Le Grimaldi Forum à Monaco accueille, du 11 au 13 octobre, le rendez-vous incontournable que représentent les Assises de la cybersécurité. Le top départ à été donné cet après-midi, lors de la conférence plénière. Voici les propos marquants tenus par les différents intervenants.
C’est Pierre Dartout, ministre d’État de la Principauté de Monaco, qui a eu le privilège d’ouvrir cette 23ème édition des Assises de la cybersécurité, qui se déroule en ce moment au Grimaldi Forum à Monaco. Après avoir évoqué un contexte international chargé sur le plan des conflits, notamment avec les derniers événements survenus en Israël, Son Excellence a rappelé l’obligation pour les experts en cybersécurité de réévaluer la pertinence de certaines analyses de risques ainsi que des mesures de sécurité en place. “La proposition de l’ONU d’établir un programme d’actions pour faire progresser le comportement responsable des États dans le cyberespace est toujours à l’ordre du jour, mais cela nécessitera de nombreuses années avant que les États s’accordent sur des mesures concrètes, sachant qu’à l’heure actuelle, il n’existe pas de définition commune des menaces et des comportements malveillants », a-t-il ajouté.
Pour lui, le fait que les campagnes de rançongiciels continuent de faire des victimes dans le secteur public et privé oblige à renforcer la sécurité des systèmes d’information pour faire face à ces attaques, “qu’elles soient perpétrées par des groupes cybercriminels, des acteurs paraétatiques ou étatiques. » La Principauté, tout comme les pays membres de l’Union européenne, va donc étendre le périmètre d’application des règles de sécurité à de nouveaux secteurs d’activité critiques, en référence à la transposition de NIS 2 prévue pour une entrée en vigueur en octobre 2024. “Monaco a décidé d’harmoniser son cadre réglementaire en matière de cybersécurité avec celui de NIS afin de garantir que les échanges avec l’Union européenne se déroulent dans les mêmes conditions de sécurité que sur le marché intérieur de l’Union, a précisé le Ministre monégasque. Mais nous sommes conscients des efforts demandés vu l’activité économique de la Principauté, qui repose sur un grand nombre de très petites entreprises, au nombre de 3067, de petites entreprises, 819 PME et 24 ETI. »
Travailler au décloisonnement des acteurs
Le Général Jean-Philippe Lecouff, directeur des opérations d’Europol, lui a succédé pour rappeler les avantages de la collaboration entre les États, notamment pour démanteler les réseaux Hive et Qakbot. Selon lui, ces enquêtes brisent le sentiment d’impunité des cybercriminels, compliquent leur activité et en dissuadent certains, avec un total de 450 opérations menées par l’EC3 (Centre Européen de lutte contre la cybercriminalité situé à La Haye, intégré à Europol et créé il y a 10 ans) en 2022. Le Général a également rappelé la mise à disposition de solutions gratuites, telles que la plateforme nomoreransom.org, qui fournit des solutions de déchiffrement pour 150 rançongiciels connus, recense 190 partenaires et est traduite dans 38 langues.
Le nombre de victimes ayant eu recours à la plateforme est estimé à… 6 millions ! “Et, puisqu’il est question de prendre de la hauteur [NDLR : Thème des Assises 2023], je dirais que nous devons impérativement travailler au décloisonnement des mondes de la cybersécurité et de l’investigation cyber, des mondes du public et du privé, et du monde des techniciens avec ceux qui prennent des décisions dans les entreprises ou dans le monde politique. Il faut que nous soyons unis, solidaires et alignés et que nous passions à l’échelle européenne, même si cela reste compliqué à mettre en place. Il faut enfin coopérer davantage au niveau international, même si certains cybercriminels bénéficient de la protection étatique », a conclu le Général.
Un carnet de route chargé pour l’ANSSI
Avant-dernier intervenant de cette plénière d’ouverture, Vincent Strubel, directeur général de l’ANSSI (Agence nationale de sécurité des systèmes d’information), a rappelé le défi de l’Agence, qui consiste à réussir le passage à l’échelle, ainsi que le nouvel enjeu qui s’ajoute aux menaces étatiques, à savoir l’enjeu sociétal, fait d’attaques massives, systémiques et opportunistes qui ne ciblent personne en particulier, mais touchent tout le monde, comme les petites entreprises, les hôpitaux et les collectivités. “Nous devons soutenir ces petits acteurs que nous avons peu accompagnés jusqu’à présent, qui disposent de peu de ressources, nous préparer pour les crises majeures et faire tout cela sans perdre de vue ce que nous savons déjà faire, à savoir traiter les menaces stratégiques avec des opérations sur le long terme. C’est passer à l’échelle sans renier nos principes. » Un objectif donné par la Revue Nationale Stratégique, qui consiste à doter la France d’une cyber résilience de premier rang. Pour le directeur général de l’ANSSI, “tout cela implique de faire plus et mieux ce que nous faisons déjà, gagner en efficacité opérationnelle. La LPM a conféré de nouvelles capacités et de grands pouvoirs, qui imposent de grandes responsabilités. Tout le monde en est conscient à l’ANSSI, même ceux qui n’ont pas le ref’ ! » Cela implique, pour lui, d’élargir la couverture réglementaire.
Et, à cet égard, NIS 2 devrait beaucoup aider. “C’est un chantier très structurant qui mobilise de nombreuses personnes, avec des consultations qui ont débuté en septembre, un projet de loi qui devrait être présenté au Parlement au printemps, et une multiplication par 10, 20 ou 30 du nombre d’acteurs régulés. Le fait que nous ne puissions donner un nombre précis est un indicatif », note Vincent Strubel, qui a rappelé l’autre chantier majeur qu’est celui des JO, avec une échelle différente en termes de gestion de crise majeure.
L’importance de rester humble
Pour conclure, il a souligné l’importance des CSIRT (Computer Security Incident Response Team), des acteurs nouveaux qui ne font pas l’unanimité dans le milieu de la cybersécurité, mais qui, d’après lui, “apportent davantage de complémentarité que de redondance et offrent une aide précieuse à l’ANSSI et aux autres acteurs centraux, tels que cybermalveillance.fr. Je préfère la redondance aux lacunes dans notre approche. » Le chef de file de l’Agence a également rappelé la nécessité d’améliorer la collaboration avec les acteurs du cloud, avec qui il faut conjuguer les exigences techniques et opérationnelles aux critères de droit applicables aux données : “C’est l’objectif de SecNumCloud. Il reste encore du travail à accomplir pour définir la gradation des niveaux de sécurité dans le cloud afin d’accompagner les utilisateurs. Nous avons besoin de tous, et je sais que nous pouvons compter sur votre soutien ! Nous avons beaucoup à apporter et à apprendre, il est donc essentiel de maintenir une attitude humble. Nous avons la chance d’évoluer dans un domaine où l’humilité doit être constamment présente, sous peine de courir à l’échec. »
Sabrine Gui, présidente d’honneur des Assises, directrice du groupe cybersécurité et gouvernance IT chez URW, et administratrice du Cesin, a clôturé l’événement en rappelant que les Assises de la cybersécurité demeurent un rendez-vous incontournable pour tous les acteurs de la cybersécurité. Cet événement permet notamment d’échanger sur des questions d’actualité, telles que l’IA générative, qui suscite de nombreuses interrogations, et de faire avancer la problématique de la pénurie de talents, qui peine à trouver des solutions.