Pour leur 17e édition, les Assises de la Sécurité qui se tiennent à Monaco du 11 au 14 octobre, veulent changer d’échelle. De nouveaux aménagements pour les 3000 visiteurs, un prix du RSSI remis au goût du jour, la présence du ministre d’Etat (premier ministre) monégasque, doivent incarner cette dynamique. Mais c’est aussi en termes de niveau de discours que la prise de hauteur se voit, comme l’a rappelé Guillaume Poupard, directeur de l’Anssi, lors de la conférence d’ouverture.
« Transformation numérique et sécurité numérique vont de pair et doivent monter au plus haut niveau de la gouvernance des entreprises ». Guillaume Poupard, directeur de l’agence nationale de la sécurité des systèmes d’information (Anssi) a ouvert la 17e édition des Assises de la Sécurité à Monaco en faisant passer de nombreux messages. Parmi ceux-ci le lien fort et impératif entre la cybersécurité et les enjeux économiques de la transformation numérique a tenu une place plus importante encore que lors de ses dernières interventions, pour cet exercice devenu rituel.
Moins de guerres RSSI-DSI
Le sujet de la sécurité numérique se démocratise en effet et sa transversalité pour les entreprises, ne fait plus de doute. Cela permet aux débats d’évoluer. « Nous avons dépassé l’époque des guerres stériles entre RSSI et DSI. Et aujourd’hui, on arrive à travailler avec ceux qui développe le numérique » a souligné Guillaume Poupard. Il a pris l’exemple de l’Anssi elle-même, qui travaille aujourd’hui main dans la main non seulement avec la direction interministérielle du numérique (Dinsic), dirigée par Henri Verdier, mais également avec Mounir Majouhbi, le secrétaire d’Etat en charge du numérique rattaché au Premier ministre (« ce n’est pas anodin » a souligné au passage le directeur de l’Anssi).
Côté entreprises, la majorité des dirigeants reconnaissent aujourd’hui qu’ils sont bel et bien une cible potentielle de malveillances cyber, mais de plus, ils commencent à mettre le sujet de la sécurité numérique au côté de leurs autres sujets importants. Pour Guillaume Poupard, il devrait tout simplement être dans le Top 3.
Cet élan d’optimisme est cependant contrebalancé par la réalité du terrain et la complexité des questions auxquelles les entreprises doivent répondre. « Je n’ai pas de réponses en 140 caractères ! » a reconnu Guillaume Poupard, tout en revenant sur la multiplication des initiatives nationales et sur la médiatisation du mois européen de la cybersécurité.
Un bel avenir pour les architectes
Concernant le travail efficace entre acteurs de la sécurité numérique dans l’entreprise et nouveaux experts de la transformation numérique, le directeur de l’Anssi, lui-même spécialiste de la cryptographie, a fait un « constat d’ingénieur » : « Parfois, cela voudra dire aller à l’encontre de ce que l’on a commencé à mettre en place dans les entreprises, quand on a voulu décloisonner au maximum pour que tout soit plus simple et rapide ». Des attaques comme Wannacry au printemps ont ainsi montré que des organisations qui n’avaient qu’une présence limitée en Ukraine, pays visé par l’attaque, avait été « éclaboussé » car la façon dont été pensés leurs réseaux, à plat et non segmentés, les avaient rendus vulnérable. Le directeur de l’Anssi a donc une conviction : « Le vrai savoir-faire d’avenir est donc au niveau des architectes ». Ceux-ci devront permettre d’éviter les effets de bord systémiques, tout en ne gênant pas l’accélération de la transformation des entreprises.
On ne développe pas non plus de la même manière quand on veut lier sécurité et la rapidité nécessaire à sa transformation. Guillaume Poupard croit ainsi également à l’émergence d’une véritable sécurité « agile » : « On voit enfin une convergence entre les développeurs dans les organisations et les responsables de la sécurité. Avec Henri Verdier et la Dinsic, nous avons ainsi lancé une initiative commune de sécurité agile ». Un guide est en construction qui pourra servir de référence aux entreprises.
La formation des développeurs aux sujets de sécurité, afin qu’ils puissent en intégrer les réalités très en amont de la chaine d’innovation, est également un élément qui pourra permettre d’obtenir un compromis satisfaisant entre les impératifs de time-to-market et le fait de ne pas compromettre l’avenir des produits développés, notamment pour les start-up. Pour beaucoup d’entreprises,la formation en ligne SecNumAcademy qui compte dorénavant 35000 inscrits pourraient être un bon point de départ.
« L’équation économique est aujourd’hui plus favorable pour permettre de faire émerger cette pérennité » a conclu Guillaume Poupard, dans un message positif pour l’avenir. Le jury du Prix du RSSI organisé cette année par les Assises de la Sécurité n’a pas dit autre chose en récompensant Frédéric Charpentier, « digital » chief information security officer, de L’Oréal en tant que « Meilleur Espoir » pour ses initiatives en matière de sécurité agile et de devops.