Cybersécurité : Guillaume Poupard se voit en urgentiste
Dans son allocution d’ouverture des Assises de la Sécurité, le patron de l’Anssi a décrit une situation critique, que la loi permet de faire avancer. Sans être suffisante.
La métaphore du directeur général de l’Agence nationale pour la sécurité des systèmes d’information (Anssi), n’est pas engageante. Guillaume Poupard se voit ainsi dans la position d’un « messager urgentiste » : « on voit arriver les blessés, dans un état de plus en plus grave ». Ces blessés sont un peu comme des « gens qui font de la moto sans casque à 200 km/h sur autoroute ». Certains vont survivre, mais pas tous, « notamment les PME ».
Pour le patron de l’Anssi, la loi de programmation militaire (LPM) de décembre 2013 apporte une partie de réponse, en imposant aux opérateurs d’importance vitale d’au moins enfiler un casque, en espérant une propagation capillaire des bonnes pratiques. Plusieurs arrêtés sectoriels ont été publiés durant l’été. De quoi dire que « l’on est en fin de phase de build » et que l’on s’apprête à passer en « phase de run ». En essayant de « faire ça intelligemment avec des coûts maîtrisés ».
Mais les obstacles psychologiques paraissent encore nombreux : « souvent, lorsque l’on parle de la menace, on dit ‘c’est la fin du monde que vous annoncez ; il n’y a rien à faire ». Une posture défaitiste à laquelle Guillaume Poupard réplique : « non, on sait ce qu’il faut faire ». Certes, pour lui, la sécurité à 100 % relève de l’illusion, de quoi laisser « de la marque pour l’Anssi continue d’exister dans son rôle opérationnel ». Mais la logique est simple : « on prépare le pire de manière à ce qu’il ne se produise pas, ou à ce que l’on prêt à réagir efficacement ».
Et puisque « la sécurité est et reste l’affaire de tous », Guillaume Poupard estime que chacun a « un rôle très fort à jouer en termes de conviction, de pédagogie vis-à-vis de vos PDG, clients, et nous de nos ministres. Il faut expliquer les choses ». Et cela surtout parce qu’il s’agir de « sujets compliqués, arides ». Son rêve assumé ? « Convaincre les gens avant les drames ». Bien sûr, après… « c’est plus facile ».
La qualification d’offres de services de confiance vise à aider. Les prestataires d’audit ainsi labélisés sont de plus en plus nombreux au point que « si l’on m’avait dit ça au départ, je n’y aurais pas cru », relève le patron de l’Anssi. La certification des prestataires de détection d’incidents est quant à elle en phase « expérimentale ». Et cela semble parfois douloureux, à écouter Guillaume Poupard. Mais « cela a de la valeur parce que ce n’est pas simple ».
Mais la sécurité des systèmes d’information ne s’arrête pas aux frontières, qu’il s’agisse des OIV dont les réseaux peuvent s’étendre au-delà, ou des industriels du secteur. Le patron de l’Anssi est ainsi revenu sur la directive NIS, adoptée en juillet dernier, et qui « reprend beaucoup d’idées de la LPM ». Mais il a également évoqué une « vigilance » sur les traités commerciaux transatlantiques en cours de négociation, qui « traitent de questions numériques et de sécurité » et ne doivent pas être en contradiction, en définitive, avec « ce que l’on fait en France et en Europe », notamment en termes de certification.
Au-delà, si l’Europe de la cybersécurité reste à construire, pour Guillaume Poupard, les choses avancent. Et cela tout particulièrement depuis que la Commission européenne a annoncé un partenariat public-privé, centré sur la coopération dans la recherche et le développement en sécurité des systèmes d’information. Il bénéficiera de 450 M€ d’investissement.
Le patron de l’Anssi se dit en outre favorable à des partenariats avec des industriels en dehors de l’Europe : « toute forme de coopération intelligente, non naïve », où chacun doit « trouver sa place et son intérêt ». Ce qui ressemble à un clin d’œil au partenariat noué par Thales avec Cisco il y a quelques mois.