Assises de la sécurité 2014 : L’ANSSI mise sur le collaboratif et la qualification

Baptême du feu pour le nouveau directeur général de l’ANSSI, Guillaume Poupard, aux Assises de la sécurité de Monaco. Avec la mise en œuvre de la LPM et le plan cybersécurité, il a milité pour une plus grande collaboration et la qualification de solutions et de prestations de sécurité.

La 14ème édition des Assises de la sécurité se sont ouvertes à Monaco par la traditionnelle plénière qui voit le directeur général de l’ANSSI (Agence nationale de la sécurité des systèmes d’information) intervenir pour donner ses orientations de travail. Petit changement de casting cette année avec le départ de Patrick Pailloux pour la direction technique de la DGSE, c’est donc son successeur Guillaume Poupard de relever ce défi. Il a bien sûr rendu hommage à son prédécesseur avec une pointe d’humour, « peut-être qu’il nous écoute, sait-on jamais »…

Le titre de son intervention « Oser dire oui » avait un petit goût de provocation en écho à la phrase prononcée il y a 2 ans par Patrick Pailloux, « vous avez le pouvoir de dire non » en parlant de la consumérisation de l’IT et du Byod en particulier. Le discours de Guillaume Poupard s’oriente autour de deux axes : la loi de programmation militaire (LPM) et le plan industriel dédié à la cybersécurité.

La LPM en mode collaboratif

Sur la LPM, le dirigeant veut inscrire ses efforts « dans une démarche globale ». Il a salué le fait que la France est le premier pays au monde à avoir fait le choix de légiférer sur les questions de cybersécurité et de s’attaquer aux OIV (opérateurs d’importance vitale) avec l’article 22. Sur ce dernier point, il rappelle que l’objectif est de « protéger la souveraineté de la Nation, sa richesse, son savoir-faire et faire en sorte que notre R&D ne se fasse pas siphonner y compris par nos amis ». Il manque encore des arrêtés et des décrets d’application qui devraient être publiés au mieux à la fin de cette année et plus probablement en 2015.

Baptême du feu aux Assises de la sécurité 2014 pour Guillaume Poupard, directeur de l'ANSSI
Baptême du feu aux Assises de la sécurité 2014 pour Guillaume Poupard, directeur de l’ANSSI.

Des groupes de travail se sont formés pour définir des règles de sécurité et « ils comprennent aussi bien des acteurs du public que des sociétés privées comme Michelin, Natixis, Total ». Car le maître mot de Guillaume Poupard, c’est le travail collaboratif entre les différents acteurs. C’est le cas notamment pour la remontée d’incidents. « Il s’agit d’un point essentiel car actuellement les attaques sont décelées soit par hasard, par vigilance, par avertissement par les SOC ou par renseignement. En systématisant ce retour d’information, on pourra œuvrer collectivement ». Un autre axe de travail porte sur le contrôle des OIV pour « s’assurer que les systèmes les plus critiques sont protégés ». Pour réaliser ces audits, l’ANSSI a qualifié plusieurs prestataires qui sont en cours de finalisation de certification. « Il ne manque plus que la réalisation d’un cas pilote », assure M. Poupard. Par ailleurs, il est nécessaire de mettre en place des outils de détection pour récolter des évènements, les corréler et découvrir les attaques afin de réagir plus rapidement.

La qualification des partenaires en cours

L’ANSSI ne pourra pas s’occuper de cette partie et prévoit la qualification de prestataires sur ce sujet à travers la publication de référentiels. « Ces règles du jeu vont permettre aux entreprises et aux fournisseurs de respecter certaines contraintes de sécurité. Ainsi le référentiel de réponse aux incidents nécessitera de reconstruire des réseaux. Pour les prestataires de Cloud, la localisation des données sur le territoire national », explique le responsable. Il écarte le problème du coût supplémentaire de choisir une solution qualifiée. « La sécurité a un coût, mais il faut trouver des solutions efficaces et soutenables financièrement. » Il admet néanmoins certains régimes dérogatoires et de citer l’exemple du ministère des Affaires étrangères ou des entreprises qui ont des ressources à l’étranger. Il reste néanmoins ferme sur la logique à savoir que « le réflexe est de localiser le maximum de choses en France ». Pour autant, les discussions dans les allées du salon craignaient justement un surcoût des solutions qualifiées et entraînaient plutôt des réserves.

Fédérer la filière cybersécurité made in France

Le second cheval de bataille de Guillaume Poupard est le plan cybersécurité qui fait partie des 34 plans industriels portés à l’époque par Arnaud Montebourg. L’ANSSI est chef de file de ce projet et entend bien fédérer le tissu industriel « déjà dense » en France pour développer une stratégie de cybersécurité. « Nous souhaitons coordonner et mettre en musique ce tissu industriel avec une vigilance accrue sur le travail entre les grands acteurs et les petits », annonce Guillaume Poupard. Ces efforts passeront par l’accompagnement des sociétés à l’export, mais aussi sur l’accès au marché domestique.

L’ANSSI va publier prochainement un guide sur les achats publics pour aider la filière cybersécurité à se positionner sur ce marché. Des groupes de travail sont là aussi mis en place avec autour de la table l’Etat, les acteurs privés (grands et petits), les représentants des utilisateurs et les syndicats professionnels. L’idée est de développer des offres de confiance, on retrouve ici la même notion de qualification établie dans la LPM.

Le cauchemar des systèmes industriels

Un dernier point sur les menaces. Le mot n’a été évoqué qu’une fois au début de la présentation, mais le DG de l’ANSSI y pense en arrière-plan de son action. « Aujourd’hui, mon cauchemar c’est les systèmes industriels. Les dégâts peuvent être considérables et il ne faut pas sous-estimer les personnes qui sont en face, elles sont très motivées et travaillent beaucoup. » Il reconnaît avoir été surpris depuis son arrivée par le niveau des attaques « qui dépassent ce que je savais ou j’avais entendu parler ».

Par exemple, il s’interroge sur la naïveté du secteur de la recherche en France sur les questions de sécurité. La réponse se trouve selon lui par la reprise en main des réseaux. Un coup de pied du côté de Huawei qui vient de rencontrer Manuel Valls et de promettre des investissements, ainsi que des créations d’emploi ? « Il y a eu une méfiance, mais la confiance cela se gagne », conclut diplomatiquement en touche le responsable.

A lire aussi :

L’Anssi voit son pouvoir de décision renforcé

Guillaume Poupard, un spécialiste de la crypto, prend la tête de l’Anssi