Guillaume Poupard (Anssi): « Les victimes de cyberattaques doivent témoigner »
publié le par Anne-Lise Marco● #Anssi
A l’occasion du mois de la cyber-sécurité, Diane Rambaldini, présidente de l’Issa France et Hadi El Khoury, trésorier de l’association, recevaient Guillaume Poupard, directeur général de l’Anssi. L’occasion pour eux de lancer un nouveau projet sur la sensibilisation.
Guillaume Poupard, directeur général de l’Anssi, l’Agence nationale de la sécurité des systèmes d’information
« Nous voulons sensibiliser la population de manière ludique. C’est pourquoi notre projet consiste à concevoir et produire un cahier de vacances sur la sécurité numérique, s’adressant aux personnes de 7 à 77 ans », expliquait, le 17 octobre lors de leur soirée mensuelle, Hadi El Khoury, le trésorier de l’association Issa France*, en appelant les présents à faire un don… « Nous faisons appel pour ce projet au financement participatif à hauteur de 18 000 euros, et avons 60 jours pour y parvenir ».
Guillaume Poupard, en personne, lançait officiellement la campagne. Le président de l’Anssi était en effet présent lors de cette soirée de l’association à l’occasion du mois européen de la cyber-sécurité, consacrée à la formation et aux carrières dans le domaine de la cyber-sécurité.
La soirée a commencé avec l’intervention de Hadi El Khoury, rappelant les résultats d’une enquête de l’Issa justement sur ce thème… En résumé : les RSSI ont peu de perspective d’évolution de carrière et sont souvent au bord du burnout !
Pour convaincre, utilisons les bons mots
« Les RSSI sont certes perçus comme des empêcheurs de tourner en rond, a commenté Guillaume Poupard. Le RSSI est vu comme un ennemi, moins comme un allié. Il y a encore une étape à franchir. Mais, malgré tout, le métier évolue. Pour que le RSSI devienne à la mode, il faut le sortir de la technique et le faire monter dans la hiérarchie. » Et de noter une nouvelle perception plus positive de cette fonction depuis que la « sécurité » s’est muée en « cyber-sécurité »… Ah, le poids des mots !
Normal donc que ceux qui sortent de formations bien identifiées en cyber-sécurité trouvent facilement un emploi. Depuis peu d’ailleurs, l’Anssi labellise des formations (Master) se basant sur leur qualité et leur sérieux. Quant à l’apprentissage, c’est encore peu pratiqué dans ce secteur, même si c’est une « vraie » piste à explorer selon Guillaume Poupard, de même que la formation continue. « L’apprentissage a beaucoup de vertu, mais je ne l’ai pas encore vu fonctionner. C’est un sujet à travailler avec les industriels. De même, dans le cadre des reconversions, ce type de cursus peut vraiment avoir du sens », estime l’expert, qui y réfléchit avec Syntec Numérique notamment.
A la question posée si on peut imaginer un visa « cyber-sécurité » pour les non-européens pour venir nourrir ce secteur… La réponse fut plus tranchée. « Le clivage n’est pas européen ou non-européen, a répondu Guillaume Poupard, mais français et les autres. Pour les organisations gouvernementales, c’est impossible. Par contre, dans un domaine plus large et privé, il faut s’ouvrir, même s’il se posera toujours la question de la confiance, car la personne sera vue comme vulnérable. »
Quant à l’ouverture à des solutions étrangères de sécurité, il a rappelé qu’il est important de passer par un audit et une évaluation afin d’obtenir une certification : « On veut jouer avec nos propres règles et non de celles des autres. Aujourd’hui, on ne sait pas évaluer un produit de sécurité, par contre, on peut le tester. Pour les solutions les plus stratégiques, il faut donc que les équipementiers ouvrent leurs codes sources. On leur demande de jouer cette règle d’évaluation (entreprise, produit et individus). A partir du moment où ils jouent ce jeu, cela se passe bien ».
Sensibiliser le plus grand nombre
Dans un deuxième temps, Diane Rambaldini, présidente de l’Issa, est revenu avec Guillaume Poupard, sur le sujet de la sensibilisation, complexe vis-à-vis des PME et du grand public… « Pourquoi ne pas demander aux agences de voyages, aux compagnies de transport ou à des enseignes comme la Fnac, de distribuer les documents édités par l’Anssi sur les bonnes pratiques en ce domaine… », a-t-elle proposé.
« Ce n’est pas le rôle de l’Anssi, a répondu Guillaume Poupard. La sensibilisation, c’est compliqué. Il ne faut pas que le message se multiplie, car il ne passera pas. Très souvent, les citoyens travaillent dans des entreprises qui doivent procéder à des actions de sensibilisation. Le cyber-risque n’est pas différent des autres risques, c’est aussi le message qu’il faut faire passer. Et l’on sera efficace quand on sera plusieurs catégories d’acteurs, très différents, à porter le même message. C’est pourquoi il conseille aux entreprises de personnaliser les documents de sensibilisation en incluant par exemple l’identité de l’entreprise », tout en rappelant le lancement le matin même de la plate-forme d’aide aux victimes d’attaques. Ce dispositif, incubé par l’Anssi et copiloté avec le ministère de l’Intérieur, s’adresse gratuitement aux particuliers, aux entreprises et collectivités territoriales (hors OIV). Un sujet qu’il voit comme une « grande cause nationale » : « On sait que lorsque la GDPR sera appliquée, la cyber-sécurité aura avancée, car elle oblige les entreprises à élever leur niveau de sécurisation des données. Mais il faut qu’elle soit acceptable, raisonnable et expliquer. »
Guillaume Poupard est ensuite longuement revenu sur le rôle de l’Anssi face aux multiples attaques auxquelles les entreprises doivent faire face et qui ne cesseront de se multiplier. « Il ne leur sera plus possible de cacher ces attaques et c’est notre rôle de les aider, surtout les grandes, mais en toute confidentialité. »
En ce sens, les journalistes sont des alliés, a-t-il poursuivi, même si les médias généralistes s’intéressent souvent à la cyber-sécurité quand il y a une attaque (voir Wannacry et Petya). Mais, il insiste : « Il faut que les entreprises se préparent à la communication de crise afin d’éviter les contradictions et les faux bruits », estimant que leurs témoignages sont plus importants pour la sensibilisation que ses propres communications, car « elles sont plus écoutées par leur pairs ».
Notre PDG vs dit tout sur ce que révèle cette attaque & ce qu’elle nous apprend sur la transformation de la société ⤵https://t.co/AThWaiadxm
Et de citer le cas de Saint-Gobain, victime récente d’un ransomware… « Quand les systèmes de Saint-Gobain sont repartis, Pierre-André de Chalendar est venu à l’Anssi pour nous remercier. Il m’a posé la question de ce qu’il pouvait faire à notre égard… Je lui ai répondu que la seule chose à faire était d’en parler… Témoigner en tant que victime, c’est difficile, mais très important. Car, quand c’est lui qui en parle à ses pairs du CAC40, il est bien plus écouté que moi ! Pour autant, sensibiliser n’est pas culpabiliser. Il ne faut pas que Saint-Gobain ou TV5 devienne la victime… ».
A la question posée sur la place de la cyberdéfense dans une entreprise, Guillaume Poupard estime d’ailleurs que c’est un vrai problème. « Demander au DSI de faire la cyber, c’est un non-sens ! Il faut mettre la cyber à un endroit où le Comex est accessible. Il faut que la cyber puisse l’atteindre. De plus en plus, du fait de la RGPD, on aura des RSSI près du juridique… Pourquoi pas, mais il faut que ce sujet puisse être porté au plus haut niveau ».
"Il faut mettre la sécurité IT a un endroit où le comex est accessible car c'est un sujet clé pour l'entreprise." #SecurityTuesday
— ISSA France Security Tuesday 🇫🇷 (@ISSA_France) October 17, 2017
* L’ISSA France est le 1er chapitre francophone européen de l’Information Systems Security Association (Issa), lancée officiellement en juin 2012, à l’occasion de son 1er #SecurityTuesday.
XEn poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies essentiels au fonctionnement du site, ceux nous permettant d'améliorer votre expérience, de mesurer l’audience de notre site et de vous proposer un contenu plus adapté. Vous avez la possibilité de personnaliser l'utilisation de ces cookies. Mais la désactivation de certains de ces cookies peut avoir un effet sur votre expérience de navigation. En savoir plusPersonnaliser mes choixJe refuse toutJ'ACCEPTE TOUT
Politique de confidentialité
Privacy Overview
This website uses cookies to improve your experience while you navigate through the website. Out of these cookies, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may have an effect on your browsing experience.
Les cookies nécessaires sont absolument essentiels au bon fonctionnement du site Web. Ces cookies assurent les fonctionnalités de base et les fonctions de sécurité du site Web, de manière anonyme.
Les cookies fonctionnels aident à exécuter certaines fonctionnalités telles que le partage du contenu du site Web sur les plates-formes de médias sociaux, la collecte de commentaires et d’autres fonctionnalités tierces.
Cookie
Durée
Description
mautic_device_id
1 year
Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour soutenir nos activités de marketing.
Ce cookie permet de connaître l’appareil avec lequel le visiteur accède au site. Expiration du cookie au bout d’un an.
mautic_referer_id
30 minutes
Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour améliorer notre compréhension des attentes de nos lecteurs, leurs proposées des contenus et événements les plus pertinents, soutenir nos activités de marketing en suivant leur navigation sur le site, collecter de l’information sur leurs préférences et gérer les formulaires présent sur le site.
Ce cookie permet de connaître l’origine du visiteur.
mtc_id
session
Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour améliorer notre compréhension des attentes de nos lecteurs, leurs proposées des contenus et événements les plus pertinents, soutenir nos activités de marketing en suivant leur navigation sur le site, collecter de l’information sur leurs préférences et gérer les formulaires présent sur le site.
Ce cookie donne un ID au visiteur du site web dans le but de le reconnaître. Expiration du cookie à la fin de la session
mtc_sid
session
Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour améliorer notre compréhension des attentes de nos lecteurs, leurs proposées des contenus et événements les plus pertinents, soutenir nos activités de marketing en suivant leur navigation sur le site, collecter de l’information sur leurs préférences et gérer les formulaires présent sur le site.
Ce cookie donne un ID à la session du visiteur du site, afin de la reconnaître. Expiration du cookie à la fin de la session
Les cookies de performance recueillent des informations sur l'utilisation de nos sites web afin d'améliorer leur attractivité, leur contenu et leur fonctionnalité. Ces cookies nous aident, par exemple, à déterminer quelles pages secondaires de notre site sont visitées et quel type de contenu intéresse nos lecteurs.
Cookie
Durée
Description
YSC
session
Ce cookie est un cookie de Youtube qui enregistre un identifiant unique pour conserver des statistiques sur les vidéos de YouTube que l'utilisateur a vues.
_first_pageview
10 minutes
Ce cookie de session est créé lors du premier affichage de page pour chaque visite. Sa finalité est de permettre de n'afficher certains éléments du code que lors du premier affichage de la page, et rendre le site ainsi plus rapide.
_gat
1 minute
Ce cookie est un cookie de Google Analytics permettant de limiter la cadence des requêtes. Il est valide pendant 24 heures après la date de la session.
Les cookies analytiques sont utilisés pour comprendre comment les visiteurs interagissent avec le site Web. Ces cookies aident à fournir des informations sur les mesures du nombre de visiteurs, du taux de rebond, de la source du trafic, etc.
Les cookies publicitaires sont utilisés pour proposer au visiteurs des publicités personnalisées selon votre parcours sur notre site.
Cookie
Durée
Description
IDE
1 year 24 days
Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
NID
6 months
This cookie is used to a profile based on user's interest and display personalized ads to the users.
VISITOR_INFO1_LIVE
5 months 27 days
This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.
Other uncategorized cookies are those that are being analyzed and have not been classified into a category as yet.
Cookie
Durée
Description
ARRAffinitySameSite
session
No description
attribution_user_id
1 year
No description
cg_uuid
1 year
Sets a unique ID for the visitor, that allows third party advertisers to target the visitor with relevant advertisement. This pairing service is provided by third party advertisement hubs, which facilitates real-time bidding for advertisers.
Dossiers
Chroniques
Guides et carnets
Évènements
Podcast
Alliancy TV
Alliancy Connect
What’s next CIO ?
Les trophées Alliancy
Tous nos articles
Cybersécurité
Data & IA
DSI & transfo IT
International
Guerre des talents
Nominations
Numérique responsable
Politique publique
Alliancy Studio
Alliancy Le Mag
Alliancy Les Cercles
Dossiers
Chroniques
Guides et carnets
