Dossiers
Chroniques
Guides et carnets
Évènements
Podcast
Alliancy TV
Alliancy Connect
What’s next CIO ?
Les trophées Alliancy
Tous nos articles
Cybersécurité
Data & IA
DSI & transfo IT
International
Guerre des talents
Nominations
Numérique responsable
Politique publique
Alliancy Studio
Alliancy Le Mag
Alliancy Les Cercles
Dossiers
Chroniques
Guides et carnets
En quelques années, les Assises de la sécurité et des systèmes d’information sont devenues une référence pour faire échanger les acteurs de la filière cybersécurité et les entreprises. L’ouverture de la rencontre, qui a eu lieu à Monaco du 5 au 8 octobre 2016, a été faite par Guillaume Poupard, directeur de l’ANSSI. Au cœur de son intervention, l’importance critique de mieux travailler ensemble.
Guillaume Poupard, directeur de l’ANSSI © Dorian Marcellin
En 2016, nouveauté, Guillaume Poupard n’était pas seul sur la scène du Forum Grimaldi, à Monaco pour ouvrir les Assises de la sécurité et des systèmes d’information. Le directeur de l’ANSSI (l’Agence nationale de la sécurité des systèmes d’information) a partagé son temps de parole avec deux invités de marque. Patrice Cellanio d’abord, ministre de l’Intérieur et de la Sécurité de la Principauté, venu annoncer la création de sa propre agence de sécurité numérique (l’Amsi). L’organisation, inspirée du modèle français – tant et si bien que c’est l’ex-n°2 de l’ANSSI, Dominique Riban – qui en a pris la direction durant l’été, doit devenir la pierre angulaire de la stratégie de la Principauté pour « construire un cyberespace monégasque sûr, véritable coffre-fort numérique ». Celui-ci doit permettre « d’accélérer la transition numérique » de la ville-état pour continuer sa longue tradition d’échanges et de partenariats commerciaux, dans le monde numérique.
La coopération et les partenariats étaient également au centre des préoccupations de Thierry Delville, nouveau délégué ministériel aux industries de sécurité au ministère de l’Intérieur. « Les questions de sécurité dans le cyberespace rapprochent beaucoup le public du privé », a-t-il notamment souligné. « Nous avons besoin de tout le monde. Nous n’apporterons rien sans partenariats et surtout pas alors que le combat pour la sécurité est mondial », a-t-il insisté en invitant par exemple les entreprises qui mènent ou développent des activités internationales à se rapprocher de la Direction de la Coopération Internationale, trop souvent méconnue.
Au-delà du retour sur l’activité de plus en plus forte du ministère de l’intérieur en matière de cybersécurité (notamment depuis les attentats de janvier 2015), cet appel à la coopération a donc été un véritable écho aux messages passés par Guillaume Poupard.
Le directeur de l’ANSSI n’a pas souhaité revenir sur l’état de la menace ou les dernières actualités en termes de cyberattaques, tout en reconnaissant que le travail effectué depuis trois ans avec les Opérateurs d’Importance Vitale (OIV) dans le cadre de l’application de la Loi de Programmation Militaire permettait de se préparer au « pire du pire ». « Heureusement, nous connaissons aujourd’hui tous par quoi passent les réponses à ces menaces : une action au niveau de la gouvernance d’entreprise, des solutions techniques, mais aussi une importante formation tant des collaborateurs que des PDG. » Des réponses activées par une meilleure collaboration aux niveaux national, européen, mondial, mais aussi vis-à-vis de la société civile.
L’ANSSI a ainsi insisté sur l’action de coordination en matière de souveraineté nationale. « Arrêtons de penser que c’est un gros mot », a déclaré Guillaume Poupard. Une coordination qui passe notamment par le développement d’un écosystème de prestataires qualifiés, labellisés, y compris pour les acteurs qui ne sont pas français. Aujourd’hui 20 acteurs de l’audit sont ainsi reconnus par l’ANSSI, 14 autres sont en train de le devenir. De même, les entreprises pourront très prochainement s’appuyer sur des référentiels d’acteurs pour la détection d’incidents et la réaction à incidents. Les prestataires de cloud, eux aussi, sont concernés : début 2017 seront révélés les premiers référencés.
« Les industriels non-européens ne sont pas des parias »
La coopération au niveau européen a également été mise à l’honneur, et Guillaume Poupard a salué l’action de l’Enisa. L’agence a fait d’octobre le mois européen de la cybersécurité, afin de sensibiliser plus largement les utilisateurs de l’importance du sujet. Chaque pays partage ainsi ses initiatives nationales autour de 4 thèmes successifs : Security in banking, Cybersafety, Cybersecurity training et Mobile malware. D’un point de vue plus business, ce sont aussi 450 millions d’euros qui vont être débloqués sur trois ans, dans le cadre du programme d’investissement européen H2020 pour être « fléchés » vers les sujets de R&D communautaires les plus prometteurs.
« Nous souhaitons ne laisser personne de côté. Les industriels non-européens ne sont pas des parias, répétons-le. Sans être naïf, il faut trouver avec eux les meilleurs champs de coopération pour mettre en place des partenariats efficaces », a par ailleurs souligné le directeur de l’ANSSI. Pas d’angélisme, mais une approche pragmatique autour d’intérêts communs bien mesurés : voilà une approche qui parlera à de nombreux dirigeants d’entreprise.
Favoriser l’émergence de citoyens numériques actifs
Enfin, le sujet de la coopération n’a pas vocation à s’arrêter aux seules entreprises. « A travers la Loi sur la République Numérique qui va être publiée au Journal Officiel d’un jour à l’autre, nous pouvons créer une véritable ouverture sur la société civile », a notamment rappelé Guillaume Poupard. Sa référence est le terrain d’entente trouvé pour que les personnes qui trouveraient des failles « béantes » sur des sites ou des systèmes d’entreprise, puissent remonter l’information sans risque automatiquement de poursuites. « Nous ne voyons pas parmi ces individus des « mauvais hackers », la plupart sont avant tout des citoyens numériques engagés », a-t-il expliqué. En pratique, l’ANSSI pourra déroger à l’article 40 du code de procédure pénale, qui l’aurait sinon forcé à dénoncer les particuliers lui remontant des informations sur la faiblesse d’un système accessible par Internet (comme un serveur FTP sans mot de passe). Un point de contact unique est ainsi mis en place par l’agence pour permettre d’échanger plus facilement avec le public, directement en ligne et possiblement, de manière anonyme. Un guide sur les bons usages en la matière sera également publié après la promulgation de la loi.
Sur les Assises de la sécurité et des systèmes d’information, ce seront des partenariats commerciaux et technologiques qui seront avant tout dévoilés pendant trois jours. Mais les sujets de coopération s’étendent à tous les niveaux, l’ANSSI en est convaincu. Même si les très nombreuses initiatives en matière de cybersécurité peuvent parfois créer des bizarreries. Dernière en date : le Règlement Européen sur la Protection des Données à caractère personnel qui prendra effet début 2018, fait entrer en contradiction l’engagement de l’ANSSI à la confidentialité vis-à-vis des entreprises qui ont été attaquées et qui demandent son aide, avec la déclaration obligatoire qui devra être faite aux clients de l’entreprise, en cas de compromission de données. Heureusement, l’agence nationale a l’habitude de coopérer avec la CNIL : le sujet de la sécurité des systèmes d’information et celui des données personnelles étant par nature intimement liés comme souvent dans un monde numérique transverse.
|
Cybersécurité, la rédaction d’Alliancy, le mag a mené l’enquête ! Découvrez dans notre dernier guide, les témoignages d’experts qui reviennent sur les principaux axes d’amélioration des entreprises pour les mois à venir. |
