Il était difficile de rater le stand de l’ANSSI lors de cette treizième édition des Assises de la Sécurité. L’agence a beau ne rien vendre, son stand ne désemplissait pas. Ce qui a bien entendu attisé notre curiosité : que peuvent bien venir chercher les visiteurs des Assises sur le stand de l’ANSSI ? Nous sommes allés poser la question au contre-amiral Dominique Riban, son directeur général adjoint.

Premier élément de réponse : la Loi de Programmation Militaire (LPM). C’est un hasard du calendrier mais le texte a été annoncé par le Ministre de la Défense Jean-Yves le Drian le jeudi 3 octobre, au second jour des Assises. Et cette LPM 2014 aborde notamment la cyber-sécurité des opérateurs d’importance vitale (OIV). Déclaration des incidents, dispositifs de sécurité, systèmes de détection : les opérateurs cherchaient auprès de l’ANSSI un peu d’orientation dans les contraintes de ce texte. Le timing était donc parfait pour l’agence.

Ensuite, bien entendu, il y avait des industriels, venus à la pêche aux tendances : ils attendent de l’ANSSI qu’elle les éclaire sur les évolutions du domaine cyber afin d’affiner leur stratégie.

Les éditeurs français de solutions de sécurité n’étaient pas en reste non plus, et ils venaient chercher l’adoubement : une labélisation de leur produit par l’agence. Dossier, procédure, délais, conditions : si l’intérêt de la chose ne fait aucun doute à leurs yeux dans un marché qui valorise la confiance, le processus exact leur semble largement moins évident.

Et enfin, bien sûr, on venait poser des questions sur les SCADA. Le contre-amiral nous a assuré qu’il n’amenait pas le sujet sur la table simplement parce que c’est l’axe de communication officiel du moment, mais bien parce que l’agence était cette année particulièrement sollicitée à ce sujet. Selon lui, et comme le mentionnait déjà Patrick Pailloux dans son discours d’ouverture, les visites sur le stand de l’ANSSI montrent qu’il existe dans ce domaine une différence de perspective fondamentale entre la sûreté de fonctionnement et la sécurité de l’information, qui repose sur l’intégrité des données transmises par les capteurs de l’équipement. Et les exploitants semblent parfois encore confondre les deux : les dispositifs de sûreté ne peuvent s’activer et empêcher une catastrophe si les informations qu’ils reçoivent des capteurs sont falsifiées et indiquent que tout va bien. Les collaborateurs de l’ANSSI avaient donc à coeur de marteler cette différence, dans l’espoir que l’écho parvienne jusqu’au automaticiens par l’intermédiaire des RSSI.