Vincent Strubel, ingénieur général des Mines, prendra ses fonctions jeudi 5 janvier 2023, après quinze ans passés au sein de l’ANSSI et deux ans et demi à la direction de l’Opérateur des systèmes d’information interministériels classifiés (OSIIC). Il s’y est notamment illustré lors de la pandémie du Covid-19 en proposant des solutions novatrices pour les services essentiels de l’État. Il succède à Guillaume Poupard, parti en décembre 2022 après neuf années passées à la tête de l’ANSSI.

« C’est un immense honneur pour moi de revenir à l’ANSSI pour en prendre la direction générale. J’ai la grande joie de retrouver des équipes formidables, dont le savoir-faire est unanimement reconnu. J’ai la chance de prendre mes fonctions en ayant à mes côtés Emmanuel Naëgelen, directeur adjoint de l’agence depuis janvier 2021. Nos défis sont nombreux, mais nous saurons les relever avec l’exigence et le sens de l’intérêt général qui caractérisent l’agence depuis sa création », déclare le nouveau directeur général.

Vincent Strubel a en effet intégré dès 2005 la direction centrale de la sécurité des systèmes d’information (DCSSI) devenue, en 2009, l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Ancien élève de l’École Polytechnique (promotion X2000) et de Télécom ParisTech, il a successivement occupé les postes de chef de laboratoire, de chef de division et de sous-directeur Expertise. En juillet 2020, le secrétariat général de la Défense et de la Sécurité nationale (SGDSN) décide de la fusion du centre de transmissions gouvernemental et de la sous-direction Numérique de l’ANSSI pour créer l’OSIIC. C’est Vincent Strubel qui prend la direction de ce service à compétence nationale.

« Je remercie vivement Guillaume Poupard, au nom de toute l’agence, pour ces neuf riches années d’exercice. Tout le travail accompli ces dernières années a permis à l’agence de s’ouvrir davantage, d’affirmer son savoir-faire et de positionner la France comme un acteur majeur de la cybersécurité en Europe et dans le monde. Nous continuerons d’œuvrer au quotidien pour la résilience cyber des Français, avec la compétence et le dévouement qui constituent le cœur de nos valeurs », ajoute Vincent Strubel.

Son parcours en quelques dates clés

• En 2005, il rejoint la DCSSI en tant qu’expert en sécurité des systèmes d’exploitation.
• En 2009, la DCSSI devient l’ANSSI. Vincent Strubel est nommé chef du laboratoire architectures matérielles et logicielles.
• En 2012, il est nommé chef de la division Scientifique et technique de l’ANSSI.
• En 2014, il prend la tête de la sous-direction Expertise de l’ANSSI.
• En juillet 2020, il est nommé directeur de l’OSIIC.
• Le 4 janvier 2023, il est nommé directeur général de l’ANSSI en Conseil des ministres.

Le Visa de sécurité SecNumCloud repose sur un référentiel exigeant développé par l’ANSSI. Il permet d’identifier des offres de services cloud « de confiance », c’est-à-dire justifiant d’un haut niveau de compétence et de qualité de service en matière de cybersécurité, tout en démontrant une protection forte des données sensibles.

L’ANSSI et la DGE sont conscientes que ce Visa de sécurité constitue un processus exigeant et coûteux, en particulier pour les startups et PME développant des logiciels et proposant des services de PaaS (platform as a service) ou de SaaS (software as a service).

L’Etat entend donc lever ces freins pour nos startups et PME avec l’ouverture d’un dispositif d’accompagnement, qui est doté d’une enveloppe de 3,5 millions d’euros, financée dans le cadre de la stratégie cloud de France 2030.
 

L’ambition de cette initiative est d’accompagner les entreprises souhaitant être qualifiées SecNumCloud tout au long de leur préparation à la qualification et selon leur niveau de maturité. Le dispositif inclut ainsi un audit initial pour définir le niveau de maturité de l’entreprise candidate, des prestations de conseil (plan de développement à une démarche de qualification et plan de préparation à la qualification), et enfin une aide au financement pour la qualification elle-même. Ces prestations seront réalisées, dans un premier temps, par des Prestataires d’Audit de la Sécurité des Systèmes d’Information (PASSI), puis par des Prestataires d’Accompagnement et de Conseil en Sécurité (PACS) lorsque la qualification sera en vigueur.

Lancé ce 22 décembre 2022, le guichet d’accès au dispositif est confié à Bpifrance, en lien étroit avec l’ANSSI et la DGE (Direction Générale des Entreprises).

Une première relève du dispositif aura lieu dès le 15 février 2023 et cible en priorité des PME qui souhaitent commercialiser une offre qualifiée SecNumCloud sous 2 ans : https://www.bpifrance.fr/nos-appels-a-projets-concours/guichet-dacces-au-dispositif- daccompagnement-a-la-qualification-secnumcloud

Piloté par la Direction générale des Entreprises (DGE) avec la Direction Générale de la recherche et de l’innovation (DGRI) et l’appui du Secrétariat Général pour l’Investissement (SGPI), le volet cloud de France 2030, doté de 667M€, soutient l’innovation dans ce domaine, et en particulier auprès des acteurs émergents, PME et start-ups.

Jean-Noël Barrot, Ministre délégué chargé de la Transition numérique et des Télécommunications, a déclaré : « Avec le lancement de ce dispositif, c’est un message que nous adressons à notre riche écosystème de start-ups et PME du logiciel français : le cloud de confiance se bâtira aussi sur vos forces, sur la qualité de vos services, et par la reconnaissance du haut niveau de cybersécurité et de protection que vous êtes capables de proposer. »

 Thomas Courbe, Directeur général des Entreprises, a déclaré : « Les services cloud sont essentiels pour l’innovation et la transformation numérique : nos entreprises doivent disposer d’un large panel de solutions qualifiées cloud de confiance. Lever les verrous d’accès à cette qualification pour nos PME est donc un enjeu majeur, et je suis ravi que nous y répondions aujourd’hui. »

 Guillaume Poupard, Directeur général de l’ANSSI, a déclaré : « Ce dispositif d’accompagnement est parfaitement adapté aux besoins comme aux différents niveaux de maturité de nos start-ups et PME. Il nous permettra d’enrichir l’offre de services cloud avec un Visa de sécurité SecNumCloud, élément crucial pour accroître le niveau global de cybersécurité en France. »

Gratuit et 100% en ligne.
MonServiceSécurisé est la nouvelle solution de l’ANSSI, incubée par son laboratoire d’innovation, pour renforcer la cybersécurité de tous les services publics numériques : site web, applications mobile et API.

Collaboratif et pédagogique.
Pensée par et pour les services publics, MonServiceSécurisé leur permet de gagner en efficacité grâce à une liste personnalisée de mesures de sécurité à mettre en œuvre, un indice cyber final pour évaluer le niveau de sécurité et une homologation clé-en-main. Un mode collaboratif permet de déléguer et de faire collaborer toutes les parties prenantes (DSI, directions métiers, chefs de projet).

TÉMOIGNAGES DES BÉNÉFICIAIRES

Marylyne Boubée, Responsable de la Sécurité des Systèmes d’Information du Conseil départemental de Haute-Garonne

Fabrice Idier, Responsable des Systèmes d’Information du département de la Seine-Saint-Denis

Matthieu Devallé, Responsable de la Sécurité des Systèmes d’Information adjoint au Centre Interministériel des Services informatiques relatifs aux Ressources Humaines

MARYLYNE BOUBÉE

RESPONSABLE DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION DU CONSEIL DÉPARTEMENTAL DE HAUTE-GARONNE

« Cet outil permet de rendre accessible l’homologation des téléservices à tous les acteurs. »

Pour répondre à quels enjeux avez-vous fait appel à MonServiceSécurisé ?

Afin de réaliser l’homologation de nos téléservices. Nous recherchions un outil d’analyse de risques plus complet que ceux dont nous disposions, mais aussi une solution collaborative.

Pourquoi avoir choisi MonServiceSécurisé ?

Que pouvait-il y avoir de mieux qu’un produit proposé par ANSSI ? Les outils classiques d’analyse de risque sont très complexes, pour qui n’est pas du métier. A l’inverse, MonServiceSécurisé est très accessible. Il nous permet de travailler avec les chefs de projet et l’ensemble des métiers qui n’appartiennent pas au domaine informatique. Autre avantage, non négligeable : l’interface est nettement plus agréable qu’un tableur classique. Et les résultats sont très probants : la synthèse finale et l’Indice Cyber offrent une vision panoramique et constituent une vraie plus-value.

Quels bénéfices constatez-vous depuis la mise en place de MonServiceSécurisé ?

Cet outil permet de rendre accessible l’homologation des téléservices à tous les acteurs. Ce qui constitue un grand avantage pour les entités qui n’ont pas forcément de RSSI. Grâce à MonServiceSécurisé, toutes les collectivités peuvent se donner les moyens de respecter les contraintes d’homologation.

Qu’avez-vous le plus apprécié parmi les solutions apportées par MonServiceSécurisé ?

MonServiceSécurisé présente de nombreuses qualités pour ses utilisateurs. Son utilisation est facile et son interface est agréable. Cet outil permet en outre d’accéder à un ensemble de documentations et d’annexes très précieuses. Cette solution présente aussi un gain en terme d’image : grâce à MonServiceSécurisé nous pouvons assurer à nos partenaires et à nos usagers que nous respectons les préconisations de l’ANSSI.

FABRICE IDIER

RESPONSABLE DES SYSTÈMES D’INFORMATION DU DÉPARTEMENT DE LA SEINE-SAINT-DENIS

« C’est sa simplicité et sa facilité d’emploi qui nous ont convaincus.»

Pour répondre à quels enjeux avez-vous fait appel à MonServiceSécurisé ?

Nous avons utilisé MonServiceSécurisé pour initier nos démarches d’homologation, qui sont devenues incontournables avec l’essor des portails numériques et l’intensifications du recours aux téléservices. MonServiceSécurisé nous a permis à la fois d’améliorer nos procédures de sécurisation de réaliser rapidement une « checklist » de points à traiter et de les partager à nos équipes projets.

Pourquoi avoir choisi MonServiceSécurisé ?

C’est sa simplicité et sa facilité d’emploi qui nous ont convaincus. Toutes les thématiques sont présentées avec clarté. MonServiceSécurisé offre en outre une solution parfaite pour faire collaborer toutes les parties prenantes . Cette approche collaborative est un vrai avantage pour les utilisateurs. De plus, l’ANSSI apporte une très solide garantie du respect de la règlementation !

Quels bénéfices constatez-vous depuis la mise en place de MonServiceSécurisé ?

Il y a véritablement un avant et un après. MonServiceSécurisé m’a permis de partager ma démarche d’homologation des téléservices avec les différents métiers impliqués et les chefs de projet. Ce qui nous permet d’ anticiper les enjeux de sécurisation parfois dès la conception de nos services (« Security by design »), et de sensibiliser les acteurs des projets. De plus, cette solution nous permet de faire un inventaire exhaustif de tous nos téléservices et de nos portails, et de lister tous les points d’amélioration.

Qu’avez-vous le plus apprécié parmi les solutions apportées par MonServiceSécurisé ?

Sa dimension collaborative, son référentiel adapté de mesures de sécurité, son ergonomie et la simplicité qu’elle offre pour initier une démarche même avec des agents non aguerris à l’homologation.

MATTHIEU DEVALLÉ

INGÉNIEUR DE L’INDUSTRIE ET DES MINES, RESPONSABLE DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION ADJOINT AU CENTRE INTERMINISTÉRIEL DES SERVICES INFORMATIQUES RELATIFS AUX RESSOURCES HUMAINES

« MonServiceSécurisé offre tous les avantages d’un outil collaboratif»

Pour répondre à quels enjeux avez-vous fait appel à MonServiceSécurisé ?

Nous avons fait appel à MonServiceSécurisé pour l’homologation et la mise en conformité de nos systèmes d’information avec les normes en vigueur, en effectuant une revue complète de nos systèmes d’information.

Pourquoi avoir choisi MonServiceSécurisé ?

Nous l’avons d’abord testé dans une démarche exploratoire avant d’être convaincus par l’homologation d’un premier service. Nous avons ensuite décidé de généraliser l’usage de MonServiceSécurisé pour une partie de nos homologations (15 ont été réalisées à ce jour).

Quels bénéfices constatez-vous depuis la mise en place de MonServiceSécurisé ?

Des homologations beaucoup plus rapides, un parcours guidé grâce à des référentiels et des catalogues de risques et de mesures de sécurité déjà établis ainsi qu’un document récapitulatif exhaustif à présenter à l’autorité d’homologation. Par ailleurs, il s’agit d’une offre en SaaS, ce qui nous permet à la fois de nous affranchir des contraintes d’hébergements et de profiter de tous les avantages d’un outil collaboratif en ligne hébergé par l’ANSSI. Grâce à cet aspect collaboratif, nous avons pu intégrer les métiers à la démarche (développeurs, chefs de projet, etc.) comme le préconisent les autorités en matière de sécurité du numérique.

Qu’avez-vous le plus apprécié parmi les solutions apportées par MonServiceSécurisé ?

MonServiceSécurisé a l’avantage d’être simple d’utilisation et d’être en même temps une solution de confiance, développée par l’ANSSI. Nous sommes éditeurs interministériels d’application dans le domaine des ressources humaines, et l’utilisation d’un outil porté par l’ANSSI pour réaliser les homologations de sécurité d’une partie de nos services peut constituer un gage de confiance pour nos partenaires.

L’ANSSI (Agence nationale de la sécurité des systèmes d’information) et le BSI (Bundesamt für Sicherheit in der Informationstechnik) ont signé en juin 2022 un accord de reconnaissance mutuelle des certificats de sécurité pour les schémas CSPN (Certification de Sécurité de Premier Niveau) et BSZ (Beschleunigte Sicherheitszertifizierung). Cette publication conjointe, met l’accent sur ces types de schémas de certification de sécurité qui ont la particularité d’être réalisés dans des délais prédéterminés et d’alléger l’effort pesant sur les fournisseurs de produits.

Pour découvrir cette publication conjointe, cliquez sur le lien ci-dessous.

Publication conjointe ANSSI / BSI – 2022

Il s’agit de la cinquième publication conjointe entre l’ANSSI et le BSI.

Vous souhaitez (re)découvrir les précédentes publications : 2018 / 2019 / 2020 / 2021

Avec plus de 100 organisations participantes sur tout le territoire national, REMPAR22 fédère cet écosystème dans sa diversité autour d’un exercice cyber commun. Dispositif aujourd’hui inédit en France, la mise en place de cet exercice au sein du Campus Cyber, s’inscrit dans une stratégie d’entraînement cyber globale au profit d’acteurs publics, d’entreprises et d’associations, de niveau décisionnel et opérationnel.

Cet événement illustre une volonté forte de collaboration poussée afin d’améliorer le niveau global de cybersécurité en France. Face à des attaques qui se multiplient, il est essentiel de s’interroger sur les capacités des organisations françaises à répondre à une crise majeure sur leurs services. Les participants à l’exercice seront ainsi rassemblés dans une entreprise fictive en proie à une cyberattaque de grande ampleur et devront se coordonner afin de gérer la pression et d’opter pour les bons réflexes afin d’assurer une continuité d’activité.

L’exercice REMPAR22 est à l’initiative de trois instances, l’ANSSI, le Campus Cyber et le CCA, qui collaborent de façon rapprochée pour une organisation efficace. Tous ensemble, ils ont défini des objectifs pour cette séquence :

• Sensibiliser aux enjeux de continuité d’activité face au risque de « blackout » numérique ;
• Tester les dispositifs de gestion de crise afin de s’assurer de la prise en compte des spécificités des cyberattaques ;
• Entrainer la coordination des acteurs entre eux et au sein d’un même secteur ;
• Travailler les modalités de communication de crise en interne et en externe ;
• Créer des dynamiques de partage et d’échange entre les communautés et les secteurs.

Cet événement de premier plan réunit 90 partenaires et 4000 visiteurs des secteurs publics et privés de la cybersécurité pendant trois jours. Enjeux sociétaux, recherche et innovation, développement économique et industriel, coopération européenne sont autant de thématiques qui seront au programme de cette 7^e édition.

Sur notre stand 32, nos agents se rendront disponibles pour vous rencontrer, vous présenter nos dernières actualités et répondre à vos questions. Vous aurez également l’occasion d’échanger avec nos équipes sur les opportunités pour rejoindre l’ANSSI, à quelques mois de l’ouverture de notre nouvelle antenne rennaise.

Les temps forts

• Le 15 novembre de 18h30 à 19h15, keynote de Guillaume Poupard – La Nef niveau 0 (ouvert à l’ensemble des visiteurs)
• Le 16 novembre à 9h30, conférence de presse de présentation des résultats de la nouvelle enquête de l’Observatoire des métiers de l’ANSSI, avec Guillaume Poupard, directeur général de l’ANSSI, et Aurélie Bauer, cheffe du Centre de Formation à la Sécurité des Systèmes d’Information (réservé aux journalistes)
• Le 16 novembre, participation de l’ANSSI au forum du recrutement

Retrouvez-nous lors des conférences et tables-rondes

• Le 15 novembre à 9h30: table-ronde « Femmes dans la cyber », avec Melissa Rossi, cryptologue à l’ANSSI
• Le 15 novembre à 15h30: table-ronde « Villes et territoires numériques de confiance face à la menace cyber », avec Yves Verhoeven, sous-directeur Stratégie de l’ANSSI
• Le 15 novembre à 15h 30 : conférence C&ESAR «Zero Trust – faut-il avoir confiance ? », avec Michaël Dechandon et David Passani, architectes SSI à l’ANSSI
• Le 17 novembre à 11h30 : table-ronde « Enjeu de la certification et de la maturité Cyber », avec Sara Sellos, coordinatrice sectorielle Défense à l’ANSSI

En savoir plus : ECW 2022 | European Cyber Week | Rennes (european-cyber-week.eu)

La task force d’experts français organisée par l’AFNOR (Structure AFNOR/CN CYBERSECURITE | Norm’Info) en lien avec le Club EBIOS et l’ANSSI (représentée par le bureau Management des Risques Cyber) a participé pendant plus de trois années aux travaux de révision de la norme ISO27005.

Cette task force a porté avec succès, lors de réunions internationales qui se sont tenues dès 2019, les enjeux de cette révision :

• ancrer plus fortement EBIOS Risk Manager dans la standardisation afin de pouvoir toucher plus facilement la sphère privée et internationale ;
• mettre en valeur la méthode EBIOS Risk Manager comme étant une instanciation de l’ISO/CEI 27005:2022 « by design » (plus d’informations sur l’analyse technique de la comptabilité EBIOS Risk Manager et ISO27005:2022:  Club EBIOS – lien-ebiosrm-iso27005 (club-ebios.org)

L’alignement des solutions labellisées EBIOS Risk Manager vis-à-vis de la norme révisée ISO/CEI 27005:2022 (vocabulaire, termes, etc.) sera pris en compte lors de la mise à jour du référentiel de labellisation EBIOS Risk Manager.

Les prestataires d’accompagnement et de conseil en sécurité des systèmes d’information (PACS) ont pour objectif d’assister les responsables de la sécurité des systèmes d’information et leurs équipes dans leur mission de gestion des risques et de protection des systèmes d’information.

Compte tenu de la complexité et de la sensibilité croissante des systèmes d’information dans leurs dimensions techniques, organisationnelles ou encore réglementaires, l’ANSSI a élaboré un référentiel visant à apporter aux commanditaires de telles prestations les garanties nécessaires sur les compétences des prestataires, le processus d’accompagnement et de conseil ainsi que la sécurité du système d’information lié aux prestations.

Afin de compléter les dispositions de la première version de référentiel et de répondre aux besoins des organisations face à la montée de la menace cyber, l’ANSSI propose l’intégration d’une nouvelle activité dans le référentiel PACS visant à identifier les prestataires en préparation aux crises d’origine cyber. Ces prestations ont pour objectif de permettre la montée en maturité des organisations commanditaires, notamment en complétant leur dispositif et leur gouvernance de gestion de crise avec un volet cyber, en formalisant des plans tels que PCA et PRA cyber, en créant des fiches réflexes pour améliorer la réponse des équipes dirigeantes, opérationnelles, techniques et de communication, en créant une stratégie de formation et d’entraînement, ou encore en organisant des exercices de crise.

Cette nouvelle activité est mise en ligne aujourd’hui dans le cadre d’un appel public à commentaires. Les observations, les commentaires et les propositions peuvent être transmis jusqu’au 16 décembre 2022, de préférence par courriel, à l’adresse qualification@ssi.gouv.fr et à l’aide de la fiche de lecture ci-dessous.

Les exigences relatives à cette nouvelle activité de préparation aux crises d’origine cyber apparaissent en marques de révision dans le référentiel.

L’ANSSI remercie par avance tous ceux qui répondront à cet appel à commentaires.

À la suite du recueil et de la prise en compte des commentaires, l’ANSSI intégrera les suggestions pertinentes en parallèle de celles identifiées lors de la phase expérimentale actuellement en cours, et ce afin de pouvoir publier un référentiel consolidé dans les prochains mois. L’activité « préparation aux crises d’origine cyber » ne fera pas l’objet de phase expérimentale.

A l’occasion de ce grand rendez-vous annuel des acteurs de la cybersécurité, il s’exprimera sur la professionnalisation de la menace et reviendra sur la nécessité de changer d’échelle pour élever notre niveau de cybersécurité. NIS 2, cloud, innovation : les défis à relever sont nombreux et s’imposent à tous afin d’élever le niveau de cybersécurité de la Nation.

Il participera ensuite à une table ronde aux côtés de Christian-Marc Lifländer, chef de la Section Cyberdéfense à l’OTAN.

Suivez l’intervention de Guillaume Poupard en direct sur la chaîne YouTube de l’événement : Les Assises de la cyber.

Plusieurs agents de l’ANSSI interviendront également lors de tables rondes pendant l’événement :

• Le mercredi 12 octobre de 17h à 17h45 : « Comment avoir confiance dans l’écosystème ? », Vivien Mura, Chef de division Industrie et Technologies, Sous-Direction Expertise ANSSI
• Le vendredi 14 octobre de 15h à 15h45 : « L’apport d’Ebios RM dans la cybersécurité de la supply chain », Vincent Loriot, Chef de la division Management de la Sécurité Numérique, Sous-Direction Stratégie ANSSI

En savoir plus : lesassisesdelacybersecurite.com

L’événement, dont le thème était « Maintien à l’état de l’art : promouvoir les bonnes pratiques de sécurité en France et en Europe », a également accueilli la 4^e cérémonie de remise du Visa de sécurité ANSSI, cérémonie annuelle depuis le lancement de la marque en 2018.

Au cours de cette journée, des intervenants de l’ANSSI, mais aussi de l’INRIA et des représentants d’acteurs industriels sont revenus sur le bilan du volet cybersécurité de France Relance, les initiatives européennes en matière de sécurité numérique, le transfert technologique et les projets de recherche, l’évolution des processus de certification et qualification, et l’utilisation de l’analyse statique de code.

Enfin, Emmanuel Naëgelen, directeur général adjoint de l’ANSSI, a remis le Visa de sécurité aux entreprises ayant obtenu de nouvelles certifications et qualifications pour leurs produits et services. Félicitations à elles !

Félicitations également aux entreprises qui avaient déjà obtenu le Visa de sécurité ANSSI lors d’une précédente édition, et qui font l’effort de maintenir leurs engagements.

Le Visa de sécurité en 2021 : 88 certifications délivrées et 167 qualifications délivrées, + 4% de solutions ayant obtenu un Visa de sécurité ANSSI entre 2020 et 2021.

Plus d’infos sur le Visa de sécurité ANSSI

En octobre, nous nous mobilisons aux côtés de nombreuses entités afin de vous proposer un programme ambitieux et pédagogique, dans la vie personnelle comme professionnelle. Vous souhaitez devenir un acteur du Cybermoi/s pour sensibiliser votre entourage, familial ou professionnel aux enjeux de la sécurité du numérique ? Consultez les kits et ressources pédagogiques qui seront mises à disposition tout au long du mois d’octobre : affiches, posters, BD et kit de communication comprenant signature mail et bannières réseaux sociaux. Suivez et relayez la campagne tout au long du mois sur les réseaux sociaux avec le #Cybermois !

Derrière les contenus et événements créés à l’occasion du Cybermoi/s se trouve un groupe de travail co-piloté par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et Cybermalveillance.gouv.fr. Le Cybermoi/s regroupe une vingtaine d’entités, essentiellement des ministères, associations et organisations professionnelles, mais aussi des acteurs privés, qui travaillent tout au long de l’année afin de vous offrir des ressources clés en main qui renforceront vos mécanismes de défense face aux dangers des espaces numériques.

Lancé en France en 2019, le Cybermoi/s est la déclinaison de la campagne européenne European Cybersecurity Month (ECSM), portée par plus d’une vingtaine de pays en Europe. L’objectif ? Aborder à plusieurs voix les défis que représente la transition numérique. Retrouvez plus d’informations sur les autres campagnes européennes et les actions de l’ENISA, l’institution européenne en charge de l’ECSM : https://cybersecuritymonth.eu/

EN SAVOIR PLUS SUR LE CYBERMOI/S 2022

Les Partenaires du Cybermoi/s

Le NIST (National Institute of Standards and Technology, organisme de standardisation américain) organise depuis 2016 un concours international en vue de la standardisation d’algorithmes cryptographiques post-quantiques. Dans le cadre de ce concours, le NIST a publié le 6 juillet dernier une liste de quatre premiers algorithmes sélectionnés : un algorithme d’établissement de clé nommé CRYSTALS-Kyber ; et trois algorithmes de signature nommés CRYSTALS-Dilithium, FALCON et SPHINCS+. Les trois premiers de ces algorithmes sont fondés sur les réseaux euclidiens structurés ; le dernier, SPHINCS+, est fondé sur des constructions en arbres de hachage.

Ces quatre algorithmes serviront donc de base à la rédaction de normes fédérales américaines. Cependant, la portée de l’annonce du NIST est en fait internationale ; cela est dû non seulement au caractère international de la compétition dans laquelle la communauté de recherche en cryptographie est très fortement impliquée, mais aussi au fait que les futures normes américaines seront également _de facto_ utilisées comme standards industriels internationaux.

En complément des quatre vainqueurs déjà cités, un prolongement de la campagne de standardisation est prévu pour quatre algorithmes : il s’agit des algorithmes d’établissement de clé BIKE, HQC, Classic McEliece (tous trois fondés sur les codes correcteurs d’erreur) et SIKE (fondé sur les graphes d’isogénies de courbes elliptiques). Certains de ces algorithmes pourraient donc ultérieurement rejoindre le même processus de standardisation que les quatre algorithmes déjà sélectionnés. L’objectif final du NIST est effectivement de pouvoir standardiser un éventail varié d’algorithmes de manière à couvrir une majorité de cas d’usages.

D’un point de vue scientifique, l’ANSSI est satisfaite du choix effectué par le NIST. Les algorithmes choisis paraissent en effet offrir des perspectives raisonnables quant à leur sécurité à long terme. On peut donc désormais considérer les quatre algorithmes CRYSTALS-Kyber, CRYSTALS-Dilithium, FALCON et SPHINCS+ comme des choix à envisager dans la majorité des cas pour la sélection d’algorithmes post-quantiques pour la conception de produits de sécurité.

Toutefois, il est important de noter que l’étape franchie par le NIST dans son processus de standardisation ne constitue pas une validation définitive de la sécurité des algorithmes retenus. Par conséquent, la doctrine française en ce qui concerne les algorithmes post-quantiques, présentée dans un avis scientifique et technique en janvier 2022, n’est pas modifiée par cette annonce. En effet, même si ces algorithmes sont prometteurs, l’ANSSI ne recommande en aucun cas le remplacement direct des algorithmes actuels par ces nouveaux futurs standards. Dans les années qui viennent, ces algorithmes post-quantiques devront encore être utilisés dans un mode hybride, c’est à dire combinés avec un algorithme à clé publique pré-quantique reconnu et éprouvé (à l’exception de mécanismes uniquement fondés sur la sécurité de fonctions de hachage comme SPHINCS+, pour lesquels l’hybridation est optionnelle). Les modes d’hybridation en cours de standardisation par l’ETSI et les spécifications IETF en cours d’élaboration pour l’hybridation dans les protocoles de communications sécurisées TLS 1.3 et IKEv2 pourraient par exemple être des solutions pour les futurs déploiements.

Notons de plus que la sélection opérée par le NIST ne doit pas être comprise comme une liste « fermée » d’algorithmes post-quantiques utilisables. En effet, certains algorithmes qui n’ont pas été retenus mais qui semblent disposer d’une sécurité à long terme au moins équivalente à celle des algorithmes sélectionnés (comme par exemple le mécanisme d’établissement de clé FrodoKEM, fondé sur les réseaux euclidiens non structurés) peuvent demeurer une option digne d’intérêt pour des applications de haute sécurité suffisamment peu contraintes en termes de bande passante. D’une manière générale, l’ANSSI souhaite continuer à encourager la recherche et la R&D en cryptographie post-quantique, qu’il s’agisse de l’analyse de la difficulté des problèmes mathématiques sous-jacents, de l’intégration des algorithmes post-quantiques dans des protocoles hybrides de communication, de l’analyse de sécurité formelle des modes d’hybridation ou de la conception et l’analyse d’implémentations sécurisées.

Les quatre algorithmes sélectionnés et les quatre algorithmes retenus pour le prolongement de la campagne de standardisation résultent de coopérations internationales. Mais la liste de leurs co-auteurs et leurs affiliations n’en illustrent pas moins de manière frappante l’extraordinaire vitalité de la recherche française et de la recherche européenne en cryptographie.

Dès l’entrée en vigueur de l’accord, les certificats valides et publics précédemment délivrés seront reconnus en France comme en Allemagne, tandis que les prochains le seront dès leur publication. L’accord a vocation à couvrir l’ensemble des certificats émis par les deux schémas mais peuvent en être exclus s’ils sont, par exemple, soumis à une réglementation nationale spéciale.

Outre la reconnaissance mutuelle des certificats, l’accord pose les bases d’une coopération renforcée entre les organismes de certification de l’ANSSI et du BSI. Les échanges techniques réguliers sur la poursuite de l’harmonisation  CSPN et BSZ, ainsi que sur le développement de ces schémas, pourront bénéficier d’un cadre formalisé.

Cet accord représente un pas supplémentaire vers l’harmonisation globale des schémas de certification s’appuyant sur dans un délai d’évaluation prédéterminé. La norme européenne FiTCEM (Fixed Time Cybersecurity Evaluation Methodology for ICT products, prEN 17640), en cours d’élaboration, permettra d’étendre au niveau européen l’harmonisation des ces pratiques, notamment via la création d’un système européen de certification basé sur le Cybersecurity Act.

Se déroulant au Campus Cyber, cette semaine de réunions intervient quelques jours après l’obtention d’un accord politique provisoire sur la révision de la directive NIS visant à relever le niveau global de cybersécurité des écosystèmes européens publics comme privés. Quelques mois après la séquence d’exercices (EU CyCLES) organisée pour tester et renforcer la coopération en cas de crise majeure d’origine cyber, elle a permis des partager des expériences nationales et européennes. Ces échanges ont été enrichissants à l’aune, notamment, des tensions internationales causées par l’invasion de l’Ukraine par la Russie.

Réseau CSIRTs Network

Depuis sa création en 2017, le réseau a démontré sa capacité à coopérer en amont et en réaction à la menace cyber grâce à la solide confiance forgée entre les équipes de réponse aux incidents. A la tête du trio de présidence, le CERT-FR œuvre à optimiser les échanges entre les membres du réseau et encourage au quotidien une plus large participation aux travaux du réseau. Un moment de retrouvailles précieux pour chaque participant, qui, après de longs mois de pandémie, a offert des échanges techniques sur la menace et les incidents récents toujours aussi qualitatifs et instructifs. Les réflexions sur l’accroissement des moyens et actions permettant la montée en maturité de chacun de ses membres comme du groupe, aussi bien capacitaire que technique, se réaffirment comme l’un des objectifs majeurs du réseau.

CyCLONe

Fort de l’expérience acquise après un an et demi d’existence informelle, le réseau CyCLONe, dont les missions seront prochainement inscrites dans le droit européen, a abordé l’ensemble des activités structurantes pour le réseau. Parmi les thèmes d’échange figuraient notamment la définition des mécanismes de coopération et des interactions avec les niveaux technique et politique de gestion de crise. Avec l’approche de l’exercice paneuropéen de gestion de crise Cyber Europe 2022, organisé par l’ENISA en juin, les membres ont également échangé autour des objectifs de ce type d’entraînements. A la sortie de pandémie, il s’agissait également d’une rare opportunité pour les dirigeants européens en charge de la gestion de crise cyber de se rencontrer pour échanger sur l’état de la menace et les enjeux posés par le contexte actuel.

Groupe de coopération NIS

Avec l’extension de son mandat prévu par NIS2, le Groupe de coopération continue de démontrer sa place de forum européen quant à l’ensemble des sujets de cybersécurité. Ses membres ont d’ailleurs déjà commencé à échanger sur les futurs enjeux de la transposition de la nouvelle directive. Des sujets plus thématiques ont également été abordés, comme les travaux récents du Groupe sur la sécurité de la 5G et d’Open RAN.

Merci à tous les participants, l’ENISA, à la Commission européenne pour leur participation active et au Campus Cyber pour leur accueil !

L’ANSSI participe au FIC, cette année encore, par le traditionnel discours de son directeur général, Guillaume Poupard, le 8 juin à 9h10, ainsi qu’une conférence de presse le même jour à 14h30. Sur notre stand A18, nos agents se rendront disponibles pour vous rencontrer, vous présenter nos dernières actualités et répondre à vos questions. Vous aurez également l’occasion d’échanger avec nos agents sur les questions de recrutement, de formations et du Visa de sécurité.

Cette année, les agents de l’ANSSI participeront à des table-rondes tout au long de ces trois journées autour de la souveraineté numérique, de la réponse à incident, de la sécurité des données et de la transformation numérique, ainsi que du management des risques cyber. Au vu de l’actualité, nous partagerons notre retour d’expérience sur l’état de la menace et soulignerons la nécessité de collaborer pour renforcer notre protection contre les risques cyber.

Les temps forts

• Le 7 juin à 9h45, forum santé de l’ARS Hauts de France, intervention d’Emmanuel Naëgelen, directeur général adjoint de l’ANSSI.
• Le 8 juin à 9h10, intervention de Guillaume Poupard, directeur général de l’ANSSI, en salle plénière.
• Le 8 juin à 14h30, conférence de presse de Guillaume Poupard (réservée aux journalistes sur inscription).

Retrouvez-nous lors des tables rondes

• Le 7 juin de 15h à 15h30 : « Stratégie Cyber, où en sommes-nous ? », Gwenaëlle Martinet, cheffe de projet France Relance à l’ANSSI.
• Le 8 juin de 11h à 12h, «Pénurie de compétences : quelles solutions ? », Aurélie Bauer, cheffe du centre de formation à la sécurité des systèmes d’information (CFSSI).
• Le 8 juin de 11h à 12h, « Réponse à incident : La stratégie de moyens ne suffit pas ! », Mathieu Couturier, chef du bureau Management des crises cyber à l’ANSSI.
• Le 9 juin de 13h à 14h, « Sécuriser les identités numériques pour exploiter les données en toute confiance », Hugo Mania, chargé de mission identité numérique, biométrie & confiance numérique à l’ANSSI.
• Le 9 juin de 13h à 14h, « Les collectivités en première ligne », François Degez, chef de la division Coordination territoriale à l’ANSSI.

En savoir plus : Accueil – Forum International de la Cybersécurité (forum-fic.com)

Retrouvez les principaux projets, dispositifs et partenariats qui ont marqué l’activité de l’ANSSI en 2021.

Consulter le rapport d’activité 2021

Télécharger le rapport d’activité 2021
Télécharger la bibliographie

Le succès des parcours de cybersécurité a démontré l’importance d’accompagner les collectivités territoriales pour renforcer leur cybersécurité. Un nouveau mécanisme, destiné en priorité à aider les communes et communautés de communes les plus petites, est aujourd’hui proposé.

Son but : soutenir l’acquisition, par les structures en charge de la transformation numérique des collectivités, de produits et services mutualisés pour leurs adhérents. Ces produits et services doivent renforcer le niveau de cybersécurité des structures bénéficiaires de manière simple et en adéquation avec leurs besoins immédiats de cybersécurité.

Qui est concerné : le dispositif est accessible aux structures de mutualisation en charge de l’accompagnement à la transformation numérique des collectivités territoriales. Il s’agit par exemple des opérateurs publics de services numériques, des centres de gestion départementaux, des syndicats mixtes en charge du numérique. Seuls les structures publiques, associatives ou les groupements d’intérêt public pourront être subventionnés.

Comment candidater : chaque candidat dépose un projet sur la plateforme Démarches simplifiées, détaillant son projet, les bénéficiaires, le coût et le calendrier du projet. Le soutien se fait au travers d’une subvention calculée selon le nombre d’habitants concernés par collectivité adhérente, plafonnée pour les communes les plus importantes, et incluant un soutien pour le déploiement et la mise en service.

Retrouvez toutes les informations sur l’appel à projet ci-dessous !

Depuis avril 2019, l’ANSSI et le ministère de l’Éducation nationale, de la Jeunesse et des Sports (MENJS) s’associent dans le but commun d’œuvrer au développement de la formation des élèves à la cybersécurité – en tant que domaine d’apprentissage – au-delà de leur sensibilisation au risque numérique et aux bonnes pratiques en la matière (en savoir plus).

En permettant aux jeunes de se former à la cybersécurité, l’ANSSI et le MENJS souhaitent également permettre l’émergence de vocations pour le domaine, notamment chez les jeunes filles, moins nombreuses à choisir les carrières cyber.
Conçu par le Laboratoire d’innovation publique de l’ANSSI et le 110bis, CyberEnJeux est un kit destiné aux enseignants souhaitant former des élèves de collège (cycle 4) et de lycée à la cybersécurité en les accompagnant dans la conception de jeux sérieux sur ce thème. Dans le cadre de CyberEnJeux, la création de jeux par les élèves eux-mêmes constitue donc un moyen d’apprentissage et non un objectif en soi.

À cette fin, le kit CyberEnJeux inclut :
– des informations pratiques pour guider les enseignants dans la conception d’une séquence pédagogique de création de jeux sérieux avec les élèves ;
– 14 fiches thématiques dédiées à différents enjeux de cybersécurité destinées prioritairement aux enseignants afin de les aider à acculturer leurs élèves à ces enjeux ;
– 14 fiches “objectifs pédagogiques” ayant vocation à être sélectionnées par les élèves en vue de guider la thématique de leur jeu ;
– du matériel de prototypage de jeux et une vidéo de présentation de l’usage possible de ce matériel.

Avec CyberEnJeux, l’ANSSI et le MENJS entendent agir sur trois volets importants du développement de l’enseignement à la cybersécurité chez les jeunes :
– L’élaboration de ressources pédagogiques permettant de développer la formation des élèves à la sécurité numérique, au travers d’enseignements adaptés.
– La formation des enseignants à la cybersécurité afin de leur permettre de guider les élèves dans ces apprentissages.
– Le développement d’outils d’apprentissage innovants, aptes à intéresser les enseignants et les élèves à la formation à la cybersécurité.

Une première expérimentation au sein de 10 établissements

En juin 2021, un appel à volontaires a été lancé à la communauté éducative en vue de tester CyberEnJeux auprès d’élèves de collège et de lycée dès la rentrée 2021-2022. Dix enseignants ont répondu présent et ont testé entre octobre 2021 et janvier 2022 une séquence axée sur la création de jeux sérieux sur la cybersécurité basée sur CyberEnJeux au sein de leur établissement. Au total plus de 300 élèves ont participé à l’expérimentation et plusieurs dizaines de jeux ont ainsi été créés.

Lors de l’expérimentation, l’ANSSI et le MENJS souhaitaient tester plusieurs hypothèses, au premier rang desquelles :
– L’intérêt des enseignants au regard de leurs enseignements pour la formation de leurs élèves à la cybersécurité et pour un format d’apprentissage innovant (la création de jeux).
– L’utilité des ressources pédagogiques élaborées à leur profit et leur capacité à les restituer aux élèves.
– L’intérêt des élèves pour le domaine de la cybersécurité.

Bilan de l’expérimentation : des retours positifs et le lancement d’une nouvelle version en vue d’une diffusion plus large à l’échelle des académies de métropole et d’outre-mer.

Un bilan détaillé de l’expérimentation a été élaboré dans un rapport, faisant, pour commencer, état des retours enthousiastes des enseignants et des élèves ayant participé à la séquence CyberEnJeux. Plusieurs séquences pédagogiques ont également fait l’objet de valorisation, via les réseaux sociaux, au travers d’articles rédigés par les enseignants relatant l’expérimentation, une vidéo de présentation ou encore dans la presse.

L’expérimentation a, en outre, permis de valider les principales hypothèses posées au départ :
– Les élèves ont montré un intérêt très vif pour les enjeux de cybersécurité, en particulier sur les sources de menaces et les moyens de se protéger mais aussi sur des thématiques plus politiques comme les enjeux de paix et de sécurité internationale.
– Les enseignants ayant participé à CyberEnJeux confirment avoir acquis de nouvelles connaissances au sujet de la cybersécurité au travers des fiches pédagogiques considérées comme intéressantes et utiles. Lorsque des temps de formation dédiés ont été prévus, les enseignants sont également parvenus à acculturer les élèves à ces enjeux.
– La séquence CyberEnJeux a trouvé une place naturelle dans le cadre de l’enseignement de seconde des sciences numériques et technologie mais également dans d’autres enseignements en pouvant se raccrocher à plusieurs référentiels de compétences, permettant l’évaluation des élèves.
– Le format pédagogique innovant d’implication des élèves dans la création de jeux sérieux a été très apprécié et a suscité, au-delà des hypothèses initiales, d’autres développements positifs : autonomie des élèves, auto-organisation, auto-formation. À titre d’anecdote rapportée par un enseignant, un élève de seconde en situation de décrochage s’est, au travers de CyberEnJeux, réinvesti dans son parcours scolaire.

Plusieurs axes d’amélioration de CyberEnJeux ressortent des retours détaillés collectés auprès des enseignants, notamment sur le temps de préparation et de pilotage de la séquence par les enseignants, la formalisation des modalités d’évaluation de la participation des élèves au regard des référentiels de compétences existants, ainsi que le conseil aux enseignants sur l’accompagnement des élèves dans les différentes étapes de conception d’un jeu sérieux.

Fort des résultats positifs de l’expérimentation et des axes d’amélioration identifiés, le MENJS et l’ANSSI ont décidé d’élaborer une nouvelle version de CyberEnJeux en vue de le diffuser plus largement à l’échelle des académies de métropole et d’outre-mer.

Télécharger le bilan de l’expérimentation
Télécharger les annexes du bilan de l’expérimentation

Pour en savoir plus :

Conçu sous licence Etalab 2.0, le kit CyberEnJeux est accessible dans sa version Bêta. Une version mise à jour de CyberEnJeux est en cours de conception. CyberEnJeux est accessible à tout curieux souhaitant approcher de manière ludique la cybersécurité, qu’il s’agisse d’agents publics gravitant dans les sphères éducatives et/ou sécurité numérique, de membres d’une collectivité territoriale, d’une association, etc.
Télécharger le document dans sa version bêta (format PDF)

N’hésitez pas à informer le laboratoire d’innovation de l’ANSSI et du 110bis de vos utilisations du kit : nous serons ravis de récolter vos retours en vue de l’améliorer ! Contactez-nous à lab-innov[at]ssi.gouv.fr et à 110bis[at]education.gouv.fr.

Le constat est partagé depuis plusieurs années : il y a un cruel manque de professionnels dans le monde de la sécurité du numérique, et pourtant la cybersécurité est une filière d’avenir !

En tant qu’autorité nationale de la sécurité des systèmes d’information, l’ANSSI, au travers de son Centre de formation à la sécurité des systèmes d’information (CFSSI), a mis en place des dispositifs pour impulser, encourager et reconnaître les initiatives en matière de développement de formations à la sécurité des systèmes d’information.

Les labels de l’ANSSI – et plus largement l’ensemble de l’offre de formation de l’agence – a pour volonté de guider les entreprises dans leur politique de recrutement, d’accompagner les porteurs de formation et d’encourager les étudiants ou les salariés en reconversion.

Plus précisément, l’ANSSI a lancé en 2017 l’initiative SecNumedu, qui labellise des formations d’enseignement supérieur spécialisées en cybersécurité dès lors qu’elles répondent à une charte et des critères définis en collaboration avec les acteurs et professionnels du domaine. Actuellement, il existe 47 formations initiales labellisées, réparties sur l’ensemble du territoire. Le label SecNumedu-FC se concentre, quant à lui, sur les formations continues courtes. Il a déjà permis de labelliser 30 formations.

Le Centre de formation à la sécurité des systèmes d’information (CFSSI) de l’ANSSI propose également des formations dispensées par un grand nombre de ses experts au profit des agents de la fonction publique, des OIV et des OSE, sous la forme de stages courts et d’un cycle long permettant d’obtenir le titre d’expert en sécurité des systèmes d’information (ESSI).

Offrir à chacun la possibilité de s’initier à la sécurité du numérique

Grandement corrélées à la numérisation de nos sociétés, les cybermenaces ont un impact croissant sur nos vies. Il est donc essentiel de former le plus grand nombre de citoyens aux enjeux de la cybersécurité.

L’ANSSI a lancé un ambitieux programme de sensibilisation au travers de son premier cours en ligne, le MOOC SecNumacadémie, afin que chacun puisse devenir acteur de sa sécurité numérique.

Étudiants, salariés, dirigeants d’entreprise ou particuliers : le MOOC SecNumacadémie de l’ANSSI s’adapte aux besoins de différents publics, non experts, en proposant des contenus pédagogiques ludiques et accessibles à tout moment gratuitement.

En 3 ans, plus de 250 000 personnes se sont déjà inscrites au MOOC, afin d’être initiées à la cybersécurité ou d’approfondir leurs connaissances, afin de pouvoir agir efficacement sur la sécurité de leurs systèmes d’information (SSI).

Acculturer dès l’école aux enjeux de cybersécurité

Dernier constat et non des moindres, il est essentiel d’intégrer dès le plus jeune âge les bases de la sécurité informatique – à l’école d’abord. Depuis avril 2019, l’ANSSI et le ministère de l’Education nationale, de la Jeunesse et des Sports (MENJS) s’associent dans un but commun : œuvrer à la meilleure formation des jeunes aux enjeux de cybersécurité et encourager les vocations dans le domaine.

L’ANSSI a ainsi contribué à la mise en place avec le service public en ligne PIX d’un référentiel des compétences en cybersécurité. Rappelons que la certification PIX est désormais obligatoire pour tous les élèves de 3e et de Terminale.

L’agence a également créé un kit d’aide à la création de jeux sur la cybersécurité, destiné aux enseignants et élèves de collège et de lycée. Co-conçu par le laboratoire d’innovation de l’ANSSI et le 110 bis, laboratoire d’innovation du ministère de l’éducation nationale, ce kit CyberEnJeux a déjà permis à plus de 300 élèves de s’acculturer au domaine de la cybersécurité lors de la première expérimentation menée entre octobre 2021 et janvier 2022.

Enfin, cette intégration des bases de la sécurité informatique peut également être effectuée au sein de l’enseignement supérieur. C’est exactement l’objectif de l’association CyberEdu, visant à proposer des contenus pédagogiques et des ressources aux porteurs de formations d’enseignement supérieur en informatique, non spécialisées en cybersécurité, afin de sensibiliser leurs élèves à ce domaine et d’intégrer des cours sur la sécurité informatique, dans leur parcours universitaire.

Le Campus Cyber, un tremplin pour fédérer les énergies au service de la formation à la SSI

Afin de promouvoir l’excellence française en matière de cybersécurité, il est nécessaire de fédérer les talents et les acteurs du secteur dans un lieu commun, autour des mêmes valeurs : le partage, l’excellence et la confiance. Toutes les parties prenantes en ont conscience. Pour favoriser cette dynamique vertueuse, le Centre de formation à la sécurité des systèmes d’information (CFSSI) s’installera prochainement au Campus Cyber, lieu totem de la cybersécurité où sont rassemblés les principaux acteurs nationaux et internationaux du domaine.

L’intégration au Campus contribuera à renforcer le développement des partenariats avec les entités présentes au Campus, favorisant les synergies entre les acteurs publics, les écoles, les entreprises et les laboratoires de recherche, afin de renforcer la montée en compétence de l’écosystème, susciter des vocations dans une filière très en demande et attirer les talents de demain. L’ANSSI engagera toute son expertise et son expérience, fruit des travaux menés depuis plus de 10 ans en collaboration avec tous les acteurs du secteur.

Pour en savoir plus, retrouvez ci-dessous :

• Le catalogue des stages proposés par le CFSSI
• Le Titre ESSI
• SecNumedu, labellisation de formations initiales en cybersécurité de l’enseignement supérieur
• SecNumedu-FC, labellisation de formations continues en cybersécurité
• CyberEdu, sensibilisation pour les formations en informatique
• SecNumAcadémie, la formation en ligne sur la sécurité informatique gratuite et ouverte à tous
• CyberEnJeux : au collège et au lycée, former à la cybersécurité par le jeu.

Plus protecteur face aux lois extra-européennes

La version 3.2 de SecNumCloud explicite des critères de protection vis-à-vis des lois extra-européennes. Ces exigences garantissent ainsi que le fournisseur de services cloud et les données qu’il traite ne peuvent être soumis à des lois non européennes. SecNumCloud 3.2 intègre également le retour d’expérience des premières évaluations et précise l’exigence relative à la mise en œuvre de tests d’intrusion tout au long du cycle de vie de la qualification. Concernant les solutions déjà qualifiées SecNumCloud, elles conservent leur Visa de sécurité et l’ANSSI accompagnera si nécessaire les entreprises concernées pour assurer la transition.

« Afin de favoriser un environnement numérique protecteur et en phase avec les évolutions technologiques, y compris pour les données et les applications les plus critiques, l’identification des services cloud de confiance est indispensable. La qualification SecNumCloud contribue à répondre à ce besoin en attestant d’un très haut niveau d’exigence en matière de sécurité numérique, tant du point de vue technique qu’opérationnel ou juridique » précise Guillaume Poupard, directeur général de l’ANSSI.

La stratégie d’évaluation SecNumCloud

Tous les services de Cloud peuvent prétendre à la qualification SecNumCloud. En effet, la qualification est adaptable aux différentes offres : SaaS (Software as a Service), PaaS (Plateform as a Service) et IaaS (Infrastructure as a Service)… Plus avant, la qualification d’une offre SaaS qui s’appuierait sur un socle déjà reconnu SecNumCloud se concentrera uniquement sur les développements propres au service en bénéficiant des travaux génériques réalisés sur le niveau de sécurité du socle qualifié, facilitant ainsi l’évaluation et son accessibilité, y compris pour les acteurs de taille modeste.

Afin d’établir une évaluation objective d’écart entre l’existant et le niveau requis par la qualification SecNumCloud, l’ANSSI va accompagner ses partenaires industriels avec qui elle entretient déjà d’étroits liens de confiance et leur recommander de se rapprocher des centres d’évaluation accrédités.

En ligne avec les propositions françaises sur le niveau élevé du schéma de certification européen pour les fournisseurs de services cloud

Pour éviter la fragmentation du marché, et en application du Cybersecurity Act de 2019, une harmonisation des mécanismes d’évaluation au niveau européen est en cours. Depuis 2019, la France est fortement impliquée dans l’élaboration du schéma de certification européen relatif aux prestataires de cloud (EUCS). Dans ce cadre, SecNumCloud 3.2 s’inscrit en pleine cohérence avec les travaux européens et sert de référence dans les travaux sur le niveau « élevé » de cette future certification.

Conforme aux exigences européennes relatives à la protection des données personnelles et aux suites de l’arrêt «Schrems II»

L’arrêt « Schrems II » de la Cour de justice de l’Union européenne a rappelé l’exigence de garantir une protection équivalente à celle offerte par le règlement général sur la protection des données (RGPD) lorsque des données personnelles de citoyens européens sont transférées hors de l’Union européenne (UE). Par ailleurs, et indépendamment de l’existence de transferts, certaines législations extraterritoriales n’offrant pas un niveau de protection essentiellement équivalent à celui garanti par le RGPD peuvent s’appliquer aux données stockées par les fournisseurs de cloud sur le territoire de l’UE. SecNumCloud 3.2 fournit à cet égard des garanties fortes en matière de protection vis-à-vis des législations non-européennes à portée extraterritoriale. Ces garanties permettront aux clients des offres de cloud qualifiées d’assurer leur conformité aux suites de l’arrêt « Schrems II » tout en écartant le risque d’un accès étranger incompatible avec le RGPD.

« Alors que la décision de la CJUE demande une analyse au cas par cas qui peut s’avérer complexe, le référentiel SecNumCloud 3.2 fournit une réponse qui est conforme by design aux exigences de la Cour en matière de protection des données dans le cloud. La CNIL recommande l’usage de ce référentiel pour les responsables de traitement qui veulent garantir un haut niveau de protection des données personnelles » indique Marie-Laure Denis, présidente de la Commission nationale de l’informatique et des libertés (CNIL).

Des cyberattaques nombreuses aux finalités diverses : gains financiers, espionnage, déstabilisation, sabotage

Alors que les années 2019 et 2020 avaient été marquées par une explosion des rançongiciels, cette menace s’est stabilisée, à un niveau néanmoins très élevé, entre 2020 et 2021, avec 203 attaques traitées contre 192 en 2020. Entitées touchées en premier lieu par les rançongiciels, les TPE, PME et ETI représentent 34% des victimes en 2021 (+53% par rapport à 2020) et sont suivies par les collectivités (19%) et les entreprises stratégiques (10%).

Ces attaques à finalité lucrative qui ont occupé le devant de la scène médiatique ne doivent pas occulter les campagnes d’espionnage et de sabotage, particulièrement préoccupantes. Les opérations d’espionnage informatique restent en effet la principale finalité poursuivie par les attaquants réputés étatiques et constituent l’essentiel de l’activité traitée dans le cadre des opérations de cyberdéfense conduites par l’ANSSI. Cette menace concerne autant les acteurs institutionnels que les acteurs privés.

Le ciblage d’infrastructures critiques est également une préoccupation majeure. Certes, les cybercriminels réduisent leur ciblage d’infrastructures critiques afin de gagner en discrétion et de moins s’exposer à des mesures répressives des Etats. Toutefois, le ciblage d’infrastructures critiques par des acteurs de niveau étatique continue, plus particulièrement dans le cadre de tensions géopolitiques exacerbées.

Enfin, l’ANSSI constate que de plus en plus d’actions de déstabilisation débutent par des compromissions informatiques. Ces dernières permettent ainsi d’exfiltrer des documents qui peuvent être divulgués en l’état, voire modifiés pour déstabiliser une organisation, une personnalité exposée ou encore un État. 39 divulgations de données à des fins de déstabilisation ont été signalées à l’ANSSI en 2021.

De failles de mieux en mieux exploitées

Malgré les publications sur les vulnérabilités découvertes, les organisations qui n’appliquent pas à temps les correctifs restent trop nombreuses. Cela laisse le champ libre aux attaquants pour les exploiter. L’année 2021 a connu une explosion du nombre de vulnérabilités 0-Day exploitées, utilisées en majorité par des acteurs présumés étatiques mais également par quelques groupes cybercriminels.

Les attaques ciblant la chaine d’approvisionnement (supply chain), continuent de croître, avec plus de 24 attaques documentées, entre janvier 2020 et juillet 2021, d’après l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA). Constat partagé par l’ANSSI qui a traité 18 compromissions affectant des entreprises de service numérique (ESN) en 2021 contre 4 en 2020. Ce ciblage accru des fournisseurs de services numériques présente des risques nouveaux puisque leurs outils numériques peuvent devenir des vecteurs de propagation rapide d’une cyberattaque et entraîner des compromission en cascade.

Les nouveaux usages numériques comme le Cloud sont également exploités par les cyberattaquants. La crise sanitaire ayant accéléré son usage dans les secteurs public et privé, l’utilisation généralisée du Cloud augmente mécaniquement le niveau de menace et la surface d’attaque. En effet, des défauts de sécurisation des données sont encore trop souvent constatés dans l’activité opérationnelle de l’ANSSI.

Enfin, la multiplication des divulgations de données facilite la conduite de nombreuses attaques informatiques. En effet, les données exfiltrées contiennent fréquemment des données d’authentification sur des systèmes d’information et fournissent donc une porte d’entrée idéale aux attaquants opportunistes. Le renforcement de la cybersécurité de ces données doit donc être une priorité.

Des attaquants de plus en plus performants

Dans le domaine de la cybercriminalité, la spécialisation et la professionnalisation des attaquants s’explique notamment par les gains financiers accumulés. Un véritable écosystème cybercriminel aux ressources considérables s’est ainsi progressivement constitué et perfectionné, ce qui lui permet de conduire des attaques sophistiquées. Aussi, les cybercriminels adoptent maintenant les modes opératoires habituels des attaquants réputés étatiques : préparation minutieuse de leurs opérations, persistance sur les réseaux des victimes, recherche de ressources d’intérêt, exploitation de vulnérabilités inconnues (ou 0-Day) ou connues mais dont les correctifs n’ont pas encore été appliqués sur les systèmes des potentielles victimes.

Quant aux cyberattaquants réputés étatiques, leurs compétences ne cessent de se développer, tout comme leur furtivité. En effet, pour mieux dissimuler leurs actions, les attaquants réputés étatiques s’inspirent directement des méthodes cybercriminelles en s’appropriant des codes et outils, traditionnellement utilisés à des fins lucratives tels que des rançongiciels ou des logiciels d’hameçonnage. Outre une rationalisation des coûts, cela permet aux Etats de nier de façon plausible toute implication.

Cette convergence des méthodes et outils utilisés par plusieurs profils d’acteurs malveillants complexifie la caractérisation précise des activités malveillantes et limite donc les possibilités d’imputation à des acteurs identifiés.

Enfin, le développement de capacités par les entreprises privées spécialisées participe directement à l’amélioration des capacités offensives d’acteurs n’ayant pas les moyens de les développer en interne ou ne souhaitant pas s’exposer directement. Cette mise à disposition de capacités avancées participe ainsi à la hausse générale du niveau de menace en multipliant ses sources et en favorisant un ciblage décomplexé.

Devenus l’affaire de tous, les cyberattaques n’épargnent aucun secteur d’activité. Tous les acteurs, qu’ils soient publics ou privés ont la main sur tous les outils pour y faire face : mettre en œuvre les mesures de cybersécurité adaptées, élever leur niveau de vigilance, sensibiliser leurs collaborateurs aux risques et s’exercer à la réaction en cas d’attaque. Afin d’endiguer les cyberattaques et de protéger leur activité et leurs données, il est, plus que jamais, essentiel que les organisations consentent les investissements, humains et financiers, nécessaires à leur sécurisation.

« Ce panorama met en lumière une menace complexe, professionnelle, aux intentions hétérogènes et en perpétuelle évolution. Notre travail de sensibilisation et d’accompagnement, auprès des entreprises et des administrations, a pour objectif d’élever, au sein de toute la Nation, la prise en compte du risque cyber au juste niveau, ce qui n’est pas encore le cas. A l’aune d’évènements majeurs tels que les élections qui se tiennent de cette année et des tensions internationales actuelles, la responsabilisation et la vigilance accrue de toutes les parties prenantes est indispensable pour faire face à cette menace. » commente Guillaume Poupard, Directeur général de l’ANSSI.

L’archivage des certificats CSPN permet de prendre en compte l’évolution rapide et constante de la menace et des techniques d’attaques.

La période de validité d’un certificat CSPN est désormais fixée à 3 ans, il est ensuite automatiquement archivé.
Cette action du centre de certification national permet d’assurer la cohérence avec les dispositions prises par le Cybersecurity Act, dans la perspective que cette méthodologie d’évaluation corresponde dans les années à venir à un nouveau schéma européen.

Cette démarche s’inscrit également dans le cadre de la prochaine ratification de l’accord de reconnaissance franco-allemand des certificats CSPN et de leurs équivalents allemands BSZ (Beschleunigte Sicherheitszertifizierung, Accelerated Security Certification) ; où les certificats BSZ ont une période de validité de 2 ans.