Assises de la cybersécurité 2021 : « back to fundamentals » … pour se projeter vers l’avenir !
Du 13 au 16 octobre a eu lieu à Monaco la nouvelle édition des Assises de la Sécurité, événement phare depuis plus de 20 ans qui offre l’opportunité à tous les acteurs de la communauté cybersécurité d’échanger sur leurs pratiques et de renforcer leurs liens. Dans cet article, je vous présente un résumé de la conférence d’ouverture des Assises, et notamment en ce qui a trait aux enjeux de sécurité cloud, cloud souverain et sécurité juridique.
Après une édition 2020 en demi-teinte, en raison du contexte covid, cette 21ème édition des Assises de la sécurité a suscité un vif engouement, comme le démontre le chiffre record de plus de 8 000 entretiens one to one planifiés sur 4 jours.
Les Assises demeurent un RDV incontournable pour tous les acteurs de la sécurité informatique. Et à ce titre, la keynote d’ouverture a mis les petits plats dans les grands, en nous offrant l’opportunité d’assister à une présentation rythmée par plusieurs interventions, dont celle de SE Monsieur Pierre Dartout, ministre d’État de la principauté de Monaco, de Guillaume Poupard, Directeur Général de l’ANSSI et d’Olivier Ligneul, Directeur Cybersécurité du Groupe EDF et président d’honneur des Assises 2021 (un rôle inauguré avec cette édition 2021).
Chaque intervenant a porté des messages forts sur leur stratégie sécurité, chacun illustré par des cas concrets de mise en œuvre sécurité au niveau de l’Etat, d’une agence de réglementation et du secteur privé.
La stratégie sécurité au niveau d’un Etat : l’exemple de la principauté de Monaco
Pierre Dartout a illustré tout au long de sa présentation comment se traduisait la conviction de la principauté de Monaco que la sécurité doit être un de ses tous premiers enjeux, dans la mesure où une sécurité élevée est une condition sine qua none à la défense des libertés.
L’Etat monégasque a choisi d’investir dans un programme ambitieux de transformation numérique, notamment avec le développement de ses offres de smart city. Pour répondre de façon appropriée aux menaces cyber qui en découlent, l’Etat monégasque s’est donc inscrit en parallèle dans une logique de renforcement de chacun des pans de son arsenal de protection sécurité, à travers la mise en place de solutions adaptées à la fois aux enjeux d’aujourd’hui, et de demain.
Concrètement cette approche à 360 se matérialise par :
- une intensification des actions de formation et sensibilisation du grand public et des acteurs des secteurs privé et public aux enjeux de cybersécurité,
- un renforcement des exigences législatives encadrant l’usage des pratiques numériques,
- une aide au développement des sociétés de services, pour leur permettre d’accompagner au mieux leurs clients dans leurs actions de protection face aux nouvelles menaces cyber,
- et enfin, last but not least, la mise à disposition d’une offre de cloud souverain « Extended Monaco », à destination pour le moment des acteurs du marché monégasque.
La stratégie sécurité au niveau d’une agence de réglementation : les convictions de l’ANSSI
Guillaume Poupard a structuré son intervention autour d’une mise en lumière du slogan de cette 21ème édition des Assises : «Back to fundamentals». Selon lui, cette injonction est à comprendre à deux niveaux.
Revenir aux basiques c’est d’abord s’appliquer à les mettre en œuvre. “Un mot de passe, c’est une technologie du passé !” critiqueront certains. Guillaume Poupard leur répondra : « peut-être, mais en même temps nous pouvons encore tous constater que même la sécurisation des accès via un mécanisme d’authentification aussi basique n’est pas encore sous contrôle dans de nombreuses organisations ! » Avant de nous faire la main sur les technologies de demain, commençons par déployer celles d’aujourd’hui.
En même temps, nous sommes tous conscients, et lui le premier, que personne ne fait rêver un décideur en lui parlant sécurité des SI (même revampée sous la dénomination glamour de « cybersécurité » !). Il faut apprendre à parler le langage de ceux que l’on veut convaincre, c’est-à-dire présenter les fondamentaux avec des mots sexy et les contextualiser aux enjeux métier (non, la sécurité n’est pas un frein !) et financiers (non, la sécurité n’est pas juste un centre de coûts !).
Note positive, c’est une logique qui semble de plus en plus adoptée par la communauté des acteurs de la sécurité. Preuve en est l’amélioration significative depuis 10 ans du niveau de réponses sécurité en France. Ne soyons pas réticents à souligner nos réussites ! Et de rappeler également que le sujet de la sécurité des SI fait désormais partie des préoccupations non seulement des entreprises mais aussi du grand public. Et jusqu’à toucher le monde des artistes ! Un exemple, la création en 2021 par l’Agora 41 (cercle de réflexion créé par l’ANSSI) du «prix du roman cyber», décerné cette année à l’écrivain Sylvain Forge, pour son roman «Sauve-la». Dans le même ordre d’idée, Guillaume Poupard a rappelé que même le ministère des Armées fait appel à des artistes, pour l’aider à penser les scénarios de risques de demain et après-demain, qu’ils soient cyber ou autres.
Ainsi, selon Guillaume Poupard, revenir aux fondamentaux ce n’est pas revenir en arrière c’est pleinement se projeter vers l’avenir ! Et pour continuer à illustrer ses propos, il a enchaîné en présentant trois symboles majeurs du dynamisme de la France en termes de stratégie sécurité :
- la mise en place du Campus cyber (inauguration prévue début 2022), lieu qui rassemblera les principaux acteurs nationaux et internationaux du domaine de la cyber et permettra aux entreprises (grands groupes, PME), services de l’État, organismes de la formation, acteurs de la recherche et associations de mettre en place de projets d’innovation multipartites, de développer les communs de la sécurité et de la confiance numériques et de promouvoir l’excellence française en matière de cybersécurité ;
- l’attribution de 246 visas de sécurité pour la confiance numérique, en augmentation de 21% par rapport à l’année précédente et les publications à venir de nouveaux référentiels d’exigences pour les prestataires, dont le PVID (Prestataires de vérification d’identité à distance), le PAMS (prestataires d’administration et de maintenance sécurisées) référentiel attendu pour début 2022 et 1ers prestataires certifiés ciblés pour mi 2022) et le PACS (prestataires d’accompagnement et de conseil en sécurité des SI) ;
- l’allocation faite à l’ANSSI de 136 millions dans le cadre du nouveau plan de relance français, qui seront notamment utilisés pour :
- mener des actions de sécurisation du SI des collectivités territoriales (à hauteur de 60 millions)
- financer 700 « parcours de sécurité » (conduite d’audits sécurité et définition de plans de remédiation) des établissements hospitaliers français (pour rappel, il existe 4 000 établissements hospitaliers en France, dont 135 qualifiés de prestataires de services essentiels – ce programme sera doté d’un fond de 25 millions)
- contribuer au financement de projets cybers innovants, dans le cadre du Programme d’investissements d’avenir (PIA), piloté par le Secrétariat général pour l’investissement (SGPI)
- renforcer l’offre de formation, en s’appuyant notamment sur les résultats d’une étude menée par l’AFPA sur les métiers de la cyber, leur développement et les carences à compenser (publication à venir prochainement).
Dernier symbole fort du renforcement de la stratégie sécurité de l’Etat, et non des moindres, la mise à jour du référentiel SecNumCloud à travers la publication prochaine du label cloud de confiance, qui clarifie les exigences de l’ANSSI en termes de souveraineté numérique et de sécurité juridiques lors de l’usage de solutions de prestations en nuage.
En effet, Guillaume Poupard a insisté sur le fait qu’il n’est plus possible de considérer le cloud comme un effet de mode. C’est désormais une réalité définitivement installée. L’enjeu n’est donc pas de savoir si on peut faire sans cloud mais comment faire pour bénéficier d’un cloud de confiance. En d’autres termes, pouvoir choisir d’utiliser aussi bien des technologies européennes que non-européennes tout en étant complètement protégé des impacts des lois extraterritoriales ; ce via la mise en œuvre des mesures de sécurité technique, juridique et opérationnelle appropriées, au niveau français autant qu’européen.
« Au niveau français autant qu’européen », c’est d’ailleurs le message avec lequel Guillaume Poupard a choisi de clore sa présentation, pour insister sur le fait que toutes les initiatives françaises qu’il a présentées ne sont pas pour autant le reflet d’une action sécurité menée sur le strict mode de l’entre nous. Les acteurs français ont tout à gagner à favoriser l’émergence de solutions numériques européennes qui offrent des garanties fortes de sécurité et de souveraineté. Car la force de la France et de l’Europe ne repose pas sur leur puissance financière ou technologique mais sur leur capacité à faire travailler ensemble tous les acteurs de la communauté du numérique et de la sécurité.
Échanges de perspectives autour de la stratégie des grandes entreprises françaises
La troisième partie de la conférence d’ouverture a permis un échange entre Olivier Ligneul, Directeur Cybersécurité du Groupe EDF et Guillaume Poupard, qui ont ainsi pu croiser leurs avis sur les facteurs clés de succès d’une coopération réussie entre les grandes entreprises et l’ANSSI.
Au cours de cet échange, Olivier Ligneul a notamment pu présenter sa vision des besoins sécurité actuels des grands groupes, comme de pouvoir comprendre quels sont les profils des attaquants qui peuvent potentiellement les cibler ou encore de bénéficier d’un support de l’ANSSI pour définir les priorités en termes de plan de lutte contre les menaces cyber.
Disclaimer : le résumé de cette 3ème partie s’arrête malheureusement là. Je vous l’accorde, il est un peu court. Je ne peux pas non plus vous rapporter les messages portés par Jean-Noël de Galzain, Président d’Hexatrust, qui a clos cette conférence d’ouverture des Assises. Le grand classique des keynote étant qu’elles commencent toujours en retard et durent toujours plus longtemps que prévu, j’ai dû m’éclipser avant la fin pour pouvoir prendre part aux entretiens client programmés juste à la suite. Ce fut un départ précipité assez frustrant, j’aurais vraiment apprécié de pouvoir rester jusqu’à la fin étant donné la qualité des propos tenus par l’ensemble des participants.
En note de fin, je garde le message clé qu’il est possible et parfaitement souhaitable de viser à bénéficier à la fois du meilleur des offres cloud et d’une garantie de protection de sa souveraineté numérique. C’est une conviction que Devoteam Revolve porte complètement et qu’elle vise à favoriser à travers son accompagnement conseil sécurité AWS.
C’est d’ailleurs dans cette optique que :
- nous proposons notre offre de chiffrement de confiance Sovereign Keys (plus d’infos via notre présentation vidéo ci-dessous) ;
- nous allons prochainement copublier avec l’entité Cybertrust – Compliance du Groupe Devoteam un livre blanc sur les réglementations en matière de souveraineté numérique et de cloud souverain dans différents pays à travers le monde (EU, Chine, Inde, Russie, etc.).
Pour retrouver le meilleur des ateliers et conférences de cette 21ème édition des Assises, je vous encourage vivement à aller visionner les différents enregistrements qui seront diffusés dans les prochains jours !