En direct de Lille. 2018 sera-t-elle l'an 1 de la structuration des plans cybersécurité à l'échelle européenne ? Le directeur de l'agence nationale de la sécurité des systèmes d'information (ANSSI), Guillaume Poupard l'entend bien. Il s'est exprimé à ce sujet lors d'un point presse organisé mardi après-midi au Forum International de la Cybersécurité qui a lieu dans la capitale des Flandres (23-24 janvier). Plusieurs actions sont ainsi prévues afin de renforcer la cohésion des politiques de cybersécurité en Europe, à commencer par la transposition par les 28 Etats membres de l'UE de la directive NIS (Network and Information Security) sur la sécurité des réseaux.
Cette directive arrive en effet dans sa dernière ligne droite, le 9 mai prochain. Son objectif consiste à étendre le dispositif de cyberprotection mis en oeuvre pour les opérateurs d'importance vitale (OIV) privés et publics dans la santé, la gestion de l’eau et alimentation énergétique à d'autres acteurs au niveau européen regroupés sous l'appellation des opérateurs de services essentiels (OSE), à ne pas confondre avec Opérateurs d'Infrastructures Essentielles (OIE). « Il s'agit d'identifier des OSE dont le rôle est essentiel au bon fonctionnement de la société secteurs d'activité au-delà de la liste des acteurs OIV », a expliqué Guillaume Poupard. Pour l'ANSSI, les OSE fournissent un service essentiel dont l'interruption aurait un impact significatif sur le fonctionnement de l'économie ou de la société, sachant que les OIV exploitent ou utilisent des installations jugées indispensables pour la survie de la Nation. « Comme les OIV, les OSE ne seront pas classifiés. On n'a pas envie de les clouer sur une page web », prévient Guillaume Poupard. « Les OSE devront notifier à l'ANSSI les incidents qu'elles rencontrent sachant que nous aurons la possibilité de faire des contrôles ». Raison de plus sans doute pour les fournisseurs concernés de faire appel à des prestataires sécurité qualifiés pour éviter le courroux de l'agence.
Les visas sécurité en marche
Parmi les autres actions mises en avant pour accroître la cohésion des politiques cybersécurité en Europe, celle qui concerne la montée en puissance d'un réseau de CSIRT (réseau des centres de réponse aux incidents de sécurité informatique) au niveau européen qui va permettre de mettre en place des réponses collectives et coordonnées entre les différentes Etats membres. « Nous avons parlé avec la commission européenne pour avoir un homologue ANSSI dans chaque Etat membre. On sait qu'il y a une vraie marge de progrès à échanger des informations sensibles », a précisé Guillaume Poupard. La mise en place de ce réseau de CSIRT n'a pas vocation à se substituer au rôle de l'ANSSI mais au contraire de le compléter, sachant que les ressources humaines mobilisées sont loin d'être les mêmes, à savoir 150 pour les CSIRT actuellement contre 750 du côté de l'ANSSI. « Nous allons travailler ensemble, créer le liant et la dynamique européenne au niveau de la commission et des Etats membres en passant de 15 à 28 », explique Guillaume Poupard.
Par ailleurs, en France comme au niveau européen, la mise en oeuvre des visas sécurité, permettant de distinguer les offres sécurité détenant une qualification ou un certification délivrée par l'ANSSI, est en marche : « Il était essentiel que les clients, industriels et utilisateurs comprennent les différences entre qualifications et certifications qui regroupent des démarches pour créer de la confiance avec l'idée d'expliquer de façon la plus claire possible un catalogue dans lequel on trouve les produits reconnus par l'Etat français », poursuit Guillaume Poupard. Les visas sécurité répondent à trois enjeux : répondre à des objectifs réglementaire tant au niveau national qu'européen, répondre aux donneurs d'ordre exigeant des solutions disposant de ce visé sécurité, et permettre aux offres de se distinguer de la concurrence.