В условиях почти непрекращающихся утечек данных во Франции, особенно из государственных учреждений, АНССИ (Национальное агентство по безопасности информационных систем) оказалась под давлением. Генеральный директор Винсент Стрюбель опровергает эти обвинения, обсуждая реформу цифрового управления с созданием новой структуры «Ариадна». Он также указывает на ограниченные возможности Агентства, способного проводить лишь около 50 проверок в год при наличии тысяч государственных информационных систем.
На прошлой неделе издание Le Canard enchaîné опубликовало статью под заголовком «Лекорню отключает АНССИ, обвиненную в необеспечении безопасности чувствительных государственных сайтов». Газета утверждала, что премьер-министр Себастьян Лекорню ищет «козла отпущения» из-за повторяющихся утечек данных, и это может привести к отставке Винсента Стрюбеля, генерального директора Агентства.
«Миссии АНССИ не подвергаются сомнению»
По стечению обстоятельств или нет, но на следующий день Винсент Стрюбель был заслушан Комиссией по обороне Национального собрания в рамках цикла «Гибридная война и континуум конфликтов». Встреча была запланирована еще до публикации упомянутой статьи. После вступительного доклада о состоянии киберугроз во Франции, быстро последовали вопросы касательно статьи из Le Canard и взлома ANTS (Национальное агентство по ценным бумагам), где была зафиксирована масштабная утечка данных – скомпрометировано не менее 11,7 миллиона аккаунтов. По этому делу в конце апреля был задержан 15-летний подросток.
- Утечка ANTS: 15-летний подросток задержан. «Это не вундеркинд. Это сигнал».
«Нет, между премьер-министром и АНССИ нет никаких разногласий. Я опровергаю то, что говорится в статье», – прямо заявил Винсент Стрюбель. В качестве «доказательства» он привел тот факт, что по-прежнему занимает пост генерального директора АНССИ.
Он воспользовался случаем, чтобы напомнить, что его команды прилагают все усилия в области кибербезопасности, и привел аналогию с «киберпожарными»: «Я считаю, что это то же самое, что бросать камни в пожарные машины, которые едут тушить пожары, и я нахожу это абсолютно отвратительным».
«Я думаю, что существует фундаментальное недопонимание объявленной реформы, которая касается не АНССИ, а управления цифровой сферой. Нет никаких сомнений в миссиях АНССИ, нет никаких сомнений в эффективности ее работы», – добавил он.
Реформа цифрового управления, а не кибербезопасности
Винсент Стрюбель напомнил, что Франция располагает отлаженной системой кибербезопасности, где АНССИ является «дирижером кибербезопасности». Он подчеркнул, что «эта роль не ставится под сомнение объявленной реформой […]. Реформируется управление цифровой сферой, а не кибербезопасность».
Напомним, в конце апреля, во время визита в ANTS, Себастьян Лекорню заявил о намерении ускорить слияние Межведомственного управления по цифровым технологиям (DINUM) и Межведомственного управления по общественной трансформации (DITP) для создания новой структуры – Управления по цифровым технологиям и ИИ, известной как «Ариадна».
- Кибербезопасность государства: план правительства по (попытке) остановить утечку
Глава АНССИ категоричен: «АНССИ сохранит свою роль в установлении требований кибербезопасности, определении приоритетов […] и контроле за надлежащим выполнением этих приоритетов, тем более в рамках директивы NIS2».
- NIS 2: АНССИ публикует свой ReCyf, CSNP теряет терпение и заявляет об этом
- DGSI обвиняют в блокировании принятия закона об усилении кибербезопасности
Во время своего выступления он также напомнил депутатам о необходимости транспозиции директивы NIS2, которая до сих пор находится в ожидании уже много месяцев. По мнению генерального директора, это наконец-то даст его агентству «настоящую дубинку» в дополнение к «прянику». Законопроект был принят в первом чтении Сенатом 15 октября 2024 года, но застрял в Национальном собрании с сентября 2025 года.
Тысячи «критически важных» информационных систем
По словам главы французских «киберпожарных», проект заключается в создании «структуры, которая станет естественным собеседником для АНССИ, как сегодня является DINUM. Мы работаем рука об руку, но с ограничениями сферы деятельности DINUM. Завтра АНССИ и «Ариадна» (если это название сохранится) будут работать вместе над формированием дорожной карты цифровизации и кибербезопасности государства».
Во время своего выступления Винсент Стрюбель напомнил о сложности информационной системы государства, которая представляет собой «тысячи и тысячи приложений, управление которыми не унифицировано, а технологический выбор крайне неоднороден».
По его мнению, нет никаких сомнений: «именно на этом следует сосредоточить усилия в первую очередь для повышения безопасности государства»; он также упомянул о проблемах, связанных с зависимостью от иностранных решений. Если уж проводить масштабные изменения, то стоит навести порядок капитально. По словам Винсента Стрюбеля, объявленная премьер-министром реформа как раз касается этой темы. Он вновь подтвердил, что она была «неправильно понята некоторыми, кто видит в ней реформу или пересмотр роли АНССИ: нет никакого пересмотра роли АНССИ, ни критики роли DINUM».
АНССИ способно проводить 50 аудитов в год: приходится выбирать
Винсент Стрюбель также ответил на вопросы о ресурсах и деятельности АНССИ: «мы способны проводить около 50 аудитов в год, что следует сопоставить с тысячами информационных систем в государстве, тысячами информационных систем жизненно важной важности, объявленных OIV (операторами жизненно важных услуг), которых насчитывается около 300 (список засекречен)».
Иными словами: «нет, мы не можем систематически контролировать все, и у нас есть логика приоритезации наиболее критически важных, чувствительных, сложных систем…». Это касается, например, ядерной энергетики, а также дипломатических и государственных сетей. Цифровая идентичность Франции (France Identité numérique) также тщательно проверялась в течение нескольких месяцев и была «сертифицирована АНССИ на высоком уровне, то есть на самом высоком уровне европейского регулирования».
Глава АНССИ также упомянул «файл TES, который хранит биометрические данные», управляемый ANTS. Этот файл был проверен АНССИ, которая также убедилась, «что ее выводы были учтены». TES расшифровывается как Titres Électroniques Sécurisés (Защищенные Электронные Документы), также известный как «файл честных людей», централизующий персональные данные, фотографии лиц и отпечатки пальцев заявителей на получение паспорта и национального удостоверения личности.
Винсент Стрюбель добавил, что ANTS объединяет множество информационных систем, «которые не все имеют одинаковую критичность. Все они важны, поскольку обрабатывают персональные данные, но у нас также есть своего рода градация». Если TES был проверен, то это, по-видимому, не относилось к атакованному порталу: «Речь не идет о минимизации компрометации персональных данных миллионов наших сограждан, но это не самая критичная система ANTS, поэтому в логике приоритезации мы ее не рассматривали».
- Судебная полиция обходит закон, чтобы обыскать мега-«файл честных людей»
Сообщать – это хорошо, исправлять – лучше
Во время своего выступления Винсент Стрюбель также затронул тему сообщения об инцидентах и уязвимостях. Он напомнил, что АНССИ располагает доктриной защиты анонимных сообщений и информаторов (235 сообщений через этот механизм в 2025 году). «Далее, действительно, настоящая трудность заключается в способности к исправлению и в контроле над цифровыми технологиями, без оспаривания роли или самоотверженности – хочу отметить – ИТ-команд министерств».
Он напомнил о роли АНССИ: «разрабатывать рамки управления рисками и, следовательно, выявлять риски, связанные с нашей зависимостью, объективировать их, сопоставлять с мерами и обеспечивать гарантии. Это то, что мы делаем через SecNumCloud, который гарантирует защиту от технических рисков, а также рисков вмешательства в перехват данных через законы с экстерриториальным действием».
- Суверенитет в 10 вопросах (краткая версия, полная версия)
Он добавил, что, очевидно, необходимы меры по управлению рисками – «с принудительным характером, поскольку закон SREN это позволяет – , а также работа в области промышленной политики, которая не входит в компетенцию АНССИ». Для Винсента Стрюбеля нет сомнений: «Необходимо делать и то, и другое одновременно».