« Nos autorités ont compris que la cybersécurité est quelque chose d’essentiel. Et que tout ne va pas se faire par arrêté ». Lors de la prise de parole inaugurale des Assises de la Sécurité, qui se tient a Monaco, le responsable de l’Agence nationale de la sécurité des systèmes d’information (Anssi) a tenu a rassurer les ETI qui ne trouvent de solution ni auprès de l’autorité, en charge des OIV, ni auprès de Cybermalveillance, qui vise lui à répondre aux problèmes des petites structures et du grand public.
Et de détailler que dans le cadre du Plan de relance, l’Anssi a reçu une enveloppe de 136 millions d’euros. 60 millions sont destinés aux collectivités territoriales « qui ont découvert leurs faiblesses en matière de sécurité » dit Guillaume Poupard, qui veut les aider à mettre le pied à l’étrier.
25 millions d’euros sont destiné aux établissements hospitaliers, dont les vagues successives et récentes de ransomware ont montré les faiblesses. « Ca parait léger mais ça permet d’amorcer et de faire des audits de sécurité afin de savoir ce qu’il reste à faire ». Et le chef de l’Anssi de préciser que des prestataires pour faire ces audits sont activement recherchés.
Le « trou dans la raquette » en matière d’assistance aux victimes
Reste le « trou dans la raquette » en matière d’assistance aux victimes. « Acyma (Groupement d’Intérêt Public Action contre la Cybermalveillance, et le site Cybermalveillance) ne suffit pas » dit Guillaume Poupard. C’est la première fois que les autorités françaises reconnaissent la faiblesse de ce dispositif au regard des besoins : si cybermalveillance.gouv.fr affiche une popularité croissante auprès des internautes, le dispositif reste majoritairement utilisé par des particuliers et peine à trouver une audience auprès des entreprises.
« Mon espoir c’était que l’Anssi et Acyma puissent se rejoindre. Mais le problème vient de notre incapacité à venir en aide à des organisations qui sont trop petites pour l’Anssi et trop grosses pour Acyma » reconnait-il. « Aujourd’hui une ETI qui se prend un rançongiciel, elle n’a pas vraiment d’interlocuteur vers qui se tourner. Mais je résiste à l’envie d’avoir une Anssi qui veut tout faire, et risquerait donc de mal faire ».
L’Anssi travaille donc sur la mise sur pied de CERT régionaux, egalement financés dans le cadre du plan de relance. « Nous souhaitons mettre un million d’euro par CERT, mais ce n’est pas ça qui va payer le CERT pendant dix ans » nuance cependant Guillaume Poupard. L’Anssi voit donc cette initiative comme « un starter ». L’idée est de lancer les CERT, de former les personnels, et de les associer avec les différents secteurs. L’objectif est de proposer un réseau qui englobe les CERT, l’Anssi et Acyma afin de mieux répondre aux differents types de victimes.
« Les fondamentaux ne sont pas en place »
Et ce réseau aura fort à faire pour éduquer les utilisateurs professionnels.
« On le voit souvent, les fondamentaux ne sont pas en place » dit Guillaume Poupard, reprenant le thème de « Back to fundamentals » choisi pour cette édition des Assises de la sécurité. Le directeur rappelle ainsi que dans le cadre du cyber mois, une opération de sensibilisation à la cybersécurité qui a lieu durant le mois d’octobre, le thème était les mots de passe. « On nous a reproché de nous concentrer sur des technologies du passé. Mais dans les faits on passe notre vie à utiliser des mots de passe. Et les attaquants en profitent largement ».
« Mais on ne va pas se mentir, on ne fait pas rêver un décideur en lui parlant de sécurité des systèmes d’information. Donc on parle de cybersécurité. Si on veut porter notre message, c’est à nous d’adapter notre langage » poursuit Guillaume Poupard, lucide sur la nécéssité de convaincre les comités executifs de l’importance des questions de cybersécurité. « Donc les basiques oui, mais dans un langage un peu glamour et sexy, qui parle à nos dirigeants : l’argent et la responsabilité ».
