En direct de Monaco. C’est un message presque optimiste qu’a voulu livrer Guillaume Poupard aux premiers jours de la 16e édition des Assises de la sécurité (5-8 octobre 2016 à Monaco). Malgré les menaces et les techniques redoutables des cyber-attaquants, sa ligne est claire : « on sait contrer les risques, mais il faut engager un effort important avant d’y arriver, se préparer au pire pour qu’il ne se produise pas ». D’une manière imagée, le directeur général de l’ANSSI (Agence nationale de la sécurité des systèmes d'information) se compare à un médecin urgentiste qui voit arriver des blessés très graves, des motards qui ont roulé sans protection suffisante à 200 km/heure, et reste dans la partie soins intenses faute d’avoir pu imposer des pratiques préventives aux conducteurs.
De son discours d’ouverture, qu’il assure pour la 3 ème fois aux Assises de la sécurité, on retiendra un morceau principal, le point sur les OIV, les opérateurs d’importance vitale. Guillaume Poupard les place dans la partie souveraineté de son action, il traite deux autres questions, l’Europe et l’ouverture de l’agence en dehors du strict monde de la cybersécurité.
Concernant les OIV, après la mise en place des arrêtés sectoriels définissant les règles qu’ils doivent appliquer, l’ANSSI a pris les premiers décrets au début de l’été. Ils concernent la santé, l’eau, l’alimentation. D’ici fin 2016, d’autres décrets seront adoptés pour l’énergie et les transports. Cette partie réglementaire pèse parfois sur le monde de la sécurité, mais elle reste essentielle rappelle Guillaume Poupard, « c’est un catalyseur, son rôle est de nous faire aller plus vite, sans la Loi de programmation militaire par exemple, jamais l’ANSSI n’aurait pu jouer le rôle qui est le sien ».
Montrer aux entreprises les risques courus
Derrière l’aspect règlementaire, les OIV et toutes les entreprises doivent passer par des actions fortes tenant à leur gouvernance, aux règles internes de sécurité, à l’intégration de produits et à la formation, de l’agent de base au Pdg. Le directeur général de l’Agence se rend volontiers devant les comités de direction pour les sensibiliser, ou devant des directions juridiques et financières afin de montrer les risques courus.
L’Agence agit également auprès des fournisseurs par des certifications. Pour la partie audit, ils sont 20 PASSI (Prestataires d’audit de sécurité des systèmes d’information) certifiés par l’Agence, 24 sont en cours de qualification. En détection d’incidents, 8 prestataires testent le référentiel, 4 sont dans la partie « réactions à incidents », 2 sont en cours d’obtention. Une certification cloud est toujours en projet, elle s’alignera sur la certification Iso 27001. Tous les prestataires sont intéressés, sans exclusive, y compris les fournisseurs nord-américains, prend soin de préciser Guillaume Poupard.
Déjà esquissé, le sujet européen progresse sous des angles différents. Celui de l’aide aux entreprises spécialisées, pour leur R&D, avec une enveloppe totale avoisinant les 450 millions d’euros. Elle sera encadrée par un partenariat public privé en cours d’élaboration au niveau européen, Guillaume Poupard participe à la 1 ère réunion qui définira ce projet, vendredi prochain 7 octobre.
Des ANSSI partout en Europe
De Bruxelles viendront également de nouvelles règlementations. La directive NICE va s’appliquer dans les 28 pays membres, elle obligera les pays qui en sont dépourvus à se doter de l’équivalent de l’ANSSI. Elle va également étendre la notion d’OIV à d’autres prestataires. Les OIV sont ceux qui seraient affectés instantanément par une attaque, les producteurs d’électricité par exemple. Les autres prestataires, concernés par la nouvelle directive, comme les assureurs, où une attaque ne paralyse pas immédiatement l’entreprise, mais en plusieurs jours. L’ANSSI va transposer cette directive en droit français et développera donc avec ces nouveaux opérateurs une démarche similaire à celle entreprise avec les OIV.
Enfin, l’ANSSI développe une stratégie d’ouverture, vis-à- vis des citoyens français comme à l’extérieur des frontières. Tous ceux qui veulent alerter les pouvoirs publics sur une faille de sécurité qu’ils ont pu observer pourront le faire auprès de l’ANSSI, via un formulaire en ligne, où ils pourront rester anonymes. C’est un alinéa à l’article 27 de la Loi numérique qui permet cette procédure de signalement, il paraît dans quelques jours au Journal Officiel. Au passage, il modifie l’article 40 du code de procédure pénale qui oblige tout agent public qui remarque une infraction à la dénoncer.
Ne pas se limiter aux frontières
L’Agence développe également des échanges à l’étranger. Ce que Guillaume Poupard appelle du « capacity building », la possibilité de s’informer mutuellement. La cybersécurité ne peut évidemment se limiter aux frontières. Exemple proche, Monaco, qui se dote à son tour de l’équivalent de l’ANSSI, c’est l’AMSN, Agence monégasque de sécurité numérique. Le directeur adjoint de l’ANSSI, Dominique Riban en devient le directeur. Guillaume Poupard lui cherche un successeur, « ce sera un militaire », il arrivera début novembre.
Le recrutement est toujours un sujet sensible dans le secteur. Pas assez de diplômés sortent des écoles, mais fait remarquer le directeur général de l’ANSSI, c’est au niveau des enseignants que se pose aussi le problème. Ils ne sont pas assez nombreux à être spécialisés en cybersécurité. L’ANSSI va donc publier un guide à leur intention sur son site. Elle bat la campagne pour inciter les jeunes à suivre cette filière de la cybersécurité, en lien avec le Syntec Numérique rodé à l’exercice.
Commentaire