2023 commence avec la nomination du remplaçant de Guillaume Poupard à l’Anssi, mais aussi avec une mobilisation marquante sur le secteur de la santé et des acteurs de la formation. Tour d’horizon des actualités cyber de la rentrée.
Au-delà des chiffres 2022 et des grandes tendances structurantes pour l’année à venir, l’actualité est riche sur le plan de la cybersécurité est riche en ce début 2023. A commencer par la nomination, attendue depuis des mois, du nouveau directeur de l’Agence nationale de la sécurité des systèmes d’information, une pierre angulaire de la stratégie française en cyber.
A l’Anssi, Vincent Strubel succède à Guillaume Poupard
Le départ du médiatique Guillaume Poupard, annoncé depuis presque un an et officialisé en décembre, après huit années de bons et loyaux services, posait le risque de laisser un vide immense à la tête du principal acteur cyber de l’Etat français. Expert reconnu et excellent communiquant, Guillaume Poupard a rejoint Docaposte, filiale du groupe La Poste, en tant que directeur général adjoint, en ce début d’année.
C’est Vincent Strubel qui lui succède, comme l’a révélé le compte-rendu du conseil des ministres du 4 janvier dernier. Issu du Corps des Mines, diplômé de Telecom Paris et de l’X, ce technicien reconnu était depuis juillet 2020, le directeur de l’Opérateur des Systèmes d’Information Interministériels Classifiés (OSIIC), chargé de mettre en œuvre les services d’information classifiés du Président de la République, du Gouvernement et des ministères, de même que les systèmes de communication inter-gouvernementaux et internationaux. Ce service est aussi la « DSI » du secrétariat général de la défense et de la sécurité nationale, avec une mission d’anticipation prospective en matière de stratégie numérique.
Le nouveau directeur connaît bien la maison Anssi : il a en effet passé 15 ans à l’Anssi avant de rejoindre l’OSIIC, notamment en tant que sous-directeur Expertise et chef de la division scientifique et technique. Cette connaissance des rouages de l’organisation et de la transformation qu’elle a connu sous l’impulsion de Guillaume Poupard sera sans doute un atout important alors que les défis qui se présentent face à l’Anssi sont nombreux pour les mois à venir : passage d’un cap en matière de sensibilisation des citoyens, entrée en vigueur de la nouvelle directive européenne NIS2, gestion épineuse de la pénurie de talents cyber dans tout l’écosystème, gestion de la menace sur les opérateurs d’importance vitale et le secteur très exposé de la santé, accompagnement plus prononcé des territoires… En décembre, l’Anssi a notamment dévoilé « MonServiceSécurisé », un outil dédié aux collectivités d’aide à l’analyse de risque, quel que soit leur niveau de cybersécurité. Il faudra ainsi créer rapidement l’adhésion autour de cette évaluation cyber, pour des agents publics encore en manque de maturité sur le sujet.
Surtout, qu’on le veuille ou non, le poste de directeur de l’Anssi aura été durablement marqué par le « style » Guillaume Poupard, et les différences apportées par Vincent Strubel au poste ne manqueront pas d’être observées avec attention.
Focus sur la cybersécurité dans la santé
Cette nomination survient dans un contexte où la France souhaite une montée en puissance significative en matière de cybersécurité pour les mois à venir. Le président de la République est d’ailleurs en tête de pont sur le sujet, après avoir fait du sujet un point notable de sa campagne présidentielle. Dès 2021, il avait mis en avant un plan national d’un milliard d’euros pour renforcer les dispositifs existants et en mettre en place de nouveau, notamment dans la santé.
Ce n’est d’ailleurs pas anodin, que pour une rare cérémonie des vœux dédiée au secteur de la santé (il n’y en avait plus eu depuis Nicolas Sarkozy), le président ait choisi de se rendre vendredi 6 janvier, à l’hôpital de Corbeil-Essonnes, qui a été la victime emblématique d’une cyber-attaque majeure à la fin de l’été dernier. L’opération implique évidemment d’aborder de façon large le malaise social au sein du secteur de la santé publique, sur fond de grève des professionnels de santé et de services sous tension dans cette période hivernale. Mais le symbole est là. D’autant que Corbeil-Essonnes n’est pas le seul hôpital à avoir fait récemment les frais d’ennuis cyber : celui de Cahors en septembre, l’hôpital Pierre Rouquès-Les Bluets, ou encore le centre hospitalier de Versailles sont autant d’exemples montrant l’urgence de la situation.
Un « Plan Blanc numérique » doit être dévoilé par l’exécutif en mars 2023, après que ce soit tenue une réunion dédiée à la cybersécurité des hôpitaux le 21 décembre dernier. L’exécutif souhaite par ailleurs que 100 % des établissements de santé jugés « prioritaires » réalisent les nouveaux exercices prévus dans ledit plan à partir de là. Les ministres de la Santé, de l’Intérieur et du Numérique, à la manœuvre sur le sujet, ont également annoncé la création d’une « task force » dédiée qui construira un plan cyber pluriannuel, pour aller plus loin que la plan Blanc (dont l’objet est la gestion de crise). Elle prépare de cette façon la fin des programmes de financement Ségur numérique, avec une vision qui couvrira 2023-2027. Objectif : déployer “massivement” la cybersécurité dans les établissements. De son côté, l’Agence du numérique de santé a dévoilé en fin d’année dernière un nouveau guide cybersécurité à destination du milieu médico-social, afin de ne laisser personne sur le bord de la route. Depuis un an, les ARS ont vu leurs propres obligations de sensibilisation de l’écosystème être renforcées.
A lire aussi : Santé : Premier Forum régional cyber santé ambitieux pour l’ARS des Hauts-de-France
Révolutionner la formation et le recrutement
Cette préoccupation sur le secteur sensible de la Santé ne peut évidemment pas masquer le problème majeur que connaissent toutes les organisations quand il est question de cybersécurité : le manque de compétences disponibles. Vieux serpent de mer, la problématique prend un tour critique en 2023 alors que les chocs cyber s’intensifient. Les initiatives se multiplient donc. Pour coordonner toute l’écosystème et favoriser les coopérations intelligentes, l’emblématique Campus Cyber crée en 2022 à la Défense, va faire des petits dans les mois à venir en région ; mais des formations se créent aussi pour former en masse. L’école d’ingénieur en informatique Epita vient d’ouvrir un nouveau cursus spécialisé en cybersécurité au sein du Campus Cyber, justement pour profiter de la dynamique positive apportée par l’initiative.
D’autres grands noms de l’éducation supérieure se mobilisent également. Ainsi, Telecom SudParis veut mettre les bouchées doubles sur le sujet, en annonçant la formation de 10 000 ingénieurs cyber supplémentaires d’ici 2030. Comme le souligne nos confrères de Capital, l’équipe dirigeante de Télécom SudParis souhaite changer la donne pour susciter de nouvelles vocations. Et pour cela l’image des experts en cyber sécurité doit aussi changer. « L’image du hacker avec sa capuche a pris du plomb dans l’aile » comme le souligne un étudiant cité par le média, qui met en avant la nécessité de faire comprendre ce qu’est concrètement la cybersécurité au quotidien et les projets qui y sont associés.
Du côté de Microsoft, l’objectif est de former 10.000 personnes en France d’ici 2025. Pour y parvenir, l’entreprise a ouvert une école en partenariat avec Simplon et lancé une première promotion en décembre 2022 qui a intégré 17 demandeurs d’emplois. Le cursus consiste en 3 mois de formation intensive, suivis de 16 mois d’alternance dans des entreprises.
Et des structures plus petites et spécialisées, se mobilisent également sur le créneau. Ainsi, la « Cybersecurity Business School » vient d’annoncer une première levée de fonds de 4 millions d’euros. Fondée par des professionnels las de ne pas pouvoir recruter des compétences opérationnelles, l’école a lancé une première promotion en septembre à Lyon, avec un focus sur la cybersécurité industrielle.
Selon une étude menée en 2021 par l’Anssi, 80% des nouveaux formés en cybersécurité accèdent au monde du travail avec un CDI, pour un salaire de départ estimé en moyenne dans une fourchette de 35 à 45 000 euros.