En direct de Monaco. Si l’actualité de la cybersécurité est rythmée par des « épisodes d’OSS 117 » comme les derniers soubresauts aux Pays-Bas, Guillaume Poupard, directeur général de l’ANSSI (agence nationale pour la sécurité des systèmes d’information) se veut plus pragmatique. Son intervention inaugurale des 18ème Assises de la sécurité à Monaco était orientée sur le thème de l’anticipation. Le premier sujet abordé est l’analyse de risque. « Il y a une maturité sur le sujet, Wannacry et NotPetya sont passés par là et il est maintenant temps que la gestion du risque numérique soit prise en compte comme les autres risques au sein des entreprises », souligne le dirigeant. Conscient que la tâche est ardue, « cela fait plusieurs années que l’on se casse les dents sur le sujet », il se déclare optimiste avec un changement de méthode, « les analyses de risques doivent se faire avec des experts, mais aussi avec les décideurs et les métiers ».
Il enjoint donc les RSSI, les DSI, mais aussi les clubs utilisateurs à travailler ensemble pour rendre « séduisant l’analyse de risques », tout en n’hésitant pas à « faire de la communication auprès des décideurs ». A cette fin, l’ANSSI promeut la méthode EBIOS Risk Manager initiée en 1995 et mise à jour par l’agence à travers des retours d’expérience. Cette méthode se veut « accessible et évite les écueils du tout analyser et tout réinventer », rapporte Guillaume Poupard. Des labs vont être organisés pendant les Assises et en dehors pour affiner certains points comme les sources de risque, les scénarios stratégiques et opérationnels, ainsi que le traitement du risque.
OSE en attente et infogéreurs de sécurité sous référentiel
En dehors de ce chantier, l’agence va aussi accompagner la transposition de la directive NIS (Network and Information Security) finalisée le 29 septembre dernier. Pour rappel, cette directive prévoit d’imposer des règles de sécurité à des opérateurs de service essentiel (OSE). Il s’agit d’un prolongement européen de la notion d’opérateur d’importance vitale (OIV) instaurée par la loi de programmation militaire de 2013. La liste des OSE n’est pas encore établie, mais « une première liste sera publiée début novembre et devrait comporter environ 160 organisations », avoue Guillaume Poupard. Il ajoute que « cette liste a vocation à s’enrichir ». Devant les inquiétudes de certaines sociétés présentes aux Assises sur les questions de délai et d’éventuelles sanctions, le patron de l’ANSSI s’est voulu rassurant, « on n’est pas là pour punir, mais pour faire de la pédagogie, voire de la persuasion grâce à la loi ».
Pour aider les OSE et les OIV à améliorer la sécurité de leur SI, l’ANSSI promeut depuis plusieurs années une démarche de certification et d’homologation de solutions de sécurité. Elle met en avant différents référentiels listant les bonnes pratiques et les acteurs les adoptant. Lors de Assises, Guillaume Poupard a dévoilé un référentiel dédié aux prestataires d’administration et de maintenance sécurisées. « Il s’agit des prestataires ayant accès au réseau des clients avec des droits privilégiés. Il est donc essentiel d’avoir confiance », rappelle le dirigeant. Pour appuyer son propos, il prend comme analogie « une société de gardiennage qui lors d’une alerte envoie un fourgon avec l’ensemble des clés de ses clients ». Il compte « un an de travail » pour finaliser ce référentiel qui implique « de tracer les personnes, cloisonner les réseaux, les comptes ». Un chantier difficile, mais nécessaire.
Cloud Act et 5G sous surveillance
Interrogé sur le Cloud Act, Guillaume Poupard souligne que « des questions se posent » et qu’il y a « des discussions actives » sur le sujet avec les américains pour savoir comment cette législation va être mise en œuvre. « Tout n’est pas mauvais, car in fine cela aide la justice », souligne le responsable avant de rajouter, « il ne faut pas oublier le Patriot Act derrière et je crains plus les renseignements que les juges. »
Enfin, la sécurité de la 5G est un sujet de débat avec les opérateurs. « La 5G pose de nouvelles questions au-delà de l’aspect technologique. Il y a de l’intelligence dans le réseau et même à la périphérie du réseau. Cela signifie que ce système est attaquable », constate Guillaume Poupard. Certains Etats face à ce risque ont décidé de bloquer certains équipementiers dans leur déploiement 5G, « ce n’est pas la démarche de la France », assure le patron de l’ANSSI. Pour lui, la question de la disponibilité du réseau est au cœur du débat, « le réseau mobile ne doit pas devenir le talon d’Achille de la société ». Il y aura donc des recommandations sur l’architecture et les infrastructures, sans oublier les applications.