Les Assises de la sécurité : l’actu de l’Anssi

La 18^e édition des Assises de la sécurité à Monaco ne pouvait pas débuter sans le traditionnel et incontournable (j’avoue, je suis fan) discours d’ouverture de Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes d’information, l’occasion pour lui de faire le point sur l’actualité de l’Agence, comme la récente ouverture du code source de Clip OS [1], ses projets et sa vision globale de la sécurité des SI.

Ebios Risk Manager : une nouvelle méthode et un nouveau guide

Guillaume Poupard a commencé son discours en rappelant la responsabilité commune des acteurs de la SSI d’apporter des solutions, des outils d’aide à la décision, aux métiers et aux décideurs.
Malgré sa complexité, la question de la sécurité numérique reste, selon lui, abordable et doit être traitée dans sa globalité : « La cybersécurité est avant tout une question d’anticipation collective. Elle doit rentrer dans l’analyse de risque. »

Afin d’évaluer les risques liés à la sécurité numérique en impliquant métiers et décideurs, quoi de mieux que la nouvelle méthode Ebios Risk Manager (et le guide qui va avec), annoncée en avant-première aux Assises. Nous avons été nombreux à nous ruer sur le stand de l’Anssi pour nous procurer ce nouveau guide.
Mais, soyez rassurés, le guide est également disponible au format numérique [2] : il y en aura pour tout le monde.

Directive NIS → Décret OSE

La directive NIS [3] représente la phase finale de transposition en droit français des mesures destinées à assurer un niveau élevé de sécurité des réseaux et des SI dans l’Union puisque le décret relatif à la sécurité des OSE [4], opérateurs de services essentiels, a été publié en mai et qu’un arrêté fixant les règles de sécurité pour ces mêmes OSE [5] a paru en septembre. Elle inquiète de nombreux RSSI qui se demandent s’ils vont recevoir le fameux courrier du Premier Ministre leur indiquant leur désignation en tant qu’OSE.
Pour en rassurer certains, il devrait y avoir seulement 160 OSE désignés, tous secteurs confondus, dans la première phase prévue le 9 novembre. Sachant que parmi ces 160 OSE, certains sont déjà OIV, puisque, comme l’a rappelé Guillaume Poupard, être OSE et OIV à la fois n’est pas incompatible dans la mesure où il est possible d’être OIV sur un périmètre et OSE sur un autre. Il a également insisté sur le fait que les règles à appliquer ont pour vocation d’aider à améliorer le niveau de sécurité de tout un chacun, et pas seulement des OSE.« On est dans la pédagogie, pas dans la sanction », a-t-il indiqué avant d’ajouter : « Même si vous n’êtes pas désigné OSE, allez voir ces règles et faites le bilan de votre situation. Si vous êtes loin d’atteindre certains points, posez-vous des questions. »

Nouveau référentiel de certification des prestataires d’administration et de maintenance

Guillaume Poupard a également annoncé l’arrivée d’un nouveau référentiel visant à certifier les prestataires d’administration et de maintenance sécurisées. À ses yeux, « il est essentiel d’évaluer ces prestataires qui disposent de toutes les clés. […] Nous avons besoin d’une Europe sûre. L’évaluation et la certification seront des questions centrales dans l’avenir ».

Détection des menaces

Nous avons également pu apprendre, lors de ce discours d’introduction, que deux sondes de détection seraient prochainement qualifiées par l’Anssi. « Mettre en place des systèmes de détection est essentiel », a précisé Guillaume Poupard.

Préparation à la gestion de crise

Le directeur général de l’Anssi a également rappelé la nécessité d’anticiper la crise, de se préparer au pire, sans pour autant tomber dans la superstition :« La crise, ça se prépare, ça s’anticipe. La foudre ne tombe pas toujours chez le voisin. […] La communication en cas de crise est essentielle. »

L’innovation made in France

Il a par ailleurs exprimé sa fierté de voir naître des start-up françaises innovantes, créées par des anciens de l’Anssi, comme Alsid, Prix de l’innovation des Assises 2017, et Citalid, Prix de l’innovation des Assises 2018.

GIP Acyma (cybermalveillance.gouv.fr)

Jérôme Notin, directeur général du GIP Acyma, est revenu brièvement sur les missions du GIP et notamment sur le récent kit de sensibilisation [6] fourni sous licence ouverte. « L’utilisateur reste le maillon faible.[…] Un utilisateur sensibilisé à la maison sera plus mature en entreprise », a-t-il déclaré.

Les questions des invités

Sur le sujet du Cloud Act, Guillaume Poupard a indiqué échanger avec les prestataires américains sur ce sujet récent : « J’ai plus peur des services de renseignement que des juges. »

En ce qui concerne l’arrivée prochaine de la 5G, Guillaume Poupard a avoué partager les préoccupations des RSSI. Pour lui, « ces nouvelles antennes sont intelligentes, donc attaquables ».La disponibilité des réseaux télécoms est une priorité pour l’Anssi, et la mise en place de la 5G devra se faire dans une sécurité maîtrisée, avec une probable qualification des antennes.

Pour conclure, je ne pouvais passer à côté du mot d’ordre de Guillaume Poupard :« Ensemble, rendons la SSI sexy ! »

---

[1] /article/3065/l-anssi-ouvre-le-code-source-de-son-systeme-clip-os.html

[2] https://www.ssi.gouv.fr/administration/management-du-risque/la-methode-ebios-risk-manager/

https://www.ssi.gouv.fr/uploads/2018/10/guide-methode-ebios-risk-manager.pdf

[3] https://publications.europa.eu/fr/publication-detail/-/publication/d2912aca-4d75-11e6-89bd-01aa75ed71a1/language-fr

[4] https://www.legifrance.gouv.fr/jo_pdf.do?id=JORFTEXT000036939971

[5] https://www.legifrance.gouv.fr/jo_pdf.do?id=JORFTEXT000037444012

[6] https://www.cybermalveillance.gouv.fr/contenus-de-sensibilisation/