FIC 2019 : l’Anssi décerne ses labels

Guillaume Poupard, directeur général de l’Agence nationale pour la sécurité des systèmes d’information (Anssi), l’avait glissé lors des Assises de la Sécurité, au mois d’octobre dernier, à Monaco : les premières qualifications PDIS – prestataire de services de détection d’intrusion – devaient être délivrées début 2019. Le Forum international de la cybersécurité (FIC), qui se déroule actuellement à Lille, en a été l’occasion.

A l’issue d’un processus décrit précédemment comme « douloureux, parce que les exigences sont très élevées », Orange Cyberdefense, Sogeti et SopraSteria sont donc les premiers heureux élus. Tous trois vont donc pouvoir proposer leurs services aux opérateurs d’importance vitale (OIV) pour leurs systèmes d’information d’importance vitale (SIIV), conformément à la règlementation en vigueur. Dans les travées du FIC, l’absence de Thales ou encore d’Airbus Cybersecurity, pour cette première liste de prestataires qualifiés, ne passe toutefois pas inaperçue.

Mais voilà, pour que démarre véritablement l’offre de services, encore faut-il que l’offre technique soit là. Deux sondes devaient être qualifiées par l’Anssi d’ici la fin 2018, celles de Thales et de Gatewatcher. C’était une notification faite aux Assises de la Sécurité. Elle attend encore de se concrétiser, mais cela ne devrait plus trop tarder : les annonces sont attendues pour le mois de février 2019.

Pour autant, l’Anssi continue d’avancer dans sa stratégie de qualification. Après les prestataires d’audit de sécurité (Passi) et de détection d’incidents, voire de réponse aux incidents (PRIS), l’agence prévoit de labelliser ceux d’administration et de maintenance sécurisées (infogérance, maintenance) – les PAMS. L’Anssi n’en est là qu’au tout début des travaux de définition du référentiel qui s’appliquera, à terme, à ces infogérants. Mais Guillaume Poupard évoquait déjà, à l’automne, des exigences de cloisonnement d’infrastructure ou encore de traçabilité individuelle des actions, ce qui risque de ne pas toujours passer sans grincement de dents.

Le directeur général de l’agence a également profité du FIC pour annoncer la première labélisation SecNumCloud. Dévoilée initialement fin 2016, cette qualification vise à identifier les fournisseurs de services cloud s’inscrivant dans une logique de cloud public souverain et reprend, pour ses exigences de niveau « essentiel », le référentiel Secure Cloud de 2014. Sur les rangs pour décrocher le label SecNumCloud, on trouve bien sûr Orange avec Cloudwatt, mais encore Outscale et Wordline. Mais le premier élu est Oodrive. Après beaucoup de travail, toutefois, à en croire Guillaume Poupard.

Enfin, Akerva, Sentryo, CDC Arkhinéo, Digital Security, Digitemis, Tixeo, ou encore Yes We Hack, ont reçu, à l’occasion du FIC, le label France Cybersecurity. Annoncé lors de l’édition 2015 de ce forum, par Axelle Lemaire, alors secrétaire d’Etat chargée du numérique, ce label est attribué après un examen collectif par l’Anssi, la Direction générale de l’armement, le Cesin, le Clusif, ou encore Hexatrust, notamment. A ne pas confondre avec les Visas de sécurité annoncés au mois de juin dernier.