Guillaume Poupard (ANSSI) : MonServiceSécurisé arrive, Cloud de confiance et obsession pour la souveraineté

Cet après-midi, Guillaume Poupard (directeur général de l'ANSSI) était à la conférence d'ouverture des Assises à Monaco afin de parler cybersécurité et Cloud de confiance. Il a prévenu dès le début : il n'est pas question de faire un quelconque « bilan » ou de « régler des comptes »... quoi que. 

Dès le début de son intervention, il rappelle que l'objectif de la cybersécurité est d'apporter « à chacun les moyens de se protéger », mais il ajoute rapidement qu'il « n’y a pas de solutions magiques qui répondent à tous les problèmes... Si certains au niveau du salon vendent ça, méfiez-vous ».

Guillaume Poupard donne ensuite une liste à la Prévert de la « mosaïque complexe » qui permet à la cybersécurité d'exister efficacement. Sans surprise, le premier point abordé par le directeur général de l'ANSSI est le cadre réglementaire : « bien utilisé, c'est quelque chose d'efficace » ; et la première partie de la phrase est importante précise-t-il.

L'Agence nationale de la sécurité des systèmes d'informations propose ainsi de nombreux référentiels pour les administrations, les entreprises et les particuliers. 

MonServiceSécurisé arrive

Le deuxième sujet concerne la prévention où « on a de très gros efforts à faire ». Sur ce domaine, le laboratoire d'innovation de l'ANSSI prépare « un truc » : « MonServiceSécurisé qui vise à guider les acteurs publics et les collectivités locales ». 

Ce projet est développé par une startup d’état, avec comme but de proposer « quelque chose qui se veut simple et accessible, qui va permettre au plus grand nombre d'homologuer et comprendre la sécurité ». Le service est déjà disponible en bêta, tandis que le code source est accessible sur GitHub.

Sur son site, MonServiceSécurisé se présente comme une aide pour « toutes les entités publiques à se mettre en conformité avec le RGS [Règlement Général de Sécurité, ndlr] et le RGPD (article 32 sur la sécurité des données) en sécurisant et en homologuant la sécurité de leurs sites web, applications mobiles et API aux besoins de sécurité modérés ».

« La souveraineté, ça doit être une obsession »

Guillaume Poupard est ensuite revenu sur la notion de Cloud de confiance : « j'hésitais à en parler, car à chaque fois que j'en parle, ça finit mal », lance-t-il à la cantonade entrainant quelques rires dans la salle.

Il commence par poser les bases de la dichotomie actuelle : « On est dans un système où il y a une espèce d'injonction qui fait qu'on doit choisir son camp entre celui des Gaulois réfractaires, qui voudraient être certain que chaque transistor et chaque bit a bien été conçu en France par des bons Français, et ceux qui vont se dire au contraire que tout est mondialisé et que toute approche qui pourrait ressembler à une forme de souveraineté est vouée à l'échec, voire au pire critiquent notre système d'accords commerciaux »

Pour le patron de l'ANSSI, « il y a un juste milieu entre ces deux extrêmes et cette injonction de devoir choisir un camp est parfaitement insupportable ». À titre personnel, Guillaume Poupard est convaincu que « l'obsession de souveraineté nationale européenne doit bien rester une obsession et malheureusement les faits nous donnent raison dans plein de thématiques ». Le numérique étant au carrefour de quasiment tous les secteurs d'activités, il ne doit surtout pas y échapper.

Bref, la sentence est sans appel : « la souveraineté, ça doit être une obsession », car elle permet d'avoir de la maitrise et décider de son avenir. Et il ne faut pas se mettre « entre les mains des autres, adversaires évidemment ou alliés ». Problématique que l'on retrouve dans le domaine spatial où les alliés d'un jour peuvent rapidement devenir des « ennemis » avec lesquels il n'est plus possible de travailler, avec les conséquences que l'on connait.

• Ariane 6 vs Soyouz : la « défaite totale » de l’Europe profite à SpaceX
• La guerre en Ukraine menace la coopération spatiale et la souveraineté européenne

« On ne peut pas s'offrir le luxe de faire des choix »

La solution mise en avant par Guillaume Poupard est donc de pousser nos startups, nos chercheurs et nos industriels à être toujours plus compétitifs. Il ajoute que nous devons avoir une approche « la plus rationnelle possible [...] Dans le Cloud ça donne le référentiel SecNumCloud ».

Anticipant de vives réactions sur ces sujets, il ajoute qu'il « faut se tenir à distance de la passion » et ne garder que deux objectifs en ligne de mire : sécurité et souveraineté. « Il y a différentes manières d'y arriver. Pour le moment, on ne peut pas s'offrir le luxe de faire des choix ».

Pour rappel Google Cloud et Thales ont annoncé il y a quelques mois S3ns, leur offre de Cloud de confiance. Pour le moment, seule l'offre avec « contrôles locaux » (données hébergées dans des datacenters Google) est disponible et il faudra attendre 2024 pour qu'elle soit certifiée SecNumCloud, le temps pour Thales de déployer l’ensemble de l’infrastructure, et pour Google de « faire les évolutions logicielles nécessaires », expliquent les deux partenaires.

• SecNumCloud : l'ANSSI adapte son référentiel au Cloud de confiance, qu'est-ce qui change ?