Search
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Guillaume Poupard, ANSSI : « Osez dire oui ! »

octobre 2014 par Emmanuelle Lamandé

En ouverture de la 14ème édition des Assises de la Sécurité, Guillaume Poupard, Directeur Général de l’ANSSI, est revenu sur les objectifs et ambitions de l’Agence. Pour lui, face à une menace bien réelle qu’on ne peut plus désormais nier, le travail doit se faire collectivement avec l’ensemble des acteurs, publics et privés. Il a également affirmé son ambition de prendre en compte tous les aspects de la cybersécurité technique et opérationnelle, publique et privée, au profit des grandes entités, des PME-PMI comme des citoyens.

La menace cyber est bien réelle, et impose une réaction forte. Dans cette lutte, chacun doit porter sa part de responsabilité. Nous sommes aujourd’hui à une date charnière, explique-t-il. Pendant longtemps, le message d’alerte sur ces risques était mal accueilli. A l’heure actuelle, personne ne peut plus nier la menace. On entre désormais dans une phase d’action. Il faut réagir et s’inscrire dans une démarche constructive.

Il faut dire oui à une cyberdéfense efficace, qui doit être ambitieuse et pragmatique. L’objectif est de mettre en œuvre des mesures concrètes, à court terme, mais qui auront aussi un impact sur le long terme. Pour ce faire, cette démarche se doit d’être collective.

Il souhaite également s’inscrire dans une stratégie de sécurité globale : l’ANSSI n’est pas qu’une agence au service de l’état. C’est une agence technique, mais aussi opérationnelle. Cette démarche globale se fait certes au profit des grands acteurs et des grandes entreprises, mais ce n’est pas parce qu’on parle d’OIV qu’on oublie les plus petites entreprises et les PME. Il faut trouver et proposer des solutions adaptées à chaque type de structure, sans oublier non plus le soutien apporté aux citoyens, dans la protection des données à caractère personnel par exemple. Ce qui marchera pour les PME ne sera pas forcément efficace pour les citoyens. Pour lui, les actions à ce niveau passeront avant tout par des principes de base, de l’éducation, y compris du numérique à l’école.

Notre but est d’accompagner les nouveaux usages, les interdire serait ridicule. Qu’il s’agisse de Smartphones, d’objets connectés… qui envahissent désormais notre quotidien, le rôle de la sécurité est de les accompagner.

LPM : une loi qui se veut pragmatique et applicable

En ce qui concerne la Loi de Programmation Militaire, la France est le premier pays au monde à avoir fait le choix de ce type de réglementation en matière de cybersécurité. L’objectif de la LPM est, en effet, de passer par la loi pour sécuriser les OIV, car leurs activités s’inscrivent directement dans des enjeux de sécurité nationale. Il s’agit donc de protéger la souveraineté de la nation, son savoir-faire, sa compétitivité, sa richesse et ses emplois. On ne peut pas se permettre d’avoir une R&D qui se fait « siphonner » en permanence par nos amis. D’autres pays sont d’ailleurs désormais en train d’y penser.

Nous sommes actuellement en train de définir les règles de sécurité qui seront imposées aux OIV, en collaboration avec différents groupes de travail réunissant ministères, entreprises... L’ANSSI tient les rênes, mais ces règles seront définies avec d’autres acteurs, y compris avec les opérateurs d’importance vitale eux-mêmes. En effet, si on veut que ces règles soient applicables, cela doit passer par un travail collaboratif. La définition de ces règles se fera dans le temps. De plus, ces règles ne seront pas génériques, car elles doivent coller au métier de chacun.

L’idée est d’utiliser la réglementation en bonne intelligence, qu’elle soit pragmatique, applicable et à la portée des acteurs. Les règles sont définies aussi pour aider les RSSI à avoir plus de poids par rapport aux DSI, aux décideurs…

Deux décrets d’application de la LPM devraient être publiés en fin d’année : un premier qui détaille l’article 22 de la loi et un deuxième sur la notion de prestataire qualifié. Plusieurs arrêtés paraîtront également au cours de l’année 2015. Toutefois, ces derniers ne seront pas figés dans un premier temps. Ce sont les règles fortes d’urgence qui s’imposeront tout d’abord afin d’élever le niveau de sécurité des OIV.

Nous travaillons aussi sur la remontée d’incidents de sécurité. Quand un OIV se fait attaquer, il est très rare qu’il soit le seul à l’être, d’où l’importance de la notification d’incidents. Les attaques sont le plus souvent détectées via l’Agence, les SOC, les services de renseignement, ou encore nos partenaires. Demain, la systématisation des remontées d’attaques permettra de mieux détecter les incidents et d’y réagir le plus rapidement possible de manière collective. Il faut effectivement être capable de détecter au plus tôt les attaques, le temps actuellement reste beaucoup trop long pour la majorité des entreprises. Disposer d’un système de détection efficient représente un aspect essentiel de la stratégie de défense : le but est d’avoir des capteurs, des moyens de corrélation et des acteurs capables de réagir très vite.

Des contrôles seront, en outre, effectués régulièrement, afin de s’assurer en permanence que les systèmes critiques sont protégés de manière continue.

L’objectif à terme est que les bonnes pratiques de la LPM puissent aussi se généraliser à tous les systèmes. C’est à la fois un travail d’équilibre, de concertation et d’efficacité qui nécessitera la concertation et la collaboration de nombreux acteurs. C’est un travail collaboratif.

L’ANSSI intervient aussi dans le conseil du choix des prestataires et des produits. L’objectif de l’Agence est de qualifier des prestataires reconnus comme acteurs compétents et de confiance. Cette qualification a commencé avec les prestataires d’audits (PASSI). Les acteurs qualifiés de confiance existent. La liste des PASSI en voie d’être qualifiés est disponible sur le site de l’ANSSI. Ils sont treize à ce jour. On attend un cas concret pour les certifier.

Cybersécurité : nous avons le tissu industriel, il faut maintenant l’organiser

Au niveau de la politique industrielle, nous avons besoin d’industriels et de prestataires de confiance, afin de mettre en œuvre la politique de cybersécurité de nos systèmes industriels. Il s’agit avant tout d’un enjeu de souveraineté. L’un des 34 plans sur la nouvelle France industrielle traite de cybersécurité.

Quatre grands axes sont à développer :
- L’accroissement de la demande : faire comprendre aux gens qu’ils ont besoin de se sécuriser
- Le développement d’offres de confiance
- L’export
- Renforcer le tissu industriel

On compte aussi sur le secteur industriel pour nous apporter des produits de sécurité à destination des PME. Nous disposons en France de tout le tissu industriel nécessaire pour atteindre ces objectifs. La question n’est donc pas de créer un tissu industriel, c’est de l’organiser.

La France doit pouvoir s’appuyer sur une industrie de la cybersécurité associant confiance, performance et pérennité dans un contexte de forte compétitivité internationale. La mise en place d’une politique industrielle à la hauteur de ces enjeux constitue une « nécessité », un « enjeu de souveraineté » et une « opportunité ». Elle doit s’appuyer, entre autres, sur un développement de la recherche et de la formation, sur la « qualification » de produits et de prestataires, ainsi que sur une approche coordonnée des marchés à l’export pour l’ensemble des acteurs.

En conclusion, Guillaume Poupard explique, à destination des responsables sécurité, qu’il faut oser mettre en place les règles que l’on édite. « Il faut avoir une position ferme sur l’emploi de produits et de services qualifiés. Osez une politique de sécurité à la hauteur des enjeux. Vous aurez le soutien de l’ANSSI pour cela. Osez développer des produits et services qualifiés. Osons travailler ensemble. C’est ce travail collaboratif qui fera avancer la sécurité dans le bon sens ». Enfin, un système efficace sera un système pour lequel on aura pensé la sécurité d’emblée, et identifié en amont les données qui sont sensibles ou non.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants