« Il faut que je vous dise… »
Guillaume Poupard, directeur général de l’ANSSI, a ouvert la 19e édition des Assises de la sécurité et des systèmes d’information. L’événement s’est tenu à Paris en octobre dernier. Il a insisté sur la nécessité pour les écosystèmes d’opérer leur transition digitale en matière de cybersécurité.
Lors de sa conférence inaugurale, le directeur général des Assises a refusé de parler de « guerre, même si la situation est conflictuelle à cause de l’agressivité de certains Etats » en matière de cybersécurité. Cela a des conséquences sur le fonctionnement des Etats, sur l’économie, et pour nos concitoyens. « La situation est grave », affirme Guillaume Poupard.
Opérer une transformation collective en matière de cybersécurité
Les acteurs majeurs de la cyber ne sont pas entendus. Une transition numérique généralisée est nécessaire. La complexité technologique exige une transformation rapide. « Il faut que tous les écosystèmes prennent conscience des problématiques de sécurité numérique », ajoute-t-il. Cette course à la sécurité informatique est un marathon permanent. Les acteurs doivent se transformer collectivement pour rester dans le peloton de tête.
Ces dernières décennies, les bases de travail visant à renforcer la cybersécurité en France sont bonnes et il faut les solidifier. C’est le cas de divers exemples de collaborations entre le privé et certains services de l’Etat. « L’alchimie fonctionne », se réjouit Guillaume Poupard. Public et privé qui travaillent ensemble démontrent l’existence d’un « bon modèle français ».
Beaucoup de démarches sont efficaces, par exemple les réglementations OIV (Opérateur d’importance vitale) et OSE (Opérateur de service essentiel). Les ressources sont bien utilisées par les structures publiques et privées.
L’innovation et la collaboration avec d’autres écosystèmes au cœur des projets
La cybersécurité représente un enjeu majeur pour les entreprises et les institutions. Pour résoudre cette problématique, la collaboration doit être au cœur des projets.
Un campus de la cyber en gestation
Parmi les projets en cours en France, il est possible de mentionner la création d’un campus cyber, une formule qui existe déjà chez des partenaires étrangers. Ce campus permettrait à des acteurs du public, du privé, des start-up, des chercheurs et des enseignants, de travailler à la transition numérique sécurisée. L’ANSSI est partie prenante de ce projet et trois grands industriels français sont déjà partenaires sur le dossier : Orange, Thalès et Atos. Reste à trouver un lieu pour implanter ce campus.
Créer de la synergie sur la question de l’open source
Guillaume Poupard insiste : « Il faut aller chercher les énergies ». Il faut communiquer autour des produits open source de cybersécurité, par exemple la boîte à outils ORC, qui permet de répondre à des incidents cyber. Il en va de même avec l’outil OpenCTI (Open Cyber Threat Intelligence) que les acteurs de la cybersécurité utilisent pour analyser les cybermenaces.
Les outils sont partagés sauf si l’on a une bonne raison de ne pas le faire. Ces outils désormais en accès libre donnent l’occasion de faire le point sur les forces et les faiblesses des professionnels de la cybersécurité. Le bilan est mitigé : sur le volet prévention et formation, les acteurs du numérique voient où ils vont.
Les réponses aux incidents sont performantes. Le talon d’Achille de la cybersécurité, ce sont les problématiques de détection des attaquants, qui peuvent être tapis pendant longtemps avant une attaque franche, et entre-temps, ils font beaucoup de dégâts.
Sensibiliser et former le grand public à la sécurité numérique
Les acteurs professionnels de la sécurité de l’information et des technologies doivent éviter l’entre-soi, en imprégnant d’autres domaines.
Il faut être vigilant à ne pas être étanche : c’est une erreur qui a par exemple été commise concernant l’Intelligence Artificielle. Mais la question la plus importante touche le grand public. « Comment fait-on pour développer cette hygiène informatique ? », interroge Guillaume Poupard, « des gens ne se lavent toujours pas les mains ».
L’ANSSI veut désormais faire passer son message sur la sauvegarde des fichiers, les mots de passe avec des campagnes illustrées sur le ton de l’humour. Il ne s’agit plus d’expliquer les bons réflexes de manière anxiogène ou moralisatrice.
Pour le jeune public, deux mots-clés doivent être retenus pour la sécurité digitale : formation et éducation. L’Education Nationale joue le jeu : « la mayonnaise prend avec des écosystèmes, pas forcément les moins réticents », constate Guillaume Poupard. Depuis quelques mois, l’Education Nationale travaille sur ce domaine.
Quel message, et à quel moment les enseignants doivent-ils en parler aux enfants ? Il y a déjà un acquis : le SNU (service national universel) contient déjà des modules dédiés à la cyber. Enfin, la formation à la transition numérique saine passe par le jeu. L’ANSSI a donc envoyé une équipe de jeunes formés pour un challenge européen du cyber.
Au-delà de l’aspect ludique, l’événement permet d’établir une coopération européenne informelle et d’ouvrir des carrières professionnelles dans le secteur informatique.
2020, année de réflexion intense pour l’ANSSI
En France, en plus du projet de campus cyber, est en train d’éclore à Rennes une structure du ministère des Armées dédiée à la cybersécurité. L’enjeu est crucial pour la France qui doit montrer sa solidité. « On est peut-être petit, mais on est parmi les grands », dit Guillaume Poupard. Autre point positif : en Europe, la problématique cyber revient en force, l’optimisme est de mise. Cela devient un outil pour certains sujets diplomatiques.
Quant à la scène internationale, même si certains voyants sont au rouge, plusieurs autres sont positifs. Les discussions ont repris à l’ONU. La prise de conscience est effective sur la cybersécurité. Un an après l’appel de Paris, il faut ordonner le cyberespace. Les 450 signataires doivent intégrer les questions de sécurité numérique. Mais surtout, il faut identifier ceux qui n’ont pas signé l’appel.
Les messages anxiogènes ne sont plus performants. Il faut accompagner ceux qui s’attaquent au sujet de la cybersécurité. Les professionnels doivent s’imposer, vendre la cyber et apporter des solutions. « Ceux qui vont s’enfermer dans leur rôle d’Apôtre de l’Apocalypse, ceux-là vont se faire corneriser », prédit Guillaume Poupard, « il ne faut pas qu’on devienne des dinosaures dans un musée ».
Intervenant : Guillaume POUPARD, ANSSI