Assises de la Sécurité 2015 : en cybersécurité, la France veut jouer collectif

Pour leur 15^e édition, les Assises de la sécurité, grand-messe du secteur de la cybersécurité se tenant du 30 septembre au 2 octobre à Monaco, se sont ouvertes par la traditionnelle conférence de l’ANSSI. Celle-ci a appelé à une action concertée à tous les niveaux pour faire face aux menaces.

Guillaume Poupard, directeur général de l’ANSSI, inaugure les Assises 2015. © Dorian Marcellin

15 ans, âge adolescent ou de la maturité ? En fêtant à Monaco l’ouverture de leur 15^e édition, les Assises de la sécurité posent en filigrane cette question du chemin parcouru, en regard de la médiatisation croissante des cyberattaques.

Les Assises elles-mêmes sont un succès, réunissant pendant 3 jours tous les ténors de l’écosystème sécurité, en France comme à l’international, dans une ambiance successivement studieuse et festive. Mais sur le plan de la réalité que prend la cybersécurité pour les entreprises et les dirigeants, le tableau est évidemment moins rose. Les responsables de la sécurité du système d’information peuvent-ils compter, en 2015, sur une plus grande maturité de l’écosystème et de leur propre organisation ?

« L’attaque sur TV5 Monde en avril a été emblématique. Non pas par sa complexité, mais parce qu’elle a fait comprendre que n’importe qui peut être visé » a lancé lors de la conférence d’ouverture, Guillaume Poupard, le directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), pour qui l’exercice est devenu un rituel. Le directeur de l’agence de l’Etat a rappelé l’importance d’aider, plutôt que de stigmatiser, les victimes ; tout en évacuant les reproches souvent fait aux spécialistes de la cybersécurité d’être des « marchands de peur ». « Le décalage est fort entre la facilité à attaquer et la difficulté à se défendre. Pour se préparer au plus grave, il faut donc agir ensemble » a-t-il insisté.

Cette thématique de l’action commune a été le cœur de l’intervention du directeur de l’ANSSI, qui a rappelé que la France avait été le premier pays a utilisé la voie réglementaire (par la Loi de Programmation Militaire fin 2013) pour « activer » cette coopération, en premier lieu entre les services de l’Etat et les Opérateurs d’Importance Vitale (OIV). « S’il y a un an encore, je n’étais pas 100% certain du succès de nos démarches, je suis aujourd’hui beaucoup plus serein. A l’automne, la publication d’arrêtés sectoriels permettront de définir des règles de sécurité qui élèveront le niveau, tout en restant soutenables pour les acteurs, notamment financièrement » a ainsi exposé Guillaume Poupard.

Labellisation généralisée

Cet « Agir ensemble » est également un appel du pied aux offreurs du monde de la cybersécurité, pour renforcer le mouvement de labellisation « de confiance » initié par l’ANSSI depuis plusieurs mois. « Les entreprises ont besoin de prestataires efficaces et de confiance, l’un n’allant pas automatiquement avec l’autre… Mais comment faire ces choix ? L’évaluation rigoureuse et transparente et la démarche de qualification des produits et des services que nous portons, sont une réponse » a précisé le directeur de l’Agence, rappelant la labellisation de 9 prestataires d’audit (12 supplémentaires à venir) mais aussi des PDIS et des PRIS*.

De même pour le cloud. « Nous avons historiquement mis en garde contre les risques du cloud, mais il faut être clair : c’est aussi un facilitateur pour permettre aux plus petites entreprises d’accéder à des services de sécurité efficacement » a ainsi déclaré Guillaume Poupard.

Des régions jusqu’à l’international

Le jeu collectif, l’ANSSI l’a également appelé de ses vœux au niveau des structures de formation, des territoires et des relations internationales. « Nous avons tous besoin de plus d’experts, il y a une réelle carence sur le marché » a-t-il par exemple déploré après avoir décrit le rôle de 13 référents SSI de son agence, déployés dans les nouvelles régions françaises pour assurer le lien avec les PME et animer localement les écosystèmes.

« Une approche internationale n’est pas contradictoire avec le renforcement de nos initiatives nationales, ni avec les révélations auxquelles nous avons eu le droit sur certains de nos alliés » a par ailleurs soutenu pudiquement le responsable, en allusion notamment à l’affaire Snowden. L’ANSSI est donc très active sur le plan des accords de coopération bilatéraux : après Singapour et le Maroc il y a peu, Guillaume Poupard a également précisé profiter de son passage à Monaco pour signer une telle convention avec la principauté – une cible tentante pour les cybercriminels, qui plus est aux portes de la France.

Mais plus globalement, Guillaume Poupard a appelé de ses vœux un changement de paradigme : arrêter de se concentrer sur la protection des systèmes d’information pour passer à l’étape supérieure, la protection de l’information. Une volonté qui pourrait impliquer des responsabilités et une coopération étendue avec la CNIL autour des données personnelles par exemple. Le tout sera précisé le 16 octobre en présence du premier ministre Manuel Valls, lors de la présentation officielle de la stratégie de sécurité numérique de la France.

* Prestataires de détection des incidents de sécurité (PDIS) et Prestataires de réponse aux incidents de sécurité (PRIS)

La cybersécurité et les dirigeants centraliens

Une semaine avant d’ouvrir les Assises de la sécurité de Monaco, haut-lieu de rencontre entre experts de la cybersécurité, Guillaume Poupard s’est livré à un exercice très différent : celui de la sensibilisation de dirigeants, anciens étudiants de l’Ecole Centrale et de Supélec. Le directeur de l’ANSSI était en effet invité dans le cadre du « Face à face » organisé régulièrement par l’association des alumni de ces écoles. Avant d’exposer le rôle de son agence et ses principaux messages, Guillaume Poupard a été invité à réagir sur un sondage réalisé auprès de ce public.
Ainsi, 47% des sondés ont reconnu avoir déjà été victimes d’une cyberattaque et 70% identifient la cybersécurité comme une priorité de leur entreprise. D’ailleurs, 45% se pensent bien protégés et 11% très bien protégés. « Je ne connais pas beaucoup de gens qui sont réellement bien protégés contre les cyberattaques » a réagi le directeur de l’ANSSI, en jouant une partition délicate : mettre en garde sur le sujet, sans toutefois « être anxiogène ». « Tout le monde ne peut pas se transformer en expert cybersécurité dans l’entreprise, mais il faut élever le niveau, « l’hygiène de base » » a-t-il continué, avant de lancer un appel : « Les dirigeants sont malheureusement les premiers à montrer le mauvais exemple. Pourtant, le sujet les concerne directement : nous sommes avertis d’une attaque majeure, mettant en cause la survie même de l’entreprise – quelle que soit sa taille – environ toutes les deux semaines ». Guillaume Poupard a également mis en garde contre la tentation de repli sur soi, de protectionnisme et de « peur » de l’Internet, car il est à ses yeux plus que jamais nécessaire d’accompagner ces changements dans la société, alors que l’on ne peut s’opposer aux évolutions technologiques qui les provoquent.

Cookie	Durée	Description
mautic_device_id	1 year	Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour soutenir nos activités de marketing. Ce cookie permet de connaître l’appareil avec lequel le visiteur accède au site. Expiration du cookie au bout d’un an.
mautic_referer_id	30 minutes	Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour améliorer notre compréhension des attentes de nos lecteurs, leurs proposées des contenus et événements les plus pertinents, soutenir nos activités de marketing en suivant leur navigation sur le site, collecter de l’information sur leurs préférences et gérer les formulaires présent sur le site. Ce cookie permet de connaître l’origine du visiteur.
mtc_id	session	Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour améliorer notre compréhension des attentes de nos lecteurs, leurs proposées des contenus et événements les plus pertinents, soutenir nos activités de marketing en suivant leur navigation sur le site, collecter de l’information sur leurs préférences et gérer les formulaires présent sur le site. Ce cookie donne un ID au visiteur du site web dans le but de le reconnaître. Expiration du cookie à la fin de la session
mtc_sid	session	Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour améliorer notre compréhension des attentes de nos lecteurs, leurs proposées des contenus et événements les plus pertinents, soutenir nos activités de marketing en suivant leur navigation sur le site, collecter de l’information sur leurs préférences et gérer les formulaires présent sur le site. Ce cookie donne un ID à la session du visiteur du site, afin de la reconnaître. Expiration du cookie à la fin de la session

Cookie	Durée	Description
YSC	session	Ce cookie est un cookie de Youtube qui enregistre un identifiant unique pour conserver des statistiques sur les vidéos de YouTube que l'utilisateur a vues.
_first_pageview	10 minutes	Ce cookie de session est créé lors du premier affichage de page pour chaque visite. Sa finalité est de permettre de n'afficher certains éléments du code que lors du premier affichage de la page, et rendre le site ainsi plus rapide.
_gat	1 minute	Ce cookie est un cookie de Google Analytics permettant de limiter la cadence des requêtes. Il est valide pendant 24 heures après la date de la session.

Cookie	Durée	Description
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
NID	6 months	This cookie is used to a profile based on user's interest and display personalized ads to the users.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Durée	Description
ARRAffinitySameSite	session	No description
attribution_user_id	1 year	No description
cg_uuid	1 year	Sets a unique ID for the visitor, that allows third party advertisers to target the visitor with relevant advertisement. This pairing service is provided by third party advertisement hubs, which facilitates real-time bidding for advertisers.
cilSessionId_e6aa0e1dbf	1 day	No description
cilSessionId_efcc418067	1 day	No description
cilSessionId_ffd7baf9a1	1 day	No description
cookielawinfo-checkbox-others	1 year	No description
PagePeeker		No description
recs_17b347eba0c893c4ff49a469be629e65	past	No description
scid	past	No description
sdx	past	No description
su_sdx	past	No description
su_sid	past	No description
su_user_id	past	No description
thirdparty	1 hour	No description
ubpv	6 months 1 day	No description
ubrs		No description
ubvs	5 months 27 days	No description
ubvt	3 days	No description
UID	2 years	No description

Les rubriques

Alliancy Connect

Contenu

[Assises de la Sécurité 2015] En cybersécurité, la France veut jouer collectif

Suggestion de contenus