Les Jeux olympiques ? Enfin “une victoire claire” que la sécurité informatique peut revendiquer. Comme attendu, les premiers mots de Vincent Strubel, le directeur général de l’Anssi, aux Assises de la cybersécurité de Monaco, ont été consacrés à l’épreuve olympique parisienne de cet été, une échéance redoutée sur le front cyber.
“C’est un test unique que nous avons réussi”, salue le patron de la cybersécurité française en ouverture de ce salon professionnel, l’un des événements phares du secteur.
L’édition 2024 des Assises, qui débutait ce mercredi 9 octobre, a été placée sous le signe du rassemblement, de la coopération du secteur public et du secteur privé à la collaboration des différents métiers à la sécurité informatique.
Il s’est passé “plein de choses”
De ces semaines intenses durant l’été parisien, Vincent Strubel retient deux choses. La première, ironique: on ne sait toujours pas bien compter les cyberattaques, un clin d’œil au fossé entre les milliards de logs comptabilisés et au final les 548 incidents de sécurité rapportés par l’Anssi.
Mais, avertit-il, il s’est passé “plein de choses”. “Il y avait des gens qui nous en voulaient vraiment, dans toutes les composantes de la menace”, des attaquants expérimentés à ceux “qui savent entretenir l’anxiété”.
La plupart des attaques informatiques ont été bloquées très tôt, poursuit-il. “Cela avait presque un côté frustrant d’ailleurs, parce que dans la plupart des cas nous ne savions pas ce que que voulait faire l’attaquant”, ce dernier étant stoppé avant même d’avoir pu analyser ses intentions.
NIS2: encore des mois de travail
A propos de la directive NIS 2, qui devait être transposée le 17 octobre – une échéance désormais impossible à tenir – , Vincent Strubel a assuré qu’un projet de loi était prêt. “Tout cela va reprendre dans les jours qui viennent, dans le même esprit de co-construction, de pragmatisme”, ajoute-t-il. Mais sans “précipitation”.
Au-delà du vote de la loi, “il y a encore des mois de travail et de consultations sur le cadre réglementaire et sur les mesures techniques” qui vont en découler, signale Vincent Strubel. L’Anssi se donne trois ans avant d’exiger “une conformité complète” des organisations concernées.
Après avoir évoqué l’autre grand chantier en cours, le règlement sur la cyber résilience (CRA), Vincent Strubel a enfin mis en garde contre les discours catastrophiques autour de l’intelligence artificielle. “On parle beaucoup d’IA, peut-être un peu trop”, remarque-t-il. Alors que dans le même temps la question de la menace quantique n’est pas assez abordée, déplore-t-il.
Pourtant, si des ordinateurs quantiques sont mis au point, rappelle Vincent Strubel, ce sera “la première vraie rupture technologique qui interviendra dans le champ de la cybersécurité”. “C’est un sujet dont il est très facile de ne pas se préoccuper”, regrette-t-il. Avant d’avertir: la migration des algorithmes résistants à cette nouvelle menace prendra des années. Mieux vaut donc se préparer au plus tôt à cette nouvelle échéance.
Crédit photo: Anssi.