Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Emmanuel Germain, ANSSI : co-construction, ouverture et agilité, les maîtres-mots d’une cybersécurité positive

octobre 2019 par Emmanuelle Lamandé

2019 restera une année significative pour l’Agence nationale de sécurité des systèmes d’information. 10 ans après sa création, l’ANSSI réaffirme ses engagements au travers d’une toute nouvelle philosophie, basée sur la co-construction d’une sécurité numérique ouverte et positive. Emmanuel Germain, directeur général adjoint de l’ANSSI, revient plus en détails sur les annonces de Guillaume Poupard, à l’occasion des Assises de la Sécurité.

Global Security Mag : Dans son discours d’ouverture des Assises de la Sécurité, Guillaume Poupard, directeur général de l’ANSSI, a prôné une sécurité plus ouverte et positive. Concrètement, comment cela se traduit-il ?

Emmanuel Germain : En effet, comme l’a annoncé Guillaume Poupard en ouverture des Assises de la Sécurité, l’ANSSI souhaite aujourd’hui réformer la manière de penser et de mettre en œuvre la cybersécurité, à son échelle, mais aussi au sein de tout l’écosystème. C’est donc un véritable changement de philosophie qui s’opère cette année.
A l’heure actuelle, la majorité des entreprises sont sensibilisées aux risques numériques. Bien que la situation soit toujours aussi conflictuelle, continuer à se focaliser uniquement sur les risques et sur une sécurité anxiogène affecte le message, et pourrait même s’avérer contre-productif. Aussi, est-il essentiel de mettre l’accent désormais sur une cybersécurité positive, basée sur la collaboration de tous les acteurs et la co-construction.
La cybersécurité est l’affaire de tous, y compris des responsables. Le risque cyber est un risque systémique, au même titre qu’un risque financier. Il doit être traité au niveau du COMEX et de la gouvernance. De plus, la cybersécurité ne doit plus être perçue en entreprise comme un centre de coûts, mais comme un investissement. Il faut percevoir ce qu’elle apporte de positif à l’entreprise, et aussi ce qu’elle lui évite de perdre, plutôt que de se focaliser uniquement sur ce qu’elle coûte.
Au-delà des dirigeants, c’est tout un chacun qui doit être sensibilisé à la sécurité numérique, à titre professionnel, mais aussi personnel, et ce quel que soit son âge. Sensibiliser le plus grand nombre permet, en outre, de limiter le nombre d’erreurs humaines et donc de complexifier la tâche pour les attaquants. En impliquant davantage d’acteurs, on améliorera notre niveau global de sécurité.

GS Mag : Quelles actions l’ANSSI va-t-elle initier pour mettre en œuvre cette nouvelle philosophie ?

Emmanuel Germain : Pour ce faire, l’ANSSI va mettre à disposition davantage de ressources, ce qui marque une autre nouveauté majeure. Nous privilégions l’open-source et ouvrons désormais les projets de l’agence au plus grand nombre. Nous sommes passés d’une logique de fermeture à l’ouverture de nos outils. Aujourd’hui, nous ne réfléchissons plus aux ressources que nous pourrions éventuellement mettre à disposition, mais uniquement à celles qui ne doivent pas l’être. La philosophie n’est donc plus la même.
Nous venons, en ce sens, d’annoncer la mise à disposition d’OpenCTI (Open Cyber Threat Intelligence), un outil de gestion et de partage de la connaissance en matière d’analyse de la cybermenace. OpenCTI permet la mise en relief de situations dans un volume important de données. L’ouverture de cette plateforme, initialement conçue pour les besoins de l’agence, permettra aussi de faciliter l’échange d’informations structurées sur la cybermenace entre l’ANSSI et l’ensemble des acteurs de la Threat Intelligence.
Auparavant, nous avions également rendu publics d’autres projets de l’agence, comme CLIP OS, notre système d’exploitation multi-niveau sécurisé, DFIR ORC, un outil de collecte de données pour l’analyse forensique, ou encore Wookey, un disque dur USB chiffrant sécurisé. Ce projet, qui repose exclusivement sur du logiciel libre, permet de développer des systèmes embarqués et des objets connectés durcis, et s’adapte à de nombreux cas d’usage. Wookey démontre à tous qu’il est aujourd’hui possible de mettre sur pied des projets d’objets connectés, sécurisés « by design ».

A l’ANSSI, nous avons les ressources, les laboratoires et les compétences pour développer des systèmes sécurisés par essence. Nos équipes échangent au quotidien, et les développements se font directement au contact des opérationnels. Nous sommes dans un cycle d’innovation permanent, et bénéficions des ressources adéquates. D’où l’intérêt de partager et de mettre à disposition les outils qui peuvent l’être, sans compromettre bien entendu notre sécurité nationale.
Cette ouverture nous permet, en outre, de continuer à faire évoluer en permanence nos outils, au travers des contributions, échanges et retours d’expérience des uns et des autres. Cette démarche open-source s’inscrit donc pleinement dans notre logique de collaboration et de co-construction.

GS Mag : Le projet de Campus de la cybersécurité s’inscrit également dans cette logique d’échanges. Quel sera votre rôle dans cette démarche ?

Emmanuel Germain : Le Premier ministre Édouard Philippe a effectivement confié, en juillet dernier, à Michel Van Den Berghe, DG d’Orange Cyberdefense, une mission de préfiguration d’un Campus de la cybersécurité, en collaboration avec trois principaux acteurs (Orange, Thales et Atos). Ce projet vise à réunir, dans un même lieu « Totem », l’ensemble des acteurs publics et privés de l’écosystème français de la cybersécurité (industriels, PME, start-ups, chercheurs, académiques…), afin de favoriser la création de synergies et la structuration du domaine, autour de trois principaux enjeux :
- Renforcer la sensibilisation et la formation pour contribuer à résoudre le déficit d’experts ;
- Favoriser le partage et la mutualisation d’outils, de compétences et de données entre les acteurs de l’écosystème ;
- Accompagner l’innovation publique et privée pour concourir au développement de la filière industrielle de cybersécurité, en cohérence avec le comité stratégique de filière sécurité.

L’ANSSI n’est pas décisionnaire dans ce projet, mais y apportera tout son soutien et son expertise en matière de sécurité numérique. Au travers de ses dimensions à la fois opérationnelles, formation et RH, ce projet s’inscrit d’ailleurs dans la droite lignée des objectifs de l’agence. Ce Campus favorisa la formation des acteurs, mais aussi le partage des connaissances et la mise en commun de certaines activités (recherches, CERT…). Il soutiendra, de plus, le développement des projets et des start-ups, qui pourront se concentrer davantage sur l’innovation plutôt que sur la recherche permanente de fonds. L’objectif sera de rendre ces démarches plus fluides et plus faciles, mais aussi de mutualiser les ressources et les outils, afin de mettre l’innovation au cœur des développements. Co-construire ne signifie pas pour autant tout partager et tendre vers un acteur unique. On peut tout à fait être compétiteur et avoir des intérêts communs.

GS Mag : Quel état faites-vous aujourd’hui de la menace ?

Emmanuel Germain : La menace s’intensifie, à la fois en termes qualitatifs et quantitatifs. Les objets connectés accroissent la surface d’exposition aux attaques. Nous avons, de plus, observé cette année une augmentation du nombre d’attaques ayant des fins d’espionnage. La cybercriminalité, elle aussi évolue et tend à cibler davantage ses victimes. Auparavant, les cas de ransomwares touchaient notamment des PME au hasard. Désormais, nous constatons aussi des cas d’attaques planifiées, ciblant de plus grandes structures et exigeant des sommes plus importantes en échange de la récupération de leurs données.

Face à ce constat, la détection des attaques est plus que jamais primordiale, d’où l’importance pour l’ANSSI de renforcer encore davantage nos capacités de « détection d’incident », et le nombre de prestataires de confiance PDIS qualifiés dans ce domaine. Nous allons donc continuer à mettre l’accent sur cet aspect dans les mois et années à venir.

De manière générale, nous allons poursuivre notre démarche de qualification des prestataires de confiance. Nous venons d’ailleurs d’ouvrir un appel à commentaires concernant notre référentiel PAMS, destiné aux prestataires d’administration et de maintenance sécurisées. Les observations et propositions relatives à cette première version du référentiel peuvent nous être transmises jusqu’au 15 décembre 2019.

GS Mag : La sécurité numérique passe aussi par la sensibilisation de tous et l’éducation dès le plus jeune âge. Quelles seront vos actions pour toucher le plus grand nombre ?

Emmanuel Germain : Pour toucher le plus grand nombre, il faut en effet forcément passer par l’éducation. Le développement de la sécurité numérique en France est aujourd’hui freiné par le déficit de personnes formées. La formation représente donc actuellement un axe de travail majeur pour l’ANSSI, et le sera également dans les années à venir. Outre la labellisation des formations initiales et continues, avec SecNumedu et SecNumedu-FC, l’ANSSI collabore depuis plusieurs mois avec le ministère de l’Education et de la Jeunesse et le ministère des Armées, afin d’intégrer la sécurité numérique à la fois dans les programmes scolaires, mais aussi dans le futur Service national universel (SNU). Nous travaillons actuellement sur la définition des contenus pédagogiques que les enseignants pourront transmettre aux plus jeunes. L’enjeu est double : sensibiliser le plus grand nombre à la sécurité numérique dès le plus jeune âge, afin que les bonnes pratiques deviennent des « réflexes », mais aussi faire naître des vocations pour cette filière d’avenir.

La sécurité numérique ne se résume effectivement pas à des algorithmes de cryptologie très complexes, c’est également, voire avant tout, des pratiques très simples à adopter au quotidien, chez soi ou au travail. Nous profitons d’ailleurs également du Cybermoi/s, qui se tient chaque année au mois d’octobre, pour renforcer nos actions de sensibilisation, avec comme objectif premier de toucher le maximum d’acteurs et de leur faire adopter les bons réflexes de base pour protéger leur vie numérique, à savoir :
- Appliquer ses mises à jour ;
- Changer ses mots de passe ;
- Effectuer des sauvegardes.

L’ANSSI a fait appel au dessinateur de presse FIX, afin de donner vie aux conseils des experts sur une note ludique et humoristique. L’objectif de cette démarche est aussi de valoriser une sécurité positive par l’humour.

Autre initiative visant à favoriser l’intérêt des plus jeunes pour la sécurité numérique dans le cadre du Cybermoi/s : le challenge Européen de cybersécurité, organisé du 8 au 12 octobre à Bucarest. Cette compétition européenne oppose chaque année une vingtaine d’équipes nationales composées de jeunes hackers éthiques, âgés de 14 à 25 ans, autour d’épreuves de cryptographie, de reverse... Après une sélection qui aura mobilisé plus de 1 200 concurrents, la « Team France », composée de dix joueurs, âgés de 17 à 25 ans, a remporté la 7ème place de ce CTF.

GS Mag : Quelle sera votre stratégie pour 2020 ?

Emmanuel Germain : 2020 sera l’année de la mise en œuvre de notre nouvelle philosophie et de l’ensemble des initiatives évoquées précédemment. L’objectif sera de développer des systèmes et des offres plus adaptés aux besoins et à la complexité de l’écosystème. Le cycle de l’innovation se veut extrêmement rapide, nous devons pouvoir l’accompagner de manière agile.
Depuis sa création il y a 10 ans, l’ANSSI a toujours su se transformer et s’adapter à l’écosystème. C’est encore le cas aujourd’hui. Co-construction, ouverture et agilité seront donc les maîtres-mots de notre stratégie à venir.

GS Mag : Enfin, l’ANSSI est un partenaire fidèle des Assises de la Sécurité depuis plusieurs années déjà. Quels sont vos objectifs sur cet évènement ?

Emmanuel Germain : Les Assises de la Sécurité réunissent chaque année pendant 3 jours l’écosystème de la cybersécurité. Cet événement nous permet de rencontrer dans un délai optimal l’ensemble des acteurs, de répondre à leurs questions et problématiques, mais aussi de mieux faire connaître nos actions, guides et référentiels. C’est donc un lieu propice au rayonnement et aux échanges pour la communauté cyber.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants