La neige n’aura pas eu raison des milliers de conférenciers venus à Lille pour assister à la 11ème édition du FIC (Forum International sur la Cybersécurité). Ce rendez-vous est l’occasion pour les entreprises, les éditeurs et les administrations de dialoguer et d’échanger sur les sujets liés à la cybersécurité : résilience, détection, remédiation, filtrage, outils offensifs, etc.
C’est aussi l’occasion pour Guillaume Poupard, le directeur général de l’ANSSI (agence nationale de la sécurité des systèmes d’information), de dresser un bilan de l’année 2018 et pointer les grandes orientations pour l’année 2019. Sur l’état des menaces, le dirigeant est pessimiste, « les menaces sont plus fortes, elles sont difficiles à attribuer et parfois on nage en plein brouillard » en ajoutant, « le territoire à défendre est devenu extrêmement vaste » en évoquant pèle-mêle, les systèmes industriels, mais aussi les sous-traitants, les fournisseurs, la supply chain, ...
Oodrive, labellisé SecNumCloud et inquiétude sur le Cloud Act
Cette étendue préoccupe le patron de l’ANSSI, « les attaques récentes sont des pré-positionnements pour les conflits de demain, avec des groupes très organisés et probablement soutenus par des Etats. Ils mettent des charges dans les systèmes d’information en prévision d’un conflit. Un peu comme si on mettait de la dynamite sur les piliers des ponts en attendant la guerre ». Pour lui, il y a donc urgence à agir et sans dogme, « on ne doit pas opposer liberté et sécurité. Il faut trouver le juste équilibre en garantissant à la fois la protection des données personnelles et les capacités de renseignement ou d’enquête ». Juste avant le FIC, Guillaume Poupard a écrit une tribune, publiée par nos confrères de Libération, où il résume d’un slogan son approche, « tous connectés, tous impliqués et tous responsables ». Il évacue l’idée d’installer des backdoors synonymes de faille de sécurité. Une vision réduite à « des machins souverains » (cloud, solutions de sécurité, ...) ne marche pas non plus, insiste le responsable.
Pour autant, il défend la labellisation de certaines entreprises comme Oodrive, qui est la première société à bénéficier du label SecNumCloud. Quid des fournisseurs de cloud étranger et notamment américain ? « Le Cloud Act est inquiétant sur la problématique d’extra-territorialité des mandats. Il s’agit d’une entrée en négociation entre les Etats-Unis et l’Europe. Quand on pose la question aux fournisseurs de cloud américains sur leur position avec le Cloud Act, ils sont les premiers embêtés par la situation », constate Guillaume Poupard. Le pragmatisme prime aussi sur la 5G à l’heure où plusieurs pays européens interdisent l’usage d’équipements chinois, en particulier Huawei dans leurs réseaux 5G. « Il y a une réflexion poussée sur la 5G avec les opérateurs télécoms, car la 5G sera à l’avenir aussi critique qu’un réseau électrique. Il est donc important de maîtriser l’architecture et de savoir quels sont les équipements que l’on accepte ou pas », explique-t-il. Dans ce cadre, la France dispose de la Commission R226 en charge de donner des autorisations à la commercialisation et la détention d’équipements réseau pouvant permettre de porter atteinte au secret des correspondances électroniques.
Mobiliser les forces et promouvoir l’Appel de Paris
La réponse aux futurs conflits cyber sera collective, avertit Guillaume Poupard. En France, le gouvernement s’est doté de capacité de défense, de détection, de réaction avec l’évolution de la doctrine de la cyberdéfense sur le volet offensif. Le ministère de l’Intérieur, par la voix de Laurent Nunez, secrétaire d’Etat, a annoncé une enveloppe de 20 millions d’euros pour augmenter les capacités d’investigation de la DGSI, le doublement des postes N-Tech (des cyber-gendarmes) et la création d’une filière industrielle pour le secteur de la cybersécurité. Du côté des entreprises, l’appel a été entendu par Philippe Knoche, directeur général d’Orano (ex Areva), venu témoigner au FIC en insistant sur le « security by design », c’est-à-dire d’intégrer la sécurité en amont des projets.
En Europe, le Cybersecurity Act a été validé à la fin 2018 en créant une cadre pour une certification européenne et en renforçant les pouvoirs de l’Enisa (European Union Agency for Network and Information and Security). Son vote définitif est attendu en 2019. Enfin, le cadre international doit s’inscrire dans la suite de l’Appel de Paris du 12 novembre 2018 qui prône un cyberespace sûr et de paix. Pour Guillaume Poupard, « il n’y a pas des gentils d’un côté et les méchants de l’autre, la réalité est plus complexe ». Pas question d’être naïf pour le directeur général de l’ANSSI, mais de « préparer le jour d’après », une fois que tout le monde aura compris que « le farwest avec des cowboys tirant les yeux bandés est inutile ».