Les assises de la sécurité 2019 : expliquer et sensibiliser à la sécurité
mer, 09/10/2019 - 19:13
C’est le grand rendez-vous des communautés sécurité et cybersécurité : les Assises de la Sécurité. Durant 3 jours, elles se tiennent à Monaco. Une occasion pour les RSSI et les acteurs de la sécurité d’échanger dans un cadre informel et détendu. De nombreuses sessions seront proposées aux visiteurs. L’ANSSI a ouvert l’événement par la voix de Guillaume Poupard, directeur général de l’agence. Il met d’emblée l’ambiance : on est en famille mais la situation mondiale est loin d’être sereine et stable. Ce n’est pas la guerre mais la situation y ressemble. Et certains pays sont particulièrement offensifs. Cette situation a des répercussions sur l’économie, les citoyens et les échanges entre les pays.
Mais Guillaume Poupard n’a pas voulu, et avec raison, s’attarder sur cette situation. Les entreprises, le contexte changent rapidement et il faut être capable de suivre cette évolution. “La communauté de la sécurité doit s’adapter tout le temps” ajoute-t-il. Mais cette adaptation ne signifie pas de jeter à la poubelle ce qui a été fait depuis 10, 15 ou 20 ans, même s’il ne faut pas vouloir à tout prix préserver cette base : elle doit s’adapter mais si la fondation est saine, l’adaptation se fera plus naturellement.
Pour illustrer ce mouvement perpétuel, le patron de l’ANSSI a mis en avant le modèle français avec la collaboration entre les différents services de l’Etat et la collaboration entre les secteurs publics et privés. Plusieurs initiatives ont été mises en place pour favoriser la cybersécurité dans le pays et aider à sensibiliser les entreprises : OIV, OSE. L’ANSSI travaille plus étroitement avec l’Education Nationale pour sensibiliser élèves et professeurs à la sécurité informatique et avoir une véritable hygiène de la sécurité informatique. Pour l’ANSSI, le temps du discours pessimiste et anxiogène est dépassé et ce message ne marcherait plus. Il faut changer d’approche : simplifier les messages, s’adresser au grand public, répondre simplement aux questions sur le sujet, via un kit d’information.
Guillaume Poupard est longuement revenu sur un projet central de l’ANSSI et pour le pays : le campus cyber. Des pays proposent déjà ce type de campus, avec plus ou moins de réussites. Le lieu sera propice à faire rencontrer étudiants, écosystèmes, communautés, chercheurs, partenaires. Ce campus pourrait innover, faire de la R&D, développer des solutions. Il faut mettre en commun les synergies. Il manque ce lieu de rencontre en France. Si pour le moment, le campus cyber reste un projet, la réflexion est en cours ainsi que sa faisabilité. Un “noyau dur” existe autour de trois acteurs : Orange, Thalès, Atos.
Autre sujet mis en avant pour M. Poupard : l’open source. L’ANSSI n’hésite pas à libérer des projets initiés en interne si aucune contrainte légale ou stratégique pour le pays ne s’y oppose. L’Open Source permet de partager les outils, les initiatives, de dynamiser les communautés, d’avoir des contributions. Et pour le responsable de l’ANSSI, l’ouverture est un atout. Deux grands projets ont ainsi été ouverts : ClipOS (une distribution sécurisé Linux) et de l’open hardware avec le projet WooKey.
“Le projet WooKey, open source et open hardware, fournit un disque dur chiffrant USB sécurisé, ainsi que l'ensemble des modules qui le composent. Ces éléments peuvent aujourd'hui être mis à profit dans de nouveaux projets, pour construire des systèmes embarqués et des objets connectés durcis. Dernier né des laboratoires de l'Agence nationale de la sécurité des systèmes d'information (ANSSI), il s'inscrit dans une démarche d'engagement renouvelé de l’État pour le logiciel libre, dont l'agence est l'un des plus grands contributeurs. WooKey et l'engagement de l'ANSSI pour le logiciel libre seront présentés pendant l’événement Ready for IT, consacré à la transformation numérique des organisations.” (présentation officielle du projet)
Pour l’ANSSI, il s’agit aussi de ne pas s’endormir et de continuer à évoluer pour rester un contributeur important de la sécurité informatique. La position de la France dans le domaine passera aussi par l’Europe. Il est nécessaire qu’une dynamique européenne existe face à des pays très actifs dans le domaine (Chine, USA, Russie, etc.). Deux fortes initiatives ont été poussées par l’Europe : Cybersecurity Act et l’ENISA. Pour l’ANSSI, il s’agit d’éléments d’influence pour construire une véritable Europe de la sécurité. A l’international, M. Poupard a évoqué la reprise des discutions à l’ONU autour de la sécurité : certains pays ont commencé à prendre conscience du réel problème qu’elle pose. Cependant, cette prise de conscience prendra plusieurs années. Enfin, un rappel a été fait sur l’appel de Paris lancé fin 2018. "L'appel de Paris" invite les Etats, les organisations et la société civile à s'engager en faveur de la confiance et de la sécurité dans le cyberespace” (tweet de l’ANSSI).
Et le développeur ? Malheureusement, il n’a pas eu sa place. L’événement est avant tout pour les RSSI et les acteurs de la sécurité mais il est impératif d’impliquer le développeur dans la cybersécurité car il est un maillon essentiel que l’on néglige trop souvent. Si la keynote n’a dit mot sur le codeur, quelques sessions abordent, ouf !, le code.
François Tonic