Le Forum International de la Cybersécurité (FIC) à Lille, s’est achevé mercredi 24 janvier, pour une 10^e édition qui a poussé fortement à la réflexion les entreprises et organismes publics présents sur les changements à opérer le plus rapidement possible.

| Cet article fait partie du dossier « Cybersécurité : 2018, année de changements ? »

Pour son 10^e anniversaire, le FIC s’est offert un succès. Plus de 8500 personnes attendues sur deux jours, 37 délégations internationales, et près de 80 pays représentés autour de 300 exposants. L’objectif assumé de cette édition, dont le thème était « Le défi de la résilience à l’heure de l’hyperconnexion », était selon les organisateurs de décloisonner. Que les représentants des forces publiques puissent ainsi partager avec les acteurs du privés, que les grands puissent apprendre des petits et vice-versa. Et dans l’assistance, tout le monde est effectivement représenté, de l’étudiant à l’expert, en passant par l’électricien travaillant en PME. A la tribune, les politiques se sont succédés – plus nombreux d’années en années – pour faire passer le message : ils ont compris le challenge culturel que représente la sécurité dans une période où le numérique transforme tous les usages. On le souhaite.

L’Etat veut agir sur tous les fronts

Si le ministre de l’intérieur Gérard Collomb, s’est prêté au jeu de citer – parfois approximativement – les attaques de Wannacry, NotPetya et Adylkuzz pour souligner la prise de conscience opérée en 2017 chez beaucoup d’acteurs, il a surtout insisté sur les choix structurants que la France devait faire pour anticiper l’avenir. Gérard Collomb a ainsi annoncé que la France s’était mise à développer une stratégie de lutte contre la cybercriminalité d’ampleur, pour les 5 ans à venir. Celle-ci sera amenée à grandir en cohérence avec les initiatives européennes, notamment autour du renforcement de l’agence Enisa. Un plan français de réaction à une éventuelle crise numérique grave devra également émerger de ces travaux, avec un traitement qui pourrait être très proche d’une alerte terroriste.

Pour que ces sujets ne restent pas lettre morte, Thierry Delville, délégué ministériel aux industries de sécurité, a été mandaté pour cartographier les ressources et atouts à disposition de l’Etat, afin de proposer d’ici l’été des recommandations. Celles-ci concerneront notamment la coopération entre des talents éparpillés entre l’Anssi, l’armée, la DGSE, la DGSI… Le ministre a également rappelé que parmi les 10 000 postes de gendarmes et de policiers créés sous le quinquennat, 800 seraient consacrés à la cybersécurité. Mais l’Etat estime à raison qu’il est urgent que les entreprises deviennent également plus proactives. Le Medef, la CGPME et les CCI seront ainsi « saisis » pour lancer une campagne à destination des professionnels, expliquant pourquoi la sécurité numérique ne relève pas des dépenses inutiles. Cette campagne se doublera d’une autre, destinée cette fois-ci au grand public, afin d’appeler « à la mise en place d’une culture de la cybersécurité, qui permette la résilience de notre société ». Gérard Collomb en a profité pour rappeler les pratiques qui sont un bon départ pour tout un chacun : mise à jour régulière de ses systèmes et logiciels, utilisations de mots de passe complexes, et attention portés aux certifications des objets connectés que l’on utilise. Basique, mais cela va mieux quand on le dit, surtout chez de hauts responsables.

Pour sa part, Xavier Bertrand, président des Hauts-de-France, a annoncé la reconduction du partenariat entre la région, la gendarmerie nationale, CEIS et Euratechnologies pour organiser le FIC à Lille pour les 3 prochaines années. Il a également souligné que 6500 emplois liés à la cybersécurité se créent dans la région, un an après qu’Orange a dévoilé l’ouverture de son centre de compétence à Lille, et alors qu’IBM a inauguré à l’occasion de la rencontre son SOC (Security Operation Center) à Euratechnologies. « Ce n’est qu’un premier jalon, nous allons mettre en place un plan régional dédié à la cybersécurité, qui sera notamment tourné vers les PME. Avec un message : anticipez pour protéger votre business » a souligné l’ancien ministre. En la personne d’Arnaud Riquier, la région se dote également d’un référent unique au conseil régional sur ces sujets, qui impliquent des partenariats variés.

Une culture de la sécurité naissante, encore fragile

Alors qu’Emmanuel Macron et la chancelière Angela Merkel ont profité du 55e anniversaire du traité franco-allemand pour annoncer le renforcement de la coopération bilatérale, nos voisins n’ont pas manqué de profiter du FIC pour éclairer sur leur vision de la résilience numérique. Andreas Konen, directeur du département de la sécurité du SI du ministère de l’intérieur allemand, a ainsi rappelé l’importance de la collaboration entre les professionnels, et le fait de diffuser les messages très largement entre auprès des entreprises de toute taille. C’est notamment le but de la « cyber alliance » allemande, qui vise à s’appuyer sur de larges partenariats pour imprégner tout le tissu économique outre-Rhin d’une nouvelle culture. Florian Haacke, chief security officer de l’énergéticien Innogy SE, a pour sa part souligné qu’une culture de la sécurité devait naturellement prendre en compte les aspects numériques mais pas uniquement, du fait de l’interpénétration sans cesse plus importante entre le monde physique et le numérique : de la technologie donc, mais surtout beaucoup de processus, parfois très simples à mettre en place.

Petit à petit, les témoignages qui prouvent l’émergence d’une culture de la sécurité numérique dans les organisations se multiplient. Mais même chez celles qui pourraient se prévaloir d’une certaine maturité – du fait par exemple de leur secteur d’activité, la partie n’est pas gagnée. Ainsi, Jean-Michel Orozco, directeur de la sécurité et des systèmes de Naval Group (ex-DCNS) s’est ému, lors d’un atelier qui a attiré une centaine de participant, du décalage entre les attentes émergentes des industriels et la réalité des offres et promesses du marché. « Le marché se concentre sur la nouveauté marketing plus que sur les fondamentaux de la sécurité. Or, ceux-ci sont loin d’être des acquis » rappelle celui qui a fait une partie de sa carrière « de l’autre côté du miroir » (notamment chez l’éditeur Cassidian). Au FIC, les experts et les offreurs de technologies n’ont pas fait que transmettre leurs habituels messages, ils en ont également reçu un : prendre garde à ne pas souffler par inadvertance sur le château de carte encore fragile de la culture sécurité naissante des entreprises.