Assises de la sécurité 2021 : retour vers le futur

La plénière d’ouverture de cette édition 2021 des Assises de la Sécurité, qui se déroule cette semaine à Monaco, résonne comme un écho à celle de clôture de l’édition 2011 des mêmes Assises.

Cette année-là, Patrick Pailloux, alors directeur général de l’Agence nationale pour la sécurité des systèmes d’information (Anssi), sermonnait les RSSI, appelant à un retour aux fondamentaux, déplorant des erreurs ou des négligences de base toujours trop répandues : l’utilisation de droits élevés pour des activités ne le nécessitant pas, la non-application de mises à jour et correctifs, le non-examen de logs enregistrés, etc.

Le style de son successeur à la tête de l’Anssi est plus consensuel. Mais le message est bien là : « revenir aux fondamentaux et les appliquer, c’est effectivement essentiel ». Et en le vendant aux directions avec « un langage un peu glamour, un peu sexy », qui touche à leurs préoccupations : pertes et bénéfices, responsabilités, etc. Et bien sûr en montrant que la sécurité des systèmes d’information n’est pas seulement le frein auquel encore trop pensent spontanément.

Mais pas question de revenir en arrière. Car pour Guillaume Poupard, « par rapport à 2011, on a construit et on construit encore énormément de choses ». Et cela commence par le Campus Cyber qui prend chaque jour un peu plus forme. Mais surtout, la cybersécurité n’est plus un sujet d’experts : c’est un sujet de société.

Petit coup d’œil en arrière, toutefois, histoire de mesurer le chemin parcouru. Et cela commence par les visas de sécurité, un label en 2018 et qui… en cache d’autres. Pour Guillaume Poupard, ces visas concernant produits et services constituent « une manière de transmettre la confiance ». Son ambition affichée ? « Que dans un futur pas trop lointain, les acheteurs se demandent si le produit ou service [qu’ils envisagent d’acquérir] dispose d’un visa ». Le patron de l’Anssi concède quelques biais pouvant bloquer l’accès aux visas à quelques-uns, mais pour lui, « beaucoup de produits et services peuvent rentrer dans ces cases ».  

Côté services, on se souvient des PASSI, des PRIS, des PDIS… les prestataires d’audit, de réponse à incident et de détection d’incident. Viendront ensuite les PAMS, les prestataires d’administration, mais également les prestataires de conseil. Là, pour Guillaume Poupard, « on aura bouclé la boucle ». Mais l’Anssi travaille également à un sujet un peu à la marge : la certification des prestataires de vérification d’identité à distance.

Et puis le contexte apparaît favorable, selon Guillaume Poupard, à l’amélioration des postures de sécurité : « il y a beaucoup d’argent. Profitons-en ». Justement, dans le cadre du plan de relance, l’Anssi a reçu une enveloppe de 136 M€. Près de la moitié de cette somme, 60 M€, sera consacrée aux collectivités territoriales qui, encore, sont loin d’être épargnées. La mairie de Conflans-Sainte-Honorine vient par exemple tout juste d’indiquer avoir été victime d’une cyberattaque. 25 M€ seront mobilisés pour les établissements hospitaliers.

Dans l’ensemble, il ne s’agit pas d’imaginer que ces sommes permettront de faire des miracles : il s’agira surtout de « faire des audits et de définir des parcours de sécurité ». Tout le travail restera à faire, concède Guillaume Poupard, « mais on saura ce qu’il faut faire ». Et à cela s’ajouteront des CERT régionaux, qui seront lancés avec l’appui de l’Anssi et intégrés à l’Inter-CERT.

Le domaine du cloud, au cœur de nombreux débats autour de la souveraineté numérique, n’a pas été oublié par Guillaume Poupard. Avec nuance, parce que pour lui, « on est sur une ligne de crête, comme souvent en cybersécurité ».

En substance, tout est question d’équilibre – subtil – entre protection des données et des applications, notamment en termes de sécurité juridique, avancée technologique – ne pas se priver de solutions existantes – et favoriser des alternatives européennes existantes.