La 16ième édition des assises de la sécurité s'est tenue à Monaco du 5 au 8 Octobre 2016. A l'occasion de cet évènement devenu au fil du temps incontournable sur la scène cybersecurité française, Guillaume Poupard, le chef de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a insisté sur la nécessité de prévenir plutôt que guérir, avec une ligne de conduite articulée autour du triptyque Europe, souveraineté et ouverture. Retour sur la réponse de l'ANSSI aux enjeux nationaux, et plus globalement sur l'évènement.
Avoir une dimension européenne
La volonté de l'Agence est de développer les échanges au-delà des frontières à travers l'harmonisation de la législation européenne qui doit être appliquée au niveau national d'ici deux ans. Bruxelles entend ainsi imposer l'équivalent de l'ANSSI à ceux qui en sont dépourvus parmi les 28 pays membres. La démarche doit permettre aux pays de l'UE de mieux se parler sans pour autant imposer un modèle de gouvernance unique qui toucherait à la souveraineté : un fonctionnement collaboratif en réseau pour plus d'efficacité.
Etendre la notion d'OIV aux opérateurs essentiels
Dans sa logique de construction d'un écosystème de confiance pour répondre aux besoins de sécurité nationale et se défendre contre les nouvelles menaces, l'ANSSI étend la notion d'OIV (liste gardée confidentielle pour des questions de sécurité nationale) à d'autres prestataires. Quand d'un OIV dépend la production d'électricité, un incident aurait un effet immédiat sur la société par exemple, la transposition aux opérateurs essentiels doit inclure d'autres acteurs intervenants directement ou indirectement dans les chaines logistiques ou d'approvisionnement, ou encore d'assurance parce que ces acteurs impacteraient à court ou moyen-terme la stabilité des OIV.
Adopter une politique d'ouverture "intelligente non naïve"
L'ANSSI entend pousser la collaboration dans le monde de la cybersécurité à un niveau international notamment par rapport aux industriels non européens, du moment que la forme de coopération est "intelligente" et "non naïve" précise Guillaume Poupard. Le programme de qualification dédié aux offres cloud et actuellement encore en cours d'élaboration vise à veiller au respect des règles fixées en France et bientôt en Europe. La négociation des accords transatlantiques est un domaine où l'ANSSI s'attache particulièrement à défendre ses valeurs.
Encadrer la participation citoyenne
L'Agence a adopté une démarche d'ouverture à la société civile en développant une stratégie de collaboration avec les citoyens français souhaitant signaler une faille de sécurité auprès des pouvoirs publics sans être inquiétés par la justice. Ainsi, la loi République numérique ayant été promulguée, le cadre permet aujourd’hui au travers un guichet unique de remonter ces alertes en tout anonymat. Si ce système est basé sur la bonne foi, il faudra rester prudent sur les signalements. Mais la démarche montre une réelle ouverture de l'Etat auprès de toute personne voulant contribuer à la résistance aux cyber-menaces. La cybersécurité est l'affaire de tous.
Soutenir l'innovation de l'industrie cybersécurité européenne
La commission européenne impulse un partenariat public-privé visant à injecter une enveloppe de 450 millions d'euros sur 3 ans dédiée à la R&D européenne en matière de cybersécurité. Les priorités pour la France n'ont pas encore été définies, mais le focus devrait être fait sur la construction de SOC (Security Operation Center), les objets connectés et SCADA, ou encore les smart cities.
Un paysage cybersécurité dense et des thématiques variées
Au-delà des annonces de l'ANSSI, cette édition des Assises de la Sécurité s'est avérée riche en conférences d'une grande variété sur les sujets abordés. Le paysage cybersécurité est dense avec cette année encore l'arrivée de nombreux nouveaux acteurs. Et la richesse des échanges avec les acteurs de la sécurité en France permet de décrypter l'évolution du secteur et des nouvelles menaces. En substance, quelques macro-tendances que j'ai pu constater :
- La prise de conscience de la nécessité d'identification et de chiffrement des données sensibles dans un SI toujours plus ouvert et hétérogène, renforcée par la règlementation européenne GDPR qui sera en application en Mai 2018. Au-delà des contraintes techniques, ce sont aussi les processus et l'implémentation qui sont au centre du débat.
- La sécurité applicative avec les mêmes constats de difficulté de détection des vulnérabilités, de mise en œuvre des correctifs de sécurité et, plus encore, d'implémentation de la sécurité dès le processus de développement. Une marche qui semble encore haute tant les enjeux business de lancement d'une application prennent souvent le pas sur les bonnes pratiques et la mise en place d'un cycle vertueux de sécurisation du code.
- La recrudescence des sujets de gestion des identités et des accès, et notamment de la prise de recul sur les échecs rencontrés par certaines sociétés liés à une mauvaise démarche de mise en œuvre. L'identité subsiste l'une des clés de la transformation digitale et sa sécurisation est indispensable. L'authentification forte fait notamment partie des fondations de la sécurité : 63% des compromissions de données avérées sont imputables à l'utilisation de mots de passe volés, par défaut ou trop faible qui aurait pu être évité avec l'authentification multifactorielle. La gestion des accès privilégiés fait également parti des principaux enjeux de sécurisation pour contrer les attaques telles que les ransomwares qui font tant parler d'eux.
- La transition inexorable vers l'ouverture du SI aux services Cloud, offrant une surface d'attaque toujours plus large en confiant des actifs sensibles à des fournisseurs de service au niveau de sécurité hétérogène comme on a pu récemment le constater avec Yahoo. Les CASB sont l'une des réponses possibles.
- Et enfin, le sujet de l'IoT et des systèmes SCADA qui constituent un vecteur de menace bien concret et un nouveau sujet de préoccupation tant leur nombre et leur rôle prend une place importante.
En conclusion, orientons-nous vers le futur. Nous ne sommes qu'aux prémices d'une nouvelle ère en cybersécurité où l'explosion du volume de données, l'usage massif du cloud, le Software-Defined Networks et l'explosion de l'IoT et de l'intelligence artificielle seront autant de nouveaux challenges à relever pour appréhender l'avenir dans un climat de confiance. Le machine learning, le chiffrement quantique ou encore le CASB pourront y jouer un rôle croissant. Au-delà de la technique, l'aspect humain et les processus restent indissociables au succès de la démarche. Le RSSI aujourd'hui ne traite plus la sécurité de manière isolée mais est au cœur de la transformation numérique. Cette édition 2016 a donc été très riche et il y en a eu pour tous les goûts !
Cyril
Pour aller plus loin
Décryptage du nouveau règlement européen sur la protection des données personnelles
CASBs épisode 4 : chiffrement et tokenisation des données
Comptes à hauts privilèges : 6 raisons de s'en préoccuper
Cryptowares et ransomwares : quelques évolutions
Secure Cloud et Secure Cloud Plus : mobilisation générale pour la sécurité du Cloud
Après une expérience de consulting en sécurité chez Atheos, j’évolue aujourd’hui au sein d’Orange Cyberdefense dans le développement de service de sécurité autour de l’identité, accès et protection des données. Passionné de cybersécurité, j’ai l’esprit disruptif et le goût du challenge.