Cybersécurité (Assises de la Sécurité) : du mieux, mais encore beaucoup à faire
En ouverture des Assises de la Sécurité, Guillaume Poupard, le patron de l'Anssi s'est montré optimiste sur certains points. Mais il n'a pas caché ses préoccupations sur de nombreux autres.
Comme le veut la tradition des Assises de la Sécurité, c’est le directeur de l’Agence nationale pour la sécurité des systèmes d’information (Anssi) qui a ouvert l’événement, ce matin à Monaco. Et Guillaume Poupard n’a pas manqué de souffler le chaud et le froid. Car il y a bien du positif, selon lui.
Et cela commence par des RSSI qui lui semblent de plus en plus audibles dans leurs organisations. De quoi ouvrir la voie à des transformations numériques réussies, car sans sécurité, si l’on écoute simplement « les fous du roi » du numérique, elles peuvent être « dangereuses ».
Les attaques de grande envergure, presqu’une chance
Et si le message de l’importance de la sécurité semble passer de mieux en mieux, ce n’est peut-être pas pour rien : des épisodes comme WannaCry ou NotPetya plus tôt cette année ne sont pas sans aider la communication. Y compris lorsqu’il s’agit de faire comprendre que « chacun est une cible potentielle », même s’il ne s’agit que « d’éclaboussures d’attaques numériques ».
Mais il n’en reste pas moins « des questions complexes auxquelles je ne sais pas répondre en 140 caractères », relève Guillaume Poupard. Et cela commence notamment par la protection du « cœur même de la nation ». Là, pour lui, il y a la réglementation, portant sur les opérateurs d’importance vitale (OIV), bien sûr, mais aussi au-delà, avec la directive NIS dont la transposition en droit national doit intervenir d’ici au mois de mai prochain : les textes sont prêts, assure le patron de l’Anssi. La règlementation, pour lui, c’est d’abord un moyen de gagner du temps, pour convaincre dans l’entreprise avant les incidents. Parce qu’après, c’est facile : « l’ambiance n’est pas la même dans les Comex avant et après une attaque »… Plus d’un millier de système d’importance vitale auraient aujourd’hui été déclarés à l’Anssi, pour environ 250 OIV.
L’Enisa, super gendarme européen ?
Mais voilà, la protection de la nation et de ses intérêts apparaît difficilement faisable de manière isolée : le risque est par exemple qu’un groupe avec « un orteil » en Ukraine, comme avec NotPetya, ne reçoive des « éclaboussures ». Et pour certains, elles coûtent cher.
Guillaume Poupard mise donc pour une approche européenne, mais pas avec une Enisa – dont le mandat devrait être élargi – qui aurait pour mission de venir à l’aider de tout le monde : pour le patron de l’Anssi, ici sur la même ligne que son homologue allemand, le BSI, tous les états membres doivent monter en compétence. Car « si nos voisins sont moins forts que nous, les attaques viendront par là ».
Mais il y a aussi la question de la confiance, et notamment dans les outils. Et là non plus, ce n’est pas simple, car « il n’est pas raisonnable d’évaluer produit juste dans une approche de conformité, il faut tester sa sécurité ». Pas forcément tous les produits, car le prix de certains, ou la criticité limitée, ne le rendent pas nécessairement pertinent, ni envisageable. Mais pourquoi pas une auto-certification dans certains cas, et même un « visa Anssi ».
Et pour les services, de détection d’incident comme de réponse à incident, « c’est très dur de se faire certifier », assure Guillaume Poupard. Mais pour lui, c’est un prix à payer pour avoir un gage d’efficacité.
Une balkanisation en cours
Enfin, pour le patron de l’Anssi, coopération et partage d’informations – y compris entre public et privé – sont essentiels à la lutte contre les menaces. Il se dit même surpris de la qualité de la collaboration internationale lors des épisodes WannaCry et NotPetya.
Pour autant, les sources d’inquiétudes ne manquent pas. Déjà en 2012, certains alertaient sur les risques de balkanisation d’Internet, dans l’ombre de l’affaire Snowden. Aujourd’hui, pour Interpol, l’offensive américaine contre Kaspersky apparaît comme le signe d’une telle évolution. Mais pour Guillaume Poupard, il y a peut-être plus inquiétant encore, avec en particulier la logique du hack back envisagée par certain. Une idée à laquelle le patron de l’Anssi se dit opposé, « effrayé » même par ce qu’il qualifie d’abomination. Car l’attribution est particulièrement difficile. Et que la paix dans le cyberespace est un sujet clé, qu’il faut éviter d’en faire un espace de « conflit » où développer la confiance sera alors très difficile.