Jean-Noël de Galzain (Hexatrust) : « se protéger soi-même, c’est protéger les autres »
Par Bertrand Lemaire | Le | Esn & conseil
Le groupement Hexatrust a organisé la dixième Université d’Eté Cybersécurité et Cloud de Confiance a eu lieu à Station F le 5 septembre 2024.
Pour la dixième année, Hexatrust a organisé, à Station F le 5 septembre 2024, son Université d’Eté Cybersécurité et Cloud de Confiance. Celle-ci permet de faire le point sur les défis d’actualité pour la cybersécurité au sens le plus large du mot, y compris sur des questions comme la souveraineté de l’hébergement des données. Jean-Noël de Galzain, président du groupement de fournisseurs français de solutions de cybersécurité, a bien sûr ouvert la journée en faisant un tour de l’actualité.
Au coeur de celle-ci, évidemment, il y avait les Jeux Olympiques et Paralympiques (JOP) de Paris 2024. Nacira Salvan, chef de la mission PSSI au Ministère de l’Intérieur et des Outre-Mer, a d’ailleurs réalisé un focus particulier sur ce point en fin de matinée en insistant sur la clé de la réussite, l’anticipation. Un Club portera, le 13 novembre prochain, sur ce sujet. Jean-Noël de Galzain, lui, s’est surtout réjoui que la catastrophe annoncée n’ait pas eu lieu, même si, bien entendu, les cyber-attaques ont été nombreuses. Vincent Strubel, DG de l’ANSSI, a, lui, tiré deux leçons de la période JOP : la force du collectif (il n’avait jamais vu tant de monde mobilisé) et la pertinence opérationnelle du passage à l’échelle du déploiement de solutions alors que de nombreux acteurs (fédérations sportives, associations, TPE…) ont dû se mettre à niveau.
Le défi de la résilience
Pour le président d’Hexatrust, la cybersécurité est au coeur de la souveraineté des systèmes d’information, eux-mêmes au coeur des activités des entreprises comme du pays tout entier. Il a ainsi pu se réjouir que le Ministère de la Santé ait (enfin) lancé un plan de sécurisation du secteur, le plan Cybersécurité accélération et Résilience des Etablissements (CaRE) publié fin 2023. A l’inverse, l’incident Crowdstrike a démontré qu’une banale erreur humaine pouvait déclencher beaucoup de dégâts.
Mais le vrai défi du moment, c’est bien sûr la mise en application de la directive NIS2 à compter d’octobre 2024. Peu de pays ont transcrit dans leur droit national NIS2, en particulier pas la France, alors que l’échéance est, justement, le mois d’octobre. Pour Jean-Noël de Galzain, « c’est le défi de la résilience ». Coincés entre le numérique américain et le numérique chinois, les états européens doivent prouver qu’une troisième voie est possible, une voie européenne. Et c’est l’un des buts de NIS2. Pour Vincent Strubel : « NIS2 est l’éléphant dans la pièce ! » Mais il ne faut céder ni à la fébrilité ni à l’insouciance. Pour lui, la transcription de NIS2 se fera bien, en France, dans les temps.
Le défi du numérique de confiance
Or la mise en place du numérique de confiance, autrement dit européen, aura, comme tout projet, une phase de construction (build) et une autre de maintien en conditions opérationnelles et de production (run). 150 000 organisations européennes sont directement concernées par NIS2 dont 15 000 en France et 25 000 en Allemagne : leur adoption du numérique de confiance supposera une implication forte de l’ensemble de l’écosystème. « L’union fait la force » a rappelé Jean-Noël de Galzain. Il a également répété un autre principe de prophylaxie en matière de cybersécurité : « se protéger soi-même, c’est protéger les autres ».
En phase de build, il s’agira bien sûr d’améliorer les solutions européennes disponibles et de créer celles qui manquent. Côté entreprises, le travail sur la gouvernance de la sécurité du système d’information sera un préalable indispensable au déploiement d’outils techniques. En phase de run, il faudra utiliser les données tant de fonctionnement des outils que de leurs usages (donc des données personnelles) pour alimenter les algorithmes de détection des cyber-attaques.
Le défi du combat européen
Après NIS2, une autre directive préoccupe beaucoup Jean-Noël de Galzain, tout comme un grand nombre d’entreprises et d’administrations. Il s’agit de l’EUCS (European Cloud Certification Scheme). L’enjeu est d’inclure dans ce schéma l’immunité stricte aux législations extra-territoriales comme le Cloud Act américain. Or, pour beaucoup de partenaires européens, l’obsession française concernant l’Oncle Sam n’a guère de sens à l’heure où la Russie a ramené la guerre sur le vieux continent. Jean-Noël de Galzain et de nombreux autres acteurs français veulent défendre les acteurs du numérique de confiance.
Bien sûr, les fournisseurs de solutions de confiance ont besoin d’amortir leurs investissements puis de vendre leurs offres pour en assurer la pérennité. Certes, la commande publique est un facteur à ne pas négliger. Mais Jean-Noël de Galzain a rappelé la nécessité de la commande privée. Encore une fois, la paresse de certains DSI ou RSSI qui s’obstinent à acheter les sociétés en haut à droite du Carré Magique Gartner est bien en cause. Ces paresseux pourraient être remplacés par des personnes sans qualification et payées moins cher : pour faire de tels choix, après tout, il suffit de savoir lire.