Les articles du dossier

A Monaco, l’intelligence collective au cœur de la sécurité du numérique

La 18e édition des Assises de la Sécurité des systèmes d’information s’est ouverte mercredi 10 octobre à Monaco. Comme chaque année, l’Agence nationale de la sécurité des systèmes d’information (Anssi) a profité de la plénière d’introduction pour passer quelques messages clés aux dirigeants.

Guillaume Poupard, directeur général de l'Anssi, a ouvert la 18e édition des Assises de la Sécurité. ©DM

Guillaume Poupard, directeur général de l’Anssi, a ouvert la 18e édition des Assises de la Sécurité. ©DM

« On vit des moments incroyables. » D’entrée de jeu, Guillaume Poupard sait jouer de son don de communicant pour parler efficacement des sujets complexes et parfois inquiétants de la sécurité numérique. Il faut dire que le directeur de l’Anssi est habitué depuis plusieurs années à l’exercice de faire l’ouverture des Assises de la Sécurité à Monaco et assume le franc-parler et l’esprit de bon sens qui ont fait sa réputation. Ces « moments incroyables », il les résume notamment par les péripéties médiatiques de l’espionnage russe aux Pays Bas, qualifiées de « véritables aventures d’OSS 117 ». « C’est une anecdote importante, mais cela reste une anecdote. La partie visible de ce qui se passe. L’important, c’est tout ce que l’on ne voit pas, précise Guillaume Poupard aux centaines de personnes venues l’écouter au Grimaldi Forum. La sécurité est un sujet complexe, mais année après année, nous montrons que nous ne baissons pas les bras. Et il faut sortir du fatalisme : en appliquant des règles et des méthodes, on sait qu’on peut se protéger – notamment grâce à un jeu fondamentalement collectif. »

Le directeur de l’Anssi rebondit sur l’intervention de Serge Telle, ministre d’Etat de la principauté de Monaco, qui remarquait que la « niche » de la cybersécurité était devenue un mouvement de masse. « Notre conviction, c’est qu’il ne faut pas aujourd’hui construire des digues de béton inamovibles face au tsunami du numérique, mais plutôt des digues flottantes capables d’épouser en permanence cet océan changeant. Et cela se traduit par de l’intelligence individuelle et collective. »

Au Comex, toutes les directions concernées

Le numérique en pratique - Extrait sécurité cyber Pour Guillaume Poupard, cette intelligence collective se traduit par la capacité des organisations à anticiper, avant même de vouloir détecter ou encore gérer les crises. « Trop souvent, la sécurité numérique est encore dans un parti-pris de gestion atypique, un peu ad-hoc. Nous avons aujourd’hui la maturité pour qu’elle rentre complètement dans la gestion des risques. Normaliser le risque cyber, ce n’est pas dire qu’il n’est pas important, bien au contraire », martèle-t-il. Qu’est-ce qui explique cette maturité nouvelle des entreprises ? « Soit les dirigeants ont pris la foudre ; soit ils ont vu une connaissance la prendre », résume-t-il crûment, tout en reconnaissant qu’en termes d’analyse de risques, le sujet du numérique reste encore trop dans la main des experts et non des décideurs. Pour mettre à la disposition de ces derniers un véritable outil, l’Anssi a donc mené un travail collectif pour publier une nouvelle approche de l’analyse de risque : EBIOS risk manager. « C’est une avancée collective majeure, qui part d’un renoncement : nous ne pouvons pas tout prévoir, mais cela ne veut pas dire que l’on ne peut pas mieux anticiper avec une approche croisée, à partir des normes, des mesures d’hygiènes, de la réglementation d’un côté, et de scénario d’attaques ancrés dans les connaissances métiers de l’autre. » Et Guillaume Poupard de préciser avec un sourire : « L’enjeu, c’est un peu de rendre la SSI sexy. Cela doit être un nouveau souffle pour le RSSI. Et pour le Comex, l’occasion de faire se sentir concernée toutes les directions et pas seulement la DSI. »

Le contexte qui permet d’accélérer cette mise à disposition facile des acteurs de tels produits de « l’expertise collective », est connu. La France a achevé de transposer dans son droit national la directive NIS, qui fixe les responsabilités en matière de sécurité numérique des opérateurs de services essentiels. L’activité de ces derniers (160 entreprises pour commencer), bien que n’ayant pas de prise directe avec la sécurité nationale, est jugée critique pour le fonctionnement de la société française dans son ensemble. « Pour beaucoup d’entreprises, ce corpus de règles, même s’il n’est pas obligatoire pour elles, permet d’identifier où sont les « trous béants » potentiels dans son organisation », précise le directeur de l’Anssi. Et en parallèle, la filière des prestataires de sécurité numérique est devenue beaucoup plus pertinente pour accompagner ce changement. Bien sûr, l’Anssi vante en ce sens sa démarche de labellisation des produits et services, mais Guillaume Poupard reconnait également le dynamisme de l’écosystème start-up aujourd’hui à disposition des décideurs. Et fait une petite entorse à sa règle de neutralité personnelle vis-à-vis du marché en citant notamment Citalid (prix de l’innovation 2018 des Assises de la sécurité), Zyroc ou Alside, start-up propulsées par des anciens de l’Anssi.

De Saint-Gobain à Cybermalveillance.gouv.fr : ouverture à tous les niveaux

Pour traduire l’intérêt de cette approche collective, le directeur de l’Anssi prend d’autres exemples déjà bien connus. D’abord dans les cas de gestion de crise, en rappelant le travail effectué par les dirigeants de Saint-Gobain, « victime remarquable » qui a subi NotPetya de plein fouet en 2017, pour témoigner et convaincre d’autres dirigeants de l’intérêt de se mobiliser sur ces nouveaux sujets. Et en matière d’ouverture et de partage, l’Anssi veut également montrer l’exemple. A commencer par l’officialisation d’une démarche open-source autour de CLIP OS, système d’exploitation « sécurisé » développé dans les laboratoires de l’Etat français, et dont une bonne partie des briques technologiques vont être mises à disposition de façon transparente.

Cette dynamique d’intelligence collective, on la retrouve enfin pour les ETI, PME-TPE, et les individus en leur sein, à travers la mise en avant systématique de cybermalveillance.gouv.fr. Jérôme Notin, directeur général de la plateforme, revient lui sur le kit de sensibilisation lancé en 2018 pour permettre de mieux toucher les utilisateurs finaux au sein des organisations, en les adressant sous l’angle de leurs usages personnels. « Ce guide est une licence ouverte. L’idée est qu’il puisse être relayé en interne dans les entreprises et auprès de leurs clients, mais aussi personnalisé par ceux qui l’utilisent, en ajoutant les contacts utiles ou les conseils spécifiques. » En sécurité, l’adage est connu : on n’est jamais autant protégé que le maillon le plus faible de son écosystème. Et pour une entreprise, ces maillons sont donc autant ses partenaires que ses collaborateurs, qui peuvent tous apporter leur pierre à l’édifice d’une sécurité collective… à condition de savoir les engager intelligemment.

Mis à jour le 12/10/2018 : rectification sur l’attaque subie par Saint Gobain.