En direct de Lille. Aux avant-postes au FIC 2017 (Forum International de la Cybercriminalité) qui se déroule en ce moment à Lille, l'Agence Nationale de la Sécurité des Systèmes d'Information (Anassi) a dressé un état des lieux de ses différents travaux, avancées et réflexions en matière de cybersécurité. Un peu plus d'un an après avoir initié une démarche autour de la qualification des prestataires de services en termes de sécurité (Passi), l'agence travaille d'arrache-pied à la labellisation sécurité des fournisseurs cloud français visant à identifier facilement ceux avec un niveau de confiance élevé. « La démarche de classification expérimentale SecNumCloud dans sa phase expérimentale arrive au bout de son chemin de croix », a expliqué Guillaume Poupard, directeur général de l'ANSSI. Sans avoir précisé d'échéance, ce dernier en a profité pour annoncé le lancement d'un label commun avec les opérateurs cloud allemands, ESCloud, afin de garantir une réciprocité de cette classification sécurité avec les opérateurs cloud français. « Nous serons ravis que d'autres pays nous rejoignent », a indiqué Guillaume Poupard, enjoignant le plus grand nombre de pays européens à jouer le jeu de ce label.

Autre sujet d'actualité abordé, celui - particulièrement bouillant - de la base de données TES (titres électroniques sécurisés) lancée à l'initiative du ministère de l'Intérieur et d'ailleurs récemment critiquée par l'Aanssi mais également la Dinsic qui ont émis dans un rapport commun 11 recommandations pour l'améliorer et gommer ses travers. « L'urgent est d'assurer que le fichier en lui-même n'est pas exposé au risque de perte de données », a lancé Guillaume Poupard. « Nous avons trouvé des vulnérabilités dedans, certaines ont été corrigées, mais on va continuer à mettre la pression sur le ministre de l'Intérieur. » L'ANSSI indique en outre rester très vigilante sur l'utilisation des gabarits et suggère de rouvrir urgemment le débat sur l'identité numérique. « Qu'est-ce que la France veut faire dans l'identité numérique et quelle est l'ambition nationale ? Il faut profiter de l'audit TES pour déclencher l'ouverture. Nous avons été en pointe mais nous sommes en train de prendre beaucoup de retard », analyse G.Poupart.

Mystère levé autour des annexes non publiées des arrêtés sur les OIV

Après avoir lancé les premiers arrêtés en 2016 - d'abord à l'été puis en décembre - concernant les obligations des OIV (opérateurs d'importance vitale) en matière de sécurité de leur système d'information, des interrogations subsistent depuis sur l'absence de publication de la totalité de leurs annexes (1 sur 4). « Nous n'avons pas voulu publier les typologies de leurs systèmes pour ne pas donner des idées à des attaquants », a expliqué Guillaume Poupard. « Il n'était pas question de publier l'annexe concernant le calendrier de mises en conformité parce que cela permettrait de se rendre compte des secteurs qui sont le plus matures et donner encore des indications à des attaquants. » Par ailleurs, la transcription d'ici mai 2018 de la directive NIS (network and information security) pour identifier les opérateurs critiques à l'échelle européenne devrait permettre de résoudre la distorsion qui existe entre les pays européen en matière d'obligations pour la sécurité des SI et permettre d'aller au-delà du strict périmètre des OIV. Aujourd'hui au nombre de 230 en France.

Enfin, le directeur général de l'ANSSI est également revenu sur la coopération bilatérale de la France aves ses alliés afin d'assurer la stabilité du cyberespace en réfléchissant à des règles qui seront notamment abordées à l'occasion d'une conférence internationale à l'Unesco sur ce thème les 6 et 7 avril prochain. « Il semble essentiel de faire ça rapidement et urgent de parler de cyberpaix », a lancé Guillaume Poupard. Parmi les autres sujets dans les tuyaux qui font également l'objet d'une présentation au FIC et sur lesquels nous aurons l'occasion de revenir très bientôt, on trouve également les premiers labels sécurité pour identifier les formations supérieures en cybersécurité et également l'annonce du dispositif - évoqué lors d'un précédent reportage à la cybergendarmerie - permettant d'assurer la protection des citoyens et des PME. Seul son nom a pour l'heure été évoqué : Acyma.