Guillaume Poupard, directeur de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), ouvre les Assises de la Sécurité, événement phare de la cybersécurité qui se déroule à Monaco du 30 septembre au 3 octobre, avec une conférence intitulée « Agir Ensemble ». Trois questions pour comprendre avec lui les nouveaux enjeux de la sécurité.
Votre conférence qui ouvre les Assises de la Sécurité se nomme « Agir Ensemble ». Un message fédérateur pour une prise de conscience générale, tant des institutions, que des entreprises, et des fournisseurs, face aux risques actuels ?
Il est primordial d’avoir un message qui ne soit pas basé uniquement sur l’angoisse et la crainte face aux risques, même si ces derniers n’ont jamais été aussi importants, tout comme leurs conséquences. L’objectif est de dire et d’expliquer que face à ces risques, des moyens efficaces de réagir existent. La seule solution, vu l’ampleur de la menace, est de mettre en place une action collective. Celle-ci implique les services de l’Etat comme l’ANSSI qui a un rôle important à jouer mais également les industriels offreurs de solutions de produits ou de services, et également les victimes potentielles.
“Il est nécessaire et primordial que chaque entité, en fonction de son analyse de risque, soit capable de prendre en main sa propre sécurité”
Il faut prendre conscience du fait que l’Etat seul ne peut pas protéger tout le monde en matière de cybersécurité. C’est un modèle qui ne fonctionne pas car l’application au juste niveau de chacun est indispensable. Il est nécessaire et primordial que chaque entité, en fonction de son analyse de risque, soit capable de prendre en main sa propre sécurité, et de s’appuyer sur les apports des services de l’Etat comme l’ANSSI, ou bien des prestataires qualifiés que l’Agence promeut, de manière à construire une sécurité efficace de leurs systèmes d’information.
Les PME sous-traitantes des grandes entreprises détiennent elles aussi des informations critiques. Elles peuvent donc être la cible des hackers, comme porte d’entrée. Où en est la prise de conscience des PME face aux différents risques actuels ? Ne faut-il pas créer une collaboration entre ces grandes sociétés et leurs partenaires pour les aider à mieux se protéger ?
Les PME sont en effet au cœur des débats. Elles sont, sans forcément le savoir, les victimes les plus touchées par les attaques informatiques. Elles suscitent un fort intérêt de la part des cybercriminels car elles souvent vulnérables. Il faut donc leur apporter des solutions qui soient crédibles et pragmatiques. Ce serait un non-sens de dire à une PME qu’elle doit être sécurisée comme un grand groupe, ou un opérateur d’importance vitale. A titre d’exemple évident, une entreprise de dix personnes n’est pas en mesure de nommer un DSI ou un RSSI.
“L’ANSSI travaille à la qualification de prestataires de confiance auxquels pourront se référer les PME ainsi qu’à l’émergence de solutions commerciales adaptées”
Les PME doivent être sensibilisées aux risques qu’elles encourent. En effet, beaucoup d’entre elles n’en ont pas conscience car elles n’ont pas accès à ces informations. L’ANSSI joue un rôle déterminant dans la circulation de l’information. L’agence a, par exemple, récemment publié un guide, en partenariat avec la CGPME, regroupant 12 règles essentielles de sécurité informatique pour les PME. L’application de ces règles permettrait d’élever considérablement leur niveau de sécurité. Les PME doivent déployer une solution de sécurisation répondant à leurs besoins et à leur budget. L’ANSSI travaille ainsi à la qualification de prestataires de confiance auxquels pourront se référer les PME ainsi qu’à l’émergence de solutions commerciales adaptées.
Mais l’ANSSI n’est pas la seule à jouer un rôle dans la sécurisation des PME. Les grandes entreprises, avec lesquelles elles travaillent, ont aussi tout intérêt à les sensibiliser à la sécurité informatique, pour que l’ensemble de l’écosystème partage le niveau de sécurité nécessaire. Dans le cadre de la loi de programmation militaire, les opérateurs d’importance critique ont l’obligation de retranscrire les règles de sécurité qui s’imposent à eux dans leur contrat de sous-traitance.
Les systèmes industriels vont évoluer vers des environnements à base d’objets connectés : comment l’ANSSI appréhende-t-elle cette évolution ?
Depuis quelques années nous ne pouvons plus passer à côté du numérique et des systèmes d’informations qui se développent. L’objet connecté en est l’évolution naturelle et logique.
“Ces évolutions ont créé de nouvelles vulnérabilités qui n’existaient pas et dont l’émergence a été mal anticipée”
A l’origine, les systèmes industriels étaient des systèmes isolés, voir électro mécaniques qui se sont informatisés de manière massive avec la mise en œuvre de SI permettant la surveillance et la maintenance à distance.
Ces évolutions ont créé de nouvelles vulnérabilités qui n’existaient pas et dont l’émergence a été mal anticipée. Sur cette nouvelle édition des Assises de la Sécurité et des Systèmes d’Information, nous allons aborder le sujet des systèmes industriels car les conséquences potentielles en termes d’attaques sont très importantes.
>>>>> Cliquez ici pour en savoir plus sur 4 conférences à ne pas manquer aux Assises de la sécurité
Pour l’ANSSI, les objets connectés ne représentent pas une nouvelle menace d’un point de vue technique. Lorsque l’on étudie de plus près l’informatique embarquée d’un objet connecté, on retrouve les systèmes d’exploitation les plus connus, avec des vulnérabilités, des problèmes de mises à jour, des enjeux de protection de l’information, que ce soit pour le stockage d’information ou pour les communications. Il faut donc transposer ce que l’on connaît déjà à cet univers des objets connectés en s’adaptant à de nouvelles contraintes.
