L’ANSSI au service des Systèmes d’Information

En mettant en place une approche ambitieuse  en matière de cyber sécurité, la France est devenue un modèle qui a trouvé de nombreux échos. D’ailleurs, depuis deux ans, l’ANSSI se donne les moyens d’être présente  dans l’équation nerveuse de la gouvernance des affaires cyber au niveau ministériel et inter ministériel.

En ce début d’année, Emmanuel Germain, Directeur général adjoint de l’ANSSI revient, sur les missions de l’ANSSI et met, d’emblée, en garde chacun « globalement, aujourd’hui, la menace est encore sous-évaluée ».

Défendre, Prévenir et Sensibiliser, le credo de l’ANSSI

Défendre

Avec son centre opérationnel, l’ANSSI intervient et porte secours à des victimes, essentiellement des Organismes d’Importance Vitale (OIV), mais pas seulement. Cette mission s’assimile en quelque sorte à un « rôle de pompier », l’ANSSI est, par ailleurs, intervenue pour Saint Gobain en 2017.

Prévenir

En amont, il s’agit de créer « les conditions qui permettent que se développe dans notre cyber espace une zone de confiance pour les institutions publiques, entreprises privées, particuliers, partenaires sociaux … » souligne Emmanuel Germain. Cela se traduit, donc, par un investissement dans le champ de la réglementation, de la certification de produits, de la qualification des prestataires, regroupés sous le « Visa de Sécurité », vrai gage de sécurité et atout de compétitivité.

Cette prévention permet, également, d’intervenir « dans la règlementation en France, en Europe pour obliger les constructeurs, éditeurs de logiciels, architectes de réseaux à prendre des voies qui sont celles de la sécurité ».

« Nous poursuivons notre approche prévention, en formant des fonctionnaires et en suscitant dans les universités, les écoles, des modules de formation » explique Emmanuel Germain. Il n’y a, d’ailleurs, qu’à évoquer les programmes SecNumEdu et CyberEdu, qui prennent de plus en plus d’ampleur.

Même si le Directeur général adjoint admet que « l’ANSSI s’adresse au Comex dorénavant, et plus seulement aux RSSI », le chemin est long et les menaces restent sous-évaluées.

Sensibiliser

« Il n’y a pas de cyber sécurité sans sensibilisation, car le succès de la cybersécurité est collectif sur le plan politique et géopolitique » commente Emmanuel Germain. « En Europe, on considère que l’espace critique de défense d’un espace connecté par les réseaux, c’est la zone économique et le continent, donc l’Union Européenne ». En effet, tous les réseaux étant interconnectés, il est nécessaire d’élever le schéma de sécurité en Europe, c’est pourquoi l’ANSSI s’investit énormément dans les réflexions au niveau de l’Union Européenne pour susciter une prise de conscience et une avancée des travaux sur la réglementation et la coordination entre les pays. N’oublions pas que 80% des attaques, aujourd’hui, ont pour origine une défaillance humaine.

Si l’ANSSI veut toucher toutes les populations, du plus jeune au plus âgé, l’agence se donne les moyens de ses actions de sensibilisation au travers de colloques, de sa direction de la communication, des médias, des forums ou grâce à son excellent cours en ligne, MOOC ouvert depuis mai 2017 et rassemblant déjà plus de 49 000 inscrits. Beau succès !

De 2017 à 2018, il n’y a qu’un pas …

Pour l’ANSSI, « 2017 fut une année charnière avec l’apparition d’un nouveau genre d’attaques. Avec WannaCry, on a vu pour la première fois, à grande échelle et avec l’impact qu’on connait, un logiciel malveillant à forte propagation au niveau international. En juin, NotPetya, ce rançongiciel, visant d’abord les institutions Ukrainiennes, à des fins de sabotage, s’est propagé aussi très rapidement ».

En effet, toute entreprise (française ou autre) présente sur le territoire ukrainien s’est vue contaminée par capillarité. Vraie prise de conscience que les entreprises deviennent victimes d’un dommage collatéral d’une attaque ne les visant pas au début !

« Pour 2018, ce genre d’attaques va, sans doute, se renouveler et inquiète fortement l’ANSSI » commente Emmanuel Germain, « nous voulons être optimistes mais nous ne sommes pas naïfs »

Avec la transposition de la directive NIS, va émerger le nouveau concept des Opérateurs de Services Essentiels (OSE), « nous avons voulu étendre le bénéfice et l’expérience tirés du fonctionnement de la protection des OIV à un plus grand nombre d’entreprises dont la défaillance pourrait perturber le fonctionnement de notre société ».

Enfin, évoquons l’étape suivante avec les travaux au niveau des institutions européennes qui visent à faire déboucher ce que la Commission européenne appelle le « paquet cyber », coordination des réseaux d’alerte des CERT pour un meilleur niveau de partage de l’information technique et mise en œuvre d’un dispositif de soutien aux Etats.

Et ce n’est pas fini, un autre gros chantier est à venir, « il faut créer un nouveau cadre de sécurité obligeant les pays européens à adhérer aux règles « compliance » associées au maintien et au développement du système de certification des produits, porté par la France, l’Allemagne et quelques pays européens, ce qui répond à un vrai besoin du marché d’avoir des garanties » conclut Emmanuel Germain.