Assises de la cybersécurité 2024 : merci les JO, place à NIS2
Fin de la période enchantée des JO de Paris. L’édition 2024 des Assises de la cybersécurité sonne comme un rappel à la réalité. Les RSSI et les PME concernées par NIS2 doivent lancer ce grand chantier… tout en travaillant sur un autre grand texte européen, le CRA.
Avec 176 fournisseurs de solutions et 1 500 invités, les Assises de la cybersécurité restent l’événement de référence du monde cyber français. Le thème central de cette édition, « Ensemble », vise à mettre l’accent sur l’importance de la coopération et des réponses collectives face aux cybermenaces globales.
Le témoignage de Phil Reitinger, Président et CEO de la Global Cyber Alliance, association à but non lucratif qui a créé le réseau DNS sécurisé Quad9, ou encore des toolkits de sécurité destinés aux PME et individus ne pouvant investir dans des solutions de sécurité du marché, allait dans ce sens. Plus que des dons, Phil Reitinger a appelé les professionnels à contribuer de leur temps et de leur expertise pour aider ces acteurs à accroître leur niveau de sécurité : « il ne s’agit pas de sécuriser les organisations une par une avec de la technologie, mais accroître la collaboration afin que nous travaillions tous ensemble pour protéger toute la communauté ». L’association a récemment lancé l’initiative Common Good Cyber afin de partager la connaissance et supporter cette vision.
La victoire des JO, un succès collectif
L’intervention de Vincent Strubel (en photo en haut de l'article), directeur général de l’Agence nationale de la sécurité des systèmes d’information (Anssi), a constitué le point d’orgue de la plénière d’ouverture des Assises 2024, notamment après des Jeux olympiques qui furent un succès tant dans les stades que dans la sphère cyber. « Ce n’est pas souvent dans nos métiers de la cybersécurité que l’on peut revendiquer une victoire claire, mais on est dans ce cas-là. Cette victoire illustre parfaitement le thème des Assises de cette année : “Ensemble”. C’est la victoire d’un collectif ».
Le patron de l’Anssi a évoqué un contexte de la menace sans précédent, avec la superposition d’une menace stratégique toujours plus agile et furtive, désinhibée, et qui s’inscrit dans un contexte géopolitique exacerbé. Vincent Strubel a aussi rappelé la menace systémique, réunissant hacktivisme, vagues de ransomwares et montée du crime organisé, une menace qui n’épargne plus personne : « pour y faire face, nous avons mené un travail de préparation intense pendant plusieurs années et il y a eu une mobilisation sans précédent de toute l’équipe de France et même au-delà. Il y a eu une mobilisation des services de l’État, de l’Anssi dans un rôle de chef d’orchestre, mais pas seulement, des organisateurs, des partenaires du secteur privé, des relais de proximité que sont les CSIRT ainsi que nos partenaires internationaux qui ont été d’un soutien sans faille ».
NIS2, ne pas attendre la loi
Outre ce retour d’expérience sur les JO, Vincent Strubel était très attendu sur 2 chantiers majeurs qui s’annoncent pour l’écosystème cyber français et européen : la mise en place de NIS2 et du Cyber Resilience Act (CRA) européen.
Le directeur général de l’ANSSI ne croit bien évidemment plus en un vote de la loi transposant le texte européen avant le 17 octobre. Pour autant, l’agence va poursuivre son effort de co-construction avec les acteurs concernés jusqu’à ce que le texte passe en conseil des ministres et soit présenté à l’Assemblée Nationale.
Vincent Strubel a évoqué encore des mois de consultation sur le texte et s’il a rappelé qu’il n’y aura pas de sanction pendant les trois premières années d’application du texte, il a tenu à mettre en garde les RSSI présents : « il ne faut pas de précipitation, mais pas de désinvolture pour autant. Nous n’attendrons pas 3 ans pour exiger certaines choses simples, comme l’enregistrement auprès de l’Anssi des entités régulées via la plateforme MonEspaceNIS2, déjà en ligne en preview. La notification des incidents, ce n’est pas compliqué à mettre en place, mais au-delà de cela, 3 ans, cela passe très vite. Il y aura beaucoup de choses à faire dont nombre d’entre elles peuvent être faites dès à présent ».
Le directeur général de l’Agence a aussi exhorté les fournisseurs de solution à proposer des offres NIS2 adaptées aux PME qui vont tomber sous la coupe du texte, mais qui n’ont souvent pas de ressources en interne pour s’y conformer.
Le CRA entrera lui aussi en application en 2027
Enfin, il a rappelé la mise en application du CRA prévue pour 2027 et qui concernera tous les produits connectés qui seront vendus sur le continent européen : « le texte va influer sur les caractéristiques des produits, avec le Security by Design, le Security by Default dont on parle depuis des années, mais avec un levier qui va rendre ces concepts actionnables et qui deviendront une réalité ».
Il a enfin évoqué les bonnes pratiques liées au cycle de vie des produits, notamment la gestion des vulnérabilités, la mise à disposition de mises à jour de sécurité, etc. La responsabilité cyber des objets connectés ne reposera plus majoritairement sur les utilisateurs finaux, mais sera désormais partagée avec les constructeurs.
Enfin, Paul Lemesle, Groupe CISO de Lactalis et président de l’édition 2024 des Assises, a eu le mot de la fin, répondant à la question fréquemment posée par les ComEx aux DOSI et RSSI sur le fait d’en faire trop : « quand il ne se passe rien, on nous demande à quoi nous servons et quand il se passe quelque chose, on nous demande à quoi nous avons servi. C’est le problème classique du risque et de l’assurance. Tant que l’on n’a pas d’accident, on n’est jamais content de payer sa prime d’assurance, mais quand on a un problème on est content de pouvoir se tourner vers son assureur ».
Pour approfondir sur Cyberdéfense
-
Notation cyber : le Clusif rallie à sa charte de bonne conduite 4 premiers acteurs
-
Universités d’été Hexatrust 2024 : fin de la parenthèse olympique, place à la course de fond NIS 2
-
Cyberattaques durant les JO 2024 : surtout des incidents à faible impact
-
Et si la cyber-résilience était la principale leçon de l’incident Crowdstrike ?