemets par le « camp adverse », par des méchants, pour compromettre des machines ? Je pense que cette question est assez classique.
Guillaume Poupard : Voilà. C’est typiquement le genre de question qui est posée avant de libérer des outils. Et comme le déploiement des outils n’est pas un déploiement viral, ça ne se comporte comme un malware, finalement c’est juste de l’automatisation de scripts qui vont chercher les bonnes informations quand on fait l’analyse, mes experts me disent qu’il n’y a pas de risques et je leur fais confiance.
Frédéric Couchet : Pas de risques d’un détournement d’usage en fait.
Guillaume Poupard : C’est vrai que sur certains outils, là où ce genre de questions peut se poser directement, c’est sur certains outils d’audit, on parle de pentest.
Frédéric Couchet : Pentest ?
Guillaume Poupard : De Pentest, Penetration test.
Frédéric Couchet : Penetration test. OK. Des tests de pénétration de système, d’intrusion de système.
Guillaume Poupard : On a pudiquement ce qu’on appelle des auditeurs qui vont tester la sécurité des systèmes et qui, de fait, se comportent comme des attaquants. Leurs outils pour aller tester la robustesse de la sécurité des systèmes ressemblent étonnement à des outils d’attaque. Donc on a cette problématique classique du statut des outils d’audit qui peuvent assez facilement être transformés en outils d’attaque et inversement.
Là, par contre, on est aux limites, donc libérer ce genre d’outils-là c’est quelque chose qu’on ne s’autorise pas à faire.
Frédéric Couchet : D’accord. Il y a un exemple que je voudrais citer parce que je trouve qu’il est particulier au-delà de l’aspect technique, c’est Suricata. Vous avez donc rejoint une fondation qui s’appelle l’Open Information Security Foundation ; là ça veut dire que l’ANSSI contribue avec d’autres personnes ?
Guillaume Poupard : Ce n’est pas l’ANSSI qui a libéré du code.
Frédéric Couchet : Ce n’est pas l’ANSSI qui a libéré du code. Suricata c’est quoi ?
Guillaume Poupard : Suricata est un projet international qui vise à développer une brique essentielle qui est une brique de détection. On sait aujourd’hui que pour protéger des réseaux il faut élever le niveau de sécurité, il faut bien les paramétrer, il faut mettre les bons outils, mais il faut également, en permanence, être capable de chercher à détecter s’il n’y a pas, malgré ça, une capacité à rentrer à l’intérieur. Et plutôt que de réinventer ça chez nous en interne, on a identifié depuis plusieurs années ces travaux libres particulièrement intéressants et aujourd’hui on développe, on contribue en termes de développement donc on reverse du code dans ce projet et on finance un petit peu pour les aider à survivre. Quelque part ça se fait naturellement et aujourd’hui, dans d’autres outils d’ailleurs développés par des industriels français, on retrouve ces souches-là parce que finalement c’est super bien fait, c’est évolutif, ça continue à progresser et ça permet de mutualiser les efforts sur ces outils essentiels.
Là encore on est dans une démarche où l’open source permet de mutualiser les efforts, de partager les développements de manière intelligente et sincèrement, refermer tout ça ou avoir des solutions propriétaires, pour le coup je ne connais rien qui arrive à la cheville de ce projet-là pour faire de la détection efficace, donc c’est vraiment un très beau succès.
Frédéric Couchet : D’accord. Ça s’appelle Suricata. Évidemment on mettra les références de tous ces outils libres, soit libérés par l’ANSSI soit auxquels l’ANSSI contribue. L’ANSSI a également un dépôt ANSSI sur GitHub qui est une plateforme d’hébergement de code.
Le temps file. Vous en avez un petit peu parlé au tout début, vous travaillez avec les ministères car vous êtes une agence qui dépend du Premier ministre. Rapidement, quels sont vos liens avec les ministères et quel est votre lien avec ce qui s’appelle aujourd’hui la DINUM, la Direction interministérielle du numérique ? Quels sont vos liens de travail avec les ministères et la DINUM ?
Guillaume Poupard : On a deux types de liens différents. Il y a d’abord le lien qu’on peut avoir avec l’ensemble des administrations dans le but de les protéger. On sait que nos administrations, nos ministères sont attaqués régulièrement. Le but c’est d’élever le niveau de sécurité de leurs systèmes au bon niveau de manière à limiter les attaques et, en parallèle, on déploie tout un système de détection d’attaques sur l’ensemble du périmètre ministériel qui nous permet de voir ce qui pourrait passer malgré les protections. Ça c’est un premier travail.
L’autre travail c’est d’utiliser les compétences de chaque ministère pour développer une sécurité numérique commune. On travaille évidemment avec le ministre des Armées, on travaille avec le ministère de l’Intérieur, on travaille également avec le quai d’Orsay – il y a une diplomatie cyber qui est aujourd’hui très développée, qui se développe de plus en plus ; on travaille avec Bercy parce que la sécurité des entreprises est évidemment un sujet pour eux ; on travaille avec la Justice pour traiter de plus en plus de cas et développer une pénalisation des crimes cyber. En fait tous les ministères, petit à petit, rentrent dans notre périmètre quelque part, dans notre périmètre de coopération, le dernier en date étant l’Éducation nationale.
Frédéric Couchet : Justement c’est la question que je voulais vous poser. Avec le ministère de l’Éducation nationale est-ce que vous avez non pas un partenariat mais peut-être des actions ?
Guillaume Poupard : Depuis un an on travaille étroitement avec eux. Le but est très concret, c’est qu’à la rentrée prochaine, que ce soit un peu au collège mais surtout au lycée, il y ait assez systématiquement un enseignement en sécurité numérique, qui n’est pas vraiment en place aujourd’hui, qui est prévu dans les programmes scolaires mais ça ne fait pas tout, donc on a aujourd’hui un travail avec tous ceux qui développent les supports, la matière, pour permettre aux enseignants d’enseigner ces questions de sécurité numérique dans les créneaux qui sont prévus au niveau des programmes scolaires. Ça c’est un très gros travail, c’est récent. Je suis très content de ce qui est en train de se passer, je croise vraiment les doigts pour qu’à la rentrée prochaine nos enfants soient enfin un peu formés à ces questions de sécurité numérique.
Peut-être juste pour répondre sur la DINUM. La DINUM, dans le privé on parlerait de DSI groupe, c’est un peu pompeux, en gros ce sont les responsables du développement numérique de l’État. Nous on est responsables de la sécurité numérique de l’État. Les deux doivent travailler étroitement ensemble, c’est une évidence, parce que du numérique non sécurisé c’est voué à la catastrophe et de la sécurité abstraite comme ça, indépendamment de tout projet, ça ne sert à rien, on se fait juste plaisir. Donc on a vocation à travailler ensemble de plus en plus étroitement.
Frédéric Couchet : D’accord. Je relaye une question que je vois sur le salon, qui revient au tout début sur la partie sensibilisation. La question : est-ce que vous vous appuyez donc sur les groupes d’utilisateurs et d’utilisatrices de logiciels libres pour promouvoir la sensibilisation ou est-ce que c’est prévu un jour ?
Guillaume Poupard : Pas assez et ça passera très probablement par cybermalveillance.gouv.fr. On est très preneurs de propositions. Tout reste à construire. Toutes les bonnes volontés sont les bienvenues, sincèrement. Si moi je peux aider à mettre en contact, ce sera avec grand plaisir.
Frédéric Couchet : Très bien. La mise en contact va être facilitée en plus. Ma dernière question, les annonces à faire, et je vous laisserai, si vous en avez, les évènements à venir, vous avez la présence au POSS à Paris la semaine prochaine, si je me souviens bien vous avez à la fois des conférences et un stand ANSSI. C’est donc les 10 et 11 décembre 2019 à Aubervilliers, c’est opensourcesummit.paris le site web, donc ce sera l’occasion de vous rencontrer. Est-ce qu’il y a d’autres évènements, est-ce que vous avez d’autres annonces à faire ou des appels à lancer ?
Guillaume Poupard : Je vais en citer un seul. On a plein d’idées, c’est ça qui est sympa à l’ANSSI, c’est que ce ne sont pas les idées qui manquent, en tout cas pour moi c’est sympa en interne. On a un nouveau projet qui est en cours de construction, c’est la création d’un Cyber Campus, je suis désolé pour l’anglicisme mais c’est comme ça qu’on l’appelle entre nous. On voit qu’aujourd’hui il manque un lieu où les différentes communautés de recherche, industrielles, étatiques, pourraient construire ensemble de la sécurité numérique. Il y a un écosystème qui existe, on s’entend bien, même très bien. L’autre jour je prenais l’image du village d’Astérix 4.0, c’est sympa le village d’Astérix, ce sont avant tout des gens qui font front ensemble contre des envahisseurs extérieurs. C’est un peu ça qui se passe dans la cyber. Les acteurs se connaissent, s’apprécient, il manque un lieu aujourd’hui. Donc sous l’impulsion d’ailleurs des plus hautes autorités on est en train de construire – ce n’est pas une initiative de l’ANSSI, c’est vraiment une initiative collective – un Campus Cyber qui devrait se matérialiser par un lieu où on aurait enfin un point d’ancrage de ces questions de sécurité numérique en France.
Donc c’est un très gros projet et il faut impérativement que ce projet soit le plus ouvert possible parce que si c’est uniquement un projet d’administrations ce n’est pas intéressant, si ce ne sont que des grands industriels ce n’est pas intéressant, si ce ne sont que startups ça existe déjà par ailleurs. C’est vraiment un petit peu tout ça qu’il faut être capable de mettre ensemble et je suis persuadé que la somme de toutes ces composantes sera bien supérieure, le tout sera bien supérieur à la somme des composantes, pour dire ça de manière un peu pompeuse. Ça c’est quelque chose qui va être à suivre à mon avis.
Frédéric Couchet : D’accord. On aurait pu parler de plein de choses et je pense qu’on fera une seconde parce qu’il y a plein à dire, on aurait pu parler aussi de Health Data Hub, la plateforme qui va être annoncée pour développer l’intelligence artificielle dans les données de santé. Je vais en profiter pour annoncer qu’on a une émission consacrée à ce sujet-là normalement le 17 décembre 2019, donc on en parlera à ce moment-là et d’autres sujets.
Guillaume Poupard en tout cas je vous remercie. Je ne sais pas si vous voulez ajouter quelque chose ?
Guillaume Poupard : Non, merci à vous. Je suis ravi d’être là. Et à disposition pour continuer.
Frédéric Couchet : Très bien, donc je lance l’invitation pour une seconde émission en 2020.
Guillaume Poupard : Avec plaisir.
Frédéric Couchet : Nous étions avec Guillaume Poupard, directeur général de l’ANSSI, l’Agence nationale de la sécurité des systèmes d’information.
On va mettre toutes les références qu’on a citées sur le site de l’April, april.org, et sur causecommune.fm. Je vous souhaite une belle fin de journée Guillaume.
Guillaume Poupard : Merci beaucoup.
Frédéric Couchet : On va faire une pause musicale.
[Virgule musicale]
Frédéric Couchet : Nous allons écouter à nouveau Jahzzar, Intruder par Jahzzar. On se retrouve juste après. Belle journée à l’écoute de Cause Commune.
Pause musicale : Intruder par Jahzzar.
Frédéric Couchet : Nous avons écouté Intruder par Jahzzar, disponible sous licence libre Creative Commons Partage dans les mêmes conditions. Vous retrouverez les références sur le site de l’April, april.org, et sur le site de Cause Commune, causecommune.fm.
Nous allons passer au sujet suivant.
[Virgule musicale]
Chronique « Pépites libres » de Jean-Christophe Becquet, président de l'April, sur le thème « Les polices libres n'ont pas mauvais caractère »
Frédéric Couchet : Nous allons poursuivre avec la chronique « Pépites libres » de Jean-Christophe Becquet, président de l‘April. Le sujet du jour, Jean-Christophe, « Les polices libres n’ont pas mauvais caractère ».
Jean-Christophe Becquet : Oui. C'est un des objectifs de ma chronique d'expliquer comment le logiciel libre, imaginé par Richard Stallman dès 1984, a progressivement inspiré des licences libres pour les textes, les images, les vidéos ou les bases de données. On trouve des pépites libres dans tous les domaines de la création. Je voudrais montrer aujourd'hui que la protection octroyée par le droit d'auteur s'applique aussi pour les polices de caractères qui sont une forme à part entière d’œuvres de l'esprit et qu'il existe là encore de véritables trésors sous licence libre.
Mais voyons d'abord pourquoi il est tellement important de disposer de polices de caractères sous licence libre. Richard Stallman explique à propos du logiciel libre que « toutes les libertés dépendent de la liberté informatique ; elle n’est pas plus importante que les autres libertés fondamentales, mais au fur et à mesure que les pratiques de la vie basculent sur l’ordinateur, on en aura besoin pour maintenir les autres libertés ». Eh bien je pense qu'il en va de même, d'une certaine manière, avec les polices de caractères. En effet, sans police de caractères libre, comment faire valoir sa liberté d'expression ou de communication à l'écrit sur un support informatique ?
Les typographes ont donc proposé une licence qui reprend les principes de libre utilisation, diffusion, modification et redistribution pour les polices de caractères. Cette licence, appelée Open Font License (OFL), permet l'utilisation de la police de caractères dans n'importe quel type de document. Elle autorise la copie de la police de caractères y compris à des fins commerciales. Il s'agit d'une licence copyleft, c'est à dire qu'elle accepte les modifications à condition que les versions dérivées soient redistribuées sous la même licence. On doit bien entendu créditer l'auteur de la version originale. La licence OFL figure dans la liste des licences acceptées par la Free Software Foundation pour le projet GNU. Le fait qu'elle ait été reconnue comme compatible avec le contrat social de Debian, un acteur majeur parmi les distributions de logiciels libres, renforce son caractère de référence en matière d'éthique.
On trouve sur le Web des polices de caractères libres adaptées à tous les usages. Citons par exemple Libertine Fonts, une collection de polices multilingue sous licence OFL. Libertine Fonts offre une gestion avancée des ligatures, des fractions ou des indices et exposants.
Nina Paley, une artiste libre dont j'ai déjà parlé dans une précédente chronique, a partagé une police de caractères sous licence libre Creative Commons BY-SA pour permettre la traduction de ses dessins.
J'aimerais citer enfin la police Datalegreya du studio Figs, elle aussi sous licence OFL. À l'heure où les objets connectés se répandent avec leurs afficheurs numériques, elle permet de rendre perceptible d'un seul coup d’œil l'évolution d'une mesure, par exemple une température. C'est un chef-d’œuvre de design appliqué à la typographie.
Le wiki de l'April, dont vous trouverez l'adresse sur la page web consacrée à l'émission, référence plusieurs autres polices de caractères libres.
Pour l'école, on peut citer la police AA Cursive sous licence OFL également. Cette police est fournie avec une macro qui permet de gérer les ligatures. Cette dernière a d'ailleurs fait l'objet d'échanges sur la liste de discussion de l'April consacrée à l'éducation, car elle comporte un bug dans certaines situations. Le problème reste non résolu à ce jour. Je lance donc un avis aux contributeurs qui auraient la compétence technique pour aider. C'est libre, donc on peut le modifier pour corriger.
Frédéric Couchet : Merci Jean-Christophe. Je suppose que ces polices libres sont, pour la plupart, installées par défaut sur les distributions GNU/Linux.
Jean-Christophe Becquet : Oui tout à fait. En tout cas pour des polices comme Libertine. On a aussi une autre famille de polices qui s’appelle la famille Liberation qu’on trouve couramment dans les suites bureautiques libres et sur les distributions GNU/Linux.
Après les polices plus techniques ou design sont plus réservées à des activités de création et de graphisme. Il faut faire la démarche d’aller les télécharger et de les installer sur son ordinateur.
Frédéric Couchet : Une démarche qui est relativement simple et documentée.
Jean-Christophe Becquet : Oui. C’est très simple : on télécharge un fichier, il y a un format de fichier standard supporté par les distributions GNU/Linux. Ça fonctionne également sur un système d’exploitation propriétaire si on utilise une suite bureautique libre et qu’on veut avoir des polices de caractères libres. Pour les polices qui ont des fonctionnalités plus avancées comme la gestion des ligatures, effectivement souvent il y a une documentation associée et, comme je l’évoquais, il y a la possibilité de solliciter les communautés du logiciel libre, notamment les listes de discussion de l’April, pour obtenir de l’aide si on a un problème.
Frédéric Couchet : OK. C’est super. Merci pour ta chronique. C’était la chronique « Pépites libres » de Jean-Christophe Becquet, président de l’April. On se retrouve en 2020.
Jean-Christophe Becquet : Entendu. Bonne fin d’année à tous. Bonne soirée. Au revoir.
Frédéric Couchet : Au revoir.
[Virgule musicale]
Annonces
Frédéric Couchet : Nous approchons de la fin de l’émission. Nous allons donc terminer par quelques annonces.
Une annonce importante : Sauvons le .ORG ! april.org, framasoft.org, wikipedia.org, ledomaine.org, le domaine internet concerne avant tout les organisations à but non lucratif, il est donc utilisé par de nombreuses associations. Ce domaine était géré jusqu’à présent par une organisation sans but lucratif qui s’appelle Public Interest Registry, détenue par l’Internet Society une autre organisation en lien avec Internet, eh bien cette organisation va changer de statut pour appartenir, en 2020, à un fonds d’investissement privé appelé Ethos Capital, si ce changement est validé.
Outre des augmentations potentielles de tarif sur le .org, ce changement suscite d’importantes craintes, notamment des craintes de risques de censure. Donc l’Electronic Frontier Foundation qui est une organisation américaine des libertés publiques sur Internet a lancé une campagne « Savedot.ORG », sauvons le point org. Nous vous encourageons à prendre connaissance de la lettre ouverte que l’April a cosignée. Nous vous encourageons à la cosigner. Vous allez sur le site april.org, vous avez la référence, sinon sur le savedotorg.org, en anglais, sinon sur le site de l’April vous avez la référence en français.
On parlait tout à l’heure, à un moment, de l’importance des femmes, notamment de la faible représentativité des femmes dans le monde informatique. Eh bien une école ouvre à Paris, l'Ada Tech School, qui se dénomme elle-même l’ « école de code d’un nouveau genre » pour accueillir des femmes notamment pour apprendre à programmer. Ce soir il y a une réunion d’information de 18 heures 30 à 19 heures 30 à Paris. Les références sont sur le site de l’April et aussi sur le site de l’Agenda du Libre donc agendadulibre.org.
Vous avez aussi le Premier samedi du Libre à la Cité des sciences et de l’industrie le 7 décembre 2019 à partir de 14 heures. L’occasion de découvrir les groupes d’utilisateurs et d’utilisatrices de logiciels libres, de vous aider à vous faire installer une distribution libre ou de suivre des ateliers, des formations. N’hésitez pas à vous y rendre.
Vous avez un certain nombre d’autres évènements qui sont annoncés sur le site de l’Agenda du Libre, agendadulibre.org.
La semaine prochaine il y a un évènement à Paris dont on a déjà parlé un petit peu qui est le POSS, qui se déroule à Aubervilliers, c’est juste à côté de Paris, en métro ça doit être Porte de la Chapelle si je me souviens bien ; c’est le 10 et le 11 décembre 2019. Vous aurez des gens de l’ANSSI qui seront présents avec des conférences et un stand. L’April, évidemment, sera également présente avec un stand et des conférences. Nos conférences : il y a en a une le 11 décembre à 10 heures, elle s’intitule « Raconter les libertés informatiques à la radio », c’est moi qui la présente, on se demande pourquoi ! Mon collègue Étienne Gonnu intervient à 11 heures 30, toujours le mercredi 11 décembre sur « Le logiciel libre, un enjeu politique et social - Discussion autour de l’action institutionnelle de l’April ». Venez nous rencontrer soit au niveau de ces conférences soit sur le stand.
Annonce importante : mardi 10 décembre nous diffuserons en direct du salon POSS. On espère que tout va bien se passer. D’ailleurs on remercie les organisateurs du salon POSS de nous offrir cette possibilité de diffuser en direct, donc on pourra faire des interviews de personnes qui seront présentes sur le salon.
Notre émission se termine. Je remercie les personnes qui ont participé à l'émission : Isabella Vanni, Nicolas Barteau, Guillaume Poupard, Jean-Christophe Becquet. Aux manettes de la régie aujourd’hui Patrick Creusot.
Merci également à Sylvain Kuntzmann, enseignant, compositeur, bénévole à l’April qui s’occupe de la post-production des podcasts et qui va avoir un petit peu de travail aujourd’hui. Merci également à Olivier Grieco, le directeur d’antenne de la radio, qui finalise ce traitement et met en ligne le podcast.
Vous retrouverez toutes les références citées aujourd’hui sur le site de l'April, april.org, et sur le site de la radio, causecommune.fm.
Nous vous remercions d'avoir écouté l'émission. Si vous avez aimé cette émission n’hésitez pas à la partager et à la faire connaître autour de vous.
La prochaine émission aura lieu, comme je le disais, en direct du salon POSS à Aubervilliers mardi 10 décembre 2019 à 15 heures 30. Il n’y aura pas de sujet principal ; le sujet principal ce seront les personnes qui accepteront de répondre à nos questions à POSS. On essaiera de faire une présélection à l’avance pour que ce soit quand même fluide.
Nous vous souhaitons de passer une belle fin de journée. On se retrouve en direct mardi prochain et d’ici là portez-vous bien.
Générique de fin d'émission :Wesh Tone par Realaze.