Assises de la sécurité : Guillaume Poupard ne cache pas ses préoccupations
Le patron de l’Anssi appelle à en finir avec les messages anxiogènes. Il souligne l’importance d’une approche progressive pour les opérateurs de services essentiels. Il s’inquiète de la menace qui pèse sur les ETI.
L’intervention de Guillaume Poupard, en ouverture des Assises de la Sécurité, qui se déroulent cette semaine à Monaco, a surpris, par ses airs de bilan. Mais pour le directeur général d’une agence nationale de la sécurité des systèmes d’information (Anssi) qui vient de fêter ses dix ans, ce n’est pas exactement une surprise. D’autant plus lorsque c’est l’occasion de se pencher autant sur ce qui a été fait, que sur ce qui reste à faire.
Et l’un des premiers de chantiers ouverts concerne la détection des incidents. Une étude Wavestone vient tout juste de le quantifier ; les prestataires de détection qualifiés (PDIS) sont encore peu nombreux ; mais pour Guillaume Poupard, c’est une certitude : dans la détection, « on est faible, collectivement ». Et le patron de l’Anssi d’évoquer l’inquiétude que soulève la capacité des assaillants à passer durablement entre les mailles des filets. S’il le reconnaît les difficultés, notamment en matière de mutualisation, pour lui, il faut « être plus efficaces », car « le talon d’Achille sera la capacité à détecter ».
Vient ensuite un constat, bien connu depuis plusieurs années, le message de la cybersécurité n’a pas encore « été porté au bon niveau » dans le grand public. Pour Guillaume Poupard, l’analphabétisme reste prononcé, beaucoup trop en matière de sécurité numérique – et cela vaut aussi pour les experts-citoyens : « il faut d’ailleurs parfois que l’on s’interroge nous-mêmes sur nos pratiques ». En fait, c’est bien simple, pour ce qui est de l’hygiène informatique, « les gens ne se lavent pas encore les mains ».
Mais pas question de verser dans la communication de la peur : pour le cybermoi(s), l’Agence a choisi la carte de l’humour afin de sensibiliser autour de « messages simples – mots de passe, mises à jour, sauvegardes ». « Moi, je ne sais pas descendre en dessous », ironise Guillaume Poupard. Au-delà, le patron de l’Anssi évoque des efforts encourageants avec l’éducation nationale. Le sujet n’est d’ailleurs pas nouveau : il était déjà évoqué début 2018 à l’occasion du Forum International de la Cybersécurité (FIC). Mais aujourd’hui, Guillaume Poupard assure avoir bon espoir de voir les efforts se concrétiser à la rentrée prochaine.
Pour lui, il n’y a pas qu’avec le grand public qu’il faut éviter le marketing de la peur pour promouvoir la cybersécurité : cela vaut également vis-à-vis des professionnels, des entreprises, et de leurs directions, jusque dans les métiers. Là, Guillaume Poupard appelle à en finir avec les messages anxiogènes, il faut « aider, pas juste faire peur ». Car pour lui, « continuer à agiter la terreur, je ne pense pas que ce soit efficace ». Alors, oui, « il faut expliquer, mais ça ne sert à rien de faire peur. On doit devenir l’ami, le sauveur, l’aidant. Il est là le challenge. On doit avoir un discours positif », et « apporter des solutions ».
Mais la communication n’est pas le seul défi dans un monde où les évolutions sont si rapides qu’anticiper à 5 ans relève déjà de la gageure : la ressource disponible pour apporter les solutions reste limitée. D’où, notamment, la prudence de l’Anssi dans la désignation des opérateurs de services essentiels (OSE) – 122 toujours depuis près d’un an. Et encore, pour commencer, l’agence a regardé en particulier du côté des opérateurs d’importance vitale (OIV), plus faciles à accompagner.
Ce choix n’est pas un hasard, mais le fruit d’une approche pragmatique car l’objet « n’est pas de mettre les gens dans l’embarras ». Et justement, « désigner il y a un an 1000 OSE, cela aurait fait éclater le système », faute de ressources suffisantes pour assurer l’accompagnement nécessaire… ou encore d’une offre de prestataires correctement dimensionnée : « la demande et l’offre doivent se développer progressivement. Faire x3 ou x4 en un an n’est pas possible parce qu’on n’a pas la ressource humaine pour ça ».
Mais l’Anssi ne limite pas ses interventions aux OIV et OSE : « plus de la moitié des entreprises que l’on aide » ne sont ni l’un ni l’autre. Et c’est une double source d’inquiétude. D’une part parce que cette aide n’est possible que si les ressources de l’agence ne sont pas mobilisées par des crises affectant des acteurs critiques. Et d’autre part parce qu’il y a toute une frange d’entreprises qui représentent une véritable « zone de flou », les ETI.
Pour Guillaume Poupard, pour les TPE et les PME, la situation est appelée à s’améliorer de manière mécanique à mesure que les offres s’améliorent – ainsi, par exemple, « le cloud, si c’est bien fait, est une solution pour elles » – car ces entreprises n’ont pas vocation à faire de l’informatique, mais à l’utiliser. Ce n’est cependant pas suffisant pour la plupart des ETI, qui « ont besoin d’avoir leurs propres systèmes », sans nécessairement avoir les moyens de les sécuriser. Et les solutions des grands groupes ne leur conviennent pas non plus… alors même que ces ETI peuvent s’inscrire dans leur chaîne logistique et, dès lors, constituer « de bonnes cibles d’attaques par rebond ».
Alors oui, Guillaume Poupard reconnaît ses inquiétudes. Car là, avec les ETI, « la difficulté, c’est le nombre ».