Assises de la Sécurité : les nouveaux prestataires labélisés se font attendre
Le travail est engagé sur plusieurs fronts, mais prend, sans trop de surprise, un temps certain, entre détection et réponse à incident, ou encore réflexion sur l’administration et la maintenance.
Fin janvier dernier, Guillaume Poupard, directeur général de l’Agence nationale pour la sécurité des systèmes d’information (Anssi), levait le voile sur les premières qualifications de prestataires de services de détection d’intrusion (PDIS). Orange Cyberdefense, Sogeti et SopraSteria étaient les premiers heureux élus. Depuis, Thales est venu gonfler la liste de ces PDIS capables de s’adresser aux opérateurs d’importance vitale (OIV), pour leurs systèmes d’information d’importance vitale (SIIV). Advens, Airbus CyberSecurity, BT Services, Bull, Conix Technologies et Services, et IBM sont sur les rangs pour une nouvelle vague.
Et ce ne sera pas une mauvaise chose car, à entendre Guillaume Poupard, ce mercredi 8 octobre, en ouverture des Assises de la Sécurité, qui se déroulent actuellement à Monaco, c’est un important point faible dans l’Hexagone : « on est faible, collectivement », lançait-il, se disant ouvertement inquiet « de voir que des attaquants ont réussi à entrer et rester longtemps, et faire beaucoup de choses ». Alors pour lui, la capacité à détecter risque de devenir un « talon d’Achille », si rien ne change. Et il n’est pas le seul à le dire : une toute récente étude de Wavestone le souligne. Et les chiffres de FireEye/Mandiant continuent de mettre en avant des délais élevés de découverte des intrusions, bien au-delà de l’Hexagone.
A ce niveau là, le référentiel de l’Anssi ne simplifie pas forcément les choses, de l’aveu même de Guillaume Poupard. Car si la mutualisation permet de gagner en efficacité, ce référentiel PDIS exige « un cloisonnement fort ». Il y a toutefois une bonne raison à cela : « on ne veut pas que les PDIS deviennent des agents de contagion entre leurs différents clients ».
Du côté de la réponse à incident, globalement, estime Guillaume Poupard, « on sait faire ». Pour autant, les qualifications de prestataire de réponse à incident (PRIS) se font attendre. Là, Airbus Cybersecurity, Amossys, Capgemini/Sogeti, Conix, Intrinsec, Lexfo, Orange, Thales, Wavestone, et encore XMCO sont sur les rangs. Mais selon nos informations, le marché apparaît en fait encore relativement peu demandeur : « le nombre de marchés officiels reste assez restreint, et c’est souvent en urgence », nous a ainsi glissé une source. Concrètement, il faut surtout compter, à ce stade, sur des accords cadre, signés par des grands groupes, avec une poignée de gros prestataires capables de proposer rapidement une couverture mondiale, mais rien de plus.
Mais répondre à ces questions, « ce n’est pas mon métier », explique Guillaume Poupard : « c’est aux PRIS eux-mêmes de voir comment vendre la prestation. Si c’est vendre uniquement des prestations en urgence, c’est prendre le risque de prestations très chères. On ne veut pas forcément de ça ». Et dans le même temps… tant que l’on n’a pas été victime, « payer des gens qui restent l’arme au pied, cela n’attire pas énormément ». Alors pour le patron de l’Anssi, il y a là « une question de maturité qui doit se développer pour obtenir le bon modèle ».
Et cela ne s’arrête pas là, car il faut tenir de la question des ressources humaines : « des experts inoccupés, ça coûte pour rien, et puis c’est quand les experts sont actifs qu’ils progressent dans leur métier ». En tout cas, en l’état, « il n’y a pas de modèle dominant ».
Enfin, pour « tous ces prestataires auxquels on va confier les clés sans trop savoir s’ils sauront les garder en sécurité », ceux responsables de l’administration et de la maintenance (PAMS), il va falloir s’armer de patience : « le sujet est complexe, car il y en a beaucoup ». Une consultation publique a été lancée sur une première version du référentiel, dont les retours sont attendus pour la fin de l’année. Ce ne sera qu’un point de départ.
Comme pour les précédents référentiels, Guillaume Poupard le reconnaît volontiers, « les référentiels de l’Anssi sont très exigeants. Mais le problème, c’est que lorsque l’on prend les règles une par une, on voit qu’elles relèvent du bon sens, et il n’y en a pas une à enlever ». Au final, « leur somme est assez forte ». Le prix de « la volonté de bien faire », même lorsque l’on essaie de s’attacher « à ne pas trop en faire ».