Les Assises 2021 : Guillaume Poupard revient sur les fondamentaux, et les enrichit

La plénière d’ouverture [1] est un peu « la grande messe annuelle » pour les RSSI français, même si cette année Guillaume Poupard était concurrencé sur le sujet par le rabbin Delphine Horvilleur [2].
Sur ce retour aux fondamentaux, Guillaume Poupard se voit partagé. Force est de constater qu’il n’est pas possible de construire sur du sable, mais également que très souvent, les fondamentaux ne sont pas toujours en place. Malgré l’évolution du niveau de maturité et les avancées technologiques remarquable dans le domaine, les dix années qui se sont écoulées n’auront pas permis d’atteindre l’objectif, et il faudra sans nul doute « rabâcher » les dix années à venir, encore.

Partagé, mais pas sur le fait de partager ! Une chose nécessaire pour lutter contre les attaquants a rappelé Guillaume Poupard. Partager au sein de la communauté sécurité, mais aussi avec les décideurs, pour lesquels, le choix des mots est nécessaire.
« On ne fait pas rêver les décideurs en parlant de SSI… On parle d’ailleurs aujourd’hui de cyber, même si nous savons que c’est la même chose. 
Si nous voulons porter nos fondamentaux, à nous d’adopter le langage de ceux qu’on veut convaincre. Les fondamentaux : oui, mais dans un langage un peu glamour, un peu sexy, dans un langage qui parle à nos dirigeants et en y mettant ce qui fait partie de leurs préoccupations »

Si la SSI a longtemps été synonyme de coûts, de délais et de risques, la cyber est selon lui désormais entrée dans le quotidien de tous. « Ce n’est plus un phénomène de mode, mais un véritable phénomène de société »

La cybersécurité peut d’ailleurs très bien être portée par la littérature ou le cinéma, comme avec les scénarios de James Bond, ou encore le récent roman « Sauve-la » de Sylvain Forge, primé par l’ANSSI à la suite de cette plénière.

Le message essentiel à retenir de cette conférence reste « On revient aux basiques, mais on ne revient pas en arrière ».

De belles choses ont été faites et continuent de se faire, comme le Campus Cyber, le projet porté par Michel Van Den Bergue dont nous pouvons être fiers et heureux.
Ce projet, place la France dans le peloton de tête des pays capables d’innover dans le domaine de la cybersécurité.

Parmi les sujets de satisfaction, on retrouve également le développement des visas de sécurité de l’ANSSI, qui représentent une manière de transmettre la confiance. Une augmentation de 21 % de certificats de sécurité délivrés a été observée en 2020, par rapport à 2019, avec 246 visas délivrés :

•  87 certificats critères communs
• 27 CSPN
• 35 produits qualifiés
• 97 services qualifiés

« Le fait de pouvoir dire, ce service est bon, il est de confiance, il répond au cahier des charges tel le poulet label rouge moyen, ça, ça parle ! »

Guillaume Poupard souligne que malgré l’importance des visas, de très bonnes entreprises françaises, ne rentrent malheureusement pas dans les cases pour l’instant, même si cela reste rare.

Sur les 136 millions d’euros reçus par l’ANSSI dans le cadre de France Relance, 60 millions pourront permettre de mettre le pied à l’étrier aux collectivités territoriales qui ont découvert dans la douleur que leur niveau de maturité en matière de sécurité était à revoir. 25 millions pour permettre à nos établissements de santé français de se lancer, notamment en réalisant des audits pour les guider, leur indiquer les choses à faire, tout en les prenant en tenaille de manière bienveillante en désignant les 135 établissements supports de GHT comme OSE.

« Pour eux, la sécurité, ce n’est plus une option, mais une obligation légale »

Le Directeur de l’agence est ensuite revenu sur les annonces récentes autour de SecNumCloud [3]. Ces annonces viennent clarifier le référentiel SecNumCloud sur l’aspect juridique. « Une loi non européenne ne doit pas impacter nos données, qu’il s’agisse de lois américaines ou chinoises par exemple »
Il a ainsi confirmé que des technologies non européennes pourront continuer d’être hébergées dans de bonnes conditions, sans être soumises aux lois extraterritoriales.
Espérons que l’Europe suivra la démarche. « Si l’Europe n’en était pas capable, ce serait une catastrophe »

La conclusion de Guillaume Poupard sur le fait que notre force face aux attaquants est le fait de travailler ensemble, aura servie de trait d’union à l’échange avec le premier président des Assises, Olivier Ligneul, Directeur Cybersécurité du Groupe EDF, dans lequel il est notamment revenu sur les partages d’informations, comme des indicateurs de compromission, que réalise l’ANSSI, notamment avec les OIV et OSE. De mon côté, j’espère sincèrement que ces partages pourront s’étendre au-delà des établissements supports de GHT, car les petits établissements ont eux aussi besoin de se protéger, et nous savons bien que les communications au sein de certains GHT ne sont pas toujours parfaites. Les adresses d’alertes saisies dans OSIS depuis plusieurs années pourraient peut-être enfin être utilisées !
Ou les CERT régionaux s’adressant aux acteurs trop petits pour l’ANSSI et trop grands pour le GIP ACYMA (cybermalveillance.gouv.fr) également évoqués lors de cet échange pourraient peut-être servir de relais ? L’idée de ne laisser personne sur le bord du chemin me paraît très bien, continuons sur la lancée et ne leur lâchons pas la main.

[1]  

[2]  

[3]