Transversal
3. Trois questions à Julien Payet de l'Anssi
Julien Payet est coordinateur sectoriel et responsable fonctionnel du bureau santé et société de l'Anssi, l'agence nationale de la sécurité des systèmes d'information.
Pouvez-vous me présenter l'ANSSI et ses missions ?
L'Agence nationale de la sécurité des systèmes d'information a été créée il y a 10 ans, directement rattachée au secrétaire général de la défense et de la sécurité nationale, sous l'autorité du Premier ministre. Nous y accompagnons les administrations et les OIV, les opérateurs d'importance vitale : environ 250 organismes privés et publics dans 12 secteurs d'activité, qui exploitent ou utilisent des installations jugées indispensables pour la survie de la Nation. Avec la loi de programmation militaire de 2013, les OIV doivent notamment appliquer des règles de sécurité à leurs systèmes d'information d'importance vitale, déclarer leurs incidents sur ces systèmes et se soumettre à des contrôles. En 2018, nous avons également identifié, via la directive européenne Network and Information Security (NIS), des OSE : opérateurs de services essentiels, au nombre de 122 aujourd'hui. Les OSE fournissent un service essentiel dont l'interruption aurait un impact significatif sur le fonctionnement de l'économie ou de la société. Ils doivent donc garantir un socle minimal de cybersécurité. La France a pris le parti d'ajouter d'autres secteurs essentiels à ceux qui avaient été identifiés, dont la logistique et les transports. Notre action au sein de l'ANSSI consiste dans un premier temps à « prévenir », mais également à « défendre », en jouant le rôle de cyber-pompier. Le troisième volet touche à l'information et la sensibilisation qui passent par des actions de communication notamment avec un site internet qui propose plus d'une cinquantaine de guides destinés à des publics très différents.
Quelles sont aujourd'hui les principales menaces qui peuvent impacter la supply chain ?
La supply chain dispose d'une surface d'attaque particulièrement élevée avec une multiplicité d'acteurs qui augmente le risque cyber (clients, fournisseurs, prestataires). Si l'attaquant cible une entité, il suffit qu'il y ait un maillon faible au milieu de la chaîne et il passera par cet acteur. La multiplicité des systèmes informatiques pour gérer des commandes, les livraisons, affréter une marchandise, passer un bon de transport, constituent également des risques. Les acteurs étant reliés entre eux, cela multiplie les canaux d'entrée et de latéralisation de l'attaque. D'autre part, les entrepôts se robotisent de plus en plus, ce qui est une vraie opportunité pour les acteurs malveillants. Pour autant, la numérisation croissante de la société n'est évidemment pas à rejeter puisqu'elle contribue à faciliter les échanges.
Quels sont aujourd'hui les impératifs à exécuter en matière de cybersécurité ?
Dans le domaine de la supply chain, constitué d'un flux de matière et de marchandises, le plus important consiste à conserver ses systèmes d'information (SI) disponibles afin de permettre la livraison de ses clients tous les jours. Quand le SI ne fonctionne plus, il faut très rapidement trouver une solution pour une reprise d'activité ou trouver une solution dégradée pour continuer à servir le client. La disponibilité, la confidentialité, la traçabilité et l'intégrité de l'information sont les besoins essentiels d'un système d'information.