Par Sylvaine Luckx le 02/09/2016
Nouveau look barbu, mais fidèle à sa parole à la fois politiquement correcte et sans langue de bois, et non sans un certain humour, le directeur de l’Anssi a conclu magistralement des 2èmes Universités d’été d’Hexatrust. L’occasion pour les pépites françaises d’organiser un évènement très réussi qui marque leur mobilisation sur le terrain français et à l’export.
On l’avait vu décontracté en tenue de week-end à la Nuit du Hack, on le retrouve plus déterminé que jamais et arborant une barbe soigneusement fournie : au-delà du clin d’œil, Guillaume Poupard, directeur de l’Anssi, a tenu à rassurer les troupes d’Hexatrust présentes en nombre (230 personnes) en ce jour de rentrée scolaire, jeudi 1er septembre, à l’Espace Hamelin. Le patron de l’Anssi, tout sourire dehors, mais sans transiger, a tenu à affirmer avec une certaine force que les mesures de sécurité de la LPM étaient en marche avec la seconde vague de publications d’arrêtés à la fin du mois d’août. En ce qui concerne les arrêtés suivants, qui concernent notamment le secteur de l’industrie et de la finance, le directeur de l’Anssi a tenu à assurer avec vigueur que le calendrier de l’année sera bien respecté, y compris s’il fallait y mettre une certaine énergie. Comprenez par là que les rares résistances qui se manifestent çà et là dans les secteurs concernés feraient bien de se mettre au diapason rapidement.
Au-delà de la posture de fermeté, qui n’exclut pas l’ouverture au dialogue, Guillaume Poupard a pointé du doigt que, dans le cadre de la LPM, le rôle de l’Anssi n’était pas, en cas d’incident avéré (soulignons que la notification des incidents est obligatoire), de jouer les gendarmes, mais plutôt d’assister les « victimes ». Il souligne aussi un point sur lequel nous allons revenir avec lui, que l’Anssi travaille sur une labellisation des formations en sécurité des systèmes d’information qui sera fort utile aux professionnels. Il a enfin assuré de tout son soutien les entreprises d’Hexatrust pour leur dynamisme : en témoigne le choix de la solution de chiffrement de Prim’X pour les administrations fait par l’Anssi.
Vers les IoTaaS ?
Dans le cours de la journée, au contenu très dense et riche, il a notamment été question de regards croisés européens sur la cybersécurité, de sécurité des objets connectés, et de réglementation, enjeux et perspectives sur la sécurité dans le cloud.
Eric Payan, responsable des systèmes d’information du groupe Bosch et du projet Industrie 4.0 pour Bosch France, devenu, par la magie des questions de l’assistance, « M. Frigidaire Connecté » de la table-ronde, a parlé de l’assurance des objets connectés : une assurance, par exemple, doit-elle rembourser au client un steak avarié parce que le réfrigérateur aura mal fonctionné ou a été piraté, et qui est responsable ? L’opérateur ? Le fabricant de réfrigérateur ? Au-delà de ce qui apparaît, encore largement, pour de la science-fiction (mais cela n’en sera peut-être pas dans dix ans !) la question se pose aussi de savoir comment facturer le prix du service rendu par les objets connectés : facture-t-on l’objet à l’achat, ou au service ? Et va-t-on vers un IoTaaS ? A cette question, Eric Payan répond très sérieusement que « le CEO du Groupe Bosch a déclaré que Bosch devait devenir une entreprise du software ». Pour un groupe à forte culture industrielle comme Bosch, l’évolution est de taille. A noter que nous avons programmé pour le prochain numéro du magazine Mag-Securs un article sur la menace d'attaques en déni de services qui pèse sur les objets connectés.
Un « Code du Numérique » est-il souhaitable ?
En ce qui concerne le cloud, plusieurs questions très intéressantes sur la réglementation applicable ont été soulevées par Maître Olivier Itéanu, d’Itéanu Avocats, notamment sur l’évolution du « Safe Harbor » en Privacy Shield, et la possibilité pour les entreprises européennes de pouvoir à nouveau échanger des données personnelles avec les Américains.
De plus, une question sur la compatibilité entre la Loi République Numérique et le règlement européen a été posé notamment sur les sanctions prévues, puisque la loi prévoit qu’en cas de manquement à la protection des données personnelles, les sanctions appliquées seront de 2% sur le chiffre d’affaires mondial consolidé de l’entreprise fautive, alors qu’elle est de 4% dans le règlement européen (applicable en mars 2018). Sur le papier, le discours est simple : la loi s’applique jusqu’à ce que le règlement entre en vigueur : en pratique, cette loi, non encore promulguée, risque d’être fortement chahutée par les Présidentielles, et n’aura que quelques mois d’application…Un exemple de plus de ce que « l’exception française » en période pré-électorale peut produire de pire… N’aurait-il pas été plus simple d’intégrer directement les dispositions du règlement dans la loi ?
Notons aussi que, face à cette complication du droit numérique, Myriam Quemener, conseiller juridique auprès du Préfet Cyber (dont le nom sera bientôt connu), parle de l’importance du contrat entre clients et prestataires de cloud, et appelle de ses vœux un « Code du Numérique ».
Pascal Lagarde, directeur exécutif chez BPI France, est intervenu en « guest star » pour témoigner de l’intérêt de BPI pour le secteur de la cybersécurité. Il annonce en 2017 la création d’un premier fonds d’investissement spécialisé dans le domaine, très attendu par les entreprises du secteur qui ont du mal à se financer, mais, bémol, parle d’actions de la BPI pour soutenir le rachat d’entreprises françaises par des entreprises étrangères, ce qui est peut-être en faveur de la croissance des dites entreprises, mais certainement pas de l’intérêt national.
Enfin, Jean-Noël de Galzain, Président d’Hexatrust et PDG de Wallix, s’est félicité, avec sa faconde habituelle, du dynamisme du secteur et de la volonté d’aller de l’avant de ses « pépites » d’Hexatrust, qui se regrouperont dans un village lors des Assises de la Sécurité à Monaco en octobre prochain.