La 24eme édition des Assises de la sécurité à Monaco a ouvert ses portes avec le traditionnel discours inaugural de Vincent Strubel, directeur général de l’ANSSI (agence nationale de la sécurité des systèmes d’information). D’emblée, il a salué « une victoire sans ambiguïté et collective » à propos des Jeux Olympiques de Paris cet été. « Pourtant la menace était sans précédente liée à aux tensions géopolitiques et sur le plan systémique avec des ransomwares et d’autres attaques », observe-t-il. Mais selon lui, « la préparation a été intense plusieurs années avant le début de l’évènement et a mobilisé différents acteurs l’Etat, l’organisation des jeux, les réseaux CSIRT, les partenaires internationaux ».
Résultat, les Jeux Olympiques n’ont pas subi de perturbations ou d’interruptions liées à des cyberattaques. « Cela ne signifie pas qu’il n’y en a pas eu, mais elles n’ont pas impacté les jeux, les délégations, le public », observe le dirigeant en soulignant « c’est unique ». Au mois de septembre, l’Anssi avait recensé 548 évènements de cybersécurité dont 465 signalements (requérant une intervention minimum de l’agence) et 83 incidents plus graves mobilisant les équipes de l’organisme. Indépendamment des chiffres, Vincent Strubel veut retenir deux choses de cet été, « la première est la force du collectif, il y a eu une mobilisation sans psychotage. Nous avons réussi à bloquer les attaques très tôt, même parfois trop tôt pour savoir quelles étaient les intentions des adversaires ». Et la seconde, « nous avons réussi à protéger des entités plus petites, des PME, des fédérations sportives ou des collectivités. Cela signifie que le passage à l’échelle est à notre portée ».
Les yeux tournés vers NIS 2 et le CRA
Après le satisfecit, Vincent Strubel n’oublie pas de remobiliser les troupes pour les prochaines échéances. Le premier défi est la directive NIS 2 qui entre en vigueur le 17 octobre. Il ne s’agit pas d’une date butoir, rappelle le dirigeant, « le 17 octobre il ne se passera rien ». La directive doit en effet être transposée en droit national et un projet de loi est prêt à être débattu. « Il reste encore des mois de travail, de co-construction, de consultations », avoue-t-il au regard de la situation politique en France. Il réitère son intention de laisser trois ans aux entités concernées pour se conformer à NIS 2. Par contre, il souhaite que certaines exigences simples soient respectées le plus tôt possible « l’enregistrement auprès de l’Anssi de l’entité régulée sur le portail monespace NIS 2, les notifications des incidents, de montrer les investissements dans les solutions de sécurité ».
L’autre réglementation à prendre en compte est le Cyber Resiliency Act (CRA). Il s’agit d’un règlement (s’imposant de plein droit dans la législation nationale) destiné à renforcer la sécurité de tous les produits numériques. « Ce texte est important car il équilibre les responsabilités sur la cybersécurité des produits en imposant la sécurité par défaut et par conception, de mettre en place des bonnes pratiques », précise Vincent Strubel. Dans ce cadre, des travaux sont en cours sous la houlette de l’Enisa pour créer des standards.
Cloud, IA et quantique dans la roadmap de l’Anssi
Parmi les autres thématiques faisant l’objet d’une vigilance de la part de l’Anssi, il y a bien sûr le cloud et en particulier la discussion au niveau européen du schéma de certification (EUCS). La France souhaite que pour le plus données les plus sensibles, le plus haut niveau de certification soit adopté et met en avant le référentiel SecNumCloud. Un avis qui n’est pas partagé par tous les Etats membres. Vincent Strubel n’a pas caché les difficultés dans les négociations, mais veut rassurer « nous pourrons toujours imposer SecNumCloud pour les systèmes les plus sensibles au nom de la sécurité nationale ». Il temporise aussi sur l’IA en voulant « objectiver et rationaliser le débat » à travers des recommandations émises conjointement avec le BSI (Anssi allemande).
Enfin, il est revenu sur un sujet de prospective mais qu’il ne faut pas ignorer, le quantique. « Quand l’informatique quantique sera effective, il s’agira probablement de la plus grande rupture de l’IT », reconnait-il. Et elle aura des implications sur la cybersécurité avec la capacité de pouvoir casser les clés de chiffrement. « Il faut s’y préparer maintenant et travailler sur des algorithmes capables de résister »
Commentaire