Monaco – Envoyé spécial – « Le message est simple : winter is coming. »

Loin de la satisfaction qu’il avait affichée l’an dernier au sortir des JO, Vincent Strubel a ouvert les Assises de la sécurité 2025 sur une perspective pour le moins pessimiste. En l’occurrence, l’engagement de nos armées dans un conflit d’intensité à l’horizon 2030 ; avec, simultanément, une hausse massive des attaques hybrides sur le territoire français.

Le directeur général de l’ANSSI reprend en fait une hypothèse formulée dans la dernière Revue nationale stratégique, publiée en juillet. Il ne manque par d’affirmer que cet horizon « donne d’autant plus de sens à notre travail collectif de construction de la cyberrésilience ».

Ce travail conduit à fixer des règles et à préparer la gestion de crise. Il implique aussi une notion dont l’agence a fait son mantra : « changer d’échelle ». En d’autres termes, diffuser la cybersécurité dans le tissu économique. Dans cette optique, elle mobilise, entre autres, le levier de l’entraînement, illustré par l’organisation, le mois dernier, de l’exercice REMPAR25.

Dans le même esprit, l’ANSSI a fait évoluer ses référentiels PASSI (audit) et PRIS (réponse aux incidents) pour étendre leur champ d’application. Au niveau d’exigence « élevé » (cœur historique du besoin) s’est ainsi ajouté le niveau « substantiel », axé sur le besoin des plus petits acteurs.

Non, la « détection souveraine » n’est pas remise en cause

Dans les prochains mois, l’agence devrait finaliser des travaux portant sur les solutions de détection. Ils concernent aussi bien les prestataires que les produits. L’occasion pour Vincent Strubel de rappeler, comme il l’avait déjà fait voilà quelques semaines, qu’il n’est pas question de rogner sur l’exigence de souveraineté qui s’applique aux OIV. « Ce serait un contresens historique. On cherche en revanche à ouvrir le champ des possibles, à ne pas rester sur une réglementation figée qui vieillit forcément mal dans notre domaine. » Il s’agit, poursuit-il, de « se donner la chance d’avoir le meilleur résultat pour chaque type d’architecture« . En ligne de mire, notamment, les EDR et les NDR actifs.

Prendre en compte les effets de nos dépendances techniques

Au niveau européen s’ouvre un autre chantier : la révision du Cybersecurity Act. Après l’avoir étendu aux services managés (en plus des produits, services et processus TIC), la Commission européenne cherche, en particulier, à simplifier les exigences de reporting et à intégrer davantage l’aspect chaîne d’approvisionnement logicielle. Le DG de l’ANSSI y voit l’occasion de « prendre en compte des risques qualifiés de non techniques, liés à nos dépendances techniques« . Il évoque les besoins de protection contre les « accès aux données qui échappent à notre droit » comme contre « la possibilité de voir un service coupé par une décision dans laquelle on n’a pas voix au chapitre ».

Un agenda post-quantique après les premières certifications

Autre source d’inquiétude : les « mouvements de fond dans le paysage numérique qui nous forcent à changer nos approches dans tous les domaines », de la certification à la remédiation. « On ne peut pas faire un dump de la mémoire d’un cloud, patcher une IA, faire sans le dépositaire unique d’une technologie-clé« . Ces évolutions s’inscrivent toutefois dans une durée qui permet de s’ajuster, tempère Vincent Strubel.

Le discours est différent au sujet de la menace quantique : « Si on ne prend pas en compte ce risque maintenant, on sera dans une situation ou tout s’effondrera d’un coup« . Un obstacle est aujourd’hui levé, affirme-t-il : l’évaluation des algorithmes post-quantiques. L’agence a prononcé, il y a quelques jours, ses deux premières certifications, pour Thales et Samsung. En 2027, elle n’acceptera plus, en entrée de qualification, des produits ce sécurité qui n’intègrent pas une cryptographie résistante à l’ordinateur post-quantique. Elle recommande déjà de ne pus acquérir de telles solutions, mais pourrait, « si besoins dans certains cas », l’imposer à l’horizon 2030.

The post Les Assises 2025 : l’ANSSI n’oublie pas les risques « non techniques » appeared first on Silicon.fr.