Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Assises 2016 : confiance ou défiance numérique ?

octobre 2016 par Emmanuelle Lamandé

Les attaques informatiques ne connaissent pas de frontières. Seule une réponse collective, à l’échelle nationale, européenne et internationale, pourra donc permettre de faire face aux enjeux du numérique. Comme l’explique Guillaume Poupard, Directeur général de l’ANSSI, en ouverture de la 16ème édition des Assises de la Sécurité, la sécurité informatique est l’affaire de tous, afin de faire de l’espace numérique une zone de confiance, et non de défiance.

« La sécurité informatique est l’affaire de tous. Dirigeants, responsables informatiques, employés : chacun est responsable de ses usages et a un rôle à jouer face à la multiplication des menaces et au développement croissant du numérique. Aujourd’hui, la sécurité n’est plus une option. Elle est la condition de la confiance et gage de résultats de la transition numérique », explique Guillaume Poupard, Directeur général de l’Agence nationale de la sécurité des systèmes d’information.

La qualification des prestataires : une étape essentielle vers le développement d’un écosystème industriel de confiance

La démarche de sécurité doit se faire au niveau national, européen et international. Tous les acteurs ont un rôle à jouer en la matière. Certaines règles sont de la responsabilité des OIV, d’où la mise en place par exemple de la LPM en France. D’autres nécessitent des offres et des services de sécurité de confiance.

L’ANSSI concourt, en ce sens, actuellement au développement d’un écosystème industriel de confiance, via la qualification des prestataires de sécurité notamment. Le bilan en la matière s’avère plutôt positif. Dans le domaine de l’audit, 20 PASSI ont d’ores et déjà été qualifiés, et 14 autres sont en cours de qualification. Il existe une dynamique forte en ce domaine. En matière de réponse à incident, 6 prestataires (PRIS) ont été qualifiés par l’Agence. Du côté de la détection d’incident (PDIS), l’Agence conduit actuellement une procédure expérimentale afin de tester le référentiel en conditions réelles. L’ANSSI est également en train de développer une démarche de qualification des prestataires de Cloud Computing, afin de disposer de solutions répondant aux exigences de sécurité nationales.

« Nous avons besoin de structurer cet écosystème industriel, et sommes en train de construire une industrie de confiance en matière de cybersécurité, y compris au niveau européen », souligne-t-il.

Dans le domaine réglementaire, l’objectif est de pouvoir s’inscrire dans une démarche uniforme au niveau européen, tout en gardant notre souveraineté nationale. En ce sens, la directive NIS reprend les idées de la LPM. Cette directive obligera, de plus, les états membres de l’UE à disposer à terme d’une agence de sécurité, telle que l’ANSSI, mais aussi d’un CERT.

Outre la démarche souveraine et européenne, la collaboration doit aussi se faire au niveau international. « Nous savons que nous avons aussi besoin d’industriels non européens. Il est de notre devoir et de notre intérêt de faire monter tous les pays en compétences. »

Les citoyens numériques ont aussi leur rôle à jouer

Tout un chacun pourra, en outre, devenir acteur de cette sécurité numérique. En effet, les personnes qui détectent des problèmes ou failles de sécurité sur Internet pourront dorénavant le notifier auprès de l’ANSSI s’ils le souhaitent, sans que l’agence ne soit obligée d’en faire part aux forces de l’ordre, comme prévu par l’article 40 du Code de procédure pénale. L’objectif est de ne pas occulter une source d’informations pouvant s’avérer essentielle. Les citoyens numériques vont donc pouvoir s’exprimer et participer au renforcement de la cybersécurité de la nation.

Par exemple, un FTP qui n’a pas de mot de passe peut et doit être signalé. Par contre, s’il y a un mot de passe qui doit être cassé pour accéder au FTP, cela reste interdit. Signaler des failles ne signifie pas enfreindre la Loi Godfrain.

Aujourd’hui, l’ANSSI reçoit déjà quelques dizaines de signalements en moyenne chaque mois. La mise en place d’un tel dispositif devrait venir accentuer ce nombre, et sera officiellement lancé suite la promulgation de la loi, actuellement dans les tuyaux. Les conditions inhérentes à ce dispositif seront de toute façon amenées à évoluer, l’Agence n’ayant aucune idée pour l’instant du nombre de signalements qu’elle doit s’attendre à recevoir.

En parallèle, l’Agence prévoit également l’édition d’un guide, visant à encadrer cette démarche. Il expliquera les limites du dispositif, mais aussi comment justifier de sa bonne foi.

Sensibiliser et former le plus grand nombre

Il faut responsabiliser l’ensemble des acteurs, mais aussi être capable de sensibiliser et d’expliquer la sécurité au plus grand nombre. Nous ne pouvons pas aujourd’hui nous permettre d’être « naïfs ». Il est essentiel de sensibiliser tous les acteurs et tout type d’entreprises, notamment celles qui ne disposent d’aucunes compétences en sécurité ou en informatique.

La sensibilisation des PME/TPE représente un axe clé, d’où la publication l’an passé d’un guide dédié, réalisé conjointement par l’ANSSI et la CGPME. L’objectif sera également à terme de développer une offre spécifique de sécurité, simple à mettre en place et à administrer. L’idéal sera certainement de pouvoir leur proposer une box de sécurité tout en un, administrable à distance, pour une somme modique. Si déjà les mesures élémentaires de sécurité sont mises en place, théoriquement les PME/TPE ne seront plus victimes de ransomwares.

Le développement des formations d’experts, et plus globalement de tous les acteurs du numérique, est également une nécessité. Le programme CyberEdu permet, en ce sens, d’identifier les formations dédiées à la cybersécurité, et met aussi à disposition de la matière visant à former les formateurs. L’Agence a également mis sur pied une démarche de validation des formations labellisées, afin de s’assurer du bon niveau des formations : SecNumEdu.

La formation professionnelle doit, quant à elle, se développer en matière de cybersécurité. Beaucoup de travail reste à faire en ce domaine.

Enfin, l’ANSSI continue aussi sa politique de recrutement et compte près de 500 personnes dans ses équipes aujourd’hui.

« Nous sommes actuellement sur le sommet de l’arrête entre la défiance et la confiance numérique. Il est donc temps de faire un choix : être dans le déni et affaiblir les bénéfices de la transformation numérique ou agir ensemble pour construire une société basée sur la confiance. L’ANSSI a choisi son camp. A travers la protection des opérateurs d’importance vitale, le développement de l’ « Europe du numérique », la consolidation de la filière cybersécurité en France et l’accroissement de la formation et de la sensibilisation, l’agence et ses partenaires accompagnent l’évolution du numérique », conclut-il.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants