En matière de cybersécurité, auditeurs et contrôleurs internes sont en première ligne

François Charbonnier, chef adjoint de la coordination sectorielle de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), est l’un des plus grands spécialistes de la cybersécurité. Selon lui, si les cyberattaques se sont encore multipliées, les dirigeants sont aujourd’hui plus conscients des risques et plus mobilisés. Pour autant, des efforts doivent encore être faits en matière de prévention et de préparation. Et auditeurs et contrôleurs internes doivent être au coeur du dispositif. Pourriez-vous nous présenter l’ANSSI, son rôle et ses principales missions ? François Charbonnier : L’ANSSI est l’autorité nationale en matière de cybersécurité et de cyberdéfense. Elle est rattachée aux services du Premier ministre, sous l’égide du secrétaire général de la défense et de la sécurité nationale. Le « public » prioritaire de l’ANSSI, ce sont les administrations, les les opérateurs d’importance vitale (OIV) et les opérateurs de services essentiels (OSE) – avec trois missions principales : la prévention (éviter le succès des attaques informatiques, protéger les systèmes d’information, etc.), la défense (intervenir pour stopper une attaque et accompagner la reconstruction des systèmes d’information), et l’information et la sensibilisation (diffuser des recommandations adaptées aux différents publics – et aider à la prise de conscience). C’est d’ailleurs dans le cadre de la sensibilisation que s’inscrit notre entretien : il est important de parler de cybersécurité aux auditeurs et contrôleurs internes, qui sont en première ligne dans la prévention des risques ! Vous le signaliez encore récemment, le nombre de cyberattaques ne diminue pas, bien au contraire, et la virulence de ces attaques a tendance à s’accroître… Y-a-t-il eu l’apparition de nouveaux types de cyberattaques ? F.C. Il y a beaucoup de types différents de cyberattaques, comme les rançongiciels qui existent depuis des années mais sont encore en accroissement. Plus récemment, on a pu voir émerger les attaques silencieuses utilisant la puissance des machines piratées pour miner de la crypto-monnaie. Il existe par ailleurs d’autres attaques silencieuses, ciblées et de grande ampleur, qui font que des réseaux d’entreprise peuvent être espionnés depuis des mois, parfois des années. Le risque d’un cybersabotage dans ce contexte n’est jamais à écarter. Il faut enfin citer le cas des attaques « à l’aveugle », comme Wannacry et NotPetya survenues en 2017 : ces attaques sont tellement virulentes qu’elles peuvent se propager et ainsi toucher de nombreuses cibles qui n’étaient pas directement visées. Ce qui est certain, c’est que les attaques augmentent en nombre et en complexité. Chacun est concerné, chacun se doit d’être vigilant et responsable. Ce ne sont plus seulement les grands groupes qui sont visés ? F.C. Je ne dirais pas que seuls les grands groupes étaient visés auparavant. Après, que les attaques visent des cibles de plus en plus diversifiées, c’est vrai. On peut aussi parfois viser une entreprise pour en atteindre une autre parce que l’on sait qu’elles entretiennent des liens entre elles, y compris au niveau informatique. Il s’agit notamment des attaques par la supply chain. Maîtriser son écosystème de sous-traitants dans ses aspects numériques est crucial. Selon vous, la prise de conscience des différents acteurs est-elle à la hauteur des risques et enjeux ? F.C. Il y a eu un vrai bond dans la prise de conscience. On ne trouve quasiment plus un seul dirigeant pour nier que le risque cyber est l’un des principaux auxquels il est exposé. Certains vont même être plus proactifs parce qu’ils se sentent particulièrement concernés. Mais s’emparer concrètement du sujet, pour beaucoup c’est encore un peu compliqué. La crainte du dirigeant, c’est parfois de se sentir incompétent et on peut alors être tenté de confier totalement la gestion de cette question à sa DSI. Or, la technicité du sujet est réelle, mais ce n’est qu’un aspect des choses : il faut aussi le traiter sous l’angle juridique, commercial, de la communication… Il s’agit bien d’un sujet stratégique et c’est le dirigeant qui joue le premier rôle et devra au final prendre les grandes décisions, aussi difficiles soient-elles. Pour vous les auditeurs ont un rôle important à jouer ? F.C. Ils ont un rôle très important. C’est évident pour les audits informatiques, mais même dans le cas des audits « généralistes », un auditeur peut aussi, de par son métier, être le mieux placé pour poser des questions. Ça ne veut pas forcément dire des questions techniques et complexes, mais s’assurer par exemple que les collaborateurs sont sensibilisés aux mails de hameçonnages, que la PSSI (politique de sécurité du système d’information) est connue et appliquée, que la cybersécurité est bien prise en compte dans les nouveaux projets, que les compétences des prestataires sont vérifiées, etc. Poser des questions régulièrement sur la sécurité entraîne une vigilance accrue de la part des différents acteurs concernés dans l’entreprise. Les réponses techniques à ces attaques ont-elles aussi progressé ? F.C. Ça, c’est un travail très conséquent. Il faut déjà savoir détecter les attaques et là, l’ANSSI travaille pour qu’il y ait de plus en plus de prestataires et de solutions de confiance avec le Visa de sécurité ANSSI. Les entreprises doivent vraiment inclure, au-delà des mesures de protection, la détection et la défense pour pouvoir réagir aux attaques, et la résilience pour pouvoir se « remettre sur pieds ». Le tout chapeauté par une logique de management du risque ! Nous les poussons ainsi à s’entraîner à la crise et à se poser des questions très simples, comme « si le système tombe, est-ce que j’arrive encore à faire mon métier ? ». L’ANSSI préconise la mise en oeuvre d’une politique de management du risque cyber via l’établissement d’un véritable système de gouvernance. Quelle est pour vous l’organisation la plus efficace ? F.C. Il y a des schémas qui existent, même s’il faut les adapter aux spécificités de son entreprise. On peut par exemple se référer à l’ISO 27001, qui traite du système de management de la sécurité informatique, ou du guide de l’IFACI « Cyber-risques : Enjeux, approches et Gouvernance ». Derrière toute gestion du risque cyber, un sous-jacent crucial : une analyse des risques de qualité ! Celle-ci s’appuie sur une méthode de qualité comme EBIOS Risk Manager, et ne peut se faire sans faire dialoguer les informaticiens et les gens « du métier ». A la suite de ce dialogue, une fois identifiés les scénarios d’attaque que l’on redoute le plus pour l’entreprise, il reste à s’interroger sur les mesures à mettre en oeuvre pour diminuer le risque et l’impact. Dans tout ça, il faut garder une forme de bon sens et de pragmatisme, en s’assurant tout simplement que les différents échelons dirigeants comme nous l’avons vu, l’audit et le contrôle internes et les opérationnels eux-mêmes. Une logique illustrée par le slogan de l’ANSSI pour 2019 : « tous connectés, tous impliqués, tous responsables ». Pourriez-vous nous parler des Visas de sécurité, certifications et qualifications délivrées par l’ANSSI ? F.C. Les solutions de cybersécurité disponibles sur le marché sont nombreuses et variées, mais n’offrent pas toutes le même niveau d’efficacité, de robustesse et de confiance. Consciente du besoin d’éclairage vis-à-vis de cette offre, l’ANSSI propose le Visa de sécurité pour accompagner les entreprises, les administrations, les OIV et les citoyens dans leurs choix de solutions de sécurité. Concernant les produits, ces Visas recouvrent la certification qui atteste que le produit a été éprouvé par l’ANSSI, et la qualification, qui inclut un niveau de confiance supplémentaire puisque l’État lui-même recommande le recours à la solution. Nous qualifions par ailleurs différents prestataires. Par exemple, les prestataires d’audit en sécurité des systèmes d’information (PASSI) qui accèdent potentiellement à toutes les ressources informatiques, ont les « clés de la maison » et doivent donc être fiables et compétents. La liste des PASSI est disponible sur le site Internet de l’ANSSI ssi.gouv.fr. Il y a aussi des prestataires de détection des incidents de sécurité (PDIS), dont les trois premiers viennent d’être qualifiés, des prestataires de réponse aux incidents de sécurité (PRIS), et des prestataires d’informatique en nuage et de services de confiance numérique. En ce qui concerne les transactions financières, le développement de solutions comme les blockchains offrent-elle selon vous réellement de véritables garanties de sécurité? F.C. La blockchain est avant tout une technologie, et comme toute technologie elle peut être employée de façon sûre comme de façon moins sûre selon la qualité de conception. Il faut d’abord rappeler qu’il y a deux types de blockchain. La blockchain ouverte, telle le bitcoin, dont la sécurité mise sur la multitude d’acteurs validant les transactions, ce qui dilue le risque d’une collusion. Et puis il y a la blockchain fermée, où la validation a lieu au sein d’une même entreprise ou d’un réseau d’acteurs se faisant confiance. Dans les deux cas, la sécurité d’une blockchain repose sur trois niveaux : l’aspect logiciel (est-elle bien programmée et bien conçue ?), la sécurité de l’infrastructure (si tous les ordinateurs qui portent la blockchain sont piratés, comment avoir confiance dans le résultat ?) et enfin la confiance que l’on a dans les acteurs… Concernant la confiance dans les acteurs, pour la blockchain ouverte, il faudrait que plus de la moitié de ces acteurs soient de connivence pour qu’il y ait une menace. Dans le cadre d’une blockchain privée, on a a priori confiance dans les acteurs. La blockchain n’est actuellement pas le coeur de sujet de l’ANSSI. Nous rappelons juste que, comme toute technologie, la blockchain n’est pas sécurisée « par défaut ». On entend souvent que la blockchain fait voler en éclats la notion de tiers de confiance, ce n’est pas vrai. C’est juste que la notion de tiers de confiance se situe à un autre niveau. Pour le bitcoin, par exemple, c’est au moment de la conversion des bitcoins en euros, parce qu’il faudra faire confiance à un tiers pour qu’il les convertisse. Vous notez que l’intelligence artificielle pourra jouer un rôle à l’avenir dans la détection des cyberattaques. Pourrait-on imaginer un jour un monde digital totalement sécurisé grâce à l’IA ? F.C. C’est un sujet évidemment très prospectif. Côté ANSSI, on pense avant tout à des applications dans la détection. L’intelligence artificielle peut en effet traiter énormément de données et aider à pré-qualifier des incidents cyber, tout en s’améliorant au fil du temps. Elle est un excellent outil qui permet d’augmenter l’efficacité de la détection, en restant sous supervision humaine. En revanche nous n’en sommes pas encore au point où l’on peut dire que l’IA se suffit à elle-même. Propos recueillis par Jean-François Moruzzi [box type="info" align="" class="" width=""] Pour aller plus loin :

• Guide de l’IFACI : « Cyber risques, enjeux, approche et gouvernance »
• Guide des bonnes pratiques de l’informatique de l’ANSSI et de la CGPME
• Guide d’hygiène informatique de l’ANSSI
• Méthode d’analyse de risque EBIOS Risk Manager

[/box]