Guillaume Poupard appelle à l’unité mais reconnaît les lacunes de ses services
Dans un discours d’ouverture des Assises de la Sécurité en forme de bilan, le directeur général de l’Anssi a appelé à l’unité pour lutter contre les menaces informatiques.
« Tous ensemble, comme au Rugby. Les meilleures individualités ne sont rien si l’on ne joue pas en équipe ». C’est ainsi que Guillaume Poupard, directeur général de l’Agence nationale pour la sécurité des systèmes d’information (Anssi), a synthétisé l’idée principale de son discours d’ouverture de la 15e édition des Assises de la Sécurité qui se déroule actuellement à Monaco.
Pour lui, « la menace est effrayante » et un cas médiatisé comme celui de TV5 Monde, en début d’année, n’est que l’arbre cachant la forêt de cas d’attaques qui sont restés confidentiels. Et si le cyberespionnage semble dominer le paysage, l’inquiétude porte surtout sur les menaces susceptibles d’avoir un impact concret, potentiellement destructeur, sur des activités.
Et c’est ainsi que Guillaume Poupard a pu revenir, dans un bilan en forme de satisfecit, sur la protection des opérateurs d’importance vitale, les fameux OIV : « la liste en est secrète, mais vous savez de qui je parle. Désormais, avec la loi de programmation militaire, ils ont l’obligation de travailler ensemble avec nous ». Et de faire, à l’instar de Manuel Valls en janvier 2014 au Forum International de la Cybersécurité, le service après-vente d’une loi qui avait provoqué, à l’époque, l’ire des acteurs du numérique.
Pour le patron de l’Anssi, la LPM consacre « un mariage forcé. Certains réussissent, et je pense que c’est ce que l’on est en train avoir ». Et de souligner une convergence d’intérêts : « la sécurité est importante pour eux, mais aussi pour la Nation, et pour les citoyens ».
Les OIV au cœur des préoccupations
C’est donc en défendant une « approche réglementaire assez originale », que Guillaume Poupard a expliqué que les OIV et l’Anssi ont déjà fortement travaillé ensemble, dans douze domaines sectoriels différentes, pour définir « ensemble les règles de sécurité ». De quoi donner lieu à des « séances toujours correctes, mais parfois rugueuses » pour aboutir à des compromis « pour élever significativement le niveau de sécurité », tout adoptant une approche « supportable financière » et adaptée aux spécificités sectorielles. Ce qui se traduira par des arrêtés, « très bientôt. Les premiers textes sont quasiment prêts ». Ils sont ensuite appelés à être révisés régulièrement, tous les deux ou trois ans.
Dans ce cadre, l’Anssi exige des OIV la remontée de leurs indicateurs de compromission – « ce n’est pas pour identifier des mauvais élèves, c’est pour aider ». Mais de son côté, l’agence peine encore à répondre aux attentes dans l’autre sens, à savoir dans sa communication d’indicateurs de compromission : « on reçoit beaucoup, on doit donner plus », reconnaît Guillaume Poupard. Mais les freins sont nombreux et, parfois, certains indicateurs méritent de ne pas être communiqués afin d’éviter de « perde l’avantage » sur l’attaquant en le poussant à changer d’approche. D’où le besoin de « prestataires de détection capables de garder un secret ». Des sondes spécifiques sont en cours de développement pour cela.
Une cybersécurité à l’échelle européenne
Partant, il reviendra donc désormais aux offreurs de sécurité de présenter des solutions adaptées aux contraintes légales des OIV. Un travail déjà engagé au sein d’Hexatrust. Mais les efforts de certification de l’Anssi vont dans le même sens, en visant à aider les entreprises à choisir des prestataires de confiance. Plusieurs prestataires d’audit de sécurité sont déjà certifiés, d’autres sont en cours d’évaluation. Et si cela ne vas pas plus vite, c’est parce que la bande passante de l’agence ne le permet pas.
Ce qui n’empêche pas Guillaume Poupard d’être ambitieux : au-delà des prestataires d’audit, des prestataires de détection d’intrusion et de réaction aux incidents doivent plus tard être également certifiés.
Mais il faudra aller au-delà. Pour l’heure, comme le souligne le patron de l’Anssi, il s’agit d’une « démarche très nationale. Je le regrette, mais il faut commencer quelque part […] les réseaux ne s’arrêtent pas aux frontières ». Et l’illusion d’une quelconque « ligne Maginot » a fait long feu…
Alors comme le laisser déjà voir le Forum International de la Cybersécurité, en janvier dernier, l’extension de l’approche vise aujourd’hui l’Europe, en commençant par l’Allemagne, dont le ministre de l’Intérieur, Thomas de Maizière, était à Lille en début d’année. Et Guillaume Poupard de faire référence également à la future directive NIS sur la sécurité des réseaux et des informations : « concrètement, dans chaque pays européen, il y aura un acteur en charge des questions de cybersécurité. Tous devront travailler en réseau ».
… et au-delà
Mais il faut également compter avec le règlement eIDAS, sur les services d’identité et de confiance numérique : « nous sommes ravis que l‘Europe porte ces questions de sécurité ». Avec une réserve toutefois : « nous sommes vigilants de la tentation que certains pourraient avoir d’abaisser la sécurité en-deçà du raisonnable. Le niveau de sécurité s’adapter en fonction des applications, et pour la signature, nous portons le message – pas toujours entendu – qu’on ne fera pas ça avec seulement du logiciel et de la poudre de perlimpinpin. Ça ne marche ». Et de promouvoir l’adoption de « produits robustes ».
Mais il s’agit aussi d’aller au-delà du Vieux Continent. Pour Guillaume Poupard, la coopération internationale reste à étendre, sans que « cela soit contradictoire avec la souveraineté. On peut travailler avec nos grands alliés, même si parfois ils sont curieux ».
En attendant, le 16 octobre, en présence du premier ministre, Manuel Valls, l’Anssi présentera la stratégie française de sécurité du numérique.