On nous avait habitués, ou du moins c'est ce que nous percevions, à des discours alarmistes, au manque de ressources, à la fragmentation du secteur. Quelle ne fut pas notre surprise d'entendre ce matin un Guillaume Poupard presque guilleret, se réjouissant des progrès réalisés depuis un peu plus d'un an.
Guillaume Poupard nous a gratifiés d'une introduction pour le moins originale lors de la conférence d'ouverture du FIC 2021, puisque c'est remerciant Pegasus, APT31 et autres joyeux ransomwares que le patron de l'ANSSI a commencé son discours. Explosion du nombre de cyberattaques aidant, « la menace, on la comprend » assène sur scène Guillaume Poupard. « Notre rôle, c'est nous tourner vers l'avenir, apporter des solutions ». Puis, choquant une bonne partie de l'assistance, le directeur général de l'ANSSI se déclare « satisfait de ce qu'on a fait en France ».
Stupéfaction dans la salle, ce n'est pas tous les jours qu'on entend le Monsieur Cyber de l'Etat se dire « satisfait ». Plus tard, en conférence de presse, Guillaume Poupard expliquera ne pas avoir « le sentiment qu'il y ait un changement de ton », tout en reconnaissant qu'il est « important de positiver, de se concentrer sur ce qui fonctionne ». Quand bien même certains sujets l'inquiètent, les attaques par supply chain en tête. Mais la chaîne étatique en place, le développement de l'expertise des prestataires privés, la stratégie d'accélération portée par William Lecat, le Campus Cyber, cette « utopie devenue réalité », les avancées au niveau européen... nombreux sont les progrès satisfaisants.
Positif mais pragmatique
D'autant que dans le cadre du plan de relance, l'ANSSI s'est vue accorder une enveloppe de 136 millions d'euros, encore de quoi enthousiasmer le patron de l'agence qui précise néanmoins que l'ANSSI ne peut pas « tout faire » : elle jouera « les catalyseurs », à travers notamment des projets tels que les CERT sectoriels et régionaux ou encore les parcours de sécurité. Et de compter sur le secteur privé, le public s'occupant pour sa part de coordination.
Mais il est un sujet sur lequel Guillaume Poupard, sans perdre son optimisme, se fait plus sombre : l'application du seul droit européen à l'hébergement dans le cloud de données et de processus critiques. La certification cloud au niveau européen, qui si elle est adoptée ventilera notre SecNumCloud national, implique des « choix politiques ». Or, si les Etats-membres convergent, rien n'est encore définitivement acté, du fait des craintes diverses des uns et des autres. Pour Guillaume Poupard, cette question est un « véritable marqueur ». « Si nous ne sommes pas capables de faire ça, ce n'est pas la peine d'avoir de grands discours sur la souveraineté européenne » insiste le directeur de l'ANSSI.