Est-ce l’euphorie de retrouver en présentiel tout un écosystème cyber ? Est-ce la satisfaction de voir se concrétiser des projets de longue date ? Est-ce la perspective d’avancées européennes à venir avec la présidence française du FUE en 2022 ? Allez savoir… Mais c’est un Guillaume Poupard volontairement positif, voire jovial, qui a ouvert le Forum International de la Cybersécurité.

Certes, l’homme n’est traditionnellement pas de nature pessimiste. Mais ces derniers temps, face aux attaques sur les établissements hospitaliers, face au manque de rigueur de certains opérateurs publics jetant à la poubelle les alertes de l’ANSSI en même temps que les prospectus publicitaires, face à la recrudescence des ransomwares, face aux inquiétudes portées par le Cigref directement auprès du premier ministre, face aux sénateurs en novembre 2020, Guillaume Poupard, directeur de l’Agence Nationale pour la Sécurité des Systèmes d’Information, avait parfois tapé du poing, durci son discours et souvent employé un ton plus grave.

Mais ce n’est pas ce visage sombre ou inquiet que les visiteurs du FIC ont pu découvrir. « Je suis assez satisfait de ce que l’on fait en France, tous collectivement… » affirme-t-il. Le directeur de l’ANSSI est venu porter des messages positifs et afficher sa satisfaction quant aux progrès réalisés et aux opportunités à venir. Au point de démarrer son intervention par de surprenants « remerciements à ReVil, Sandworm, APT31, Pegasus, pour le travail de sensibilisation effectué récemment… ». Hilarité dans la salle. Le ton est donné.

Déviation politique

Mais le directeur de l’ANSSI n’est pas venu au FIC pour regarder en arrière. Il a plutôt encouragé la communauté cybersécurité à se tourner vers l’avenir : « Nous avons bien compris les menaces… Les solutions sont entre nos mains et c’est à nous de les construire… ». Conscient que l’ANSSI « ne peut pas tout faire », son directeur veut la voir jouer un rôle de « catalyseur », favorisant l’éclosion de CERTs sectoriels mais aussi régionaux et la création de parcours de sécurité.

Un exposé qui sonne comme un discours politique, voire un discours de campagne. Car maintenant que les hautes sphères du pouvoir semblent avoir vraiment pris conscience des enjeux cyber, que l’argent coule à flot avec le Plan de Relance (l’ANSSI s’est vue accorder une enveloppe de 136 millions d’euros), que l’écosystème s’organise autour du futur Cyber Campus (« cette utopie devenue réalité »), le rôle du directeur de l’ANSSI est par voie de conséquences irrémédiablement devenu plus politique que jamais.

Une présidence française de l’Europe sous le signe Cyber…

Au premier semestre 2022, la France présidera le Conseil de l’UE. Elle compte bien saisir cette occasion pour renforcer la souveraineté de l’UE dans le domaine de la cybersécurité et fera de cette thématique l’un des principaux thèmes de sa présidence. La révision de la directive NIS (« un vrai succès »), la cybersécurité des institutions européennes, le développement d’un tissu industriel de confiance et la solidarité européenne en cas de crise majeure sont présentés comme les priorités françaises pour le premier semestre 2022.

L’ANSSI aimerait bien étendre à l’Europe nombre de ses initiatives nationales. Et notamment en matière de Cloud. Rappelons que la France la publication en mai dernier de la stratégie nationale pour le cloud qui impose notamment aux organismes publics et aux OIV/OSE de n’utiliser que des hébergeurs disposant du nouveau label « Cloud de confiance » : ce dernier exige non seulement que les infrastructures soient qualifiées SecNumCloud et soient localisées en Europe mais aussi qu’elles soient opérées en Europe par une entité Européenne entièrement détenue par des acteurs Européens.

L’Europe a encore son destin cloud en main

Désormais, pour le directeur de l’ANSSI, une telle approche doit s’étendre à l’échelle européenne et s’inspirer de la certification SecNumCloud pour qualifier des clouds de confiance européens. Objectif, faire en sorte que les données et ressources informatiques européennes soient totalement indépendantes de l’emprise des législations tierces comme le Cloud Act américain. « On a un débat à l’échelle européenne sur ce que l’on attend d’un service cloud en termes de sécurité. Ce débat, il n’est pas technique, il n’est pas opérationnel ! On est tous assez d’accord sur les règles à appliquer. Ça ressemble beaucoup à ce que l’on a fait en France avec SecNumCloud. Aujourd’hui, nous avons un choix politique à faire. Il se résume à ceci : pour les services les plus élevés, ceux amenés à héberger des données et des processus critiques pour des acteurs publics ou privés européens, est-ce que l’on exige que seul le droit européen s’applique à l’exclusion de tout autre droit non européen » explique Guillaume Poupard. « A-t-on la force politique d’imposer ça ? Si on y arrive, je reste très confiant quant à notre capacité à développer une Europe de la sécurité numérique, une Europe qui prend son destin en main. Si on échoue, je ne veux plus entendre parler de souveraineté numérique à l’échelle européenne, ça restera des mots ».

La tortue… et les nains de jardin…

Au-delà du cloud, Guillaume Poupard se réjouit des opportunités de la Présidence Française de l’Union Européenne : « C’est une opportunité pour la France de continuer à donner une impulsion cyber à l’échelle européenne ». Ainsi, la France à travers l’ANSSI veut faire progresser la directive NIS 2 afin d’imposer un niveau plus élevé de cybersécurité auprès d’un périmètre élargi d’acteurs, autrement dit étendre les statuts d’OIV et d’OSE à davantage d’entreprises et opérateurs. Elle veut également continuer de faire avancer le Cybersecurity Act, le réseau CyCLONe et la Toolbox 5G. « Face à l’ampleur de la menace et aux moyens de ceux qui nous attaquent, si on n’est pas capable de jouer collectif, on perdra » rappelle le patron de l’ANSSI.

Cependant la logique actuelle prise par les États, à commencer par la France, va en partie à l’encontre de cette ambition. Car comme s’en réjouissait le Général Marc Watin Augouard, lors de la conférence d’ouverture du FIC 2021, « la cybersécurité européenne est construite comme la tortue romaine : chaque état membre doit disposer de son bouclier afin d’être responsable de sa propre sécurité, et en même temps de celle des autres ».

Concrètement, c’est exactement ce qui se passe aujourd’hui sur le sujet du cloud par exemple avec des Allemands et des Français qui ont chacun leur propre label cloud. C’est aussi vrai dans des domaines comme l’identité numérique.

Le problème d’une telle approche, c’est que chaque pays sous son petit bouclier souverain est en train de fabriquer des nains… La « tortue européenne » multiplie les nains, des startups aux talents avérés mais que les milliards de dollars américains auront tôt fait d’avaler tout cru en temps utile.

Une Europe réellement unie peut-elle faire émerger un ou plusieurs vrais champions parmi cet ensemble de talents nationaux enfermés sous leur bouclier-carcan national ? C’est bien le cœur du débat. Et le patron de l’ANSSI s’est bien gardé de s’y aventurer. Pas une seule fois il n’a évoqué des initiatives comme Gaia-X, par exemple.

À la France de profiter de sa présidence européenne pour transformer les mots en action et mettre en place les pistes de décollage permettant de faire s’envoler de vrais leaders européens de la cybersécurité. Ca n’est pas gagné, mais restons positifs… à l’instar de Guillaume Poupard.