samedi 15 juin 2019    || Inscription
BanniereNews
 
 
En ouverture ce mercredi des 14èmes Assises de la sécurité à Monaco, Guillaume Poupard, directeur général de l’Agence Nationale de la Sécurité des Systèmes d’Information, s’est félicité de la prise de conscience globale des enjeux liés à la cybersécurité et particulièrement son inscription dans la Loi de programmation militaire votée au mois de décembre dernier.

L’homme est grand, sec. L’allure est martiale. Et à lire son parcours estudiantin (X, cryptologie, physique), on s’attend à un exposé où la langue de bois sera reine. Ce ne sera pas le cas : Guillaume Poupard parle vrai, « cash » et saupoudre ses propos d’un humour pince-sans-rire du meilleur effet. 

Ainsi, rendant un hommage que l’on sent sincère à Patrick Pailloux, il indique vouloir inscrire son action dans la continuité de son prédécesseur, précisant que c’est « peut-être parce qu’il nous entend ». Cette phrase prononcée sur le même débit fait rire toute la salle eu égard aux nouvelles fonctions de M. Pailloux, lequel est désormais Directeur Technique de la DGSE.

Une perception qui a évolué

Plus sérieusement, M. Poupard rappelle que l’ANSSI délivre depuis l’origine une message alarmiste qui a longtemps été mal accueilli et il constate avec satisfaction une évolution. « La réalité des attaques et l’évolution technologique font qu’on ne plus le nier ; le faire serait totalement irresponsable ». Il constate que le pays entre désormais dans une phase d’action, que tout le monde a pris conscience des enjeux. « Il faut y croire, nous avons de bonnes raisons d’y croire et nous devons oser dire oui à une cyberdéfense efficace, ambitieuse, même face aux grands ». Bien évidemment il réclame plus de moyens pour mener ses actions mais vante le pragmatisme, l’action collective avec les acteurs de l’industrie, et rappelle le côté opérationnel et non pas seulement technique de l’agence qu’il dirige.

Il revient ensuite sur la Loi de programmation militaire affirmant que la France est le premier pays au monde à proposer une telle démarche pour la protection des infrastructures des Opérateurs d’Intérêt Vital (OIV). Il précise que plusieurs pays européens se sont moqués ou ont considéré qu’une telle démarche était impossible mais qu’ils ont révisé leur jugement : « on va voir des articles 22 de la LPM dans d’autres pays européens. Nous sommes le premier pays au monde à faire le choix d’une dynamique ambitieuse pour porter la cybersécurité dans les réseaux numériques au travers des OIV et considérer que ces OIV peuvent porter préjudice à la souveraineté nationale. Ce sont des mots forts. Le but est protéger le patrimoine scientifique et technique de notre pays, sa compétitivité, sa richesse, in fine ses emplois. Cela semble éloigné de la cybersécurité mais ce n’est pas le cas ». 

Des alliés mais pas d'amis

Peu après, il précise que notre R&D ne peut pas en permanence se faire siphonner par nos – il marque un temps – « amis ». Il souligne ensuite l’implication des acteurs concernés dans la définition de ces règles : Areva, EDF, GDF Suez, Suez Environnement, Michelin, Natixis, Veolia Environnement, Total, Saure mais également les ministères de l’Ecologie, de l’Intérieur, de l’Economie. L’objectif est d’avoir l’arrêté de ces règles courant 2015.

Une autre axe de travail est la remontée d’incidents. « Nous avons besoin à l’ANSSI d’énormément de remontées d’informations. Si un OIV est attaqué il n’est généralement pas le seul. Les attaques sont sectorielles (énergie, …) Les attaquants utilisent les mêmes outils. Donc quand ils attaquent ailleurs on peut mieux les bloquer si nous avons une notification d’incidents ». Il ajoute que l’article 22 de la LPM intègre la possibilité pour l’Etat de donner des directives en cas de crise majeure. « Il faut définir ce que cela veut dire en pratique », précisant que c’est un travail qui sera à mener dans les mois à venir avec l’ensemble des acteurs».

Cybersécurité : l'un des 34 plans de la nouvelle France industrielle

Un autre axe d'intervention de l’agence est un nouveau travail de certification non plus seulement sur les produits mais également sur les services, les structures et les personnes dans ces structures. « Nous allons publier les règles du jeu, les référentiels. Vous allez voir des appels à commentaires puis des référentiels qui vont indiquer ce que nous attendons et nous avons commencé avec les prestataires d’audit. Nous continuons avec les détecteurs d’incidents. Ce qui va amener la création d’un référentiel de réponse à incident : Que fait-on quand on découvre que l’on a été attaqué ».

Le second thème est celui de la politique industrielle, la cybersécurité figurant parmi les 34 plans de la nouvelle France industrielle. Là encore, rappelle M. Poupard, il s’agit d’un enjeu de souveraineté mais également une opportunité économique, ce qu’a parfaitement compris le ministère de l’Économie (lui-même victime dans le passé d’une importante attaque). Le groupe de travail met en scène des responsables de l’État, des acteurs privés, des offreurs de solutions (grands et petits), des représentants des utilisateurs, des syndicats professionnels. « Ce groupe hétérogène, limite hétéroclite, nous a permis d’identifier 4 axes : l'accroissement de la demande ; le développement d’offres de confiance ; l’export; l'opportunité sur certains marchés. La France offre une image de compétence et d’indépendance et de pérennité, de sérieux. Ils ne faut pas y aller tels les gaulois du village d’Asterix. Il faut être plus rigoureux face aux autres, et enfin intégrer la nécessité de renforcer le tissu industriel ».

Sécuriser les SI de l'Etat d'ici 3 ans

Ensuite, le patron de l’ANSSI rappelle la signature par le Premier ministre le 17 juillet dernier d’un décret sur la politique de sécurisation des systèmes de l’État, lesquels auront trois ans pour se mettre en conformité avec les règles édictées. « Vous serez surpris de la trivialité de ces règles. Mais elles sont nombreuses. Et c’est toute la difficulté. Il faut avoir des politiques fermes sur les produits qualifiés. Sur la localisation des données sur le territoire national. Notre message est le suivant : Oser une politique de sécurité à la hauteur des enjeux. Et vous aurez le soutien de l’ANSSI ». Questionné par notre confrère Nicolas Arpagian sur la réaction des directions informatiques face à cette loi, M. Poupard répond : « dans certains cas, ça va leur piquer les yeux, c’est évident »

Enfin, M. Poupard évoque la sécurisation des systèmes SCADA : « Les SCADA c’est mon cauchemar. Vous l’avez compris. Quand on voit ce qu’il est possible en simulation, cela fait très peur. Stuxnet a été une prise de conscience. On a précisé le concept de ce qu’était protéger un système industriel. Cela a été fait en anglais dans une optique de partenariat car c’est essentiel ». 

Il précise également le leadership nécessaire y compris et surtout dans une optique de coopération. « Pour bien coopérer il faut être crédible. Il ne faut pas être un pays suiveur. Nous devons être bons par nous-mêmes, de manière souveraine, avec nos industriels afin que nos partenaires aient envie de travailler avec nous ».




Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 119997
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS



Événements SSI

HACK IN PARIS

Pour sa 9ème édition la conférence Hack In Paris sur la sécurité IT se tient du 16 au 20 juin 2019 à Paris, Maison de la Chimie. Organisée par Sysdream.

LES ASSISES

Grand rendez-vous annuel des RSSI, les Assises de la sécurité des systèmes d'information se tiennent à Monaco (Grimaldi Forum) du 9 au 12 octobre 2019. Organisées par DG Consultants.

Présentation par l'organisateur



Retour sur Les Assises 2018

La 18ème édition des Assises de la Sécurité à Monaco, c’est terminé ! Encore merci aux 2800 participants dont les 160 partenaires qui pendant trois jours se sont retrouvés pour faire vivre cet événement unique en France. Conférences, one-to-one, tables-rondes, ateliers, moments de networking… Par leur contenu, par la qualité des visiteurs et par la richesse des échanges, les Assises se positionnent plus que jamais comme le rendez-vous incontournable de tous les professionnels de la cybersécurité. A l’image du marché qui ne cesse d’évoluer, les Assises savent adapter leur offre afin de répondre au mieux aux attentes du secteur. Ainsi cette édition a-t-elle voulu mettre en avant les grands enjeux du moment en multipliant les prises de parole, les démonstrations et les retours d’expérience.

Rendez-vous maintenant pour la prochaine édition qui aura lieu du 9 au 12 octobre 2019

Plus d'informations sur le site dédié à l'événement.

RSS