Il y a "encore de très gros efforts à faire" en matière de cybersécurité

"Nous avons enchaîné les crises en un temps record: sanitaire, économique, géopolitique, énergétique… Avec des attaquants de plus en plus professionnels." C’est par ce constat que Maria Iacono, directrice des Assises, a ouvert ce rendez-vous annuel des experts de la cybersécurité. Alors, que fait-on face à cela?

Pendant trois jours au Grimaldi Forum, les acteurs de la communauté "cyber" vont pouvoir s’interroger sur les problématiques actuelles et futures et faire émerger des solutions autour de la sécurité numérique pour l’entité la plus sensible de l’État jusqu’au citoyen, en passant par les entreprises du Cac40, les collectivités locales, les PME. Objectif: faire en sorte que chacun soit en mesure de se protéger des cyberattaques et que chacun puisse recevoir la protection qui lui est due. Car actuellement, le constat est simple: "On n’y est pas", a rappelé Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

Mais comment couvrir un champ de bénéficiaires aussi large? "Il n’y a pas de solution unique qui réponde à tout. Il faut faire en sorte d’adapter les idées. Dans les mois et les années à venir, nous avons un enjeu très fort à changer d’échelle. Notre cybersécurité ne passera par un domaine d’excellence mais par la capacité à traiter une mosaïque de sujets complexes simultanément", a enchaîné Guillaume Poupard, qui a dégagé huit thématiques essentielles.

La réglementation

"En l’espace de plus de 8 ans, j’ai acquis la conviction que bien utilisée la réglementation était efficace. Cette réglementation, on la porte aujourd’hui à l’échelle européenne avec la directive NIS2 [la révision de la directive Network Internet Security, permettant d’améliorer le niveau de sécurité des infrastructures critiques des États membres de l’Union Européenne, ndlr]." Une approche plus ambitieuse et plus homogène. "Il y a une vraie volonté des 27 et de la Commission [européenne] à avancer de pair sur la cybersécurité", a assuré le directeur de l’ANSSI.

Et d’ambitionner: "À nous maintenant de le transposer au niveau national. C’est ce qu’on va faire dans les mois qui viennent".

La prévention

"Nous avons encore de très gros efforts à faire pour permettre à chacun de prendre en main sa prévention." Si les grands groupes ont la capacité de gérer le risque, c’est plus complexe pour les collectivités locales, les petites ou moyennes entreprises (PME) et entreprises de taille intermédiaire (ITE). L’ANSSI va sortir dans quelques semaines "mon service sécurisé". Il s’agit d’une plateforme pour guider les acteurs publics dans la sécurisation et l’homologation de leurs sites web et applications mobiles. Ou "comment mettre des outils de sécurité à portée, certes de spécialistes, mais également du plus grand nombre".

Le sujet industriel

"Nous continuons à développer des référentiels de sécurité et de la qualification de services de sécurité. Nous avons notamment les prestataires d’administration et de maintenance sécurisée (PAMS) - qui administrent les systèmes sensibles - et les prestataires d’accompagnement et de conseil en sécurité (PACS) - qui conseillent sur les méthodes de gestion de crise - qui arrivent à maturité. L’idée c’est d’avoir très bientôt des process avec une liste de prestataires qualifiés vers qui on va pouvoir se tourner."

Le cloud de confiance

Le cloud? Un service de stockage de données à distance. "La souveraineté doit être une obsession. Les faits nous donnent raison dans plein de thématiques et le secteur numérique ne doit surtout pas y échapper puisqu’il est, de plus en plus, le support de tous les autres secteurs. La souveraineté c’est maîtriser les choses, décider de son avenir et ne pas être entre les mains des autres, adversaires - évidemment - ou alliés", a tranché Guillaume Poupard.

Le territorial

Il faut passer les solutions nationales à la bonne échelle en développant le territorial. "Grâce au plan de relance, on a notamment financé des "CSIRT régionaux" [un centre d’alerte et de réaction aux attaques informatiques, ndlr] dans l’objectif d’atteindre des cibles qu’on a du mal à atteindre : collectivités locales, ETI et PME. Aujourd’hui, 12 régions sur 13 ont contractualisé pour construire un CSIRT. Au niveau de l’Outre Mer, on développe des centres de ressources régionaux pour mutualiser les moyens."

Le plus grand nombre

Parler au plus grand nombre reste essentiel. "La plateforme cybermalveillance.gouv.fr doit être connue de chaque Français." Mais parler au plus grand nombre c’est aussi se tourner vers les livres.

Et le directeur de l’ANSSI de citer La cybersécurité par les nombres de Pierre-Luc Refalo et le roman L’armée d’Edward de Christophe Agnus, qui a reçu le prix du roman cyber 2022 hier. "C’est important de ne pas être que dans le formel."

L’écosystème

"L’écosystème s’agrandit et c’est formidable. Cela passe par les initiatives comme les campus, qui se développent dans différentes régions (comme le campus cyber à Paris). On est en train de construire les fondations et chercher des moyens de travailler différemment ensemble."

L’international

"On ne fera pas une cybersécurité efficace pour nos entreprises et nos concitoyens en étant franco-français. La coopération au niveau de l’Europe, de l’Otan n’est plus une option. On a besoin que chacun développe ses capacités pour ensuite les faire travailler ensemble. C’est comme ça que "1+1"fait 3."