Lors de son discours à la cérémonie d’ouverture des Assises de la cybersécurité, Vincent Strubel (directeur général de l’ANSSI) est revenu une fois encore sur les cyberattaques qui ont visées la France durant les Jeux olympiques de Paris 2024. Bonne nouvelle, rien de grave n’a fait les gros titres de l’actualité, mais il explique que de nombreux acteurs en voulaient vraiment à la France.

Circulez le 17 octobre, il n'y aura rien à voir

Il a profité de son discours pour revenir sur deux gros chantiers dont a hérité l’ANSSI : la directive NIS2 (Network and Information Security) et le règlement CRA (Cyber Resilience Act). Deux approches pour une même finalité : renforcer la cybersécurité.

Vincent Strubel commence par rappeler une position déjà prise plusieurs fois au cours de l’année, notamment au FIC de Lille en mars et cet été : « le 17 octobre, il ne va pas se passer grand-chose de spécial, en tout cas dans le domaine de NIS2 ». C'est, pour rappel, à cette date butoir (et purement théorique) que la directive européenne doit être transposée dans le droit national français, avec une loi.

Après la dissolution annoncée par Emmanuel Macron et la formation récente d’un nouveau gouvernement (le gouvernement démissionnaire s’occupait d‘expédier « les affaires courantes »), les dernières semaines n’ont pas été des plus productives pour NIS2. Le patron de l’ANSSI affirme que le travail parlementaire « va reprendre », mais « sans précipitation ».

La directive a pour rappel été publiée au Journal Officiel de l'Union européenne en décembre 2022.

Il reste encore des mois de travail

Comprendre que la date du 17 octobre est à oublier. Il le confirme d’ailleurs sans détour : « on a devant nous des mois encore de travail de consultation et de construction sur le cadre réglementaire, et des mesures techniques qui vont décliner tout ça ». Une fois n’est pas coutume, la France sera en retard.

Vincent Strubel le répète encore une fois : l’ANSSI fera preuve de patience avant de sévir. « Au-delà de cette construction du cadre, on se donnera au moins trois ans avant d’exiger une conformité complète une fois que le cadre sera posé ». Le même délai sera accordé avant d’envisager des sanctions pour les futurs manquements qui seront relevés. Le directeur général de l’ANSSI souffle le chaud et le froid sur ce délai supplémentaire : « pas de précipitation, mais pas de désinvolture pour autant ».

Trois ans de latence, c'est également la durée proposée par la CSNP (Commission Supérieure du Numérique et des Postes, mixte entre Assemblée nationale et Sénat), qui ne faisait que se calquer sur la durée de la tolérance accordée aux entreprises pour la mise en œuvre du RGPD.

Dans le cas de NIS2, il s’agit de tenir compte de la réalité opérationnelle du terrain… en espérant qu’on ne retombe pas dans les mêmes travers qu’avec le RGPD où certains ont cru qu‘ils avaient trois ans de plus avant de commencer à se pencher sur la question.

• Cybersécurité européenne : enjeux et défis de la directive NIS2 en France

Des choses simples dès maintenant

Il met en garde les acteurs du secteur : l’ANSSI ne va pas attendre trois ans avant d’exiger « certaines choses simples », comme l’enregistrement auprès de l’ANSSI des entités régulées, la notification des incidents car « ce n’est pas compliqué et c’est important », etc.

Une plateforme, en bêta pour le moment, permet de savoir si une entité tombera ou non sous le coup de la régulation de NIS2, et ainsi se préparer le cas échéant : Monespacenis2. On peut y lire que « plus de 10 000 entités réparties sur 18 secteurs d'activité seront concernées ». Il y aura pour rappel les entités essentielles (EE) et les entités importantes (EI), « selon leur degré de criticité, leur taille et leur chiffre d'affaires ». La plateforme permettra « prochainement » de se déclarer auprès de l’ANSSI.

En attendant, Vincent Strubel rappelle qu’il y a « plein de choses à faire dès à présent », notamment participer aux consultations. Il affirme que cela permet de régler les curseurs entre le niveau de sécurité minimum à atteindre et les coûts. Trop cher, ce ne sera pas correctement mis en place, pas assez sécurisé ce sera inutile.

Le directeur général de l’ANSSI appelle dès maintenant à continuer d'investir collectivement dans l’hygiène numérique avec les questions de gouvernance, de gestion des identités, des sauvegardes, etc. Rien de neuf ici et principalement du bon sens, Avec NIS2, « ça ne va pas changer ».

Quid du réglement Cyber Resilience Act ?

Passons à présent au CRA ou Cyber Resilience Act. Cette fois-ci, il s’agit d’un règlement européen (et pas d’une directive), qui est donc d’application directe dans tous les États membres dès son entrée en vigueur et sans transposition. Pour Vincent Strubel, NIS2 (avec son rythme de croisière) et CRA devraient arriver peu ou prou au même moment, aux alentours de 2027.

Le directeur général de l’ANSSI rappelle, s’il en était besoin, que les deux sont complémentaires. Il parle même de CRA comme un « complétement naturel et nécessaire de NIS2 ». Le Cyber Resilience Act est un projet « ayant pour objectif de définir des règles de cybersécurité minimum pour les produits composé d’un ou plusieurs éléments numériques vendus sur le marché de l’UE », rappelle l’ANSSI.

Renforcer la sécurité (par défaut) des objets

Bref, le CRA visera à sécuriser les produits numériques (aussi bien pour le grand public que les entreprises) « y compris les brosses à dents connectées » pour reprendre l’exemple cité par Vincent Strubel, alors que NIS 2 vise à sécuriser les entreprises et administrations européennes.

La philosophie derrière le CRA est de proposer, par défaut et sans action de l’utilisateur, des produits sécurisés, Fini les noms d‘utilisateurs et mots de passe qui proposent par exemple admin/admin par défaut. La sécurité doit être prise en compte « depuis la phase de conception et de développement et tout au long du cycle de vie ».

Vincent Strubel termine son discours sur deux digressions autour de l’intelligence artificielle (évidemment) et du quantique (évidemment, bis).

IA : « Des discours qui frisent parfois l‘hystérie »

Il affirme qu’on va devoir « objectiver le débat sur la sécurité de l’IA, le rationaliser face à des discours qui frisent parfois l‘hystérie ». Il veut tordre le cou à certaines croyances : « Non, l’IA ne va pas provoquer le cyberArmageddon, ne va pas décupler les pouvoirs des attaquants. Ça va leur faciliter la vie, comme n’importe qui, mais pas plus ». Enfin, l’IA ne « va pas nous mettre tous au chômage », surtout dans le domaine de la cybersécurité.

• [Édito] L’intelligence artificielle est-elle intelligente ou artificielle ?

Sur la menace quantique, il se laisse aller à une envolée lyrique sur les cryptologues amateurs de Star Wars « qui se préparent à l’attaque des qubits et la revanche de Shor ». Les qubits sont pour rappel des bits quantiques et Shor a créé un algorithme permettant de factoriser des nombres et donc mettre à mal des systèmes de chiffrement asymétriques, RSA notamment.

• Informatique quantique, algorithme de Shor : le « casseur » de cryptographie… en théorie

Alors que les spécialistes et scientifiques sont plutôt unanimes pour dire que cette révolution va arriver (sans savoir quand), Vincent Strubel est plus réservé : « On ne sait pas quand ça va se produire, ni même si ça va se produire ».

Il enchaine et fait rapidement sauter sa supposition : « Mais le jour où ça se produira, ça serait à vrai dire la première vraie rupture technologiques qui interviendra dans le champ de la cybersécurité », ce qui n’est pas le cas du Cloud ni de l’intelligence artificielle.

Alors qu’il laisse planer le doute sur la faisabilité de la chose, il affirme que, « malheureusement, c’est un sujet dont il est très facile de ne pas se préoccuper tant qu’il n’est pas trop tard ». On peut donc rapidement se retrouver avec des années de développement devant soi si on ne prend pas le train en avance.

• 10 ans de peur autour du « post-quantique » : derrière les annonces, quelle réalité ?
• Informatique quantique, qubits : avez-vous les bases ?

Comme nous l’avons déjà expliqué, certaines agences gouvernementales et sociétés ne se privent certainement pas de jouer les écureuils numériques en mettant au chaud des noisettes chiffrées afin de les décrypter plus tard, avec une machine quantique… quand elle existera et sera assez puissante.