Accueil Cybersécurité Assises de la sécurité 2016 : « La sécurité, une question...

Assises de la sécurité 2016 : « La sécurité, une question de souveraineté nationale », Guillaume Poupard, ANSSI

Assises de la Sécurité 2016
Assises de la Sécurité 2016 - Extérieur

Cette année encore, Solution-Numériques suit Les Assises de la Sécurité. Des Assises qui battent de nouveaux records en termes de nombre d’exposants et de participants. Extractions massives de données, rançonnage, attaques par saturation ou encore hacktivisme et terrorisme, jamais les menaces n’ont été aussi nombreuses. L’ANSSI, par la voix de son directeur Guillaume Poupard, apporte la réponse de la France.

La 16ième édition des Assises de la Sécurité a ouvert ses portes ce matin à Monaco avec le discours de Guillaume Poupard, directeur de l’ANSSI. Devant les 2 600 participants, le responsable de l’agence nationale de la sécurité des systèmes d’information a explicité les 3 axes de son action.

uillaume Poupard, ANSSI
Tribune de Guillaume Poupard, ANSSI, Assises de la sécurité 2016

« Ma démarche est  tout d’abord souveraine. La cybersécurité reste une question de souveraineté nationale. Nous ne l’oublions pas et c’est une des raisons d’être de l’ANSSI. Nous avons aussi une démarche européenne. On entend souvent un discours sur l’Europe  qui peut être critique, naïve parfois. Pour ma part, je reste persuadé que L’Europe est l’une des pistes afin d’avoir une meilleure cybersécurité en France et ailleurs. Enfin, nous avons une démarche d’ouverture. La cybersécurité ne peut se cantonner à un cénacle d’experts mais aller vers une approche transverse. »

La loi relative à la sécurité des OIV entre en application

Sur le volet souveraineté, Guillaume Poupard est revenu sur le travail mené auprès des OIV (Opérateurs d’Importance Vitale) afin de pouvoir mettre en œuvre l’article 22 de la Loi de Programmation Militaire., l’article qui imposent aux entreprises qui exploitent  une installation d’importance vitale pour le pays de muscler leur cyberprotection.  « L’article 22 devient opératoire après la publication des décrets et d’arrêtés sectoriels. Les règles de sécurité vont progressivement s’imposer à nos opérateurs d’importance vitale, que ce soit dans l’énergie, les transports, les finances, la santé, etc. Un travail énorme a été mené avec les opérateurs eux-mêmes. Comme le diraient les informaticiens, nous sommes aujourd’hui en fin de phase de « build » et nous allons pouvoir entrer en phase de « run ». »

Outre le volet réglementation relative aux OIV, l’ANSSI qualifie les solutions. Pour différent métiers nous fixons les règles et des référentiels qui sont publics et sur la base du volontariat, on évalue la capacité des acteurs à suivre ces règles. »  Le bilan est jugé plutôt bon par Guillaume Poupard qui a donné quelques chiffres relatifs à ce processus. Dans le domaine de l’audit de sécurité, 20 prestataires d’audit des systèmes d’information (PASI) ont déjà été agréés, 14 autres sont en cours d’évaluation. Dans le domaine de la détection d’incident, 8 prestataires ont été sélectionnés pour tester le référentiel qui est encore en phase d’expérimentation,  6 prestataires font de même avec le référentiel relatif à la réaction aux incidents.

L’ANSII veut certifier le niveau de sécurité des prestataires Cloud

Autre domaine clé sur lequel travaille aujourd’hui l’ANSSI, le Cloud Computing. « Dans un domaine un peu plus compliqué et connexe à ces travaux, nous mettons en place une démarche afin de pouvoir s’assurer que les prestataires offrent des services d’un haut niveau de sécurité ou plutôt un niveau de sécurité adapté. Cela doit permettre d’utiliser ces technologies à un niveau raisonnable et sûr et sortir du discours qui consiste à simplement dire que c’est dangereux. » Le référentiel d’exigence pour les prestataires Cloud de l’ANSSI, encore au stade expérimental  est actuellement testé par 9 prestataires  volontaire. Ce référentiel de sécurité du Cloud qui devrait compter deux niveaux devrait être finalisé en fin d’année et le processus de certification des services Cloud sera pleinement opérationnel à partir de 2017.  Cette démarche de qualification n’est pas une démarche de protectionnisme a tenu à rappeler Guillaume Poupard, « C’est une démarche de sécurité, ouverte notamment aux prestataires étrangers. J’ai eu de nombreuses discussions avec des acteurs non européens du Cloud qui, de plus en plus, installent leurs datacenters en Europe. Certains ont été très allants, d’autres n’avaient pas compris la démarche et sont venus avec des coquillages et de la verroterie, nous leur avons fait comprend que ce n’était pas la bonne approche. C’est un processus qui démarre, pour les prestataires, c’est difficile, ça pique les yeux de certains car c’est compliqué de faire de la sécurité sur des technologies Cloud, mais je pense que cela tire ce marché vers le haut et ce sera au bénéfice de leurs clients mais également pour les prestataires vertueux. »

 

Auteur : Alain Clapaud