Sécurité informatique en France : l'Anssi vante l'approche réglementaire

Lors de son discours aux Assises de la sécurité, le directeur de l'Agence nationale de la sécurité des SI a précisé sa feuille de route. Elle passera par d’imminents arrêtés sectoriels.

Cela devient un peu une habitude : pour la deuxième année consécutive, Guillaume Poupard, le directeur général de l'Anssi, a donc tenu le discours d'ouverture des Assises de la sécurité. Et auparavant, son prédécesseur s'était aussi plié à l'exercice. Il faut dire que les Assises de la sécurité, dont le coup d'envoi de l'édition 2015 a été donné ce 30 septembre à Monaco, offrent une audience de choix, composée de nombreux RSSI et des meilleurs spécialistes de la sécurité informatique en France. L'exercice a d’ailleurs réussi plutôt bien à l'actuel dirigeant de l'Anssi : son discours est plus consensuel que celui qu'a pu tenir son prédécesseur, et fait mouche lorsqu'il mise sur l'humour, ou lorsqu'il met en avant une certaine connaissance technique du sujet.
 

Guillaume Poupard, le DG de l'Anssi
Guillaume Poupard, le DG de l'Anssi, lors de l'ouverture de la 15e édition des Assises de la sécurité © JDN

Des acteurs devant "agir ensemble"

Son ton peut aussi être grave, car une menace "effrayante" plane, a-t-il estimé, en faisant allusion aux nombreuses attaques dont son agence a été témoin ces douze derniers mois - et toutes n'ont pas été médiatisées comme celle de TV5. Or, "la facilité de certaines attaques tranche avec la difficulté de se défendre", a pu constater le haut fonctionnaire, qui a appelé tous les acteurs à "agir ensemble" pour mieux lutter contre une telle menace. "C'est comme au rugby, les meilleures individualités ne sont rien si elles ne jouent pas en équipe", a comparé le DG de l’Anssi, en clin d’œil à l’actualité sportive. Après ces paroles un peu convenues, Guillaume Poupard a aussi brossé le bilan et la feuille de route de l’agence.

Le directeur de l'Anssi  n’a pas caché croire aux bienfaits de l'approche réglementaire. La loi de programmation militaire de décembre 2013 a ainsi obligé les fameux "opérateurs d'importance vitale" à travailler avec l'Anssi et à lui transmettre des données. "Un mariage forcé qui est aujourd'hui heureux. Il y a un an, je ne pensais pas que cela marcherait aussi bien", a avoué le patron de l'Anssi, faisant aussi valoir qu’une telle approche légale "alors inédite dans le monde", est aujourd'hui imitée par l’Allemagne. "La directive européenne NIS adopte d'ailleurs une approche similaire", a ajouté le dirigeant.
 

Les arrêtés sectoriels pourront évoluer

Des arrêtés sectoriels cet automne

En France, les arrêtés sectoriels attendus suite à cette loi de programmation militaire sont imminents. Guillaume Poupard en a promis pour cet automne : "les textes sont prêts, du moins les premiers. C'est en cours et c'est un début". Ils ne devraient pas surprendre les acteurs des secteurs vitaux qui ont été consultés en amont. L’Anssi a en effet tâché d’adapter les textes aux spécificités de chacun. "Même si cela a pu être parfois rugueux, on a su écouter, enfin je crois, et on a su se parler", note le DG de l'Anssi.

"Si les principaux contenus de ces arrêtés pouvaient déjà être connus, Guillaume Poupard nous a appris lors de ces Assises qu'ils pourront évoluer et être modifiés d’ici deux ou trois ans en fonction de l'évolution des menaces et des pratiques", commente Gérôme Billois, spécialiste de la cybersécurité chez Solucom.
 

De nouveaux labels Anssi, et des référents en région 

En parallèle, le travail de labellisation amorcé par l'Anssi, à la fois des prestataires et des produits, va se poursuivre. Il a déjà commencé avec les audits de sécurité, avec 9 certifiés et 12 autres en cours de qualification. C’est une véritable manne pour ceux qui bénéficient de ce label Anssi, car ils pourront aider les secteurs visés par les prochains arrêtés à se mettre en conformité. Or, le travail de labellisation de l’agence va s'étendre aux solutions de détection d'incident, et de réponse. "Le référentiel est en cours", a précisé le directeur général de l’Anssi.

L'Anssi va qualifier les solutions cloud

Les solutions cloud y auront aussi droit. "Ces solutions s’inscrivent dans le sens de l’histoire mais elles peuvent poser des problèmes de sécurité, surtout pour des petites entreprises qui n’ont pas toujours l’expertise", fait observer le responsable de l’agence, qui évoque notamment "la localisation des données et leur bonne protection" parmi les critères de vigilance importants concernant les offres cloud.

Un autre élément de la feuille de route a été révélé en ouverture des Assises : le déploiement de référents de l'Anssi dans chacune des 13 futures régions, "pour se rapprocher des acteurs régionaux et notamment des PME", a expliqué Guillaume Poupard. Un effort qui va de pair, à ses yeux, avec une démarche qui doit aussi être internationale, car "les réseaux ne s'arrêtent pas à la frontière", explique-t-il, évoquant au passage la bonne coopération avec l'Allemagne et rappelant, une fois de plus, la nécessité d’"agir ensemble".

RSSI / Guillaume Poupard