Toujours très attendue par les participants aux Assises de la Sécurité et du Système d'Information, l'intervention du directeur de l'ANSSI, Guillaume Poupard, a apporté son lot de révélations et d'inquiétudes sur l'avenir de la cyber-sécurité en France. Chez les RSSI comme chez les DSI que nous avons rencontrés lors de cette nouvelle édition des Assises de la Sécurité et du Système d'Information - qui viennent de se tenir à Monaco et de fêter leur quinzième anniversaire – il n'y a aucun doute : pour les plus exposés, les cyber-attaques sont réelles et régulières, et pour tous leur SI finira par tomber sous les coups de l'une d'elle, la seule question sans réponse étant de savoir quand ?

La France face aux cyber-risques

Guillaume Poupard, le directeur de l'ANSSI (Agence nationale de la sécurité des systèmes d'information), n'a pas dit autre chose lors de son intervention à l'ouverture des Assises. A l'exception d'un discours d'une grande transparence, qui au final a noirci le portrait du cyber-risque en France. Un premier constat, tout d'abord, le nombre des entreprises françaises victimes d'une cyber-attaque s'est multiplié au cours des 12 derniers mois. Pour une affaire rendue publique (en pouvait-il être autrement ?), le piratage de TV5, le nombre des victimes d'attaques « qui n'ont pas été rendues publiques », dixit Guillaume Poupard, est beaucoup plus important que nous ne l'imaginons. Dans les mois et les années à venir, les attaques de grande ampleur devraient se multiplier. Et les engagements politiques de la France ne devraient pas calmer le jeu, bien au contraire. Même si les cibles recherchées par les « ennemis » de la France sont clairement identifiées - « notre crainte, c'est surtout le sabotage des infrastructures critiques, les plus importantes pour la nation, que ce soit l'industrie, les télécoms ou l'énergie » - tous les secteurs sont menacés.

La menace se diversifie

Si les OIV (Opérateurs d'Importance Vitale) sont la priorité de l'ANSSI – qui procèdera dans les prochaines semaines à ses premières certifications qui porteront sur des opérateurs de cloud en IaaS - personne n'est à l'abri des cyber-menaces et des mercenaires du numériques qui profitent des moyens mis à leur disposition par nos « ennemis ». Guillaume Poupard a en particulier pointé la sécurité douteuse, voire absente des objets connectés. Dont les montres connectées, dont certaines ont été testées par l'agence, et qui ne sont pas sûres. L'automobile, les smart grid et les transports intelligents sont également dans le collimateur de l'ANSSI et l'objet de travaux avec des acteurs du marché comme l'IRT SystemX. Après avoir entendu le discours alarmiste mais si réaliste du directeur de l'ANSSI, les RSSI présents aux Assises et que nous avons rencontrés (nous diffuserons les vidéos de nos interviews dans les prochaines semaines) ont affiché un certain fatalisme, doublé de la ferme volonté moins d'empêcher ce qui semble inéluctable que de limiter la casse. Et de sensibiliser tant les utilisateurs (ce qui paraît irréaliste pour certains) que les dirigeants de nos entreprises (ce qui est indispensable).