C’est sous le thème « Hyperconnectivity: the resilience challenge » que se tient à Lille la 10ème édition du FIC, le Forum International de la Cybersécurité. Une édition anniversaire marquée par le succès grandissant de la manifestation, qui cependant reste lié aux inquiétudes, réelles et entretenues par les acteurs du marché, des entreprises et des responsables sécurité sous la menace toujours plus forte des cyber-attaques.
Ce qui frappe au premier regard le visiteur de l’édition 2018 du FIC, c’est sa fréquentation. Rarement a-t-on vu autant de visiteurs amassés autour d’un thème unique, la cybersécurité, fréquentant tout autant les exposants que les keynotes et les cessions de conférences.
Au cours des deux jours de la manifestation, 8.500 participants attendus, soit une progression de 20%, dont 1.200 visiteurs étrangers en provenance de 81 pays, se seront présentés sur les 13.000 m2 d’exposition de Lille Grand Palais, accueillis par 350 partenaires et exposants, en progression de 30%. Exposants qui nous ont également confirmé le succès grandissant du FIC au fil des années.
Très marqué les années précédentes par la présence de militaires – rappelons que le FIC a été créé et continue d’être organisé par la Gendarmerie Nationale - de nombreuses nationalités, le FIC version 2018 aura vu les uniformes se noyer dans la masse des visiteurs, les entreprises représentant désormais la plus forte fréquentation de la manifestation.
Les cyberpirates participent au succès du FIC
Derrière ce succès, qui tient en partie à l’ouverture large de la manifestation - à l’opposé d’autres peut-être plus recherchées mais plus élitistes également - se cache une cruelle réalité, celle des menaces grandissantes qui pèsent sur nos entreprises et nos organisations. Il faut reconnaitre également que les auteurs de Wannacry et autres attaques fortement médiatisées ces derniers mois ont largement participé à alimenter le climat d’insécurité qui pousse les entreprises et enfin leurs dirigeants à s’intéresser et à investir un peu plus dans la cybersécurité.
A ce propos, Guillaume Poupard, Directeur Général de l’ANSSI, s’est félicité qu’aucune OIV (Organisation d’Importance Vitale) française n’ait été touchée par la vague Wannacry (tout du moins officiellement ! NDLR), ce qui serait en partie le fruit des travaux de l’ANSSI avec ces organisations.
Avec la transposition du nouveau règlement européen sur la cybersécurité, en cours d’approbation par l’Assemblée Nationale après le vote favorable du Sénat, la démarche des OIV devrait être étendue aux OSE, les Opérateurs de Services Essentiels au fonctionnement de la société, sous une forme réduite donc moins contraignante, ce qui devrait participer, via l’harmonisation des démarches cyber à tous les membres de la Communauté européenne, à doter l’Europe d’une stratégie de lutte contre la cyber-criminalité qui prend place à un niveau plus élevé et donc en théorie puissant que les actions des seuls états.
L’Etat et la prise de conscience
A rencontrer des responsables de la cybersécurité en entreprise et les acteurs principalement français de ce marché, deux tendances émergent. Tous d’abord, soulignée par la présence certes habituelle de plusieurs ministres du gouvernement - Gérard Collomb, ministre de l’Intérieur, Florence Parly, ministre des Armées, et Mounir Mahjoudy, secrétaire d’Etat au Numérique - l’Etat français semble vouloir s’impliquer enfin plus sérieusement dans la cybersécurité. Par exemple, dans le plan de recrutement de la Police et de la Gendarmerie, 800 postes seront dédiés à la cybersécurité. Cette implication nouvelle a évidemment une coloration politique, mais elle est suffisamment réelle et porteuse de potentiels pour qu’elle nous ait été positivement signalée plusieurs fois.
L’autre tendance, de notre point de vue, c’est la prise de conscience de la nécessité d’aller plus loin dans la sensibilisation des hommes. Nous publions régulièrement sur ‘le maillon faible’ (lire « Cybersécurité : la lutte s’organise mais l’humain reste faible »). Nous avons d’ailleurs noté une régression de l’usage de cette expression dans le discours des intervenants ! Cette prise en compte se mesure par la volonté stratégique de revoir et d’intensifier la formation des collaborateurs, d’un côté, mais également des acteurs de la DSI et des métiers, en particulier des développeurs (l’obligation du ‘security by design’ n’y est probablement pas étrangère), pour adopter une démarche de sécurité à laquelle il manque cependant de devenir transverse.
L’ANSSI a également pris la mesure de la nécessité d’adopter la formation dans toute stratégie cyber. « La RH est une question majeure, nous a confirmé Guillaume Poupard. La courbe des besoins progresse rapidement, nous devons impérativement développer des formations ».
Personne ne doit rester sur le bord de la route !
Une dernière remarque, qui nous vient là encore de Guillaume Poupard, et à laquelle il nous est difficile de ne pas adhérer : « Nous ne devons pas laisser les concitoyens et les PME sur le bord de la route. Nous devons faire de la prévention et apporter de l’aide, porter les messages de prévention, afin que la cybersécurité devienne l’affaire de tous ». Une belle conclusion, en forme cependant de regret (en faisons-nous assez ?), qui marquera le succès de la 10ème édition du FIC.