13 juin 2019

En 2019, l’ANSSI fête ses 10 ans !

Face au risque cyber, la France s’est engagée et a su innover en faisant de son action une référence au niveau européen. En 2019, L’ANSSI (Agence nationale de la sécurité des systèmes d’information) fête ses 10 ans d’action, c’est pour nous le moment de dresser un rapide historique, un bilan sur ses actions et de se mettre en action pour renforcer le niveau de sécurité des entreprises et maintenir la confiance dans le numérique.

Historique

En 2008, le livre blanc sur la sécurité de la défense nationale présentait le risque d’une attaque informatique contre les infrastructures nationales comme l’une des menaces majeures les plus probables des quinze prochaines années. Il invitait l’état, et ses services essentiels, à se doter de compétences informatiques en capacité de prévenir, détecter, et réagir face à une attaque informatique de grande ampleur. Ce livre blanc demandait à ce que l’état en face une priorité nationale.

En réponse, l’ANSSI a été créé en juillet 2009, elle remplaça la DCSSI (Direction centrale de la sécurité des systèmes d’information) et modifia son champ d’actions, ses objectifs et ses moyens.

L’ANSSI a permis alorsde doter les administrations françaises et les entreprises essentielles d’un centre d’expertise en sécurité des systèmes d’information.  Les objectifs principaux étant de fournir une liste de produits et de services qualifiés pour augmenter la confiance dans le numérique. En complément, l’ANSSI travaille étroitement avec le centre de transmission gouvernemental pour fournir à la présidence des moyens de communication sécurisés. De plus, afin d’assurer une veille et la formation des agents, l’ANSSI dispose d’un centre de recherche en sécurité des systèmes d’information permettant de répondre aux besoins nationaux et européens.

En 2013, la LPM (Loi de Programmation Militaire) renforce le champ d’action de l’ANSSI. Elle impose, au nom du Premier ministre, aux OIV (Opérateurs d’Importance Vitale) des mesures de sécurité, des contrôles et une obligation de déclarer les incidents de sécurité.

En 2013, le président de la République (François HOLLANDE) réclame une mise à jour du livre blanc sur la sécurité de la défense nationale (5 ans après) afin d’adapter la réponse nationale aux nouveaux enjeux. Ce libre blanc rappelle, au lendemain des crises économiques et des premières cyberattaques d’ampleur, les enjeux de la sécurité des systèmes d’information en matière de souveraineté et de stabilité économique, il en fait de nouveau une priorité nationale.

En 2015, le premier ministre (Manuel VALLS) dévoile la stratégie nationale pour la sécurité du numérique. Une réponse politique pour sensibiliser les acteurs du numérique au risque cyber et avec pour objectif d’éveiller les consciences au fait qu’une attaque informatique sur les infrastructures nationales constituait une des menaces majeures pour la nation.

En 2019, la LPM est complétée en précisant les dispositifs de détection et les mesures permettant de recueillir les preuves liées à un incident de sécurité.

Bilan

Les récentes attaques au niveau national et international donnent raison à la stratégie française en matière de cyber sécurité, mais les travaux restants à effectuer sont énormes dans un contexte ou la pénurie d’expertise est importante.

Un des succès de l’ANSSI a été de favoriser une prise de conscience du risque cyber et d’avoir participé à sensibiliser les administrations et les entreprises (au sens large) à travers des actions politiques, le législateur et des actions sur le terrain.

L’agence a doté la France d’un pôle de compétence en cybersécurité, regroupant un centre de recherche et un pôle d’expertise opérationnel. Elle a également formé un écosystème de solutions et de services de sécurité de confiance qui répondent au cahier des charges fourni par l’état : mesures de sécurité, démarche et compétence des auditeurs.

NB : BSSI a suivi cette démarche et a obtenu la qualification PASSI (Prestataire d’audit de la sécurité des systèmes d’information) en mai 2019 sur les différents domaines : Audit d’architecture / Audit de configuration / Audit de code source / Tests d’intrusion / Audit organisationnel et physique.

Au niveau européen, l’ANSSI a été moteur et a notamment permis la mise en place de la directive NIS qui vise à sécuriser toute la chaîne des acteurs du numérique.

L’ANSSI a participé à sensibiliser les entreprises en rappelant les enjeux et les incidents. Afin de former le plus grand nombre, l’ANSSI a mis en ligne une formation spécifique à la cybersécurité disponible sous forme de MOOC à l’adresse suivante.

Sur le terrain, l’ANSSI est intervenu en tant que pôle d’expertise afin d’accompagner les entreprises qui subissaient des attaques cyber. Elle a mis en ligne le « guide d’hygiène cybersécurité ». Il s’agit un guide à destination des entreprises présentant 42 mesures essentielles à mettre en place.

Pour élever le niveau de sécurité des entreprises en France, les laboratoires de l’ANSSI publient régulièrement des recueils de bonnes pratiques listant les mesures de sécurité à mettre en place sur un périmètre très large, allant de la sécurisation du poste de travail aux règles de sécurité que le voyageur doit suivre quand il est à l’étranger.

Différents projets et outils sont suivis par les laboratoires de l’ANSSI et sont partagés avec la communauté Opensource : https://github.com/ANSSI-FR       

Perspectives et évolutions

Si les administrations, les OIV et les grandes entreprises ont pris pleinement conscience des enjeux de la cybersécurité, il n’en reste pas moins qu’elles sont de plus en plus exposées dans un monde où Internet s’apparente, notamment au niveau international, à un espace de non-droit. En novembre 2018, l’appel de Paris pour la sécurité du cyberespace (vidéo YouTube), demande à la communauté internationale de réagir et de réfléchir à une réponse commune : 

Le directeur de l’ANSSI rappelle en janvier 2019 certaines tendances sur les cyberattaques et notamment que les sous-traitants sont de plus en plus visés.

La maîtrise du risque cyber devient donc un enjeu pour l’entreprise et toute sa chaîne de sous-traitance dans un contexte économique plutôt restreint.

Évaluer les prestataires pour maintenir la confiance

BSSI propose une évaluation à 360° du niveau de sécurité des prestataires, fourni une note sur la sécurité du système d’information et un plan d’action précis à travers son diagnostic cybersécurité : https://bssi.fr/diagnostic-cybersecurite/

Le label « Cybersécurité par BSSI » est fourni aux entreprises dépassant la note de 8/10.

Erwan Brouder

Erwan Brouder :
Directeur BSSI

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *