Business

Assises de la sécurité : les opérateurs de services essentiels examinés par l'Anssi

---

Après avoir sensibilisé les 230 opérateurs d'importance vitale (OIV) aux enjeux et problématiques de la cybersécurité, l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) s'intéresse aux opérateurs de services essentiels. Son directeur, Guillaume Poupard, a ouvert les Assises de la Sécurité, qui se déroulent à Monaco, du 11 au 14 octobre 2017.

PublicitéL'ANSSI, Agence nationale de la sécurité des systèmes d'information, est en phase finale pour contraindre les OIV, Opérateurs d'importance vitale, à se protéger. « Ceux dont les systèmes d'information ne doivent pas s'arrêter, le risque étant pour le pays tout entier », note Guillaume Poupard, directeur général de l'ANSSI, en ouvrant les Assises de la Sécurité, à Monaco, le 11 octobre 2017. Ces OIV sont 230, mais l'agence veut désormais aller au-delà, en direction d'entreprises également concernées par la sécurité, sans avoir le même intérêt vital pour le pays : les entreprises de services essentiels (OSE). Leur impact sur l'économie est également important, l'ANSSI va les sensibiliser à la cybersécurité. Les mesures qui leur sont imposées seront « un peu plus light sur certains points » que celles concernant les OIV.

Guillaume Poupard souhaite également, par une approche européenne, éviter la contamination des attaques venues des filiales européennes d'une entreprise française. Par exemple, à travers une implantation, même minime, en Ukraine. « Ce qui pose des questions complexes, sur les ordinateurs en réseau et va à l'encontre du décloisonnement général dans l'économie. Il faut pourtant revenir à un cloisonnement des activités ». Constat évident, mais comment intervenir ? L'Anssi assure que l'agence européenne de la cybersécurité, l'ENISA, a un rôle à jouer.

La transposition de NIS est en cours

L'Europe est un échelon essentiel dans la cybersécurité. La France va transposer la directive NIS, le schéma administratif et parlementaire est engagé. Une directive initiée par la France et l'Allemagne et en passe d'être adoptée partout en Europe. Toutefois, Guillaume Poupard répète qu'il est opposé au développement de moyens opérationnels communs en matière de cybersécurité à l'échelon européen. C'est à chaque Etat de développer des mesures de protection. Ensuite, la coopération aura sa place. Aucun pays ne peut s'en remettre à l'Europe, ni, en sens inverse, s'en passer. Le directeur général de l'Anssi a cité un exemple de coopération possible, la création d'un framework européen pour sécuriser les véhicules autonomes, chaque pays ne pouvant imposer ses propres mesures, les constructeurs  seraient alors obligés de passer de multiples certifications.  

Répondant à une question du Monde Informatique, il a donné sa position sur le rôle de l'ENISA en matière de certifications. Hexatrust et l'Alliance pour la confiance numérique redoutant que cet organisme européen n'enlève aux agences, comme l'Anssi en France ou le BSI en Allemagne, leur pouvoir de certification. L'agence européenne, note Guillaume Poupard, n'en a pas les moyens, avec 120 salariés contre 540 à l'Anssi. Elle n'a pas non plus les 20 ans d'expérience sur le sujet de l'agence française.

Publicité Rappel sur la notion de souveraineté nationale

Guillaume Poupard rappelle également que la notion de souveraineté nationale reste la base de toute politique de cybersécurité, à plus forte raison avec les attaques de ces derniers mois. L'Anssi est encore plus légitime que ce soit par son expertise technique où ses activités règlementaires, « celles qui font gagner du temps aux différents acteurs». Pour plus de lisibilité, les certifications et qualifications de l'agence, seront mises en 2018, sous un chapeau commun, celui du Visa Anssi.

Et comme toujours, le directeur général de l'Anssi s'adresse aux Comex des entreprises. C'est au plus haut niveau que se garantit la confiance numérique. La querelle d'hier entre RSSI d'un côté et DSI de l'autre, s'est réduite. Maintenant, observe Guillaume Poupard, RSSI et DSI se confrontent aux idées digitales de leur patron, qui est aidé par des spécialistes du numérique, parfois nommés « les fous du roi ». Un nouveau type de conflit à résorber. L'Etat évite le sujet, l'arrivée de Mounir Mahjoubi, avec un secrétariat d'Etat rattaché directement au 1er Ministre, comme l'Anssi, devrait faciliter les choses.

Enfin, Guillaume Poupard n'a pas manqué de rappeler ses craintes en matière de cloud computing et de SaaS. Pour lui, certains DSI ne maîtrisent plus leur SI du fait d'une externalisation trop poussée. Ou passent au cloud parce que c'est simple un effet de mode. Guillaume Poupard a la réputation d'être un bon communicant, même sur les sujets qui fâchent.

Article rédigé par

Didier Barathon, Journaliste

Partager cet article