Aux Assises de la sécurité et des systèmes d’information : le risque numérique sous toutes les coutures

Trop longtemps l’usage l’a emporté sur la sécurité. Alors qu’ils fêtent leur 17^eédition, les participants des Assises de la sécurité et des systèmes d’information veulent croire à une réconciliation salutaire. La sécurité fera-t-elle désormais partie intégrante de tous les projets numériques ?

Longtemps cantonnés aux obscures salles informatiques, les RSSI, responsables de la sécurité des systèmes d’information, étaient considérés comme les informaticiens et rarement conviés autour de la table lors de la mise en place des projets numériques. La sécurité était ainsi l’éternel parent pauvre, ajoutée comme une brique au dernier moment, voire pire, une fois qu’un incident de sécurité s’était produit.

Des attaques coûteuses et médiatiques

Mais la situation a changé avec les attaques très médiatisées du printemps dernier : Wannacry puis Petya/NonPetya.

Désormais les RSSI sont davantage perçus comme les gestionnaires d’un risque spécifique.

Ces attaques en ransomwares (logiciels qui cryptent les données de l’utilisateur et du serveur qui l’héberge), d’ordinaire plutôt réservées aux particuliers, ont migré vers les entreprises, leurs serveurs et leurs automates. Modifiés avec des outils “égarés” par la centrale de renseignement américain (NSA), ils sont devenus extrêmement destructeurs.

Wannacry a ainsi impacté les hôpitaux anglais et des usines comme Renault qui a dû arrêter sa production. La seconde attaque, du même type, aurait coûté 250 M€ à Saint-Gobain.

Beaucoup de dirigeants ont alors compris que toutes les entreprises étaient concernées par le risque. Et ils recherchent conseil auprès de leur sachant, le RSSI.

En témoigne aussi, l’affluence à l’événement. Nous étions 144 à l’ouverture des premières Assises il y a 17 ans se souvient Gérard Rio, fondateur du rendez-vous lors de son discours d’ouverture devant un parterre de 900 personnes. 3 000 sont attendues pendant les 3 jours.

L’occasion aussi pour la profession de récompenser les bonnes pratiques (notre article sur les récompenses décernées).

Guillaume Poupard, le directeur général de l’Anssi, l’Agence de sécurité des systèmes d’information, qui inaugurait l’événement, se félicitait ainsi que “le numérique et sa sécurité soient entrés dans le top trois des priorités des dirigeants.” 

Dès mai 2018, une réglementation plus stricte

Il faut dire que l’actualité réglementaire fait beaucoup parler du risque.

L’application en mai 2018 du règlement européen sur la protection des données personnelles (RGPD – ou GDPR en anglais) et les autres réglementations avenirs invitent les entreprises à agir.

“La réglementation est un outil pour gagner du temps et faire passer des messages” commentait Guillaume Poupard.

Plus d’un million de systèmes d’information d’importance vitale

Bien évidemment, “la sécurité a un coût” reconnaissait-il, “mais il faut savoir faire des compromis et distinguer ce qui est applicable et raisonnable au vu de l’analyse des risques.” L’agence qui se concentre avant tout sur les OIV (les opérateurs d’importance vitale), suit de près plus d’un million de systèmes d’information d’importance vitale.

Un chiffre considérable qui dit aussi l’imprégnation du numérique dans la société. “La cybersécurité est une question de souveraineté nationale”.

C’est ainsi que les opérateurs de service essentiels devront prochainement augmenter leur niveau de sécurité pour se mettre en conformité avec la directive européenne NIS (Network and Information Security) qui sera prochainement transposée en droit français et leur sera applicable.

“Le sujet est complexe, reconnaît Guillaume Poupard, et il n’y a pas de réponse qui tienne en 140 caractères.”

Vers une nouvelle évaluation des matériels

Pour amener plus de confiance, l’Agence va également revoir et rendre plus lisible son système de certification, qualification et agrément. En confiant l’évaluation à des laboratoires privés, accrédités Cofrac et qui devront se plier au référentiel de l’Agence, celle-ci souhaite aller plus loin dans l’évaluation technique. “Cela pourrait aller de l’auto-certification pour des petits objets du quotidien à des niveaux très élevés de recherches.” L’Agence possède un savoir-faire de plus de vingt ans en matière de schéma d’évaluation. Mais il reste cependant des points à éclaircir. Car qui dit évaluation et harmonisation suppose reproductibilité d’un laboratoire à un autre. Or les choses ne sont pas si simples car les méthodes d’expertise et d’évaluation ne sont pas harmonisées entre les experts.

Début 2018 devrait voir apparaître des visas de sécurité de l’Agence. Un pas de plus vers une sécurité numérique davantage intégrée.

Face au Risque reviendra sur cet événement dans nos prochaines éditions.