La grande messe de la cybersécurité a ouvert ses portes à Monaco. Pas moins de 3 000 personnes sont attendues et 171 partenaires ont répondu présents. Comme le veut la tradition, le discours inaugural des Assises a été prononcé par le directeur général de l’Anssi, Vincent Strubel. Une première pour le dirigeant qui a remplacé Guillaume Poupard, parti chez Docaposte. Dans les pas de son prédécesseur, il a évoqué le « passage obligatoire à l’échelle et sur le long terme des sujets de cybersécurité ». Surtout que la menace ne cesse d’évoluer pour devenir « un enjeu sociétal. Depuis 2 à 3 ans, il y a plus d’attaques opportunistes qui touchent les TPE, les hôpitaux et les collectivités ».
NIS 2, un projet de loi de transposition au printemps
En conséquence, l’Anssi est confrontée à trois défis, « tirer vers le haut et faire gagner en maturité les petits, se préparer à la crise majeure et garder son expertise dans le temps ». Pour relever ces enjeux, l’agence peut compter sur le cadre réglementaire comme la dernière LPM (loi de programmation militaire) « qui donne des nouveaux pouvoirs et donc des responsabilités supplémentaires ». Certains s’étaient inquiétés notamment de la capacité donnée à l’Anssi de bloquer, suspendre ou rediriger des noms de domaine et accéder aux données en cache en cas de menace portant atteinte à la sécurité nationale.
Toujours sur la réglementation, la directive NIS 2 sera aussi une précieuse aide pour remonter les curseurs de sécurité de plusieurs opérateurs. « Le projet de loi de transposition devrait arriver au printemps », assure Vincent Strubel, sans pouvoir donner de date plus précise. Difficile aussi pour lui d’évaluer le nombre d’acteurs concernés en parlant d’un coefficient multiplicateur « 10, 20 ou 30 ». Une chose est sûre au regard du public visé, « les exigences seront plus limitées » et la façon de communiquer doit s’adapter. « Par exemple, sur NIS 2, la notion d’analyse de risque que nous pratiquons couramment ne peut pas s’imposer à des petits acteurs », souligne le dirigeant.
Travailler avec des réseaux de plus en plus nombreux
Ces changements impliquent « de travailler en réseaux ». Un pluriel sciemment choisi par le patron de l’Anssi tant le nombre d’acteurs se multiplie. « Il y a les existants comme les prestataires (audit, réponse à incident, …) pour lequels des qualifications ont été mises en place », précise-t-il. Tout en ajoutant que des évolutions sont attendues sur le référentiel PRIS (prestataires de réponse aux incidents de sécurité), mais aussi sur l’audit. « Des évolutions dans une optique de création de certification européenne », glisse Vincent Strubel. Par ailleurs, l’agence travaille sur le champ de la remédiation pour « établir un corpus doctrinal sur le sujet ».
Parmi les acteurs nouveaux, l’Anssi identifie les CSIRT, notamment ceux qui se sont développés en régions. « Ils sont une aide précieuse et nous sommes convaincus de leur utilité », assène Vincent Strubel, ajoutant « et je n’ai pas fait euphémisme en LV1 ». Une pique adressée à la presse qui avait relevé cet été la faible activité de ces centres de réponses à incident. Autres acteurs en lien avec l’Anssi, les fournisseurs de cloud où « il est nécessaire pour les données sensibles d’avoir des hautes exigences techniques et une garantie juridique d’immunité aux lois extraterritoriales, l’un ne va pas sans l’autre », observe le directeur général. Enfin, dernier réseau, l’échelon européen, « plusieurs initiatives s’effectuent à ce niveau, il faut aller maintenant vers plus de solidarité à travers la Cyber Solidarity Initiative, pour aider les Etats membres sur la réponse à incident ». L’écosystème et les enjeux ne cessent donc pas de grandir et Vincent Strubel veut compter « sur le noyau dur de la cybersécurité » réuni à Monaco pour l’aider à relever ces défis.