Assises de la Sécurité 2022 : Le nécessaire passage à l'échelle de la cybersécurité

Le contexte géopolitique lié à la guerre en Ukraine caractérisée par la recrudescence de cyberattaques opérées par la Russie sur l'Ukraine constitue un point marquant abordé lors de la 20e édition des Assises de la Sécurité qui se déroule en ce moment à Monaco. Un déclencheur pour monter sérieusement d'un cran les capacités cybersécurité des entreprises.

En direct de Monaco. Le temps des crises est bel et bien là. Les situations critiques de toutes natures se sont multipliées ces dernières années (Covid, économique, géopolitique, énergétique...) avec pour conséquence de déstabiliser profondément le monde et les entreprises. Un constat reflété dans la dernière édition des Assises de la Sécurité 2022 qui se déroule en ce moment (12-14 octobre 2022) à Monaco. Pour cette 20e édition, près de 3 000 participants (RSSI, fournisseurs...) et 164 sociétés (PME, start-ups, grands groupes...) se sont donné rendez-vous. Un record depuis la création de cet événement qui devrait prochainement s'agrandir et bénéficier d'une surface supplémentaire profitant des constructions actuellement en cours - 6 000 m2 en tout - sur un front de mer créé de toute pièce.

Le contexte actuel des cybermenaces permanentes s'avère particulièrement explosif. « Nous prenons partout les mesures nécessaires et le rôle des RSSI est essentiel pour que les organisations se dotent de capacités nécessaires pour répondre aux cyberattaques », a expliqué Pierre Dartout, ministre d’État de la Principauté de Monaco en conférence plénière ce mercredi 12 octobre. « Des groupes cybercriminels s'attaquent à des entreprises intermédiaires qui ne sont pas bien armées et aussi à des services essentiels. Il faut renforcer la sensibilisation, aider à sécuriser les SI et maintenir dans la durée des infrastructures performantes ».

« Nous vivons des temps difficiles et la géopolitique occupe une place de plus en plus particulière cette année », a lancé Christian Liflander, directeur cyberéfense de l'OTAN. (crédit : D.F.)

Lutter collectivement à l'échelle contre les cybermenaces

Cette session 2022 des Assises de la Sécurité s'est ouverte dans un contexte marqué par des challenges persistants liés à une géopolitique plus que jamais propice aux cyberattaques. « La France est dans un temps du cyberspace marqué par des cyberattaques en Ukraine qui déstabilisent les communications et la capacité des gouvernements à communiquer », a lancé Christian Liflander, directeur cyberdéfense de l'OTAN. « Des cyberattaques avec effacement de données ont continué a viser l'Ukraine, le secteur de l'énergie et des ressources informatiques avec un hack ayant affecté Internet au travers toute l'Europe ».

Comment répondre à ces cybermenaces ? C'est assurément une question de tempo mais surtout de préparation amont : « les défenses doivent être prêtes au bon moment et les entreprises doivent prendre des bonnes mesures en termes de mises à jour, de back-up et d'exercices de crise qui sont des basiques », poursuit Christian Liflander. L'éventail de mesures de cyberdéfense s'est élargi avec le temps et vont continuer à bénéficier de technologies clés en matière d'informatique quantique pour du chiffrement plus efficace des communications par exemple. « Aucun secteur ne sera mis de côté pour apporter sa contribution à l'effort collectif de lutte contre les cybermenaces qui devront aussi passer à l'échelle leurs réponses aux cybermenaces ».

« Notre cybersécurité ne passe pas par un domaine d'excellence mais la capacité à traiter une mosaïque complexe de sujets », fait savoir Guillaume Poupard. (crédit : D.F.)

Dépassionner le sujet du cloud de confiance

La réponse aux cybermenaces ne pourra en tout état de cause pas reposer uniquement sur la mise en place d'outils, loin de là. « Les solutions ne répondent pas à tout. Il n'y a pas de solution magique pour un coût minimal avec une efficacité maximale », prévient Guillaume Poupard, directeur général de l'Anssi. « Il faut changer d'échelle et de braquet pour les années à venir ». Ce changement d'échelle a pour objectif d'apporter des moyens supplémentaires et adaptés pour accroitre le niveau de protection et de défense des entreprises. « Notre cybersécurité ne passe pas par un domaine d'excellence mais la capacité à traiter une mosaïque complexe de sujets », fait savoir Guillaume Poupard.

Parmi lesquels le réglementaire (NIS 2) et la prévention où tout - ou presque - reste encore à faire : « l'analyse de risque et la sécurisation des systèmes parait un Graal encore impossible à atteindre pour beaucoup d'entreprises », poursuit le directeur général de l'Anssi. Pour accompagner les entreprises, en particulier celles ayant encore peu d'adhérence avec l'IT et le numérique qui veulent lancer pour la première fois une app ou un site web e-commerce par exemple, l'agence va ainsi lancer Mon service sécurisé. Un outil qui se veut aussi simple qu'accessible pour aider les entreprises à se mettre à niveau. Sa date de lancement n'a pas été précisée.

Autres sujets concernant la mise à l'échelle des moyens cybersécurité : le développement des qualifications de sécurité (PASSI, PAMS, PAX...) ainsi que le cloud de confiance. Un sujet qui cristallise de nombreuses inquiétudes, loin d'être toutes justifiées aux yeux du patron de l'Anssi : « Il n'y pas d'un côté des systèmes de gaulois réfractaires qui veulent que chaque transistor et chaque bit soient codés en France, et d'autres mondialisés dont l'approche souveraine est vouée à l'échec », avance-t-il. Pour le directeur général de l'Anssi, pas question donc d'opposer frontalement deux versions du cloud de confiance : « Il faut un juste milieu, l'injonction de choisir son camp est insupportable [...] Il faut se tourner à distance de la passion pour objectiver les choses. Pour obtenir la sécurité et la souveraineté on ne peut pas écarter le luxe de faire des choix ».

Un maillage territorial en cybersécurité renforcé

Enfin, la mise à l'échelle de la réponse aux menaces de plus en plus virulentes tient également dans le rôle d'un maillage territorial efficace en termes de cybersécurité. Les CSIRT régionaux en font partie - 12 régions sur 13 en ont déjà contractualisé ou développé un - ainsi qu'une montée en puissance du service Cybermalveillance.gouv.fr qui aide les entreprises et le grand public à réagir face aux attaques. Un dernier point sur lequel nous reviendrons prochainement suite à notre échange sur les Assises avec Franck Gicquel, chargé des partenariats de Cybermalveillance.gouv.fr. « On ne fera pas de cyber efficace en étant franco-français, la coopération européenne au niveau de l'Europe et de l'OTAN n'est plus une option », assure Guillaume Poupart qui « remercie » au passage Vladimir [Poutine, ndlr] de « sortir l'OTAN de sa mort cérébrale »...