Monaco- Envoyé spécial – « Changer d’échelle dans la protection cyber. » Guillaume Poupard en avait fait son fil conducteur aux Assises de la sécurité 2022. Un an plus tard, Vincent Strubel, son successeur à la tête de l’ANSSI, réitère le message : « Il va falloir vous y habituer, parce que c’est un défi qui va nous occuper un bon bout de temps ».
Même message, même note de contexte : l’évolution de la menace, qui « touche les petits, dont on s’est peu occupé jusqu’à présent »… Mêmes points d’appuis également, des référentiels de prestataires en passant par les CSIRT régionaux.
Ce « passage à l’échelle » implique un gain d’efficacité opérationnelle. La LOPMI (loi de programmation militaire) en sera un grand levier, avance Vincent Strubel, non sans une référence aux « grands pouvoirs [qui] impliquent de grandes responsabilités »…
L’élargissement de la couverture réglementaire sera un autre support. La directive NIS2 en est l’emblème. Sa transposition doit intervenir en 2024 (le Parlement devrait s’emparer du projet de loi au début du printemps). « On multipliera par 10, 20, 30, le nombre d’acteurs régulés. Le fait même qu’on ne sait pas donner un chiffre précis est une indication », explique Vincent Strubel.
Certains de ces acteurs ont de moindres moyens par rapport aux OIV et aux OSE. L’ANSSI devra savoir être moins ambitieuse, porter des objectifs plus génériques, par exemple sur l’analyse de risques. « Ce n’est peut-être pas quelque chose qu’on sait imposer à de petits acteurs, de manière individuelle en tout cas. Il faudra trouver des approches un peu différentes. »
Sous cet angle, la NIS2 et l’opportunité de « regarder de près » les chaînes de valeur et d’identifier les parties prenantes jouant des rôles essentiels. L’ANSSI a amorcé des travaux en la matière l’hiver dernier, sur les secteurs du gaz et de l’électricité.
Des travaux, il y en a aussi sur les prestataires. Par exemple, la publication récente du référentiel PACS (accompagnement et conseil). Une adaptation du référentiel PRIS (réponse à incident) est également en cours. D’une part, pour aller vers des prestations « plus abordables, moins ambitieuses dans le niveau de sécurité quand ça n’est pas nécessaire ». De l’autre, dans l’optique d’une certification européenne de ces prestataires. Un sujet écarté il y a quelques années et revenu sur la table.
Sur la partie remédiation, on en est pour le moment au stade du corpus doctrinal – publié dernièrement.
À propos des CSIRT, on pouvait l’attendre, l’ANSSI est sur la défensive. Vincent Strubel se dit convaincu que ces structures apportent plus de complémentarité que de redondance avec les acteurs existants. Y compris au niveau européen. À cet échelon, il est notamment question d’étendre la dimension de solidarité à la réponse aux attaques. C’est l’objet de la Cyber Solidarity Initiative. Elle s’inscrit dans la lignée du réseau CyCLONe, qui fédère les ANSSI européennes sur l’analyse de la menace.
Crédit photo @ANSSI
Comment gérer les données numériques après la mort de son détenteur ? La jeune pousse…
Ivès, expert en accessibilité de la surdité, s’est associé à Sopra Steria et à IBM…
L'Autorité de la concurrence et des marchés (CMA) a lancé la phase de recherche de…
Broadcom remplace pas moins de 168 logiciels VMware par deux grandes licences de location correspondant…
La banque d’investissement utilise l'IA pour proposer des stratégies individualisées, en termes de rendement et…
OVHCloud partage ses efforts environnementaux au sommet de l’Open Compute Project qui se tient à…