Connexion
Abonnez-vous

Cybersécurité : pour Guillaume Poupard (ANSSI), plus personne ne peut dire « je ne savais pas »

Savoir qu’on ne peut plus ignorer

Cybersécurité : pour Guillaume Poupard (ANSSI), plus personne ne peut dire « je ne savais pas »

Le 15 octobre 2020 à 07h56

« On a le sentiment qu’on arrive enfin au terme d’une phase d’évangélisation ». Aux Assises de la cybersécurité, qui fêtent leurs 20 ans, Guillaume Poupard a tout de même reconnu que les attaquants avaient beaucoup fait pour la compréhension de la menace. De nouveaux détails ont été donnés sur le futur et attendu Cybercampus.

Plus que de grandes annonces cette année, le patron de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a surtout dressé un bilan de la cybersécurité. Être attaqué, « ce n’est plus honteux », soutient-il, avant de rappeler que les victimes (hôpitaux, entreprises, collectivités locales, etc.) témoignent plus facilement sur ces épisodes parfois traumatisants, et pas seulement pour les infrastructures informatiques.

 « Je ne veux pas transformer les victimes en coupables, mais les décideurs qui minorent deviennent de plus en plus fautifs », ajoute Guillaume Poupard. « Aujourd’hui plus personne ne peut dire "je ne savais pas" ». Il invite ainsi ces décideurs à consulter le guide de l’agence expliquant comment organiser un exercice de gestion de crise cyber. « Entraînez-vous. Ne soyez pas superstitieux. Ce n’est pas parce qu’on pense au pire que le pire se réalise ! »

SecNumCloud et souveraineté

Autre point positif mis en avant, la mission de qualification des prestataires de services, destinée à édicter une liste blanche des acteurs objectivement qualifiés. Devant les professionnels de la cybersécurité, il admet néanmoins que la France souffre à ce jour d’un manque de prestataires capables « de venir aider à reconstruire un réseau après une attaque ». Une réponse à incident, sur du temps long.

La qualification concerne aussi le cloud. Un sujet d’actualité, notamment avec le bras de fer lancé au Conseil d’État par un collectif, sur l’autel du Health Data Hub. Une plateforme de données de santé, hébergée par Microsoft.

Oodrive et Outscale, les deux seuls acteurs aujourd’hui labellisés SecNumCloud, seront bientôt rejoints par un troisième arrivant. Qui et quand ? « Un gros hébergeur du nord de la France, avant la fin de l’année ». Le nom d’OVHcloud n’a pas été cité, mais il s’agit évidemment d’elle. « Vu l’actualité, cela m’arrange que cela arrive à maturité. Cela apporte des solutions à des problèmes juridico-complexes ».

En cause, la soumission de fournisseurs de services américains à un droit national extraterritorial, ouvrant une boîte de Pandore, aussi bien devant la CNIL que devant les juridictions administratives ou les ministères.

Sur le terrain des liens entre sécurité numérique et souveraineté numérique, l’ANSSI veut apporter son « objectivité ». « Tout ce qui est caricatural est mauvais. L’angélisme et la naïveté ne sont plus de mise non plus (…). La souveraineté, c’est de rester maître de notre destinée, non qu’on ne doit pas travailler avec des non-Européens, mais il y a des choses qu’on doit maîtriser et le droit applicable devrait être le droit européen », considère Guillaume Poupard, qui a tenu à préciser que « la souveraineté, ce n’est pas la fermeture ou le protectionnisme ».

Lors d’un atelier relatif à la souveraineté, organisé aux Assises, Bernard Ourghanlian, directeur technique et sécurité chez Microsoft, s’est toutefois dit « passablement agacé » par l’interprétation de la réglementation française : « on est rentré dans la labellisation SecNumCLoud il y a deux ans et demi. On est resté bloqués précisément en raison du Cloud Act qui d’ailleurs ne figure nulle part dans les textes ».

Le risque de morcellement européen

Pour l’année à venir, l’ANSSI a voulu pour sa part se faire porte-parole d’autres « grands messages ». Le patron de l’agence a tiré en particulier la sonnette d’alarme sur le risque de morcellement européen. « Il joue contre nous ».

Pour témoigner de l’utilité d’une mise en commun des compétences et autres forces vives, il cite l’exemple des CERT ou le réseau CyCLONe (Cyber Crisis Liaison Organisation Network) dédié à la préparation et la gestion des crises cyber par les États membres

Demain, Guillaume Poupard envisage un cran supplémentaire, avec des mesures d’entraide, toujours au niveau européen. Sur le terrain réglementaire, une deuxième version de la directive NIS et une stratégie cyber de l’Union européenne sont attendues ces prochains mois.

CyberCampus : le « Go » gouvernemental

Cette volonté de « travailler ensemble » passera notamment par le CyberCampus. Un projet « emblématique et opérationnel ». Michel Van Den Berghe, directeur général d'Orange Cyberdefense, en charge de la réflexion sur le CyberCampus français, a donné de nouveaux détails sur le déploiement de ce projet ambitieux.

Un projet maintenant en « phase d’opérationnalisation ». Fin août, un rapport a été remis au Premier ministre, suivi d’un « Go » gouvernemental. Le lieu choisi sera finalement l’immeuble Eria à la Défense. Le bâtiment sera livré fin décembre.

La structure sociétale du campus a été conçue pour éviter que ses actions puissent être rachetées par un acteur. Deux millions d’euros sont déjà attendus pour allumer la mèche. Les sommes seront versées pour (presque) moitié par des acteurs privés – comme Orange, Cap Gemini et bientôt Thales, mais aussi Yes We Hack – et pour autre moitié via des ressources publiques.

Ses résidents sont attendus à partir de septembre 2021. Les prochaines étapes, outre le lancement du site Campuscyber.fr, viseront la constitution de groupes de travail pour définir les briques opérationnelles. Entre 700 et 800 personnes devraient y travailler quotidiennement. « Le fait que tout le monde se sente aspiré est un message d’espoirs immenses », commente Guillaume Poupard, soutien inflexible de ce lieu de rassemblement de l’écosystème de la cybersécurité en France.

Commentaires (9)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

En cause, la soumission de fournisseurs de services américains à un droit national
extraterritorial,



tout est dit !
maintenant “on veut des actes” contre ça ! :windu:

votre avatar

ce serait peut être pas mal d’arrêter avec cette expression “d’évangélisation”.



si le but est d’amener les responsables exécutifs à prendre leurs responsabilité, prendre la posture du berger qui porte la bonne parole au troupeau ne semble pas très adapté.



Surtout, les vrais évangélistes représentent un pouvoir de nuisance considérable (créationnisme, menaces sur le droit à l’avortement, homophobie, négation des menaces climatiques, entrisme politique à très haut niveau, … ). pas super kikoulol.



Les mots on un sens. c’est dommage de continuer à employer de façon inconséquente un concept aussi chargé depuis trump, qui plus est pour parler de souveraineté et culture des dirigeants.

votre avatar

Il parle simplement du message que l’ANSSI essaie depuis des années de faire rentrer dans les têtes des dirigeants d’entreprises. Vouloir que tous adopte une doctrine en cybersécurité ressemble bien à une évangélisation ne t’en déplaise.
Les références que tu accoles à ce mot sont les tiennes, n’en fait pas une généralité.



Les mots ont une signification (donnée par le contexte) et une étymologie (invariable). Evangélisation : annoncer l’évangile (une bonne nouvelle). Rien de plus.

votre avatar

Il me semble que c’est Microsoft (ou IBM…) qui a lancé le concept en plaçant des conseillers dans les grandes entreprises pour se faire conseiller en technologie et solutions Microsoft, et donc faire en sorte de subtilement aligner le portefeuille, mais aussi assurer la fidélité dudit client. Ca à fait son petit bonhomme de chemin… Un jours un testeur nous a expliqué qu’ils devait évangéliser les principes de la qualité, mais c’est un peu transformer un métier en religion ou doctrine, et qu’il préférait voir ça comme une science. Un peu difficile de faire tenir les deux.

votre avatar
votre avatar

Biais de neutralité : impossible de définir à la place du client les objectifs du système (la foi recherchée…) donc parler de religion est adapté…



Il faut des courants pour faire une religion. (Et des bouées.) :fumer:

votre avatar

Dans les grosses boîtes ils ne pourront plus dire qu’ils ne savaient pas, mais dans les petites… l’informatique reste magique et le budget difficilement envisageable.

votre avatar

les références que j’accole à ce mot sont aussi liées au contexte, qui est aussi celui des légions de “technology evangelists”, “chief evangelists” et autre “evangelism marketing” embauchés par des boites du numérique pour “faire rentrer des trucs dans la tête des gens”, avec le succès que l’on sait mais aussi son lot de défiance contre les posture de ravis de la crèche du tech bro en mission relation publique. ne t’en déplaise.

votre avatar

(reply:1831495:Idiogène)


je n’ai pas compris.
je dois probablement être aveugle aux lanternes urinaires

Cybersécurité : pour Guillaume Poupard (ANSSI), plus personne ne peut dire « je ne savais pas »

  • SecNumCloud et souveraineté

  • Le risque de morcellement européen

  • CyberCampus : le « Go » gouvernemental

Fermer