Conférence d'ouverture "Anticiper pour ne plus subir"

Cette conférence est animée par Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Il y expose la nouvelle méthode de travail proposée par ce service d’autorité afin d’anticiper les risques en matière de cybersécurité.

Résumé de la conférence

Pourquoi la cybersécurité est-elle une question d’anticipation collective ?

Les questions de sécurité sont au cœur des problématiques animant la société française. L’ANSSI a pour responsabilité de trouver des solutions dans un monde complexe où certains États autoritaires font de plus en plus entendre leurs voix, où certaines nations et organisations parmi les plus grandes se positionnent dans une surenchère agressive et guerrière.
La sécurité numérique est un sujet global et complexe, directement connecté au développement numérique et à la transition digitale. Il importe que les structures et organismes français soient en mesure de se protéger face aux plus agressifs, aux plus compétents et aux plus dangereux.
C’est pourquoi la cybersécurité doit aller de pair avec l’anticipation collective. Il faut être capable de réagir et de traiter les cas de crise, mais la prévention est également primordiale. L’essentiel de la sécurité numérique s’effectue en amont des situations critiques.
L’objectif de l’ANSSI est de faire entrer la cybersécurité dans la gestion du risque et de revenir aux fondamentaux de l’analyse du risque. Cette dernière doit non seulement impliquer les experts, mais aussi les décideurs et les responsables métiers confrontés à ces questions de sécurité numérique, sans être des experts.

En quoi consiste la méthode EBIOS Risk Manager ?

La méthode EBIOS Risk Manager accompagne désormais les organisations afin de cibler et de comprendre les risques de cybersécurité auxquels elles sont exposées. Elle offre la possibilité de déterminer les mesures de sécurité numérique à mettre en œuvre face à ces menaces.
Il s’agit d’une nouvelle approche renonçant à anticiper tous les risques et tous les chemins d’attaque, car cela n’est pas possible. Mais cette méthode combine des socles de conformité (règles de base, d’hygiène et normatives) et des scénarios d’attaque, en faisant participer les gens connaissant les systèmes d’information et les métiers n’étant pas experts. Cette méthode d’anticipation repose sur les points suivants :

  • Le rôle de la réglementation : le 29 septembre 2018 a eu lieu la fin de la transposition de la directive Network and Information Security (NIS). Ce texte de référence fixe les règles de sécurité qui s’appliquent aux opérateurs de services essentiels. Il comporte 23 règles de sécurité numérique et définit des délais d’application allant de quelques mois à trois ans.
  • L’anticipation, en matière de cybersécurité, passe par des produits, des services, des prestataires et une industrie d’excellence. Si une part des règles de sécurité numérique est du ressort des institutions, une autre relève de l’expertise, du métier, d’éléments qui ne s’improvisent pas. Il faut identifier les partenaires de confiance et compétents pour l’État français. Aujourd’hui, ils représentent environ une centaine d’entreprises ainsi que 500 produits et prestations.
  • EBIOS met en place une démarche de qualification de prestataire en décernant des labels qui établissent un certain niveau de qualité et de compétence. L’ANSSI est sur le point de créer un nouveau référentiel sur les prestataires d’administration et de maintenance sécurisées. Ceci afin d’établir une relation de confiance avec les prestataires qui ont accès au réseau de leurs clients avec des droits élevés et qui sont capables de ne pas être la cible primaire des attaquants.
  • Fondamentalement, il n’existe pas de sécurité numérique parfaite. Il importe donc de la générer au bon niveau, sur la base d’une bonne analyse de risque et d’être capable de détecter rapidement les anomalies. Il s’agit d’une priorité de l’ANSSI, qui vise à la remplir à horizon 2019.
  • Ce n’est pas parce que l’on pense au pire qu’il se réalise, il s’agirait même plutôt de l’inverse. La crise se prépare et s’anticipe aussi bien dans les aspects techniques qu’en termes d’organisation, de moyens disponibles et de communication.
  • La cybersécurité est un acte collectif. L’ANSSI promeut le partage et l’ouverture via l’approche en open source. Récemment, l’organisation a publié la V4 du code source de CLIP OS, un système d’exploitation sécurisé. Elle espère un gros travail collaboratif en open source autour de la V5 afin de développer un système d’exploitation de qualité.

En conclusion, l’anticipation passe par la sensibilisation de tous les acteurs, notamment ceux qui ne sont pas experts et les petits acteurs (PME et citoyens). L’ANSSI a mis en place une démarche ouverte avec l’administration et le secteur privé afin de sensibiliser les victimes du quotidien et de leur apporter des solutions concrètes.

Intervenant : Guillaume POUPARD, Directeur Général, ANSSI.

VOIR LES AUTRES CONFERENCES