Comme à son habitude, Guillaume Poupard directeur général de l'ANSSI (Agence nationale de la sécurité des systèmes d'information) a donné le coup d'envoi des Assises de la Sécurité à Monaco qui se tiennent, pour leur quinzième édition, du 30 septembre au 2 octobre 2015. A cette occasion, le polytechnicien spécialiste de la cryptographie a tenu à dresser un premier bilan de la Loi de programmation militaire, dont le volet cyberdéfense commence à voir le jour. « Je dois avouer que, quand nous avons commencé à travailler dessus il y a un peu plus d'un an, j'étais inquiet. Mais aujourd'hui, nous arrivons à avancer tous ensemble avec les OIV et les organismes de régulation », déclare Guillaume Poupard. C'est d'ailleurs sur ce besoin de travailler main dans la main que le président de l'ANSSI a fortement insisté dans la première partie de soin intervention. « Si nous n'unissons pas nos forces, nous n'y arriverons pas » a-t-il martelé.

C'est d'ailleurs ensemble, à travers douze groupes de travail dédiés aux différents métiers, que l'ANSSI et les OIV (opérateurs d'importance vitale) sont parvenus à co-écrire les arrêtés qui poseront des bases juridiques plus précises pour la cybersécurité. « Ce fut rugueux mais nous avons réussi à avancer dans le même sens. Les premiers arrêtés sectoriels seront publiés au Journal Officiel dès l'automne », a précisé le président de l'ANSSI. La première série de publications devrait intervenir le 16 octobre. Grâce aux échanges continus entre les OIV et l'ANSSI, ces textes devraient-être complètement digestes, tant du point de vue financier que technologique. « Nous ne pouvions pas nous permettre de mettre en place des normes inapplicables, d'où l'intérêt de travailler ensemble, secteurs par secteurs », justifie Guillaume Poupard.

Une démarche européenne

Il n'en reste pas moins que cette politique ne doit pas s'arrêter au simple territoire français. « Nous n'allons pas dresser une ligne Maginot numérique », ironise Guillaume Poupard. Et si la France a fait figure de pionnière sur le vieux continent avec la LPM, d'autres lui ont rapidement emboîté le pas. L'Allemagne, avec qui l'ANSSI travaille en étroite collaboration, a également publié une loi au cours de l'année passée. Au niveau européen, une première mesure concrète devrait être mise en place dans les mois à venir, entraînant la floraison d'homologues de l'ANSSI dans les autres pays membres. « Une fois de plus, nous devrons unir nos forces », rabâche Guillaume Poupard.

Maintenant que le premier pas législatif est franchi, le président de l'ANSSI déclare que la balle est désormais dans le camp des offreurs de produits de sécurité. « Nous avons des règles, il va maintenant falloir des solutions pour les appliquer », constate Guillaume Poupard. Pour cela, l'ANSSI souhaite structurer l'industrie de la cybersécurité en France. « Le secteur est déjà en place. Il y a des grands acteurs et de nombreuses PME qui travaillent sur le sujet mais il est vrai qu'il y a peu d'entreprises de taille intermédiaire », regrette le directeur général de l'ANSSI.

Structurer l'industrie

Ainsi, l'État, à travers Bercy, le Ministère de la Défense et la DGA débloque 10 millions d'euros par an afin de doper la R&D dans le domaine de la cybersécurité. Pour ce qui est des financements purs et durs, Bercy et la BPI devraient prochainement débloquer des fonds dédiés. « Aujourd'hui, il y a de l'argent et des investisseurs, il faut maintenant les guider et structurer la démarche », estime le directeur général de l'ANSSI. Le lancement d'incubateurs dédiés comme le CyberLab de CEIS ou du label France Cybersécurité vont dans ce sens.

Le directeur général de l'ANSSI évoque également le problème des politiques d'achat des grandes entreprises et des entités publiques. « Elles ont parfois du mal à s'équiper auprès de petits acteurs », regrette-t-il. L'ANSSI a notamment publié des guides d'achat pour aider les acheteurs à mieux choisir leurs fournisseurs. « Il est important que les OIV puissent travailler avec des partenaires de confiance qui soient également compétents », proclame Guillaume Poupard. Les certifications de l'ANSSI sont d'ailleurs là pour ça.

Passer de la sécurité des systèmes d'information à la sécurité de l'information

« Le processus est en bonne voie. Nous avons déjà certifié neuf prestataires de services et douze sont en attente de certification », précise Guillaume Poupard. Des certifications dédiées à l'audit, la détection des incidents de sécurité, l'interruption des attaques, le cloud, etc devraient arriver dans les prochains mois. « Cela prend du temps, ce n'est pas un simple label de moralité mais une véritable garantie technique. Nous certifions aussi bien les prestataires que les personnes », explique Guillaume Poupard. Rien que sur le cloud, une vingtaine d'acteurs ont manifesté le souhait d'être certifiés.

Sans se disperser, l'ANSSI va également s'attaquer à d'autres projets. L'agence compte notamment s'étendre en région. « Depuis Paris, nous touchons déjà beaucoup d'entreprises mais pas toutes. Dès l'année prochaine, nous allons commencer à installer dans chaque nouvelle région un correspondant ANSSI », explique Guillaume Poupard. À terme il assure que l'agence nationale pour la sureté des système d'information va changer de paradigme : « Nous allons passer de la sécurité des systèmes d'information à la sécurité de l'information tout court ».