Secu
Assises de la cybersécurité 2022 : Europe, souveraineté et passage à l’échelle
Par Stéphane Bellec, publié le 19 octobre 2022
Pour sa 22ème édition, le salon dédié à la cybersécurité, qui se tient chaque année à Monaco, battait un record de fréquentation avec plus de 3000 participants. Parmi eux, 1350 RSSI venus de tout horizon et issus en majorité (20%) des services publics, des collectivités territoriales et des sociétés de service.
Après trois jours de prise de hauteur et d’arrêts sur image sur leur quotidien, les RSSI quittaient, vendredi dernier, le Rocher et prenaient congé de leur incontournable rendez-vous de rentrée, les fameuses Assises de la Cybersécurité. « Face à l’enchaînement historique de crises en tout genre que nous avons connues ces trois dernières années, le besoin de se recharger était plus vital que jamais ! », resitue Maria Iacono, directrice des Assises.
Après avoir prêché le retour aux fondamentaux (Back to basics) en 2021, la 22ème édition du salon invitait les 3000 participants à réfléchir aux moyens d’accélérer un passage à l’échelle jugé difficile pour encore un trop grand nombre d’acteurs. « Dans les années à venir, nous devons réussir à changer de braquet », attaquait dans son discours d’ouverture Guillaume Poupard, futur ex-directeur de l’Agence nationale de sécurité des systèmes d’information (ANSSI). « Et seul ce changement permettra d’apporter à chacun les moyens de sa juste protection. La sécurité ne passe pas par un domaine d’excellence qui engloberait tout. Au contraire, nous devons même composer avec une mosaïque hyper complexe de sujets. »
Une mosaïque d’où émergeraient cinq thématiques prioritaires : la réglementation, la prévention, les cas particuliers du territorial et de l’industrie et, enfin, le cloud de confiance.
Une coopération européenne autour de la réglementation
Arrivé en 2014 à l’ANSSI, Guillaume Poupard se dit aujourd’hui convaincu de l’efficacité de la réglementation. « À condition qu’elle soit bien appliquée ! » Cela va de soi. Sur ce point, il s’est également montré enthousiaste quant à la capacité des pays de l’Union Européenne à travailler ensemble : « L’arrivée imminente de la directive NIS 2, par exemple, est un signal fort. Son approche ambitieuse est réaffirmée et elle se veut encore plus homogène pour parvenir à couvrir tous les secteurs critiques. Ensuite, c’est à nous de la transposer au niveau national et, surtout, de faire fonctionner cela en réseau et en coopération à l’échelle européenne. Mais je ne suis pas inquiet car la volonté des 27 et de la Commission d’avancer sur la cybersécurité est absolument remarquable. »
Guillaume Poupard
Directeur de l’ANSSI
“La souveraineté, c’est maîtriser les choses, c’est décider de son avenir, c’est ne pas être entre les mains des autres. ”
En termes de prévention, il reste, selon lui, de très gros efforts à faire, notamment du côté des collectivités locales pour lesquelles il y aurait un travail de mise à niveau important à réaliser. « Il faut simplifier. Quand on parle d’analyse de risques ou d’audit des systèmes d’information à ces organisations, en général, on les a perdues. Et ce n’est pas une question de motivation mais, objectivement, de difficultés d’accès », a reconnu Guillaume Poupard.
Les équipes de l’ANSSI ont donc travaillé à l’élaboration d’un nouveau portail web délivrant les règles minimales de sécurité à respecter avant de mettre en ligne un nouveau site web ou de déployer une nouvelle application et placer ainsi « la sécurité à son juste niveau ».
Souveraineté : maîtrise de la gouvernance…
Après le ‘juste niveau’, et pour conclure, il a été question de ‘juste milieu’, pour aborder cette fois le sujet brûlant du cloud de confiance. Sujet hautement sensible. « D’ailleurs, à chaque fois que j’en parle, ça finit mal », ironisait le directeur de l’Agence.
À ses yeux, l’injonction tacite de positionnement est un vrai problème : « On oblige les entreprises à choisir leur camp entre celui des Gaulois réfractaires qui exigent des transistors et des octets franco-français et celui des résignés qui pensent que toute approche souveraine est vouée à l’échec. C’est insupportable. D’autant qu’il y a un juste milieu ! La souveraineté, c’est maîtriser les choses, c’est décider de son avenir, c’est ne pas être entre les mains des autres. »
Guillaume Poupard rallie ici un discours qui se fait de plus en plus entendre dans nos contrées hexagonales quand on aborde le sujet. Le cloud de confiance ne passerait donc plus par une maîtrise de la technologie mais par de la gouvernance.
À LIRE AUSSI :
…ou vain espoir de maîtrise technologique ?
C’est en tout cas ce qui est consigné dans le référentiel SecNumCloud dont le rôle est de lister les prestataires de confiance, à destination des entités publiques et privées. Certains ne perdent pourtant pas espoir de voir l’Europe réussir à tirer son épingle du jeu sur le terrain du hardware.
C’est le cas de Michel Paulin, directeur général d’OVH Cloud et nommé président de la filière du numérique de confiance par Bruno Lemaire, Ministre de l’Économie, des Finances et de la Souveraineté industrielle et numérique, et qui appelle de ses vœux l’Europe à imiter nos cousins d’Outre-Atlantique : « J’espère que l’Europe va en faire autant, et qu’elle va enfin comprendre qu’il ne suffit pas de “dire”, mais qu’il faut “faire” ».
Conscient de la fragilité technologique de sa nation, le congrès américain promulguait en août dernier le Chip and Science Act, une loi de soutien à l’industrie des semi-conducteurs. Avec cette première enveloppe de 52,4 milliards de dollars, Joe Biden lançait là une impulsion forte pour se libérer du joug asiatique sur un marché des composants massivement dominé par les acteurs chinois, coréens et taiwanais.
Un point fortement soutenu par le chef de la section Cyberdéfense de l’OTAN, Christian-Marc Lifländer, également présent, qui a non seulement encouragé le rapprochement entre l’UE et l’OTAN, mais tenu à préciser que « si le commerce international a, sans aucun doute, apporté une grande prospérité, il ne faut pas oublier que nos choix économiques ont des conséquences sur notre sécurité. Le fait que le contrôle d’infrastructures critiques, comme la 5G, passe entre des mains étrangères affaiblit notre résilience. La liberté est plus importante que le libre-échange et la protection de nos valeurs, que le profit. » À bon entendeur.
À LIRE AUSSI :