Monaco, le 9 octobre 2019. La sécurité est un processus de dialectique jésuitique. Pour Guillaume Poupard, DG de l’Anssi, l’évolution logique vers les bonnes pratiques de sécurité d’entreprise passe par l’abandon des discours anxiogènes et alarmistes. Parce qu’ils ne sont pas crédibles à termes, parce qu’il faut savoir établir un dialogue raisonnable et raisonné, parce que les premières règles d’hygiène numérique commencent à être admises même si elles ne sont pas encore toujours adoptées. Parce que l’attitude rigoriste et dogmatique des « dinosaures de la sécurité » est souvent porteuse d’un message qui braque les directions générales. « L’idée (plaide G. Poupard), c’est de pouvoir parler de sujets complexes de cybersécurité à des décideurs, à des responsables métiers dont la SSI n’est pas le premier sujet de préoccupation». Minimiser l’attention portée au bouton de guêtre et aux 500 points de contrôle d’une norme de conformité ISO « ou de méthodes qui identifient tous les risques, tous les chemins d’attaque envisageables. Cela ne marche pas. Il faut passer à une approche de l’analyse de risque plus inclusive et moins exhaustive pour que les responsables métiers ne subissent plus les problèmes de cybersésurité mais en deviennent acteur».
Dans le droit fil de cette logique, il faut citer la création de nouveaux métiers de la cyber labellisables par l’Anssi : les PAMS (Prestataires d’Administration et de Maintenance sécurisé). Nécessairement plus nombreux que les prestataires du genre PASSI, PRIS, PDIS, ce sont les interlocuteurs des petites et moyennes entreprises, des interfaces entre l’infrastructure numérique du monde réel et la complexité des grilles de conformité et des bonnes pratiques Infosec. En d’autres termes, les missi dominici de la sacro-sainte Eglise Unifiée de la SSI.
Outre les PAMS, mais plus à destination des équipes cybersécu des grands groupes, l’Anssi continue de diffuser ses publications open-source, la plateforme d’analyse des cybermenaces- DFIR ORC , outil de collecte pour analyse forensique, voir encore Wookey disque dur chiffrant open hardware.
Cela ne doit toutefois pas faire perdre de vue la réalité, la brutalité des agressions numériques (ndlr des attaques « commandités par des puissances extérieures » ou des menaces mafieuses d’envergure etc.). « Les choses vont en s’améliorant. En matière de prévention, « on sait faire »; sur le créneau de la réponse à incident, « on sait aussi ». Reste le problème de la détection sur lequel il faut progresser», admet le Directeur Général de l’Agence. Il est encore trop fréquent de constater, après un sinistre, que l’attaquant était « dans le système » depuis des mois ou des années.
Enfin, l’Anssi espère pouvoir ouvrir un cyber-campus comparable, dans l’esprit, au Cyberspark de l’Université Ben Gourion à Beer-Sheva, une sorte de communauté de partage et de coopération réunissant quelques grands acteurs de la SSI (Orange, Athos et Thales sont les premiers « pressentis ») conjointement avec de plus petites structures intervenantes. Il n’est pas question, explique en substance Guillaume Poupard, de fabriquer un « produit de synthèse » issu de ces 3 parents, mais de les réunir sur un même lieu, pour que chacun travaille de manière indépendante tout en faisant en sorte que ceux qui y travaillent se rencontrent à la cantine… et échangent. Un lieu où la parole cybersécurité puisse être entendue, ou l’enseignement et le partage d’expérience deviennent une règle. Les premiers éléments concrets devraient être dévoilés avant la fin de l’année, reste à savoir si l’héritage génétique des trois principaux acteurs permettra autant de souplesse et de volonté d’échange que celles dont font preuve industriels et chercheurs tant à Beer-Sheva qu’à L’Institut Weizmann de Rehovot.