« Soyez réalistes, demandez l’impossible. » C’est un célèbre slogan de Mai 68. C’est aussi la demande de Guillaume Poupard, patron de l’ANSSI, aux informaticiens.
Guider les entreprises
L’ANSSI est l’agence nationale de la sécurité des systèmes d’information, une agence qui dépend directement des services du premier ministre et qui est censée guider les entreprises face aux risques de cybercriminalité. Guillaume Poupard a pris la parole en ouverture de la conférence Big Data le 6 mars à Paris.
Il demande aux informaticiens de concevoir des programmes qui soient sécurisés dès leur conception, c’est à dire une « security by design. » Une tâche impossible puisque tout logiciel s’appuie sur des empilements de code dont il devient vite impossible de détecter les multiples failles. Ce serait comme demander à tous les conducteurs de ne plus jamais avoir d’accidents de la route sous prétexte qu’ils conduisent prudemment et ont passé le code de la route.
Guillaume Poupard insiste pourtant. « La sécurité doit faire partie des enseignements dans les écoles de développeurs, » demande-t-il, regrettant que ce soit loin d’être le cas actuellement. « Il faut former les développeurs. On ne leur a pas enseigné forcément la sécurité. Il y a encore beaucoup de travail à faire, » pointe-t-il. Un voeu pieux, donc. Il estime toutefois commencer à disposer de briques logicielles qui soient sécurisées.
Sur le terrain, l’ANSSI reconnaît avoir eu des débuts difficiles. « Avec les banques, les opérateurs d’énergie, cela a été rugueux au début, » admet Guillaume Poupard. Mais il insiste pour que les systèmes soient bien conçus dès l’origine. Par exemple, Engie a des problèmes de sécurité by design, plutôt que de détection et de correction.
Certification de prestataires
L’ANSSI certifie elle-même les prestataires comme étant des acteurs de référence. Elle a ainsi qualifié des prestataires d’audit et de Cloud. Une voie qu’elle entend poursuivre mais qui là aussi semble vouée à l’échec puisque l’imagination des hackers sera toujours plus rapide que les offres standardisées de quelques prestataires assez puissants pour passer les tests de conformité de l’ANSSI.
Mettre le Comex dans la boucle
Plus globalement, pour le responsable, les problèmes de sécurité informatique sont trop graves pour être laissés dans les mains des experts. Cela doit remonter au Comex de l’entreprise. « Plusieurs dizaines de cas extrêmement graves de vol de données sont traités par l’ANSSI chaque année, » rappelle Guillaume Poupard.
Les vols d’informations sont discrets et sur la durée. « Les chefs d’entreprise reconnaissent qu’ils n’ont pas voulu voir jusqu’à ce qu’ils découvrent leurs produits sur les stands de leurs concurrents. On peut attaquer n’importe quoi l’eau, l’énergie, la finance, » pointe Guillaume Poupard.
« Il faut en parler au niveau du Comex qui souvent découvre les problèmes de sécurité informatique. C’est la survie de l’entreprise. Les directeurs financiers, juridiques et directeurs généraux sont là pour arbitrer, » insiste-t-il.
Il poursuit : « il faut sensibiliser les gens sans en faire des experts. Expliquer les gestes élémentaires. Il faut concevoir les nouveaux systèmes d’information pensés dès l’origine pour la sécurité. » Quant à la détection des attaques, il souligne qu’elles sont précédées de phases d’intrusion, de cartographie des systèmes d’information. Des solutions existent pour les détecter, pas forcément coûteuses, « Il faut le vouloir, » conclut-il.