Les Assises 2023 – Un long chemin pour changer d’échelle dans la protection cyber

Monaco- Envoyé spécial – « Changer d’échelle dans la protection cyber. » Guillaume Poupard en avait fait son fil conducteur aux Assises de la sécurité 2022. Un an plus tard, Vincent Strubel, son successeur à la tête de l’ANSSI, réitère le message :  « Il va falloir vous y habituer, parce que c’est un défi qui va nous occuper un bon bout de temps ».

Même message, même note de contexte : l’évolution de la menace, qui  « touche les petits, dont on s’est peu occupé jusqu’à présent »… Mêmes points d’appuis également, des référentiels de prestataires en passant par les CSIRT régionaux.

Ce « passage à l’échelle » implique un gain d’efficacité opérationnelle. La LOPMI (loi de programmation militaire) en sera un grand levier, avance Vincent Strubel, non sans une référence aux « grands pouvoirs [qui] impliquent de grandes responsabilités »…

L’élargissement de la couverture réglementaire sera un autre support. La directive NIS2 en est l’emblème. Sa transposition doit intervenir en 2024 (le Parlement devrait s’emparer du projet de loi au début du printemps). « On multipliera par 10, 20, 30, le nombre d’acteurs régulés. Le fait même qu’on ne sait pas donner un chiffre précis est une indication », explique Vincent Strubel.

Savoir calibrer les ambitions

Certains de ces acteurs ont de moindres moyens par rapport aux OIV et aux OSE. L’ANSSI devra savoir être moins ambitieuse, porter des objectifs plus génériques, par exemple sur l’analyse de risques. « Ce n’est peut-être pas quelque chose qu’on sait imposer à de petits acteurs, de manière individuelle en tout cas. Il faudra trouver des approches un peu différentes. »

Sous cet angle, la NIS2 et l’opportunité de « regarder de près » les chaînes de valeur et d’identifier les parties prenantes jouant des rôles essentiels. L’ANSSI a amorcé des travaux en la matière l’hiver dernier, sur les secteurs du gaz et de l’électricité.

Des travaux, il y en a aussi sur les prestataires. Par exemple, la publication récente du référentiel PACS (accompagnement et conseil). Une adaptation du référentiel PRIS (réponse à incident) est également en cours. D’une part, pour aller vers des prestations « plus abordables, moins ambitieuses dans le niveau de sécurité quand ça n’est pas nécessaire ». De l’autre, dans l’optique d’une certification européenne de ces prestataires. Un sujet écarté il y a quelques années et revenu sur la table.
Sur la partie remédiation, on en est pour le moment au stade du corpus doctrinal – publié dernièrement.

À propos des CSIRT, on pouvait l’attendre, l’ANSSI est sur la défensive. Vincent Strubel se dit convaincu que ces structures apportent plus de complémentarité que de redondance avec les acteurs existants. Y compris au niveau européen. À cet échelon, il est notamment question d’étendre la dimension de solidarité à la réponse aux attaques. C’est l’objet de la Cyber Solidarity Initiative. Elle s’inscrit dans la lignée du réseau CyCLONe, qui  fédère les ANSSI européennes sur l’analyse de la menace.

Crédit photo @ANSSI