Guillaume Poupard – Anssi : «La transformation numérique ne se fera pas sans sécurité»

Aux 17e Assises de la sécurité de Monaco, Guillaume Poupard, Directeur de l’ANSSI, a salué la prise de conscience globale autour de la cybersécurité. Tout en soulignant les efforts qui restent à faire.

Les problématiques de cybersécurité avancent dans les esprits.

« Elles concernent tout le monde », a rappelé Guillaume Poupard en ouverture des 17e Assises de la sécurité et des systèmes d’information qui se déroulent du 11 au 14 octobre à Monaco.

Cette année, le directeur de l’Anssi (Agence nationale de la sécurité des systèmes d’information) s’est fendu de quelques « mots positifs ».

A savoir que la guerre stérile entre les RSSI et DSI est « derrière nous aujourd’hui. Je n’imagine pas travailler à la cybersécurité sans les gens qui font l’informatique ».

Une vision de bon sens qui peine néanmoins encore à s’appliquer à l’approche des start-up, notamment celles oeuvrant dans l’Internet des objets (IoT), au risque de retrouver une opposition frontale RSSI+DSI face aux jeunes pousses.

Poussées par la concurrence et la volonté d’être les premières à sortir leur produit, ces dernières tendent à « pédaler léger » en négligeant la sécurité qui ralentit nécessairement les processus de développement. « Mais je leur répond qu’elles risquent de perdre la confiance de leurs utilisateurs et clients à cause d’un manque de sécurité [de leurs produits] ».

En d’autres termes, même si cela demande des investissements, « il est impératif d’intégrer la sécurité [dès le début des développements] sinon c’est beaucoup plus cher en cas d’attaque. On l’a vu au printemps. Les investissements sont rentables ».

Guillaume Poupard fait naturellement référence aux attaques de Wannacry ou NotPetya qui ont frappé des entreprises françaises et fait perdre, à titre d’exemple, 250 millions d’euros à Saint-Gobain.

Chacun est une cible potentielle

Mais « on arrive à un stade ou la très grande majorité des acteurs pensent que les sujets ne peuvent pas s’opposer ». Et de citer son propre exemple alors que l’Anssi « travaille main dans la main avec la Dinsic » (la DSI de l’Etat) et que Mounir Mahjoubi, secrétaire d’Etat chargé du Numérique est rattaché au Premier ministre. « Je pense que la transformation numérique ne se fera pas sans sécurité. »

Autre prise de conscience : « Tout le monde a compris que chacun est une cible potentielle. » Des grands comptes aux citoyens en passant par les PME et les services de l’Etat, « tout le monde doit être acteur de la sécurité numérique ».

Une action qui doit être initiée par la communication et des initiatives comme ce mois d’octobre consacré à la cybersécurité au niveau européen. « Je suis ravis de voir plein de gens, comme les chambres de commerce et d’industrie, extrêmement actifs en ce sens. »

Mais si les grandes entreprises ont les moyens et devoirs de mettre en œuvre une véritable stratégie de sécurité, quid des PME, citoyens, et collectivités locales alors que « la cybersécurité n’est pas intuitive » ?

S’il faut « convaincre les PME à se concentrer sur la sécurité » avec des outils adaptés, comme du Cloud sécurisé, on peut aussi les « mettre en contact avec les gens qui peuvent les aider ».

Ce sera le rôle de la plate-forme cybersecurité.gouv. fr qui sera inaugurée le 17 octobre prochain par Mounir Mahjoubi.

Dans le même esprit, l’Anssi lancera un « Visa de sécurité » début 2018.

L’outil réglementaire est efficace pour gagner du temps

Si la sensibilisation et la certification est une chose, l’application de règles s’impose pour garantir l’efficacité des mesures.

« Concernant la souveraineté nationale, protéger le cœur même de la nation passe par la réglementation, est convaincu le responsable. L’outil réglementaire est efficace pour gagner du temps. Il ne faut plus convaincre le RSSI et le DSI mais les directeurs financier et juridique, les métiers, et le CEO. Et la réglementation aide énormément en cela, quitte à faire, en pratique, des compromis efficaces, applicables, raisonnables. »

De fait, le travail réglementaire est achevé. « Les déclaration de système d’information pour les Opérateurs d’Importance Vitale (OIV) arrivent, promet Guillaume Poupard. Il y en a plus d’un millier actuellement. »

Plus de 230 OIV sont concernés. Et le modèle se poursuit vers les opérateurs de services essentiels (OSE) à travers la transposition nationale de la directive européenne NIS (Network and Information Security). « Les textes sont prêts, ils devraient être votés au Parlement en début d’année prochaine. »

La collaboration à l’échelle internationale, l’Europe en premier lieu, est incontournable, selon le porte-parole de l’Anssi. « Le sujet cybersécurité ne s’arrête pas aux frontières. » .

Et, entrainé par le couple franco-allemand à la pointe de la cybersécurité en Europe, « on se doit d’élever le niveau de sécurité de nos voisins. Chaque Etat membre doit monter en compétences. »

Et d’espérer que le prochain Visa sécurité français visant à consolider l’ensemble des travaux de l’Anssi s’étendra à l’échelle européenne.

Le hackback est une abomination

Guillaume Poupard s’est par ailleurs inquiété des propositions de « hackback » permettant aux entreprises attaquées de riposter par les mêmes armes cyber. « Ça se passera mal car on a aucune certitude de qui nous attaque. C’est une abomination, j’y suis complètement opposé. Si on autorise ça, on va vivre des moments extrêmement compliqués. » Se protéger, oui. Riposter, non. Ce serait, à ses yeux, comme de demander aux citoyens de lutter eux-mêmes contre le terrorisme. On imagine le chaos, en effet. Mais, en matière de paix numérique, tout reste à faire. « Je lance une bouteille à la mer. »

La paix numérique nécessite des lois mais aussi des échanges. Et le directeur de l’Anssi invite les acteurs à partager leurs informations sans retenue pour mieux lutter contre les menaces. « Tout le monde peut être attaqué aujourd’hui, ce ne sont pas les victimes qui manquent. » Néanmoins, ce n’est pas demain que l’on saura qui. Si les entreprises ont une obligation de déclaration en cas d’attaque constatée, « la protection des victimes passe par la confidentialité. C’est primordial. » Qui plus est, « on est incapable de mesurer précisément le nombre de victimes ». Lesquelles ne savent d’ailleurs pas toujours qu’elles sont attaquées. « Tant qu’une attaque n’est pas détectée, elle se poursuit. » D’où la nécessité d’accentuer les développements sur les outils de détection.

Guillaume Poupard s’est néanmoins fendu d’un chiffre : 35 000. C’est le nombre d’inscrits de manière durable à SecNumacademie, la formation en ligne (Mooc) qui vise à élargir les connaissances en matière de sécurité numérique. « L’idée est de faire monter en compétences des gens qui ne sont pas des experts », assure le le directeur de l’Anssi. Et d’inviter chacun à suivre cette formation. « Sincèrement, utilisez-la, ça ne peut pas faire de mal. »


Lire également
Guillaume Poupard, Anssi : « NotPetya, c’est de la médecine de guerre »
Mois européen de la cybersécurité : la France y participe (enfin) activement
Les 3 propositions de la France pour enrayer la course aux armements cyber