Cybersécurité : pour Guillaume Poupard (ANSSI), plus personne ne peut dire « je ne savais pas »

« On a le sentiment qu’on arrive enfin au terme d’une phase d’évangélisation ». Aux Assises de la cybersécurité, qui fêtent leurs 20 ans, Guillaume Poupard a tout de même reconnu que les attaquants avaient beaucoup fait pour la compréhension de la menace. De nouveaux détails ont été donnés sur le futur et attendu Cybercampus.

Plus que de grandes annonces cette année, le patron de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a surtout dressé un bilan de la cybersécurité. Être attaqué, « ce n’est plus honteux », soutient-il, avant de rappeler que les victimes (hôpitaux, entreprises, collectivités locales, etc.) témoignent plus facilement sur ces épisodes parfois traumatisants, et pas seulement pour les infrastructures informatiques.

 « Je ne veux pas transformer les victimes en coupables, mais les décideurs qui minorent deviennent de plus en plus fautifs », ajoute Guillaume Poupard. « Aujourd’hui plus personne ne peut dire "je ne savais pas" ». Il invite ainsi ces décideurs à consulter le guide de l’agence expliquant comment organiser un exercice de gestion de crise cyber. « Entraînez-vous. Ne soyez pas superstitieux. Ce n’est pas parce qu’on pense au pire que le pire se réalise ! »

• L’ANSSI publie un guide sur l’organisation d’un « exercice de gestion de crise cyber »

SecNumCloud et souveraineté

Autre point positif mis en avant, la mission de qualification des prestataires de services, destinée à édicter une liste blanche des acteurs objectivement qualifiés. Devant les professionnels de la cybersécurité, il admet néanmoins que la France souffre à ce jour d’un manque de prestataires capables « de venir aider à reconstruire un réseau après une attaque ». Une réponse à incident, sur du temps long.

La qualification concerne aussi le cloud. Un sujet d’actualité, notamment avec le bras de fer lancé au Conseil d’État par un collectif, sur l’autel du Health Data Hub. Une plateforme de données de santé, hébergée par Microsoft.

• Health Data Hub : le Conseil d’État exige des correctifs face au risque de surveillance américaine 

Oodrive et Outscale, les deux seuls acteurs aujourd’hui labellisés SecNumCloud, seront bientôt rejoints par un troisième arrivant. Qui et quand ? « Un gros hébergeur du nord de la France, avant la fin de l’année ». Le nom d’OVHcloud n’a pas été cité, mais il s’agit évidemment d’elle. « Vu l’actualité, cela m’arrange que cela arrive à maturité. Cela apporte des solutions à des problèmes juridico-complexes ».

En cause, la soumission de fournisseurs de services américains à un droit national extraterritorial, ouvrant une boîte de Pandore, aussi bien devant la CNIL que devant les juridictions administratives ou les ministères.

Sur le terrain des liens entre sécurité numérique et souveraineté numérique, l’ANSSI veut apporter son « objectivité ». « Tout ce qui est caricatural est mauvais. L’angélisme et la naïveté ne sont plus de mise non plus (…). La souveraineté, c’est de rester maître de notre destinée, non qu’on ne doit pas travailler avec des non-Européens, mais il y a des choses qu’on doit maîtriser et le droit applicable devrait être le droit européen », considère Guillaume Poupard, qui a tenu à préciser que « la souveraineté, ce n’est pas la fermeture ou le protectionnisme ».

Lors d’un atelier relatif à la souveraineté, organisé aux Assises, Bernard Ourghanlian, directeur technique et sécurité chez Microsoft, s’est toutefois dit « passablement agacé » par l’interprétation de la réglementation française : « on est rentré dans la labellisation SecNumCLoud il y a deux ans et demi. On est resté bloqués précisément en raison du Cloud Act qui d’ailleurs ne figure nulle part dans les textes ».

Le risque de morcellement européen

Pour l’année à venir, l’ANSSI a voulu pour sa part se faire porte-parole d’autres « grands messages ». Le patron de l’agence a tiré en particulier la sonnette d’alarme sur le risque de morcellement européen. « Il joue contre nous ».

Pour témoigner de l’utilité d’une mise en commun des compétences et autres forces vives, il cite l’exemple des CERT ou le réseau CyCLONe (Cyber Crisis Liaison Organisation Network) dédié à la préparation et la gestion des crises cyber par les États membres. 

Demain, Guillaume Poupard envisage un cran supplémentaire, avec des mesures d’entraide, toujours au niveau européen. Sur le terrain réglementaire, une deuxième version de la directive NIS et une stratégie cyber de l’Union européenne sont attendues ces prochains mois.

CyberCampus : le « Go » gouvernemental

Cette volonté de « travailler ensemble » passera notamment par le CyberCampus. Un projet « emblématique et opérationnel ». Michel Van Den Berghe, directeur général d'Orange Cyberdefense, en charge de la réflexion sur le CyberCampus français, a donné de nouveaux détails sur le déploiement de ce projet ambitieux.

• Campus Cyber en France : « Mon objectif est de construire un porte-avion »

Un projet maintenant en « phase d’opérationnalisation ». Fin août, un rapport a été remis au Premier ministre, suivi d’un « Go » gouvernemental. Le lieu choisi sera finalement l’immeuble Eria à la Défense. Le bâtiment sera livré fin décembre.

La structure sociétale du campus a été conçue pour éviter que ses actions puissent être rachetées par un acteur. Deux millions d’euros sont déjà attendus pour allumer la mèche. Les sommes seront versées pour (presque) moitié par des acteurs privés – comme Orange, Cap Gemini et bientôt Thales, mais aussi Yes We Hack – et pour autre moitié via des ressources publiques.

Ses résidents sont attendus à partir de septembre 2021. Les prochaines étapes, outre le lancement du site Campuscyber.fr, viseront la constitution de groupes de travail pour définir les briques opérationnelles. Entre 700 et 800 personnes devraient y travailler quotidiennement. « Le fait que tout le monde se sente aspiré est un message d’espoirs immenses », commente Guillaume Poupard, soutien inflexible de ce lieu de rassemblement de l’écosystème de la cybersécurité en France.