Guillaume Poupard (Anssi): « Les victimes de cyberattaques doivent témoigner »

A l’occasion du mois de la cyber-sécurité, Diane Rambaldini, présidente de l’Issa France et Hadi El Khoury, trésorier de l’association, recevaient Guillaume Poupard, directeur général de l’Anssi. L’occasion pour eux de lancer un nouveau projet sur la sensibilisation.

Guillaume-Poupard

Guillaume Poupard, directeur général de l’Anssi, l’Agence nationale de la sécurité des systèmes d’information

« Nous voulons sensibiliser la population de manière ludique. C’est pourquoi notre projet consiste à concevoir et produire un cahier de vacances sur la sécurité numérique, s’adressant aux personnes de 7 à 77 ans », expliquait, le 17 octobre lors de leur soirée mensuelle, Hadi El Khoury, le trésorier de l’association Issa France*, en appelant les présents à faire un don… « Nous faisons appel pour ce projet au financement participatif à hauteur de 18 000 euros, et avons 60 jours pour y parvenir ».

Guillaume Poupard, en personne, lançait officiellement la campagne. Le président de l’Anssi était en effet présent lors de cette soirée de l’association à l’occasion du mois européen de la cyber-sécurité, consacrée à la formation et aux carrières dans le domaine de la cyber-sécurité.

https://twitter.com/ISSA_France/status/920416277738422272

La soirée a commencé avec l’intervention de Hadi El Khoury, rappelant les résultats d’une enquête de l’Issa justement sur ce thème… En résumé : les RSSI ont peu de perspective d’évolution de carrière et sont souvent au bord du burnout !

IMS carnet cybersécurité Pour convaincre, utilisons les bons mots

 « Les RSSI sont certes perçus comme des empêcheurs de tourner en rond, a commenté Guillaume Poupard. Le RSSI est vu comme un ennemi, moins comme un allié. Il y a encore une étape à franchir. Mais, malgré tout, le métier évolue. Pour que le RSSI devienne à la mode, il faut le sortir de la technique et le faire monter dans la hiérarchie. » Et de noter une nouvelle perception plus positive de cette fonction depuis que la « sécurité » s’est muée en « cyber-sécurité »… Ah, le poids des mots !

De plus, ce ne sont pas les jeunes étudiants qui se ruent sur la filière… On risque donc sérieusement de manquer de « bras » dans ces conditions sur un sujet qui devient de plus en plus critique pour les entreprises dans le monde entier.

Normal donc que ceux qui sortent de formations bien identifiées en cyber-sécurité trouvent facilement un emploi. Depuis peu d’ailleurs, l’Anssi labellise des formations (Master) se basant sur leur qualité et leur sérieux. Quant à l’apprentissage, c’est encore peu pratiqué dans ce secteur, même si c’est une « vraie » piste à explorer selon Guillaume Poupard, de même que la formation continue. « L’apprentissage a beaucoup de vertu, mais je ne l’ai pas encore vu fonctionner. C’est un sujet à travailler avec les industriels. De même, dans le cadre des reconversions, ce type de cursus peut vraiment avoir du sens », estime l’expert, qui y réfléchit avec Syntec Numérique notamment.

A la question posée si on peut imaginer un visa « cyber-sécurité » pour les non-européens pour venir nourrir ce secteur… La réponse fut plus tranchée. « Le clivage n’est pas européen ou non-européen, a répondu Guillaume Poupard, mais français et les autres. Pour les organisations gouvernementales, c’est impossible. Par contre, dans un domaine plus large et privé, il faut s’ouvrir, même s’il se posera toujours la question de la confiance, car la personne sera vue comme vulnérable. »

Quant à l’ouverture à des solutions étrangères de sécurité, il a rappelé qu’il est important de passer par un audit et une évaluation afin d’obtenir une certification : « On veut jouer avec nos propres règles et non de celles des autres. Aujourd’hui, on ne sait pas évaluer un produit de sécurité, par contre, on peut le tester. Pour les solutions les plus stratégiques, il faut donc que les équipementiers ouvrent leurs codes sources. On leur demande de jouer cette règle d’évaluation (entreprise, produit et individus). A partir du moment où ils jouent ce jeu, cela se passe bien ».

Sensibiliser le plus grand nombre

Dans un deuxième temps, Diane Rambaldini, présidente de l’Issa, est revenu avec Guillaume Poupard, sur le sujet de la sensibilisation, complexe vis-à-vis des PME et du grand public… « Pourquoi ne pas demander aux agences de voyages, aux compagnies de transport ou à des enseignes comme la Fnac, de distribuer les documents édités par l’Anssi sur les bonnes pratiques en ce domaine… », a-t-elle proposé.

« Ce n’est pas le rôle de l’Anssi, a répondu Guillaume Poupard. La sensibilisation, c’est compliqué. Il ne faut pas que le message se multiplie, car il ne passera pas. Très souvent, les citoyens travaillent dans des entreprises qui doivent procéder à des actions de sensibilisation. Le cyber-risque n’est pas différent des autres risques, c’est aussi le message qu’il faut faire passer. Et l’on sera efficace quand on sera plusieurs catégories d’acteurs, très différents, à porter le même message. C’est pourquoi il conseille aux entreprises de personnaliser les documents de sensibilisation en incluant par exemple l’identité de l’entreprise », tout en rappelant le lancement le matin même de la plate-forme d’aide aux victimes d’attaques. Ce dispositif, incubé par l’Anssi et copiloté avec le ministère de l’Intérieur, s’adresse gratuitement aux particuliers, aux entreprises et collectivités territoriales (hors OIV). Un sujet qu’il voit comme une « grande cause nationale » : « On sait que lorsque la GDPR sera appliquée, la cyber-sécurité aura avancée, car elle oblige les entreprises à élever leur niveau de sécurisation des données. Mais il faut qu’elle soit acceptable, raisonnable et expliquer. »

Guillaume Poupard est ensuite longuement revenu sur le rôle de l’Anssi face aux multiples attaques auxquelles les entreprises doivent faire face et qui ne cesseront de se multiplier. « Il ne leur sera plus possible de cacher ces attaques et c’est notre rôle de les aider, surtout les grandes, mais en toute confidentialité. »

En ce sens, les journalistes sont des alliés, a-t-il poursuivi, même si les médias généralistes s’intéressent souvent à la cyber-sécurité quand il y a une attaque (voir Wannacry et Petya). Mais, il insiste : « Il faut que les entreprises se préparent à la communication de crise afin d’éviter les contradictions et les faux bruits », estimant que leurs témoignages sont plus importants pour la sensibilisation que ses propres communications, car « elles sont plus écoutées par leur pairs ».

Et de citer le cas de Saint-Gobain, victime récente d’un ransomware…  « Quand les systèmes de Saint-Gobain sont repartis, Pierre-André de Chalendar est venu à l’Anssi pour nous remercier. Il m’a posé la question de ce qu’il pouvait faire à notre égard… Je lui ai répondu que la seule chose à faire était d’en parler… Témoigner en tant que victime, c’est difficile, mais très important. Car, quand c’est lui qui en parle à ses pairs du CAC40, il est bien plus écouté que moi ! Pour autant, sensibiliser n’est pas culpabiliser. Il ne faut pas que Saint-Gobain ou TV5 devienne la victime… ».

A la question posée sur la place de la cyberdéfense dans une entreprise, Guillaume Poupard estime d’ailleurs que c’est un vrai problème.  « Demander au DSI de faire la cyber, c’est un non-sens ! Il faut mettre la cyber à un endroit où le Comex est accessible. Il faut que la cyber puisse l’atteindre. De plus en plus, du fait de la RGPD, on aura des RSSI près du juridique… Pourquoi pas, mais il faut que ce sujet puisse être porté au plus haut niveau ».

https://twitter.com/ISSA_France/status/920391803043569665

* L’ISSA France est le 1er chapitre francophone européen de l’Information Systems Security Association (Issa), lancée officiellement en juin 2012, à l’occasion de son 1er #SecurityTuesday.

A lire aussi sur Alliancy