Stratégie

Assises de la Sécurité 2019 : ne faites plus peur !

Assises de la Sécurité 2019 : ne faites plus peur !
Guillaume Poupard a demandé aux RSSI d'aller vers une cybersécurité positive pour devenir un partenaire de confiance au sein de l'entreprise.

Dans son discours inaugural aux Assises de la Sécurité 2019, Guillaume Poupard, a enjoint les RSSI à ne plus être anxiogènes pour convaincre sur la cybersécurité. Par ailleurs, il s'est montré inquiet sur la sécurité des ETI et le faible niveau de détection.

PublicitéPour la 19eme édition des Assises de la Sécurité, le directeur général de l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) a axé son discours inaugural sur la transformation de la cybersécurité et le besoin de ne plus axer le discours sur la peur. Pourtant, le contexte international est profondément anxiogène, « je ne veux pas utiliser le terme de situation de guerre, mais nous n'en sommes pas très loin. Les Etats sont de plus en plus agressifs dans ce domaine », reconnaît Guillaume Poupard. Pas question cependant de baisser les bras et le dirigeant milite pour une cybersécurité positive. « Les RSSI doivent devenir des alliés des métiers, des personnes de confiance dans les différents projets », glisse-t-il. Et à ceux qui « sont des apôtres de l'Apocalypse », il leur prédit « de devenir des dinosaures ».

ADS, un outil d'audit d'Active Directory pour aider les RSSI

Il est loin le temps où Patrick Pailloux, ancien directeur général de l'ANSSI exhortait les RSSI à « dire non ». Aujourd'hui, le discours a changé, « il faut parler aux dirigeants, convaincre. Il faut vendre la cybersécurité », admet son successeur. Le marketing de la RSSI est en marche. Encore faut-il avoir un langage commun ! Guillaume Poupard se veut confiant sur la capacité de dialogue des RSSI, même s'il reconnait que l'exercice n'est pas simple. « Il faut de la pédagogie, ne pas être austère, stricte », observe-t-il.

Dans ce cadre, il évoque un outil pour faciliter l'audit des Active Directory, « le Graal pour les attaquants ». Ce service nommé ADS collecte un ensemble de données sur le réseau, puis une solution d'analyse made in ANSSI applique une note de 1 à 5 au niveau de protection des AD de l'entreprise. « En général, c'est 1 au départ, mais rapidement le niveau monte », se réjouit Guillaume Poupard. « On est dans la gamification et les retours sont positifs », ajoute-t-il. Ce service, lançait récemment, compte aujourd'hui 180 clients. Est-ce qu'ADS a vocation à être en open source ? « L'outil de collecte, pourquoi pas, mais pas le logiciel d'analyse », tempère Guillaume Poupard.

Un socle de sécurité de base solide

Car l'ouverture est aussi un des maître-mots du discours du responsable. Depuis quelques années, l'ANSSI libère régulièrement des outils à destination de la communauté de la cybersécurité. Récemment, elle a publié OpenCTI, un service de threat intelligence et ORC pour le forensic sur les environnements Windows. « La politique de l'ANSSI est de publier tout ce qui peut l'être », précise Guillaume Poupard.

Pour lui, « globalement, nous avons un bon socle de base, avec un dialogue interministériel bien établi, une réglementation installée tant au niveau national (OIV) qu'au niveau européen (visas de sécurité), mais aussi des référentiels (PDIS,...) ». Sur ce dernier point, il a précisé que le référentiel sur les prestataires d'administration et de maintenance sécurisées (PAMS), « ceux ayant accès au réseau des clients avec des droits privilégiés », a fait l'objet d'un appel à commentaires se terminant à Noël.

Publicité Par ailleurs, Guillaume Poupard croit beaucoup dans la création d'un cybercampus. « Le modèle isarélien de Beer Sheva est très inspirant », souligne-t-il avant d'ajouter « il faut un lieu qui incarne la cybersécurité en France et même avec un rayonnement européen. Un lieu où se mélange les grandes entreprises, les start-ups, les chercheurs, les enseignants ». Cette initiative est orchestrée à la demande du Premier Ministre par Michel Van Den Berghe, d'Orange CyberDéfense. Il devrait rendre un premier rapport d'étape « sur le lieu, le financement, la gouvernance » d'ici noël.

Un talon d'Achille : la détection, une zone floue : les ETI

Si la cybersécurité doit être positive, elle comporte quelques zones d'ombre, avoue le dirigeant de l'ANSSI. En premier lieu, « la détection est aujourd'hui un talon d'Achille dans la cybersécurité. On constate chez les victimes que les attaquants sont présents depuis longtemps au sein de l'entreprise ». Les statistiques se suivent et se ressemblent en montrant que le temps moyen de détection d'une attaque est relativement long. 167 jours en moyenne selon une étude du cabinet Wavestone. Pour résoudre ce problème, Guillaume Poupard estime qu'il « faudra probablement aller faire de la détection sur le poste de travail, c'est plus intrusif mais c'est le sens de l'histoire ».

Enfin, il existe selon lui « une zone floue » dans l'application de la cybersécurité aux entreprises : les ETI (entreprise de taille intermédiaire). « Les grandes entreprises, on sait faire avec les OIV. Avec les PME, le cloud pourra résoudre certains problèmes. Mais pour les ETI, c'est plus compliqué, car elles ne sont pas suffisamment grandes pour leur imposer des obligations de type OIV ou OSE (opérateur de service essentiel) et pas suffisamment petite pour ne pas avoir une sécurité robuste et dédiée ». Il y a donc « une zone à travailler » pour l'ANSSI dans les prochains mois.

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis

    La question du moment
    Vos collaborateurs peuvent-ils travailler simultanément sur des documents partagés ?