Ce lundi 14 mars 2022, le tribunal judiciaire de Paris a condamné à 5 000 euros d’amende un ancien auditeur de l’ANSSI, à un poste particulièrement sensible, pour « l’accès, le maintien et l’extraction frauduleuse de données d’un système d’information mis en œuvre par l’Etat ». L’affaire révèle par ailleurs de nombreux dysfonctionnements dans l’organisation interne de l’agence, dangereux pour sa sécurité.
L’Agence nationale de la sécurité des systèmes d’information (ANSSI), attachée au bureau du premier ministre, a notamment en charge la cybersécurité des réseaux informatiques de l’État. Elle est en cela l’une des agences françaises dont la sécurité est la plus critique.
Dysfonctionnements internes en cascade à l’ANSSI
Or, une récente affaire a révélé de nombreux dysfonctionnements interne dans l’agence. Elle concerne un ancien auditeur de l’ANSSI, reconnu pour ses hautes compétences en matière de sécurité des réseaux, recruté fin 2019 au Commissariat à l’énergie atomique (CEA), dont il était détaché, pour rejoindre le très sensible bureau « Audit en sécurité des systèmes d’information ».
Courant 2021, il est accusé de viol par une stagiaire de l’ANSSI. L’agence décide de le suspendre à la mi-septembre 2021. « Il ne devait plus travailler, il était suspendu et devait cesser toute activité professionnelle », précise Emmanuel Naëgelen, numéro 2 de l’ANSSI aux juges du tribunal judiciaire de Paris devant lesquels comparaissait son ancien employé.
Un agent suspendu conserve ses accès aux réseaux de l’ANSSI pour travailler sur ses projets…
Mais la hiérarchie directe de l’auditeur l’autorise à poursuivre ses activité depuis chez lui, en télétravail, notamment parce qu’il développait, avec son ordinateur professionnel, deux projets, l’un personnel, l’un commandé par l’ANSSI, mais profondément liés. En effet, le projet de cartographie des réseaux sous licence libre de l’auditeur avait convaincu l’ANSSI d’en lancer un similaire, et de lui en confier la charge.
L’auditeur suspendu conserve donc ses accès aux réseaux de l’ANSSI, malgré sa suspension. C’est en constatant, en janvier 2022, qu’il s’était inscrit à un séminaire interne que la direction de l’ANSSI commence à s’inquiéter. Elle lui rappelle alors sa suspension, et débranche son compte de trois réseaux internes.
… et télécharge quantités de données et informations sensibles
« Cela nous a beaucoup inquiétés : à chaque fois que nous avons coupé un accès, nous avons constaté un téléchargement massif de données sensibles » sur l’un des réseaux, pointe Emmanuel Naëgelen.
Selon l’ANSSI, l’agent aurait récupéré des outils internes, des données (notamment des indicateurs de compromission), des informations sur des affaires judiciarisées et sur les structures ayant reçu un soutien de l’ANSSI, ainsi qu’un scan complet du réseau de l’agence.
Dépôt de plainte en janvier 2022, procès dès le 14 mars 2022
Mi janvier 2022, l’ANSSI décide donc de porter plainte contre l’auditeur. Ce dernier comparaissait, ce 14 mars 2022, devant le tribunal judiciaire de Paris. L’accusé y a estimé que cette plainte était en fait une conséquence directe de l’annonce de son départ vers le privé, effective depuis mi-février 2022.
« On a craint que j’ai voulu voler des données pour me faire bien valoir de mon nouvel employeur », explique le prévenu, qui estime n’avoir mené aucune action malveillante. Pour lui, toutes ces actions visaient à améliorer l’outil qu’il développait pour l’agence.
« J’étais persuadé de faire quelque chose de bien… »
« Je n’ai pas téléchargé des données, mais consulté ces données sur le réseau interne. Je faisais ce travail pour aider l’ANSSI, j’étais persuadé de faire quelque chose de bien », se défend-il. Il explique aussi que le maintien de ses accès réseau ne pouvait être, pour lui, que volontaire.
Pour la vice-procureure Pauline Fabre, au contraire l’agent suspendu « avait conscience que ses accès étaient illégitimes : il attend la première coupure d’un accès réseau pour procéder à ces extractions, la chronologie des événements est parlante ».
Une amende de 5 000 euros, et une remise en cause globale pour l’ANSSI
Pour cette raison, le tribunal l’a reconnu coupable des trois chefs d’accusation – l’accès, le maintien et l’extraction frauduleuse de données d’un système d’information mis en œuvre par l’Etat. Il a été condamné à une amende de 5 000 euros.
« Il y a eu sans doute un peu de négligence de la part du service, mais surtout un excès de bienveillance et de confiance de la part de la hiérarchie directe », a commenté Me Alexandre de Jorna, l’avocat de l’Etat dans l’affaire.