Les Assises de la sécurité fêtent leurs 20 ans. Un anniversaire forcément gâté par la pandémie de Covid-19. A l’heure où la majorité des évènements de cette taille sont annulés, la Principauté de Monaco a accueilli avec entrain cette manifestation, la première depuis le mois de mars. Mais face à la crise, la fréquentation est en baisse, même si les organisateurs ne se hasardent pas à donner de chiffre précis. Les déambulations dans les allées montrent que plusieurs DSI/RSSI et même exposants ont suivi les consignes de leurs sociétés de ne pas voyager.

Une phase d’évangélisation se tourne et les victimes parlent

Des conditions qui n’entament pas pour autant l’enthousiasme de Guillaume Poupard, directeur général de l’ANSSI qui inaugurait pour la 7ème fois les Assises. Dans ce climat morose, il a voulu apporter plusieurs notes d’optimisme et d’espoirs aux congressistes. En premier lieu, il estime que « nous arrivons au terme d’une phase d’évangélisation. Chez les décideurs, les ministres et les citoyens, ils ont compris le sujet cyber » et d’ajouter, « cela nous permet de nous concentrer maintenant sur les solutions ».

Autre source de satisfaction, « le fait d’avoir été attaqué n’est plus honteux, les victimes parlent et partagent leur expérience, même si c’est un traumatisme », reconnaît le patron de l’ANSSI en évoquant les exemples du CHU de Rouen, de M6,... Cette démarche est positive à plus d’un titre notamment vis-à-vis des dirigeants, « ils ne peuvent plus dire qu’ils ne savaient pas », glisse Guillaume Poupard. De même, « la cybersécurité ne s’achète pas en signant un chèque, il y a de l’humain, des questions d’organisation à appréhender », poursuit-il. Dans ce but, l’ANSSI vient de publier un document sur l’organisation d’un exercice de gestion de crise cyber où on retrouve des fiches pour préparer ces exercices et avoir les bons réflexes.

Aider à reconstruire les réseaux après incident

Le travail sur les qualifications et les labels continuent avec un effort sur les prestataires d’administration et de maintenance sécurisées (PAMS). Le référentiel a été soumis aux acteurs à la fin septembre et « va être testé pendant un an ». Mais Guillaume Poupard voudrait aller plus loin et voit deux manques dans la qualification des prestataires. « Le premier serait sur la construction des réseaux pour garantir une confiance et un bon niveau de sécurité par le prestataire. Le second cible les prestataires capables de reconstruire les réseaux après un incident de sécurité. Il y a un vrai besoin dans ce domaine ».  

Le dirigeant a évoqué le label SecNumCloud à l’heure où la question de la souveraineté du cloud revient en force dans l’actualité. Deux sociétés disposaient jusqu’alors de cette labellisation : Oodrive et Oustcale. « D’ici la fin de l’année, une société de Roubaix [NDLR : OVH] devrait l’obtenir, c’est en très bonne voie », annonce Guillaume Poupard.

L’avenir se décline sur la formation, l’Europe et le campus cyber

A la fin de son discours, le directeur général de l’ANSSI a dessiné les pistes pour l’avenir. L’humain et les ressources humaines sont clairement une priorité notamment avec la formation à tous les âges y compris dès le collège (via l’initiative Pix) ou les lycées. L’Europe de la cybersécurité avance avec plusieurs initiatives comme la mise en réseau des CERT, mais également la création de Cyclone qui regroupe les différentes « ANSSI » européennes. « Nous allons travailler ensemble pour faire par exemple de la gestion de crise au niveau européen, cela pourra déboucher à terme sur de l’entraide », assure Guillaume Poupard.

Enfin dernier chantier, réussir la création du campus cyber. Le dirigeant milite depuis plusieurs années pour la mise en place d’un lieu pour fédérer l’écosystème de la cybersécurité au même titre que d’autres pays (Israël, les Etats-Unis,...). Ce projet avance bien, conclut le très optimiste Guillaume Poupard.