Guillaume Poupard, Anssi : « l’open source est dans l’ADN de l’agence »

LeMagIT : L’Anssi contribue au développement du système de détection d’intrusions (IDS) ouvert Suricata. Quel est là l’intérêt de l’agence ?

Guillaume Poupard : On l’utilise. Pour nos sondes, nous ne faisons pas tout nous-mêmes. Nous préférons qu’il s’agisse d’une communauté. La logique de l’open source est dans l’ADN de l’agence, même si l’on n’est pas fermé aux autres solutions, parce que ce serait une erreur. Mais [l’open source] fait partie de notre stratégie. C’est pour cela que l’on a ouvert Clip OS, que l’on développe depuis plus de dix ans. Ça fonctionne chez nous ; ça existe déjà. Nous sommes arrivés à un niveau où l’on veut montrer ce que l’on a fait. Et surtout, nous voulons créer une dynamique. Cela nous paraît être une bonne piste. Il y a plein de domaines de la sécurité qui peuvent être portés par des projets open source. 

LeMagIT : Il y a d’autres projets internes que vous prévoyez de rendre ainsi open source ?

Guillaume Poupard : Plutôt des morceaux, des briques. Nous travaillons sur des démonstrateurs pour l’IoT. C’est du Linux. On prévoit de le sortir. Et nous avons déjà pas mal de contributions ponctuelles. Notamment avec des agents de l’Anssi qui contribuent à des projets open source existants – certains font cela sur leur temps libre, d’autres font cela sur leur temps de travail. Mais je pense que dans le domaine de la détection, on va continuer à publier des choses.

[Après cet entretien, Guillaume Poupard expliquera en conférence de presse prévoir la publication en open source d’un outil de collecte d’éléments nécessaires à l’investigation post-mortem sur des systèmes compromis, NDLR]

LeMagIT : Vous n’êtes pas le seul acteur institutionnel français impliqué dans l’open source, en matière de sécurité, et je pense notamment à la Banque de France et aux équipes de son Cert – avec en particulier les projets TheHive et Patrowl. Il y a des synergies entre équipes ?

Guillaume Poupard : Il y a la DINSIC. Au niveau technique, sur des développements, je n’en ai pas connaissance. Mais on les connaît très bien sur ces sujets opérateur d’importance vitale, sécurité du secteur financier. Mais dans les cas particuliers [que vous évoquez], je ne sais pas.

Mais plus généralement, les investissements que l’on fait, entre guillemets, dans des projets open source, c’est pour nous le meilleur moyen d’avoir le meilleur retour, d’avoir des solutions pérennes. Finalement, c’est une évidence. C’est comme cela que je le présenterais.

LeMagIT : Des travaux antérieurs à la création d’Alsid étaient sortis en open source. Et justement, l’Anssi a-t-elle la volonté de jouer, en quelque sorte, un rôle d’incubateur de start-ups de la sécurité ? – et l’on pourrait en citer d’autres, comme Citalid.

Guillaume Poupard : Zyroc aussi. Vous ne les connaissez pas encore, mais ils vont faire un tabac. En fait, c’est simple : on embauche 80 % de contractuels. Des gens qui se forment chez nous et qui apportent énormément, sans avoir vocation à rester 20 ans au sein de l’administration. Lorsqu’ils viennent me voir en disant « on a cette idée ; on veut montrer notre boîte », eh bien on les soutient. Cela se fait en très bonne entente. Ce sont des gens qui ont beaucoup apporté, qui ont bien servi, et qui vont continuer à œuvrer à la sécurité d’une autre manière.

Personnellement, je les admire : c’est un saut dans le vide ; et les exemples d’Alsid et de Citalid sont très beaux.

Est-ce que c’est cela l’administration moderne ? Je l’espère ; si l’on peut un peu dépoussiérer tout ça. D’une manière très cynique, c’est aussi une manière pour nous d’attirer des gens : s’il y a comme ça des success stories de gens qui entrent à l’Anssi, y apprennent des choses, et ensuite montent leur boîte et réussissent, alors on aura d’autres jeunes qui vont venir. Cela crée un cercle très vertueux.

Pour être franc, ce n’est pas parti d’une impulsion stratégique. Mais ce sont des personnes qui ont des idées, des fourmis dans les jambes. Plutôt que de chercher à les retenir, on préfère les laisser faire et les aider dans la mesure de nos moyens.