Après le FIC au début septembre, c’est le second rendez-vous incontournable dans la cybersécurité. les Assises de la sécurité ont ouvert leurs portes à Monaco avec le discours inaugural de Guillaume Poupard, directeur général de l’Anssi. Si à Lille, le dirigeant avait évoqué en profondeur la future présidence de l’Union européenne, en principauté, il a axé son discours autour des fondamentaux de la cybersécurité. Il y a quelques années son prédécesseur, Patrick Pailloux avait édité un guide d’hygiène à destination des entreprises en proposant 42 règles à respecter pour avoir un bon niveau de protection. Ce guide est toujours d’actualité, estime Guillaume Poupard, « c’est essentiel ». Il reconnait néanmoins qu’« il faudra le faire certainement le faire évoluer car à l’époque, il était centré sur des réseaux traditionnels. Il sera nécessaire de le cloudifier ».

Les ETI sont un angle mort

Mais dans l’ensemble, il dresse un bilan plutôt positif. Les RSSI ont réussi à faire partager les problématiques de sécurité avec les dirigeants, « ils ont adopté un langage compréhensible pour ceux qu’ils doivent convaincre sur les coûts, l'impact sur le chiffre d’affaires et le délai sur la production », observe le patron de l’Anssi. « Depuis 10 ans une grande partie de ce travail a été réalisée », assure-t-il. Toutefois, il reste des zones d’inquiétude pour lui : « les ETI sont clairement un angle mort et constituent des cibles de choix pour les cybercriminels ». Il ajoute un peu dépité « et cela ne va pas s’arranger ».

Parmi les réponses à apporter, Guillaume Poupard croit dans les travaux de la plateforme cybermalveillance.gouv.fr, mais aussi dans les annonces récentes de la création de CERT régionaux, dans le cadre du plan de relance. « Cela peut ouvrir la voie à la création de CERT sectoriel avec des échanges d’informations », glisse le responsable.

Une réflexion juridique sur SecNumCloud

Bien évidemment, il est revenu sur un succès de l’Anssi, les visas de sécurité. « Près de 246 certifications ont validées en 2020, soit +21% par rapport à 2019 ». Pour lui, « ces certifications sont là pour transmettre de la confiance ». Et de décliner l’ensemble des familles de service labellisées ou en cours. Ainsi, Atos obtient la certification PDIS (prestataires de détection d’incident de sécurité). Le PAMS (prestataire d’administration et de maintenance sécurisée) verra son référentiel finalisé début 2022 pour des premières offres attendues à la fin de l’année prochaine. L’ANSSI s’intéresse aussi au PVID (prestataire de vérification d’identité à distance) avec un référentiel en préparation.

Mais le label qui concentre les débats aujourd’hui, c’est SecNumCloud. Guillaume Poupard en a profité pour annoncer que le prochain lauréat à obtenir le précieux sésame est Worldline, qui propose l’offre IaaS Cloud by Wordline. Il rejoint ainsi OVHCloud. Cependant ce label « doit être clarifié sur la souveraineté juridique », précise-t-il. Un appel à commentaires va être lancé « sur l’extra-territorialité de certaines législations et pas seulement américaines, les chinois arrivent très fort dans ce domaine ». Guillaume Poupard revient par exemple sur le cas des JO de Paris en 2024 où le CIO privilégie son partenaire Alibaba Cloud « c’est une bataille intense avec des discussions sur les données personnelles ».

Deux options pour Health Data Hub

Nonobstant, il était attendu sur les récentes annonces du rapprochement entre Thales et Google Cloud. « Il faut des clouds de confiance. On ne doit pas tourner le dos à la technologie y compris américaine, mais on écarte les lois extraterritoriales », plaide le patron de l’Anssi. Il reste pragmatique sur le sujet en évoquant par exemple le cas du Health Data Hub qui cristallise les inquiétudes sur l’hébergement dans Azure. « Les équipes de Health Data Hub travaillent sur deux options : si Bleu (société commune entre Orange Capgemini et Microsoft) fonctionne il y aura un portage, sinon il faudra un redéveloppement de certaines briques avec un acteur français », indique Guillaume Poupard.

Pour lui, la question se réglera au niveau européen, « mais les résistances sont nombreuses avec des acteurs comme l’Irlande qui ne veut rien changer et des pays atlantistes qui ont peur de bouger afin de ne pas fâcher leur allié américain ». Par-contre, il a rappelé que si des décisions ne sont pas prises sur « le niveau élevé en matière de sensibilité des données. Ce sera une catastrophe ».