En direct de Monaco. Pour la 19eme édition des Assises de la Sécurité, le directeur général de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) a axé son discours inaugural sur la transformation de la cybersécurité et le besoin de ne plus axer le discours sur la peur. Pourtant, le contexte international est profondément anxiogène, « je ne veux pas utiliser le terme de situation de guerre, mais nous n’en sommes pas très loin. Les Etats sont de plus en plus agressifs dans ce domaine », reconnaît Guillaume Poupard. Pas question cependant de baisser les bras et le dirigeant milite pour une cybersécurité positive. « Les RSSI doivent devenir des alliés des métiers, des personnes de confiance dans les différents projets », glisse-t-il. Et à ceux qui « sont des apôtres de l’Apocalypse », il leur prédit « de devenir des dinosaures ».
ADS, un outil d’audit d’Active Directory pour aider les RSSI
Il est loin le temps où Patrick Pailloux, ancien directeur général de l’ANSSI exhortait les RSSI à « dire non ». Aujourd’hui, le discours a changé, « il faut parler aux dirigeants, convaincre. Il faut vendre la cybersécurité », admet son successeur. Le marketing de la RSSI est en marche. Encore faut-il avoir un langage commun ! Guillaume Poupard se veut confiant sur la capacité de dialogue des RSSI, même s’il reconnait que l’exercice n’est pas simple. « Il faut de la pédagogie, ne pas être austère, stricte », observe-t-il.
Dans ce cadre, il évoque un outil pour faciliter l’audit des Active Directory, « le Graal pour les attaquants ». Ce service nommé ADS collecte un ensemble de données sur le réseau, puis une solution d’analyse made in ANSSI applique une note de 1 à 5 au niveau de protection des AD de l’entreprise. « En général, c’est 1 au départ, mais rapidement le niveau monte », se réjouit Guillaume Poupard. « On est dans la gamification et les retours sont positifs », ajoute-t-il. Ce service, lancé récemment, compte aujourd’hui 180 clients. Est-ce qu’ADS a vocation à être en open source ? « L’outil de collecte, pourquoi pas, mais pas le logiciel d’analyse », tempère Guillaume Poupard.
Un socle de sécurité de base solide
Car l’ouverture est aussi un des maître-mots du discours du responsable. Depuis quelques années, l’ANSSI libère régulièrement des outils à destination de la communauté de la cybersécurité. Récemment, elle a publié OpenCTI, un service de threat intelligence et ORC pour le forensic sur les environnements Windows. « La politique de l’ANSSI est de publier tout ce qui peut l’être », précise Guillaume Poupard.
Pour lui, « globalement, nous avons un bon socle de base, avec un dialogue interministériel bien établi, une réglementation installée tant au niveau national (OIV) qu’au niveau européen (visas de sécurité), mais aussi des référentiels (PDIS,...) ». Sur ce dernier point, il a précisé que le référentiel sur les prestataires d’administration et de maintenance sécurisées (PAMS), « ceux ayant accès au réseau des clients avec des droits privilégiés », a fait l’objet d’un appel à commentaires se terminant à Noël.
Par ailleurs, Guillaume Poupard croit beaucoup dans la création d’un cybercampus. « Le modèle isarélien de Beer Sheva est très inspirant », souligne-t-il avant d’ajouter « il faut un lieu qui incarne la cybersécurité en France et même avec un rayonnement européen. Un lieu où se mélange les grandes entreprises, les start-ups, les chercheurs, les enseignants ». Cette initiative est orchestrée à la demande du Premier Ministre par Michel Van Den Berghe, d’Orange CyberDéfense. Il devrait rendre un premier rapport d’étape « sur le lieu, le financement, la gouvernance » d’ici noël.
Un talon d’Achille : la détection, une zone floue : les ETI
Si la cybersécurité doit être positive, elle comporte quelques zones d’ombre, avoue le dirigeant de l’ANSSI. En premier lieu, « la détection est aujourd’hui un talon d’Achille dans la cybersécurité. On constate chez les victimes que les attaquants sont présents depuis longtemps au sein de l’entreprise ». Les statistiques se suivent et se ressemblent en montrant que le temps moyen de détection d’une attaque est relativement long. 167 jours en moyenne selon une étude du cabinet Wavestone. Pour résoudre ce problème, Guillaume Poupard estime qu’il « faudra probablement aller faire de la détection sur le poste de travail, c’est plus intrusif mais c’est le sens de l’histoire ».
Enfin, il existe selon lui « une zone floue » dans l’application de la cybersécurité aux entreprises : les ETI (entreprise de taille intermédiaire). « Les grandes entreprises, on sait faire avec les OIV. Avec les PME, le cloud pourra résoudre certains problèmes. Mais pour les ETI, c’est plus compliqué, car elles ne sont pas suffisamment grandes pour leur imposer des obligations de type OIV ou OSE (opérateur de service essentiel) et pas suffisamment petite pour ne pas avoir une sécurité robuste et dédiée ». Il y a donc « une zone à travailler » pour l’ANSSI dans les prochains mois.