Monaco- Envoyé spécial – « Changer d’échelle dans la protection cyber. » Guillaume Poupard en avait fait son fil conducteur aux Assises de la sécurité 2022. Un an plus tard, Vincent Strubel, son successeur à la tête de l’ANSSI, réitère le message : « Il va falloir vous y habituer, parce que c’est un défi qui va nous occuper un bon bout de temps ».
Même message, même note de contexte : l’évolution de la menace, qui « touche les petits, dont on s’est peu occupé jusqu’à présent »… Mêmes points d’appuis également, des référentiels de prestataires en passant par les CSIRT régionaux.
Ce « passage à l’échelle » implique un gain d’efficacité opérationnelle. La LOPMI (loi de programmation militaire) en sera un grand levier, avance Vincent Strubel, non sans une référence aux « grands pouvoirs [qui] impliquent de grandes responsabilités »…
L’élargissement de la couverture réglementaire sera un autre support. La directive NIS2 en est l’emblème. Sa transposition doit intervenir en 2024 (le Parlement devrait s’emparer du projet de loi au début du printemps). « On multipliera par 10, 20, 30, le nombre d’acteurs régulés. Le fait même qu’on ne sait pas donner un chiffre précis est une indication », explique Vincent Strubel.
Certains de ces acteurs ont de moindres moyens par rapport aux OIV et aux OSE. L’ANSSI devra savoir être moins ambitieuse, porter des objectifs plus génériques, par exemple sur l’analyse de risques. « Ce n’est peut-être pas quelque chose qu’on sait imposer à de petits acteurs, de manière individuelle en tout cas. Il faudra trouver des approches un peu différentes. »
Sous cet angle, la NIS2 et l’opportunité de « regarder de près » les chaînes de valeur et d’identifier les parties prenantes jouant des rôles essentiels. L’ANSSI a amorcé des travaux en la matière l’hiver dernier, sur les secteurs du gaz et de l’électricité.
Des travaux, il y en a aussi sur les prestataires. Par exemple, la publication récente du référentiel PACS (accompagnement et conseil). Une adaptation du référentiel PRIS (réponse à incident) est également en cours. D’une part, pour aller vers des prestations « plus abordables, moins ambitieuses dans le niveau de sécurité quand ça n’est pas nécessaire ». De l’autre, dans l’optique d’une certification européenne de ces prestataires. Un sujet écarté il y a quelques années et revenu sur la table.
Sur la partie remédiation, on en est pour le moment au stade du corpus doctrinal – publié dernièrement.
À propos des CSIRT, on pouvait l’attendre, l’ANSSI est sur la défensive. Vincent Strubel se dit convaincu que ces structures apportent plus de complémentarité que de redondance avec les acteurs existants. Y compris au niveau européen. À cet échelon, il est notamment question d’étendre la dimension de solidarité à la réponse aux attaques. C’est l’objet de la Cyber Solidarity Initiative. Elle s’inscrit dans la lignée du réseau CyCLONe, qui fédère les ANSSI européennes sur l’analyse de la menace.
Crédit photo @ANSSI
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…
Sous la bannière SpreadSheetLLM, Microsoft propose un framework destiné à optimiser le traitement des feuilles…
Selon le magazine Wired, AT&T aurait payé près de 400 000 $ à un pirate…