Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Assises 2021 : "Back to Fundamentals" ne signifie pas revenir en arrière

octobre 2021 par Emmanuelle Lamandé

En ouverture de la 21ème édition des Assises, Pierre Dartout, ministre d’État de la principauté de Monaco, et Guillaume Poupard, Directeur Général de l’ANSSI, sont venus faire le point sur leurs stratégies respectives en matière de cybersécurité. Chacune d’entre elles a dû s’adapter à la crise sanitaire et à un contexte sociétal inédit, où le numérique est devenu clé. Toutefois, les organisations n’étaient pas toutes bien préparées à opérer cette transition, et à faire face à des menaces qu’elles ont parfois du mal à appréhender. Les accompagner dans leurs démarches, au moins le temps qu’elles mettent le pied à l’étrier et qu’elles assimilent les fondamentaux, est aujourd’hui capital, et ce avec des discours adaptés et compréhensibles pour les dirigeants.

En préambule, Pierre Dartout a rappelé que sans sécurité il n’y aurait pas de libertés ; c’est une exigence essentielle. Les questions liées à la cybercriminalité, comme à la cybersécurité sont prépondérantes aujourd’hui, et encore plus dans le contexte actuel. La dématérialisation s’est accentuée avec la crise inhérente à la pandémie de COVID-19. Le télétravail et les visioconférences sont devenues la « norme » et cette transition n’aurait pu se faire sans outils numériques. Toutefois, nous ne sommes pas tous bien préparés à cela et prêts à faire face à la menace cyber.

La Principauté de Monaco a mis sur pied une unité dédiée à la cybersécurité

Face à ce constat et afin d’accompagner la relance économique de la Principauté, le Gouvernement monégasque a défini un plan d’action, qui s’appuie sur la mise en place d’un fonds de soutien, appelé « Fonds Bleu ». Celui-ci vise à favoriser la relance économique via le numérique, et à accompagner les services publics et les acteurs de la Principauté dans la sécurisation de l’ensemble de leurs systèmes d’information et infrastructures, mais aussi dans la recherche de leurs identités numériques. Le Fonds Bleu s’appuie sur la plateforme « Extended Monaco pour l’Entreprise », un outil d’accompagnement de la transition numérique des entreprises monégasques. Cette plateforme leur permet d’évaluer leur maturité numérique, d’accéder à des formations e-learning, d’identifier des professionnels du numérique pour les accompagner dans leur transition numérique et d’accéder au Fonds Bleu.

Bon nombre d’entreprises travaillent aujourd’hui dans le domaine numérique sur Monaco et développent de nouveaux services en matière de cybersécurité. La Principauté a d’ailleurs créé une unité dédiée à la cybersécurité, ainsi qu’un cloud souverain, opéré par Monaco Cloud. La mission de ce dernier est d’offrir au Gouvernement, aux OIV et aux entreprises privées de Monaco et de la région, les infrastructures et services cloud (IaaS/PaaS) aux plus hauts standards de qualité et de sécurité. Ses infrastructures sont localisées à Monaco, les données hébergées sont par conséquent sous loi monégasque.

Monaco place la sécurité comme l’une de ses priorités absolues, souligne Pierre Dartout. Et l’innovation s’avère, selon lui, le principal facteur de développement économique.

Aborder les fondamentaux, dans un discours qui parlera aux décideurs

Pour cette 21ème édition des Assises, Guillaume Poupard a tenu pour sa part à rappeler l’importance de la mise en œuvre des fondamentaux en matière de cybersécurité, faisant écho au discours « Back to Basics » de Patrick Pailloux, ancien DG de l’ANSSI il y a 10 ans. Depuis, bon nombre de choses ont certes évolué au sein de l’écosystème, que ce soit du côté de l’attaque ou de la défense, mais aussi au sein des organisations, toutefois encore aujourd’hui les fondamentaux ne sont souvent pas mis en place, ou ne le sont que partiellement. Et sans ces fondamentaux, il y a peu de chance que cela fonctionne.

Revenir aux fondamentaux est donc un impondérable, dans la mesure où l’on ne peut rien construire tant que les bases ne sont pas solides. Il est vrai que, de manière générale, les sujets inhérents à la sécurité des systèmes d’information ne font pas rêver les décideurs, comme les utilisateurs d’ailleurs, c’est pourquoi il est essentiel que les professionnels du secteur adaptent leurs discours. C’est à nous de faire cet effort de langage, et d’aborder ces fondamentaux dans un discours qui parlera aux décideurs, pas l’inverse. Ce travail a d’ores et déjà été entrepris en grande partie, mais du chemin reste encore à faire.

Heureusement, le sujet cyber est en train de rentrer dans le quotidien de tout un chacun. C’est un véritable phénomène de société, et une évolution de nos vies. Ce sujet s’invite d’ailleurs de plus en plus dans la littérature, le cinéma et l’imaginaire des uns et des autres, ce qui en facilite l’appréhension et la compréhension par une plus large majorité.

Cybermoi/s 2021 : se protéger grâce à des mots de passe sécurisés

La sécurité des mots de passe fait partie de ces fondamentaux, et c’est d’ailleurs le thème sur lequel le Cybermoi/s a choisi de se focaliser cette année. Ce sujet, qui peut sembler quelque peu « bateau » pour les plus aguerris a toute son importance, d’autant que ce n’est pas encore un acquis pour bon nombre de structures et de personnes. En effet, bien que les mots de passe fassent désormais partie du quotidien des Français (boîte mail professionnelle, personnelle, compte bancaire en ligne, réseaux sociaux, sites, applications…), de leur robustesse dépend leur niveau d’efficacité. Car face à l’augmentation des cyberattaques et des vols de données personnelles, seule l’utilisation de mots de passe sécurisés représente un rempart efficace.

Voici un rappel de quelques bonnes pratiques à mettre en place pour définir des mots de passe efficaces et faciles à retenir :
- Choisir des mots de passe longs, complexes avec majuscules, minuscules, chiffres et caractères spéciaux. Ils peuvent aussi prendre la forme d’une phrase de passe. Plus longue qu’un mot de passe et plus facile à retenir, elle augmentera considérablement la robustesse des accès. Faire appel à un coffre-fort de mots de passe est également une solution recommandée.
- Ne pas intégrer d’informations personnelles, telles qu’une date de naissance ou le prénom d’un enfant, dans un mot de passe.
- Utiliser un mot de passe unique pour chaque compte, en particulier pour les comptes les plus sensibles : adresses mails et usages professionnels.
- Changer ses mots de passe par défaut dès que possible.
- Ne jamais communiquer ses mots de passe.

Pour assurer sa sécurité numérique, sécuriser ses mots de passe doit évidemment s’accompagner de mesures complémentaires : faire des sauvegardes régulières de ses contenus, mettre à jour ses appareils et logiciels, ne pas cliquer sur les liens ou télécharger de pièces jointes venant d’un expéditeur inconnu…

Revenir aux fondamentaux ne signifie pas revenir en arrière

Toutefois, revenir aux fondamentaux ne signifie pas pour autant revenir en arrière, souligne Guillaume Poupard. En dix ans, nous avons construit de très belles choses. Le campus cyber est un bel exemple de réussite, qui va permettre de développer des projets ensemble, portés par tous les acteurs de l’écosystème (chercheurs, grands groupes, start-ups...), au sein d’un lieu ouvert, français mais pas que. Ce projet positionne la France dans le peloton de tête des pays capables de penser la cyber.

246 visas de sécurité validés en 2020

Le développement des visas de sécurité représente également un axe important pour l’ANSSI, car c’est une manière de transmettre la confiance. 246 visas de sécurité ont été validés en 2020, soit une augmentation de 21% par rapport à 2019. Parmi ces visas de sécurité, on dénombre :
- 114 certifications, dont 87 Critères Communs et 27 CSPN ;
- 132 qualifications, dont 35 relatives à des produits et 97 à des services.

Selon Guillaume Poupard, la première question qu’une organisation doit aujourd’hui se poser lorsqu’elle investit dans la cybersécurité : est-ce que je m’apprête à acheter une solution ou à recourir à un service labellisé ? D’autant que peu à peu la grande majorité des champs et domaines inhérents à la cybersécurité bénéficient désormais d’offres labellisées, donc les entreprises ne peuvent plus dire qu’elles n’ont pas le choix.

Appel à commentaires sur la nouvelle version du référentiel SecNumCloud

Les référentiels dédiés aux prestataires se sont d’ailleurs multipliés ces dernières années : PDIS, PRIS, PASSI, PAMS, PACS… Plus récemment, l’ANSSI a mis sur pied un référentiel dédié aux prestataires de vérification d’identité à distance (PVID). Sans oublier bien évidemment le référentiel SecNumCloud, dont une nouvelle version vient d’ailleurs d’être mise en ligne dans le cadre d’un appel public à commentaires. Celle-ci s’inscrit dans la lignée de la stratégie nationale pour le cloud annoncée mi-mai 2021, mais aussi l’élaboration du schéma de certification européen relatif aux prestataires de cloud. Les observations, propositions et commentaires peuvent être transmis à l’ANSSI jusqu’au 15 novembre 2021.

« Nous avons absolument besoin de services cloud de confiance, et tout ce que nous mettons dans le cloud doit être sécurisé », souligne Guillaume Poupard. « Le référentiel SecNumCloud contient toutes nos exigences en matière de sécurité, et nous sommes en train de le clarifier aujourd’hui, notamment au niveau juridique. Nous souhaitons en effet que le « cloud de confiance » le soit également d’un point de vue légal. Pour cela, il faut une sécurité juridique, et que l’ensemble des exigences soient clarifiées au niveau de la loi française. C’est un impondérable si nous voulons pouvoir contrer la loi américaine, chinoise… Nous devons avoir une idée très claire de nos règles, et de ce que nous acceptons ou pas.
Cependant, nous ne pouvons pas non plus tout fermer. Nous sommes sur une ligne de crète aujourd’hui, comme souvent dans le domaine cyber. Nous avons envie que les acteurs européens s’accordent, dans la mesure où l’échelle européenne reste celle qui fait sens à l’heure actuelle. »

Cybersécurité : le plan France Relance permet aux différents acteurs de mettre le pied à l’étrier

De manière générale, les autorités ont aujourd’hui compris les enjeux relatifs à la cybersécurité, et avec le plan France Relance l’ANSSI dispose actuellement des ressources nécessaires pour mettre en œuvre sa stratégie. Afin de relancer l’économie en période de crise sanitaire et d’encourager le développement des secteurs d’avenir, le gouvernement a en effet lancé en septembre 2020 le plan France Relance. Ce dispositif comporte un volet cybersécurité doté de 136 millions d’euros confiés à l’ANSSI. L’objectif est de renforcer le niveau de cybersécurité des administrations, des collectivités territoriales, des établissements de santé et des organismes au service des administrés tout en soutenant l’économie. Sur ces 136 millions d’euros :
- 60 M€ sont dédiés à la sécurisation des collectivités territoriales, via la mise en œuvre de Parcours de cybersécurité, le co-financement de projets et le soutien à la création des CSIRT régionaux. Le but est de de les aider à mettre le pied à l’étrier.
- 25 M€ sont alloués au secteur de la santé, et destinés à la sécurisation des établissements de santé, du ministère et des organismes qui en dépendent. On recense aujourd’hui près de 4 000 établissements de santé en France, et 135 d’entre eux ont été désignés OSE (Opérateurs de Services Essentiels). Ces ressources vont permettre à ces différents établissements d’initier leurs démarches de cybersécurité, d’effectuer des audits…
- 30 M€ sont destinés aux ministères et organismes qui en dépendent, hors secteur de la santé, via le co-financement de projets de sécurisation des réseaux de l’État.
- Et 21 M€ serviront au développement et au déploiement mutualisé des capacités nationales de cybersécurité.

Certes, l’allocation de ces ressources ne fera pas tout, mais permettra déjà à bon nombre d’organisations d’initier leurs démarches ou de renforcer leur niveau de sécurisation. Et même si beaucoup de chemin reste encore à parcourir en matière de cybersécurité, Guillaume Poupard se veut plutôt confiant sur notre capacité à rattraper notre retard. « Ce qui fait notre force par rapport aux attaquants réside dans notre capacité à travailler ensemble. Et ce travail collectif est notre unique chance de faire gagner les gentils », conclut-il.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants