Assises de la sécurité : les premières leçons à tirer de la guerre en Ukraine
L’édition 2022 restera indubitablement marquée du sceau de la guerre en Ukraine. Outre les groupes mafieux et escrocs de tout poil, l’origine de la menace cyber évolue. Le domaine s’est fait champ de bataille entre États dont les civils et les entreprises sont au moins victimes collatérales.
La vingt-deuxième édition des Assises de la sécurité a ouvert ses portes ce mercredi au centre de conférences Grimaldi de Monaco. Après une crise sanitaire, économique et aujourd’hui énergétique, ce sont les conséquences de l’invasion de l’Ukraine qui étaient dans tous les esprits. La plénière était animée par Guillaume Poupard, le directeur général de l’Anssi sur le départ, ainsi que par Christian-Marc Lifländer, directeur de la section cyberdéfense de l’OTAN et Thierry Auger, le CIO et Group CISO du groupe Lagardère, président des Assises 2022.
L’électrochoc qui a sorti l’OTAN de sa mort cérébrale
Le représentant de l’OTAN a immédiatement posé les enjeux de la cyber en 2022 : « nous faisons face à de profonds changements et la cyber joue un rôle clé aujourd’hui. On a pu voir que la cyber a joué un rôle central dans la guerre en Ukraine, afin de détruire les capacités de communication de l’Ukraine et mener des campagnes de désinformation. Nous avons observé des campagnes de diffusion de malware de type Data Wiping dont certaines ont dépassé les frontières de l’Ukraine. L’attaque sur le réseau satellitaire Viasat a touché de nombreux utilisateurs dans toute l’Europe. Il y a aussi eu des attaques sur le réseau électrique ukrainien qui ont échoué. C’est aussi un avertissement sur la sécurité des infrastructures des pays qui apportent leur soutien à l’Ukraine ».
Outre une prise de conscience du rôle éminemment stratégique de la cybersécurité, le responsable de l’OTAN a appelé à une intensification de la coopération internationale et à l’adoption d’une approche plus proactive de la sécurité. Puisque la menace est impossible à éradiquer complètement, les États et les entreprises doivent accroître leur résilience. Mais il convient aussi de multiplier les coopérations entre États et entre le public et le privé pour faire front.
Très politique, Christian-Marc Lifländer a aussi rappelé qu’il ne fallait pas brader les enjeux à long terme au profit de décisions à court terme. Un avertissement qui porte sur le choix des partenaires des Européens dans le monde de l’énergie, dans l’exportation de technologies avancées comme l’IA, ou encore l’achat de technologies 5G étrangères. « Il faut reconnaître que nos choix économiques ont des conséquences pour notre sécurité et que la liberté est plus importante que la liberté des échanges commerciaux », a-t-il asséné.
Thierry Auger, président de l’édition 2022 des Assises de la sécurité a souligné : « un groupe comme Lagardère se compose de grosses structures comme de plus petites et nous avons besoin de l’Anssi ; nous avons besoin de l’accompagnement de l’Europe pour toutes ces structures. Cet accompagnement par des responsables sectoriels, la mise à disposition de référentiels de sécurité est extrêmement importante. En parallèle, nous avons besoin d’une visibilité sur ce qui se passe au niveau international. En externalisant certaines fonctions, les grandes entreprises ont parfois perdu de la visibilité. Il faut aujourd’hui changer de dynamique, intégrer dans nos analyses de risque de nouvelles données. La guerre en Ukraine nous a bien montré que nous n’étions pas assez attentifs à certaines choses ».
Le CISO du groupe Lagardère a notamment évoqué une attaque par Wiper sur une des filiales du groupe en Europe de l’Est et une demande de rançon de 20 millions de dollars pour des données qui n’avaient même pas été exfiltrées par les attaquants avant leur effacement…
Un autre fervent défenseur du renforcement de la coopération internationale, c’est Guillaume Poupard. Le directeur général de l’Anssi a bien souligné que la cybersécurité n’est pas une problématique franco-française et que la coopération au niveau de l’Europe et de l’OTAN n’est plus une option : « dans les années à venir, nous aurons un enjeu très fort ; c’est celui de changer d’échelle dans de nombreux domaines. On ne commence pas aujourd’hui, mais c’est ce changement d’échelle qui nous permettra d’atteindre l’objectif d’apporter à chacun les moyens de se protéger ».
Guillaume Poupard esquisse les chantiers futurs de l’Anssi
Le responsable a égrainé une mosaïque de domaines sur lesquels la France devait « changer de braquet ». La réglementation, domaine fétiche du directeur général de l’Agence, est un chantier bien avancé en France et en Europe. La directive NIS 2, adoptée au niveau européen, doit maintenant être transposée dans le droit français. L’autre chantier cyber où il reste le plus à faire est sans doute celui de la prévention.
La réglementation a joué son rôle clé auprès des OIV et des OSE, mais il faut agir auprès des collectivités locales, PME et ETI, encore bien trop souvent démunies face au risque cyber : « demander à ces acteurs de mener une analyse de risque et d’homologuer leurs systèmes, on se heurte à un mur d’incompréhension. Dans quelques semaines, nous allons lancer Mon Service Sécurisé, un service en ligne très simple qui vise à guider notamment les acteurs publics, les collectivités ». Ce futur site vise le pragmatisme et la simplicité pour sécuriser les services en ligne des municipalités, le cœur de cible de cette action. Celui-ci est en cours de création par une start-up d’État du programme Beta.gouv.
Parmi les autres chantiers évoqués par Guillaume Poupard figurent les référentiels de sécurité destinés à l’industrie, ainsi que le véritable serpent de mer qui réapparaît régulièrement depuis une dizaine d’années, le cloud souverain. La position du patron de l’Agence est pour le moins tranchée : « il y a une injonction à choisir son camp entre celui des Gaulois réfractaires, défenseurs d’un cloud conçu en France par des bons Français, et ceux qui considèrent que ce secteur est totalement mondialisé et que toute démarche souveraine est vouée à l’échec et critique vis-à-vis des accords commerciaux. Il y a un juste milieu ».
Si le directeur général de l’ANSSI estime qu’il faut bien cultiver une obsession de la souveraineté européenne dans le domaine du numérique, de plus en plus le support de tous les autres secteurs, Guillaume Poupard a une définition de la souveraineté bien à lui : « la souveraineté c’est pouvoir décider de son avenir et ne pas monter les uns contre les autres. Il faut une approche très pragmatique et ambitieuse, pousser les start-up, les chercheurs, les industriels et avoir une approche technologique qui soit la plus rationnelle possible. Dans le domaine du cloud, nous nous sommes posé la question de cette rationalité et c’est ce qui a abouti à SecNumCloud ».
Guillaume Poupard a évoqué diverses autres actions à mener, notamment au niveau territorial à l’image de la création de 12 CSIRT régionaux, du besoin de parler cyber au plus grand nombre et enfin de cultiver les écosystèmes en région notamment des campus en région pour reproduire le succès du cyber campus parisien.
Jusqu’à quand Guillaume Poupard sera-t-il aux commandes de l’Anssi pour mener à bien tous ces chantiers ? Le « Monsieur Cybersécurité » de l’État français est resté muet sur le sujet.