Guillaume Poupard (Anssi) voit du positif, mais un manque criant de préparation

C’est bien conscient de l’ampleur de la menace, mais résolument positif qu’est apparu Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes d’information (Anssi), en ouverture d’une vingtième édition des Assises de la Sécurité marquée la pandémie.

« Au-delà de la communauté de la cybersécurité, les gens ont compris qu’il y a là un vrai sujet. »

Optimiste parce que, pour lui, des années et des années d’efforts de sensibilisation semblent enfin commencer à porter leurs fruits : « au-delà de la communauté de la cybersécurité, les gens ont compris qu’il y a là un vrai sujet ». L’effet de tous ceux qui ont « traîné leur bâton de pèlerin », autant que celui de la multiplication d’attaques toujours plus visibles de tous. Et cela d’autant plus, que la parole tend à se libérer du côté des victimes, même si « être attaqué, ça reste un traumatisme ».

Certes, pour Guillaume Poupard, « l’avantage reste aux attaquants », mais la prise de conscience toujours croissante des enjeux doit « permettre de se concentrer sur les solutions, pour faire que le numérique reste positif et ne soit pas notre talon d’Achille ». Et cela d’autant plus que « pour les décideurs et les dirigeants, il devient difficile de dire “je ne savais pas” ». Autrement dit, s’il « n’est pas question de transformer les victimes en coupables », il apparaît de plus en plus intenable de s’exonérer de toute responsabilité : un dirigeant qui regarde de haut la cybersécurité « est de plus en plus fautif dans son rôle ».

Alors pour le patron de l’Anssi, il faut continuer de faire l’effort pour délivrer un message compréhensif pour que les bonnes décisions puissent être prises. Et cela commence par faire passer l’idée que la cybersécurité ne se limite pas à l’argent que l’on peut y consacrer : « on ne se débarrasse pas de la question en faisant un chèque ».

De fait, la composante humaine, organisationnelle joue énormément. Et cela tout particulièrement en temps de crise. L’agence vient d’ailleurs de publier un guide pour organiser des exercices de gestion de crise cyber. Et ce n’est pas innocent : « en crise, le temps compte. Si vous passez trois jours à seulement vous organiser pour prendre une décision, c’est une catastrophe », explique Guillaume Poupard. Et l’on imagine aisément que l’Anssi a eu l’occasion d’être témoin de telles situations au cours de ces derniers mois.

Mais l’humain, c’est aussi l’accès à des ressources qualifiées. Et après les prestataires de services d’audit, de détection et encore d’administration et de maintenance, la réflexion pourrait bien s’étendre à des prestataires capables d’aider les organisations victimes d’attaques dans la reconstruction d’un système d’information atteint en profondeur. Car là, pour Guillaume Poupard, il y a tout autant un vrai besoin qu’un véritable manque : « ce n’est pas la même chose que la réponse à incident ».

Et puis se pose aussi la question de l’attractivité de la filière cybersécurité. D’où le récent panorama des métiers du domaine qui vise notamment à les rendre plus lisibles. À cela s’ajoute la nécessaire féminisation d’un secteur professionnel encore majoritairement masculin. Pour Guillaume Poupard, c’est au niveau de la classe de seconde qu’il convient de chercher à susciter l’intérêt.

« Grâce à l’Enisa et à la Commission européenne, la conscience qu’il y a là un enjeu commun est bien réelle. »

Plus loin, et tout particulièrement en Europe, le patron de l’Anssi observe des progrès, avec notamment l’échange d’informations opérationnelles entre les Cert, ou encore le travail en réseau avec les homologues de l’Agence. En fait, « grâce à l’Enisa et à la Commission européenne, la conscience qu’il y a là un enjeu commun est bien réelle. Les choses prennent forme ».

Ce qui, accessoirement, renvoie aux questions de souveraineté numérique, de plus en plus prégnantes, sur fond de bras de fer économico-géopolitiques. Pour Guillaume Poupard, ce que peut apporter le monde de la cybersécurité, « c’est de l’objectivité ». Pour lui, avant tout, la souveraineté, « c’est rester maître de notre destin » ; ce n’est pas refuser l’autre ou s’enfermer sur soi-même, mais assurer notamment que le droit applicable soit le droit européen.

C’est dans ce contexte que le patron de l’Anssi glisse qu’un troisième opérateur cloud doit être prochainement labélisé SecNumCloud, après Oodrive et Outscale. Le nom n’est pas prononcé, mais la description renvoie tout naturellement à OVH.