Bousculé par la crise sanitaire, le calendrier du Forum international sur la cybersécurité (FIC) a dû s’adapter. Après une édition en septembre dernier, c’est donc en ce début juin que le millésime 2022 se tient. Si l’ensemble de l’écosystème de la cybersécurité a répondu, cette édition marque aussi le dernier FIC de Guillaume Poupard en tant que directeur général de l’Anssi. Au début de l'année, celui-ci a annoncé à ses équipes qu’il quitterait son poste à l’été.

Focus sur les territoires et l'Europe

Inaugurant la plénière de l’évènement, Guillaume Poupard a prononcé un discours en forme de bilan de ses 8 ans à la tête de l'Anssi, autour de trois piliers : national, européen et territorial. En préambule, il a cependant alerté « sur le très haut niveau de cyberespionnage de niveau étatique contre les intérêts de la France » et s’inquiète du jour « où il pourrait y avoir des conséquences dramatiques ». L'agence a ainsi recensé 14 opérations d'espionnage en 2021 dont 9 provenaient de Chine. Revenant sur le plan national, il s’est félicité du travail accompli et de la prise de conscience de l’ensemble de l’écosystème de la cybersécurité. De la LPM (loi de programmation militaire) qui a institué les opérateurs d’importance vitale (OIV) en leur imposant des niveaux élevés de sécurité, en passant par les différentes certifications et labellisations de produits et service de cybersécurité et la création du Campus Cyber. « Les progrès sont là, avec une forte prise de conscience de la part des grands industriels et des administrations », a rapporté le dirigeant à la tribune.

Sur le plan européen, là encore la prise de conscience est enclenchée, « il existe une dynamique », relève Guillaume Poupard. Pourtant, les débuts ont été chaotiques, « la question était plus une lutte d’influence pour savoir quelle institution mangerait l’autre », se souvient-il. Les choses ont changé depuis, avec la volonté de travailler ensemble. Fruit de ces discussions communes, la directive NIS qui vient d’être renégociée pour étendre son rayon d’action. « La liste des OSE (opérateurs de services essentiels) va s’allonger, et c’est une bonne chose, en prenant en compte le secteur public notamment », glisse le directeur général de l’Anssi. La directive NIS 2 va avoir un impact sur le plan national, poursuit-il. « Le nombre d’acteurs classés OSE va être multiplié par 10 et ils vont être régulés ». Et de prendre en exemple les « 135 hôpitaux maintenant classés OSE ». Il s'est également félicité de la prise en compte de la certification SecNumCloud pour le niveau le plus élevé de sensibilité des données en matière de cloud au niveau européen, le label C5 défendu par l'Allemagne est affecté pour les données moins critiques. Dans le travail au niveau européen, il reste des choses à faire, observe Guillaume Poupard, notamment sur la solidarité européenne, ajoute-t-il, tout en saluant les différentes initiatives comme le rassemblement des CERT, Cyclone, etc.

Enfin, dernier aspect de son bilan, le volet territorial. Face à des attaques ciblant de plus en plus les collectivités territoriales et les établissements hospitaliers, la France a dû « répondre rapidement pour sécuriser ces structures ». Pour cela, le plan de relance a été mobilisé (avec une enveloppe de 136 millions d'euros) et les équipes de l’ANSSI ont créé des parcours de sécurité, « pour mettre le pied à l’étrier sur la sécurité, comprenant une enveloppe de 90 à 120 K€, un bilan/audit et un plan d’action », indique Guillaume Poupard. Au total, 1 000 acteurs publics ont bénéficié de ces parcours. « Cette méthode pourrait être adaptée à l'avenir pour d'autres secteurs y compris dans le privé », a indiqué le DG en revenant également sur la création des CSIRT en région. Ces structures « doivent être agiles et capables de mobiliser des ressources pour aider les victimes », a-t-il souligné. 

Sensibilisation nationale et souveraineté en guise de voeux pour l'avenir

Enfin, après le bilan, Guillaume Poupard a souhaité donner quelques conseils à court terme à son successeur. En premier lieu, il souhaite lancer « une vraie campagne nationale de sensibilisation. L’objectif est d’avoir 5 minutes de temps de cerveau de chaque Français pour passer quelques messages autour des principes simples sur la sécurité et les orienter vers cybermalveillance.gouv.fr en cas de problème ». Autre point, « il faut aller vers une cybersécurité de service » et de citer l’exemple de l’ACD au Royaume-Uni qui fournit un panel d’outils et de service gratuits à destination des entreprises pour se protéger de certaines attaques connues et récurrentes. « On peut lutter contre le typosquatting, mieux sécuriser les DNS ou les audits d'Active Directory », indique Guillaume Poupard. La question RH et formation n’est pas oubliée, « cela va nous limiter dans les prochaines années », constate le responsable tout en saluant les différentes initiatives dont SecNumEdu et la mobilisation des écoles au sein du Campus Cyber.

Enfin, prenant de la hauteur, il souhaite que la France en matière de cybersécurité « se fasse respecter ». La France dispose d’une stratégie défensive et offensive et « sa parole doit être forte au niveau politique », assure le dirigeant. Pour terminer, il évoque le terme de souveraineté, qui doit être une obsession « mais pas au sens où il faut que les produits ou services soient complètement français. Il s’agit de maîtriser son système d'information et in fine son destin ». Sur ce dernier point, le directeur général de l'Anssi n'a pas donné d'indications sur ses futures fonctions.