« Je ne fais pas de discours d’adieu, c’est pas mon style. » Ainsi Guillaume Poupard a-t-il conclu son intervention en entame de la deuxième journée du FIC 2022.

Lui qui quittera dans quelques semaines le poste de directeur général de l’ANSSI a tout de même distillé quelques remerciements. Et surtout, dressé une forme de bilan de « dix ans qui sont passés super vite ». D’abord sous la casquette du chef du pôle technique de cyberdéfense à la DGA (2010-2014), puis dans ses fonctions actuelles.

« Si on devait se mettre des indicateurs, des KPI, je ne suis pas sûr qu’on pourrait [s’attribuer] une très bonne note, a admis l’intéressé. Mais si on n’avait pas fait tout ce travail, ce serait encore pire. » Et de faire, notamment, référence au dernier rapport annuel de l’ANSSI, « à lire si on n’est pas assez stressé ». Mais aussi à la situation du Costa Rica, en état d’urgence national depuis plus d’un mois « à cause d’un groupe criminel qui était censé avoir disparu suite à [sic] la crise en Ukraine ».

« La pire des menaces est celle dont on parle le moins : la pression d’un espionnage étatique d’un niveau incroyable », a poursuivi Guillaume Poupard. Non sans affirmer redouter le jour où cette capacité deviendra offensive, au sens destructeur du terme. « Ce jour-là, on comptera ceux qui se sont préparés au mieux. »

Des OIV au Campus Cyber

À en croire le futur ex patron de l’ANSSI, « au niveau national, on peut être satisfait de ce qu’on a construit avec les OIV ». Y compris l’écosystème industriel qui va avec. Il en veut pour preuve, d’une part, les centaines de visas de sécurité que l’ANSSI a émis en 2021 – signe d’une « dynamique de production de produits et de services de sécurité ».

Et de l’autre, le Campus Cyber, qui matérialise cet écosystème. Il y ajoute un autre motif de satisfaction : la « prise en compte, au niveau politique le plus élevé, de la nécessité de faire pression sur tous les ministères pour assurer leur propre sécurité et celle de leurs administrations ».

Au niveau européen, l’évolution des mentalités se manifeste par la voie réglementaire. Comme vitrines, entre autres, la révision de la directive NIS, le Cybersecurity Act pour développer des schémas de certification et le développement de l’ENISA.

La NIS 2, assure Guillaume Poupard, va « changer les choses par son ampleur ». En particulier en couvrant des secteurs « devenus critiques », comme la logistique et l’événementiel. Et en permettant de les aborder de manière homogène en Europe. « À la louche, ce seront dix fois plus d’acteurs qui seront régulés en France ».

La solidarité européenne est une autre paire de manches. Quand un pays a un problème, comment l’aide-t-on ? Comment peut-on déplacer des forces ? Sur ce point, « on n’est pas prêt », déplore le DG de l’ANSSI. Pour résoudre l’équation, il faut y inclure le secteur privé, martèle-t-il. Non sans mentionner des dynamiques de mise en réseau : groupe des CSIRT, groupe de coopération NIS… et le dernier-né CyCLONe, axé sur la gestion de crise.

Sensibilisation : « Cinq minutes de temps de cerveau »

Au niveau territorial, ces derniers mois ont permis d’expérimenter « quelque chose qu’on n’avait pas prévu ». En l’occurrence, utiliser de l’argent du plan de relance pour porter les questions de cybersécurité dans le secteur public. Enveloppe initiale : 136 M€. Enveloppe finale : 176 M€.

En première ligne, les parcours de cybersécurité. Le modèle : des fonds (90 000 à 140 000 € suivant les personnes), un bilan, des audits et la mise en œuvre de places d’action. Ils ont permis de mettre sur les rails environ un millier d’acteurs publics locaux.

À court terme, Guillaume Poupard souhaite ce qu’on n’a « jamais réussi […] à faire véritablement » : une vraie campagne nationale de sensibilisation. « Mon rêve, c’est d’avoir 5 minutes du temps de cerveau de chaque Français à peu près au même moment. Ça ne fera pas de nous un GAFAM, mais c’est énorme. On ne sait pas ça aujourd’hui. »

Autre perspective, plus interne à l’ANSSI : aller vers une cybersécurité de services. Sur le modèle de ce que le Royaume-Uni a appelé, « de façon peu malhabile », cyberdéfense active.

L’idée : mettre à disposition des briques permettant de lutter ponctuellement sur des sujets qui, « mis bout à bout, vont compliquer la vie des attaquants ». Cela va de l’identification du typosquatting à la sécurisation DNS en passant par un antivirus « qui n’envoie pas tous les fichiers à Google ».

