Cela a été le mot d’ordre de cette 21ème édition des Assises de la cybersécurité, installée au Grimaldi Forum de Monaco : il faut prendre de la hauteur. Après “le recul” pris l’an dernier, l’implicite reste le même : sortir la tête du guidon pour s’organiser et réussir un passage à l’échelle jugé par l’ANSSI difficile, voire inaccessible pour les plus petites structures.
Vincent Strubel, directeur général de l’ANSSI (Agence nationale de sécurité des systèmes d’information), prend très au sérieux la menace du (cyber) « Grand Soir », « quand des pans entiers de notre société ou de notre économie seront attaqués simultanément avec des conséquences qui dépasseront tout ce qu’on a pu imaginer jusqu’à présent ». Face à une salle comble, le directeur général s’est prêté, tout comme ses prédécesseurs, à l’exercice de la conférence d’ouverture. L’occasion pour lui de rappeler sa mission, celle de l’agence et, également, de faire passer quelques messages : « Nous avons depuis longtemps un enjeu stratégique que nous connaissons tous et qui est fait de menaces principalement étatiques, très ciblées sur un petit nombre d’entités. Depuis deux ou trois ans, nous avons un autre enjeu, sociétal, qui vient s’ajouter au premier mais sans le remplacer et qui est fait d’attaques massives, systémiques, opportunistes. Elles ne ciblent personne mais touchent tout le monde, surtout les petits, ceux dont on s’est peu occupé jusqu’à présent parce qu’ils étaient peu attaqués. »
Passer à l’échelle sans se renier
Pour lui, il va s’agir de tirer vers le haut cette multitude de petits acteurs qui n’ont pas la même maturité ni les mêmes moyens en matière de cybersécurité. Très important, également, tout cela devra se faire sans s’éloigner du savoir-faire actuel, à savoir traiter la menace stratégique avec des opérations dans le temps long et des approches très expertes. Ce qu’il appelle, selon l’humeur, « faire du prêt à porter en plus de la haute couture ou passer à l’échelle sans se renier ». Cela implique donc de faire plus et mieux ce qui se fait déjà et de gagner en efficacité opérationnelle. Pour cela, la nouvelle mouture de la Loi de Programmation Militaire (LPM) va dans ce sens. Elle donne de nouvelles capacités « et de grands pouvoirs qui imposent de grandes responsabilités. Tout le monde en est conscient à l’ANSSI, même ceux qui n’ont pas le ref’ ! » L’arrivée de NIS 2 sera d’une grande aide, un chantier très structurant qui monopolise une pléiade d’acteurs, avec des consultations qui ont débuté au mois de septembre, et un projet de loi qui devrait atterrir au parlement au printemps prochain. « Nous verrons la multiplication par 10, 20 ou 30 du nombre d’organisations régulées. », ajoute Vincent Strubel.
Réussir à travailler ensemble, entre acteurs historiques et entrants
Le directeur général de l’ANSSI a surtout mis l’accent sur l’importance de travailler en réseaux. « Et je parle de réseaux au pluriel parce qu’il y en a plusieurs. Il y a ceux déjà bien constitués d’acteurs existants qui se développent et évoluent, et les nouveaux que l’on doit accompagner et avec lesquels on doit apprendre à travailler. Et s’il y a bien un sujet sur lequel il faut prendre de la hauteur, c’est celui-là ! assure-t-il. Il faut surmonter nos réflexes naturels de s’agacer quand des acteurs nouveaux se piquent de faire le même métier que nous. D’autant plus s’ils n’ont pas exactement la même approche. C’est le seul moyen de passer à l’échelle. » En plus de l’importance de mieux collaborer avec les acteurs du Cloud, Vincent Strubel a souligné l’importance des CSIRT (Computer Security Incident Response Team), nouveaux acteurs qui ne font pas l’unanimité dans le milieu de la cyber mais qui, pour lui, offre plus de complémentarité que de redondance et apportent une aide précieuse à l’ANSSI et aux autres acteurs centraux comme cybermalveillance.fr. « Et je préfère la redondance aux trous dans la raquette », a-t-il conclu.
