« Avant, les entreprises nous voyaient comme les ayatollahs de la sécurité, pour eux nous étions presque une menace pour leurs projets informatiques », en ouverture des Assises de la Sécurité de Monaco, Guillaume Poupard, le directeur général de l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information), n'a pas mâché ses mots. Mais maintenant que la phase d'évangélisation est terminée et que tous ont compris l'importance des menaces, l'organisme veut passer à l'action. « Il est possible de mettre en place une cyber-défense efficace mais il faut se montrer ambitieux et surtout adopter une démarche collective. Si tout le monde part dans des directions différentes, ce ne sera pas possible », martèle le successeur de Patrick Pailloux. C'est d'ailleurs dans cette optique que l'organisme va prendre part à la définition de nouvelles règles réglementaire dans le cadre de l'article 22 de la loi de programmation militaire (LPM) votée en décembre 2013. 

Élaborer un cadre réglementaire

« La France est le premier pays à adopter une démarche réglementaire forte en matière de cyber-défense, non seulement pour ses propres infrastructure mais aussi pour celle des acteurs majeurs de son économie », déclare Guillaume Poupard qui assure que d'autres pays européens feront bientôt de même. Ainsi, l'ANSSI va s'atteler à l'élaboration d'un cadre réglementaire que devront adopter les OIV (Opérateurs d'Importance Vitale) mais qu'elle espère bien voir adopter auprès d'entreprises de différents secteurs. 

« Nous allons travailler avec tout le monde et notamment les autorités sectorielles pour mettre en place des règles capables de répondre aux spécificités de chacun. Le but est que ces projets soient réalisables par tous. Il n'est plus possible que nos bureau nationaux de R&D soient siphonnés par des puissances étrangères », ajoute le président de l'ANSSI. En outre, Guillaume Poupard appuie sur l'importance de la détection des menaces. « Nous avons besoin que les informations sur les attaques nous soient remontées le plus rapidement possible car si un organisme est attaqué, il y en a sûrement d'autres », argue-t-il. 

Certifier les fournisseurs et les prestataires

Afin de faciliter ces démarches, l'ANSSI va également se lancer dans une démarche de certification des prestataires de services et des fournisseurs. L'objectif est d'indiquer lesquels ont été reconnus dignes de confiance par l'État français. Les modalités de certification seront communiquées aux différents organismes pour assurer un processus le plus transparent possible. « Nous avons déjà commencé ces démarches auprès des prestataires d'audit et de détection des incidents », indique le président de l'ANSSI. Bien évidemment, les fournisseurs de cloud ne devraient pas y couper. Et Guillaume Poupard de lancer : « Il ne faut pas faire n'importe quoi avec le cloud. Les récents événements nous ont prouvé l'importance de bien choisir son prestataire. »

Parmi les 34 plans pour une nouvelle France industrielle publié par le ministère de l'économie, un des plans concerne la cyber-défense. Mise à forte contribution, l'ANSSI a mise en place un groupe de travail sur le sujet et une équipe projet en partenariat avec les acteurs publiques et privés. L'ANSSI va notamment s'attaquer à réduire les freins à l'adoption de large politique de cyber-défense. Mais comme pour tout le reste, Guillaume Poupard le martèle, il faudra que ces évolutions se fassent collectivement.