Pour ses dernières Assises en tant que DG de l’ANSSI, Guillaume Poupard a fait un discours d’ouverture du salon sous forme de bilan et de recommandations pour son successeur. Il préconise de passer à une échelle plus grande sur les sujets les plus importants : la souveraineté et la coopération européenne, ainsi que les territoires.
Le rendez-vous annuel des professionnels de la cybersécurité s’est ouvert le 12 octobre à Monaco, après deux années éprouvantes pour les équipes de sécurité, qui ont eu néanmoins comme effet positif une prise de conscience généralisée de l’importance du triptyque à la base du fonctionnement des entreprises modernes : le numérique, de préférence dans le Cloud et dûment sécurisé.
Chaque édition du salon est l’occasion de faire le point sur les évolutions de l’année écoulée et sur les perspectives d’avenir. Sur ce dernier point, le directeur de l’ANSSI, Guillaume Poupard, a délivré un discours d’ouverture qui peut s’apparenter à une feuille de route pour son successeur. Il a ainsi souligné la nécessité d’une collaboration à tous les niveaux, nationaux et européens, pour passer à l’échelle sur un certain nombre de sujets « dans un contexte particulièrement difficile et qui met au défi notre manière de voir la cybersécurité et nos méthodes ». En clair, il demande à toutes les parties prenantes, gouvernements, entreprises, éditeurs, organismes de régulation et associations de professionnels, de globaliser et d’unir leurs efforts, car « l’enjeu est stratégique ». « L’élévation de notre niveau de cybersécurité passera également par le renforcement de la coopération européenne et avec l’OTAN ».
La cybersécurité ne passe pas par un seul domaine d’excellence
Le DG de l’ANSSI entérine par cette proposition le constat que le domaine est un empilement complexe de plusieurs technologies, de compétences diverses et variées, de réglementation et de formation : « La cybersécurité ne passe pas par un seul domaine d’excellence, mais plutôt par la capacité à traiter toute une mosaïque hypercomplexe de sujets ». Le changement d’échelle préconisé par Guillaume Poupard est ainsi une véritable « montée en collaboration » aussi bien à l’échelle intérieure de la France qu’au niveau des entreprises et de l’Europe.
« La cybersécurité ne passe pas par un seul domaine d’excellence, mais plutôt
par la capacité à traiter toute une mosaïque hypercomplexe
de sujets »
Il estime nécessaire d’agir simultanément à plusieurs niveaux afin d’aligner les prérequis à un numérique européen souverain et sécurisé. Le premier activé est la réglementation, qui permet la création d’un espace commun efficacement défendu contre les convoitises. « bien utilisée, la réglementation est efficace », a-t-il indiqué, en évoquant les négociations actuelles autour de la directive NIS 2. De ce point de vue, l’Europe est en bonne voie. Les transpositions de la directive dans les réglementations nationales vont permettre de constituer une avancée incontestable vers une sécurité numérique européenne.
Permettre à chacun de prendre en main sa prévention
La prévention est le second levier selon Guillaume Poupard, qui constate qu’il y a « encore de très gros efforts à faire, pour permettre à chacun de prendre en main sa prévention ». En effet, si certains groupes et entreprises contraintes (OIV, OSE…) ont fait de notables avancées sur le sujet, les organismes publics, les PME et les ETI doivent s’approprier le sujet. Pour les y aider, l’ANSSI va publier un guide pour les acteurs publics et les collectivités locales. Ce vade-mecum pratique permettra de mieux appréhender le déploiement d’outils et de technologies de sécurité cyber.
« Nous allons continuer à développer des référentiels de sécurité et de qualification et les services de sécurité (PAMS, PACS…) ». Il a ainsi rappelé le succès des qualifications comme le PASSI (Prestataires d’audit de la sécurité des systèmes d’information), le PDIS (Prestataires de détection d’incidents de sécurité) ainsi que les référentiels qui permettent de délimiter les périmètres applicatifs en fonction des prestataires vers qui les entreprises vont se tourner pour des solutions sécurisées.
La souveraineté, entre gaulois réfractaires et mondialistes défaitistes
Le DG de l’ANSSI a ensuite abordé la problématique du Cloud de confiance et de son corollaire, la souveraineté numérique. « J’ai hésité à en parler, a-t-il avoué, parce que nous sommes dans un système où il y a une espèce d’injonction de choisir son camps entre les gaulois réfractaires qui veulent être certains que chaque transistor et chaque bit a bien été conçu en France, par de bons Français, et ceux qui considèrent que tout est mondialisé et que toute approche souveraine est vouée à l’échec. Cette injonction est parfaitement insupportable, il y a un juste milieu ». Il préconise pour cela une approche pragmatique et ambitieuse, pousser les startups, les chercheurs et les industriels à être compétitifs. « Je reste convaincu que l’obsession de souveraineté européenne doit rester une obsession », a-t-il conclu.
« Cette injonction est parfaitement insupportable,
il y a un juste milieu »
Enfin, sur la question des effort vers les territoires, Guillaume Poupard a exprimé un mea culpa pour avoir concentré les efforts de l’ANSSI sur les acteurs critiques pour la sécurité nationale. « La question territoriale est essentielle, a-t-il affirmé, mais comment passer à l’échelle ? En reprenant les idées qui ont fonctionné au niveau national et les porter à un niveau territorial plus proche ». Il a évoqué les CSIRT régionaux financés grâce au Plan de relance et dont la dynamique a permis à 12 régions sur 13 d’en bénéficier.
Mourad Krim