Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Pierre Gacic, ANSSI - SecNumeco : seul le dirigeant peut déterminer ce qui est précieux ou non pour son entreprise

juin 2018 par Emmanuelle Lamandé

Un an après sa première édition à Rennes, l’évènement SecNumeco est revenu les 19 et 20 juin en terres bretonnes, à Brest. Cet évènement, organisé par l’ANSSI, le SISSE, la CCIMBO et Brest métropole, a réuni pendant deux jours les acteurs de la sécurité numérique et de la protection économique, venus partager leurs expériences en matière de gestion des risques et de bonnes pratiques. L’occasion de faire le point avec Pierre Gacic, en charge du dispositif territorial au sein de l’ANSSI (Agence nationale de la sécurité des systèmes d’information).

Pierre Gacic, en charge du dispositif territorial au sein de l’ANSSI, et Eric Hazane, délégué à la sécurité numérique pour la région Bretagne de l’ANSSI

Global Security Mag : Pouvez-vous nous rappeler la genèse de SecNumeco, ainsi que les objectifs de cet évènement ?

Pierre Gacic : Les entreprises comme les collectivités territoriales vivent à travers la transformation numérique qui s’opère aujourd’hui de profondes mutations. Bien que ces changements soient sources de nombreuses opportunités, ils sont également porteurs de nouveaux dangers, notamment issus du cyberespace. De plus en plus d’entreprises et de collectivités sont d’ailleurs victimes d’attaques (vol d’informations, déstabilisation, espionnage, sabotage…) pouvant affecter leur image, leur fonctionnement et leurs emplois. Les vagues de cyberattaques récentes, comme Wannacry, ont d’ailleurs démontré à tous que ces risques sont bien réels et ont permis une certaine prise de conscience quant à la nécessite de mettre à l’abri les entreprises, y compris les PME et les TPE.

Pour accompagner les entreprises et les collectivités territoriales face à ces nouveaux défis et enjeux, l’ANSSI a mis sur pied en 2017 les évènements SecNumeco. En effet, conjuguer sécurité économique et sécurité numérique n’est pas seulement indispensable au bon fonctionnement de chaque organisation : c’est aussi un enjeu de souveraineté nationale. C’est pourquoi ces colloques proposent en alternance des sujets de sécurité numérique et de sécurité économique, ainsi que des démonstrations, visant à sensibiliser les entreprises et les collectivités territoriales aux risques, mais aussi aux bonnes pratiques en matière de sécurité. SecNumeco rassemble, de plus, les outils indispensables aux décideurs pour faire face aux risques, qui pèsent de manière indifférenciée sur les structures publiques et privées de toutes tailles et de tous secteurs, et qui sont accentués par la transformation numérique.

La première édition de SecNumeco s’était tenue à Rennes le 20 juin 2017. Depuis l’évènement s’est décliné dans d’autres villes de France, comme Toulouse, Strasbourg, Nice, Cholet et, maintenant, Brest. Les prochains SecNumeco auront lieu à Dijon, Avignon et Rouen d’ici fin 2018 et 2019. La démarche SecNumeco est donc bel et bien lancée sur le territoire national et s’inscrit dans le temps. Toutefois, ces événements n’auraient pu voir le jour sans une étroite collaboration et co-organisation avec certains organismes régionaux et autres acteurs étatiques, tels que le Service de l’information stratégique et de la sécurité économiques (SISSE). Pour sensibiliser les entreprises aux risques cyber et renforcer leur niveau de sécurité, la collaboration de l’ANSSI avec les autres acteurs du domaine est, en effet, indispensable.

Ces événements s’adressent en priorité aux entreprises et collectivités territoriales. En outre, nous souhaitons toucher par ce biais les différents relais qui pourront nous aider à porter nos messages et bonnes pratiques : associations, fédérations et groupements professionnels, chambres consulaires… L’objectif est que ces différents acteurs s’approprient les idées défendues par l’agence et connaissances relatives à ces sujets, et les diffuse largement par la suite au sein de leurs écosystèmes respectifs.

GS Mag : Quel message clé l’ANSSI souhaite-t-elle faire passer aux entreprises, collectivités territoriales et relais professionnels à travers ces événements ?

Pierre Gacic : Le numérique est aujourd’hui partout, mais le risque aussi est omniprésent. C’est pourquoi ce développement numérique ne peut se faire sans sécurité et sans environnement de confiance. Toutefois, il faut garder à l’esprit que le numérique est un risque comme un autre, et s’avère avant tout une affaire de dirigeants et de décideurs, contrairement à certaines idées reçues.

La sécurité numérique doit tout d’abord reposer sur une analyse de risques, puis sur le développement d’une politique de sécurité dédiée. L’objectif est effectivement de savoir ce qui est précieux ou non pour une organisation. Seul le chef d’entreprise peut déterminer ce qui est précieux ou non, et quelles données doivent faire l’objet d’une protection renforcée… Les dirigeants doivent comprendre que la cybersécurité est un risque comme un autre, et qu’elle doit être adressée de la même manière. Ils doivent, de plus, avoir la mainmise sur les décisions relatives à ces risques et au traitement de leurs biens précieux. Ce n’est pas le rôle d’un prestataire extérieur, ni d’un responsable informatique, mais bien du dirigeant. A titre de comparaison, ce n’est pas un vigile qui décide des biens à mettre dans un coffre-fort, ni du choix du coffre-fort. Il est là pour le surveiller et en assurer la protection.

L’objectif de l’ANSSI est d’accompagner ces différents acteurs dans leurs démarches et responsabilités, mais aussi de les sensibiliser aux bonnes pratiques.

GS Mag : Quel bilan faites-vous aujourd’hui du dispositif territorial initié par l’ANSSI fin 2015 ?

Pierre Gacic : Le bilan est positif, puisque le dispositif est opérationnel et les initiatives se multiplient sur le territoire. Les régions suivantes sont aujourd’hui chacune dotées d’un délégué : Bretagne, Hauts-de-France, Nouvelle-Aquitaine, Occitanie, Grand-Est, Provence-Alpes-Côte d’Azur, Corse, Normandie, Bourgogne-Franche-Comté, Ile-de-France et Pays-de-la-Loire. Vous pouvez retrouver les référents et points de contact de ces régions sur le site de l’ANSSI. Les régions Auvergne-Rhône-Alpes et Centre-Val-de-Loire seront, quant à elles, dotées d’un délégué dans le courant du second semestre 2018. Le dispositif sera à terme étendu à l’Outre-Mer. Certaines régions seront, quant à elles, dotées à l’avenir d’un second délégué, le périmètre à couvrir étant pour certaines plus large que pour d’autres.

GS Mag : Quelles sont les principales missions des référents de l’ANSSI en régions, et votre rôle en tant que coordinateur ?

Pierre Gacic : Les référents de l’ANSSI en régions œuvrent en synergie avec les structures et les autorités régionales existantes en vue de prévenir les incidents de sécurité et de sensibiliser les acteurs locaux du public et du privé aux bonnes pratiques informatiques. Ils accompagnent ainsi la prise en compte des enjeux de sécurité numérique dans les territoires en agissant au plus près des acteurs locaux, et en mettant sur pied un réseau de confiance.

En tant que coordinateur, mon rôle est de faire fonctionner ce dispositif territorial à travers la mise en place de directives stratégiques, d’assurer la liaison avec les autres administrations et de veiller à ce qu’il y ait une cohérence d’ensemble. L’objectif est également d’assurer le partage des connaissances et des retours d’expériences des uns et des autres, afin d’améliorer en permanence les bonnes pratiques en matière de sécurité numérique.

GS Mag : Quelles sont plus largement, au niveau national ou européen, les principales missions menées par l’ANSSI en 2018 ?

Pierre Gacic : Au niveau national, l’ANSSI continue, à travers l’ensemble de ses initiatives, de faire croître le niveau de sécurité de l’ensemble des acteurs. L’agence poursuit ainsi ses missions vis-à-vis des Opérateurs d’Importance Vitale (OIV), mais aussi des Opérateurs de Services Essentiels, dans le cadre de la mise en œuvre de la directive NIS. L’année 2018 a, en effet, été principalement marquée par la mise en application du RGPD (Règlement Général européen pour la Protection des Données) et de la directive européenne NIS (Network and Information Security) en mai dernier. Bien que le RGPD et la protection des données personnelles soient principalement portés par la CNIL en France, l’ANSSI accompagne néanmoins les acteurs dans la sécurisation des tuyaux et infrastructures via lesquels transitent ces données.

L’ANSSI a également mis sur pied, en collaboration avec le SISSE, un référentiel pédagogique de formation à la cybersécurité des TPE et PME, disponible en ligne sur le site de l’agence. Tout le monde peut se l’approprier. Il peut, de plus, être intégré dans des référentiels plus généraux au sein des entreprises.

Toujours dans la même optique de renforcer le niveau global de sécurité, l’ANSSI met désormais aussi à disposition des entreprises un kit de sensibilisation sur son site, qui comprend notamment le guide d’hygiène informatique, des infographies et fiches de bonnes pratiques, etc.
Les entreprises se posent d’ailleurs beaucoup de questions autour du RGPD et pourront aussi trouver, via ce kit de sensibilisation, des éléments de réponse à la majorité de leurs interrogations ou être renvoyées vers les prestataires adéquats.

L’agence renforce également ses campagnes de sensibilisation lors d’évènements majeurs, tels que la Coupe du monde de football. Ces évènements font toujours l’objet d’attaques et arnaques en tout genre, et sont donc l’occasion d’alerter le plus grand nombre quant aux risques et bonnes pratiques.

En outre, le dispositif cybermalveillance.gouv.fr de sensibilisation et d’assistance aux victimes de cybermalveillance, porté par le GIP ACYMA, est complémentaire de nos actions de sensibilisation, et accompagne les plus petites structures et les particuliers en cas d’incident.

GS Mag : Enfin, l’ANSSI vient de remettre ses premiers Visas de sécurité lors d’une cérémonie dédiée. Pouvez-vous nous rappeler l’objectif de cette démarche ?

Pierre Gacic : Les entreprises ont aujourd’hui besoin d’un environnement de confiance, d’autant que le train de la transformation numérique est en marche. Si la sécurité est à la traîne dans cet écosystème numérique, on court à la catastrophe. Toutefois, nous voyons malheureusement encore beaucoup de projets dans lesquels la sécurité n’est pas intégrée. Il est essentiel de s’inscrire aujourd’hui dans une démarche de sécurité « by design », quel que soit le projet ou l’entreprise en question.

Afin de créer cet environnement de confiance, notre rôle en tant qu’autorité nationale est d’apporter aux entreprises des outils et des solutions qualifiées. C’est d’ailleurs l’objectif de la démarche de valorisation des activités de qualification et de certification lancée en janvier 2018, baptisée « Visa de sécurité ANSSI ». Au vu des menaces actuelles, le choix de solutions de cybersécurité représente en effet un enjeu stratégique au sein des organisations aussi bien publiques que privées. Le Visa de sécurité ANSSI est à la fois un atout de compétitivité pour les entreprises détentrices, et un gage de qualité et de confiance pour les utilisateurs. Il contribue ainsi au renforcement des capacités de cyberdéfense de la France et de l’Europe. Pour célébrer l’excellence en matière de cybersécurité, l’ANSSI a souhaité réunir le 21 juin à Paris, lors de la première cérémonie de remise du Visa de sécurité, les 110 fournisseurs de solutions de cybersécurité disposant de ce Visa, ainsi que leurs clients et prescripteurs, en présence de Mounir Mahjoubi, Secrétaire d’État auprès du Premier ministre, chargé du Numérique, et de Guillaume Poupard, Directeur général de l’ANSSI.

Cette initiative s’inscrit dans la même lignée que SecNumedu, qui vise à labelliser les différentes formations à la cybersécurité en France conformes au cahier des charges établi par l’ANSSI.

Ces différentes démarches vont permettre à terme d’accompagner l’ensemble des acteurs (entreprises, TPE/PME, administrations, collectivités territoriales et citoyens) dans leur choix de formations ou de solutions de sécurité, et offriront à tous des repères et outils indispensables pour agir face au risque numérique.

Enfin, il faut garder à l’esprit que la sécurité est l’affaire de tous, c’est pourquoi il est essentiel que chacun en prenne conscience et agisse en conséquence.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants