[Assises de la Sécurité 2015] En cybersécurité, la France veut jouer collectif

Pour leur 15e édition, les Assises de la sécurité, grand-messe du secteur de la cybersécurité se tenant du 30 septembre au 2 octobre à Monaco, se sont ouvertes par la traditionnelle conférence de l’ANSSI. Celle-ci a appelé à une action concertée à tous les niveaux pour faire face aux menaces.

Guillaume Poupard, directeur général de l'ANSSI, inaugure les Assises 2015. © Dorian Marcellin

Guillaume Poupard, directeur général de l’ANSSI, inaugure les Assises 2015. © Dorian Marcellin

15 ans, âge adolescent ou de la maturité ? En fêtant à Monaco l’ouverture de leur 15e édition, les Assises de la sécurité posent en filigrane cette question du chemin parcouru, en regard de la médiatisation croissante des cyberattaques.

Les Assises elles-mêmes sont un succès, réunissant pendant 3 jours tous les ténors de l’écosystème sécurité, en France comme à l’international, dans une ambiance successivement studieuse et festive. Mais sur le plan de la réalité que prend la cybersécurité pour les entreprises et les dirigeants, le tableau est évidemment moins rose. Les responsables de la sécurité du système d’information peuvent-ils compter, en 2015, sur une plus grande maturité de l’écosystème et de leur propre organisation ?

« L’attaque sur TV5 Monde en avril a été emblématique. Non pas par sa complexité, mais parce qu’elle a fait comprendre que n’importe qui peut être visé » a lancé lors de la conférence d’ouverture, Guillaume Poupard, le directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), pour qui l’exercice est devenu un rituel. Le directeur de l’agence de l’Etat a rappelé l’importance d’aider, plutôt que de stigmatiser, les victimes ; tout en évacuant les reproches souvent fait aux spécialistes de la cybersécurité d’être des « marchands de peur ». « Le décalage est fort entre la facilité à attaquer et la difficulté à se défendre. Pour se préparer au plus grave, il faut donc agir ensemble » a-t-il insisté.

Cette thématique de l’action commune a été le cœur de l’intervention du directeur de l’ANSSI, qui a rappelé que la France avait été le premier pays a utilisé la voie réglementaire (par la Loi de Programmation Militaire fin 2013) pour « activer » cette coopération, en premier lieu entre les services de l’Etat et les Opérateurs d’Importance Vitale (OIV). « S’il y a un an encore, je n’étais pas 100% certain du succès de nos démarches, je suis aujourd’hui beaucoup plus serein. A l’automne, la publication d’arrêtés sectoriels permettront de définir des règles de sécurité qui élèveront le niveau, tout en restant soutenables pour les acteurs, notamment financièrement » a ainsi exposé Guillaume Poupard.

Labellisation généralisée

Cet « Agir ensemble » est également un appel du pied aux offreurs du monde de la cybersécurité, pour renforcer le mouvement de labellisation « de confiance » initié par l’ANSSI depuis plusieurs mois. « Les entreprises ont besoin de prestataires efficaces et de confiance, l’un n’allant pas automatiquement avec l’autre… Mais comment faire ces choix ? L’évaluation rigoureuse et transparente et la démarche de qualification des produits et des services que nous portons, sont une réponse » a précisé le directeur de l’Agence, rappelant la labellisation de 9 prestataires d’audit (12 supplémentaires à venir) mais aussi des PDIS et des PRIS*.

De même pour le cloud. « Nous avons historiquement mis en garde contre les risques du cloud, mais il faut être clair : c’est aussi un facilitateur pour permettre aux plus petites entreprises d’accéder à des services de sécurité efficacement » a ainsi déclaré Guillaume Poupard.

Des régions jusqu’à l’international

Le jeu collectif, l’ANSSI l’a également appelé de ses vœux au niveau des structures de formation, des territoires et des relations internationales. « Nous avons tous besoin de plus d’experts, il y a une réelle carence sur le marché » a-t-il par exemple déploré après avoir décrit le rôle de 13 référents SSI de son agence, déployés dans les nouvelles régions françaises pour assurer le lien avec les PME et animer localement les écosystèmes.

« Une approche internationale n’est pas contradictoire avec le renforcement de nos initiatives nationales, ni avec les révélations auxquelles nous avons eu le droit sur certains de nos alliés » a par ailleurs soutenu pudiquement le responsable, en allusion notamment à l’affaire Snowden. L’ANSSI est donc très active sur le plan des accords de coopération bilatéraux : après Singapour et le Maroc il y a peu, Guillaume Poupard a également précisé profiter de son passage à Monaco pour signer une telle convention avec la principauté – une cible tentante pour les cybercriminels, qui plus est aux portes de la France.

Mais plus globalement, Guillaume Poupard a appelé de ses vœux un changement de paradigme : arrêter de se concentrer sur la protection des systèmes d’information pour passer à l’étape supérieure, la protection de l’information. Une volonté qui pourrait impliquer des responsabilités et une coopération étendue avec la CNIL autour des données personnelles par exemple. Le tout sera précisé le 16 octobre en présence du premier ministre Manuel Valls, lors de la présentation officielle de la stratégie de sécurité numérique de la France.

 * Prestataires de détection des incidents de sécurité (PDIS) et Prestataires de réponse aux incidents de sécurité (PRIS)

poupard-centraliens

Guillaume Poupard lors de sa rencontre avec les anciens étudiants de l’Ecole Centrale et de Supélec. © Centrale-Supélec

La cybersécurité et les dirigeants centraliens

Une semaine avant d’ouvrir les Assises de la sécurité de Monaco, haut-lieu de rencontre entre experts de la cybersécurité, Guillaume Poupard s’est livré à un exercice très différent : celui de la sensibilisation de dirigeants, anciens étudiants de l’Ecole Centrale et de Supélec. Le directeur de l’ANSSI était en effet invité dans le cadre du « Face à face » organisé régulièrement par l’association des alumni de ces écoles. Avant d’exposer le rôle de son agence et ses principaux messages, Guillaume Poupard a été invité à réagir sur un sondage réalisé auprès de ce public.
Ainsi, 47% des sondés ont reconnu avoir déjà été victimes d’une cyberattaque et 70% identifient la cybersécurité comme une priorité de leur entreprise. D’ailleurs, 45% se pensent bien protégés et 11% très bien protégés. « Je ne connais pas beaucoup de gens qui sont réellement bien protégés contre les cyberattaques » a réagi le directeur de l’ANSSI, en jouant une partition délicate : mettre en garde sur le sujet, sans toutefois « être anxiogène ». « Tout le monde ne peut pas se transformer en expert cybersécurité dans l’entreprise, mais il faut élever le niveau, « l’hygiène de base » » a-t-il continué, avant de lancer un appel : « Les dirigeants sont malheureusement les premiers à montrer le mauvais exemple. Pourtant, le sujet les concerne directement : nous sommes avertis d’une attaque majeure, mettant en cause la survie même de l’entreprise – quelle que soit sa taille – environ toutes les deux semaines ». Guillaume Poupard a également mis en garde contre la tentation de repli sur soi, de protectionnisme et de « peur » de l’Internet, car il est à ses yeux plus que jamais nécessaire d’accompagner ces changements dans la société, alors que l’on ne peut s’opposer aux évolutions technologiques qui les provoquent.