L’année 2022 s’est achevée avec le départ de Guillaume Poupard de l’ANSSI dont il avait assuré la direction depuis 2014. Retour sur un mandat de huit ans particulièrement remarqué qui a permis à l’institution de s’étoffer pour devenir l’acteur principal de la politique française en matière de cybersécurité et de souveraineté numérique.
Au service de la cybersécurité
Guillaume Poupard rejoint les rangs de la Direction centrale de la sûreté des systèmes d’informations (la DCSSI, devenue l’ANSSI en 2009) au début des années 2000. Ancien élève de l’Ecole Polytechnique, il soutient en parallèle une thèse en cryptographie à l’Ecole Normale Supérieure de Paris. Sa carrière se poursuit au sein de la Direction générale de l'Armement entre 2010 et 2014 en qualité de Chef du pôle technique de cyberdéfense et responsable du pôle sécurité des systèmes d’information. Il succède enfin à l’Ingénieur général des mines Patrick Pailloux et devient le 27 mars 2014 le second directeur général de l’Agence nationale de la sûreté des systèmes d’informations.
Au cours des huit années de son mandat, Guillaume Poupard va particulièrement se distinguer par son sens de la diplomatie et sa faculté à communiquer et sensibiliser aussi bien au sein de l’Etat que des entreprises. « Guillaume, c’est celui qui a su sortir l’Anssi de son bunker », résume Michel Van Den Berghe, directeur du Campus Cyber. « Ce n’était pas un simple régulateur caché derrière son bureau. C’était un communicant qui a su aller à la rencontre des entreprises et des collectivités. » Les nombreuses interventions et interviews qui émaillent son mandat témoignent de cette disponibilité permanente pour faire prendre conscience de la gravité des risques cyber et des menaces que ces derniers faisaient peser sur la sécurité nationale. La recrudescence des attaques contre les hôpitaux a récemment illustré cette menace, en particulier contre celui de Versailles il y a quelques semaines.
Cette diplomatie et ce sens de la communication ne furent pas sans départir d’un leadership sans faille pour fédérer l’écosystème et structurer le marché de la cybersécurité. Son action a été soutenue par la loi de programmation militaire du 18 décembre 2013 avec la création des OIV (Organismes d'importance vitale) ainsi que la directive européenne NIS qui impose un niveau de sécurité minimum aux opérateurs de services essentiels. Sous son impulsion l’ANSSI a développé plusieurs certifications et référentiels pour encadrer les acteurs de la cybersécurité. En guise de synthèse, Guillaume Poupard rappelait dans une interview le 13 décembre 2022 que « le but de l'Anssi est de coordonner, d'apporter de l'expertise et parfois d'imposer les choses. »
Chronologie d’une montée en puissance
Au cours du mandat de Guillaume Poupard, l’ANSSI a connu une croissance exponentielle marquée par de nombreux temps forts. Ces derniers mettent en lumière la considération croissante des gouvernements à son égard ainsi que la variété des sujets couverts par l’agence. Voici les plus marquants :
Le 16 octobre 2015, le Premier Ministre Manuel Valls dévoile la Stratégie nationale pour la sécurité du numérique. Cette stratégie, issue de travaux interministériels coordonnés par l’ANSSI, a constitué la feuille de route de l'État jusqu’à la nouvelle stratégie nationale cyber livrée au sein du plan France 2030 pour un investissement total d’1 milliard d’euros dans le secteur. Au-delà d’assurer la confiance aux entreprises, cette stratégie initiale de 2016 visait déjà à donner à la France une stature internationale dans le secteur de la cybersécurité et assurer un avantage concurrentiel aux entreprises françaises. Dans son discours très attendu aux Assises de la cybersécurité à Monaco en octobre 2022, Guillaume Poupard appelait à « un changement d’échelle » pour la cybersécurité française, un passage au niveau supérieur rendu nécessaire par la recrudescence des cyberattaques au cours de la guerre russo-ukrainienne.
Concernant les certifications, la mise en place en décembre 2016 du label SecNumCloud, le plus exigeant en matière de sécurité des informations, dont les mises à jour successives et récentes reflètent une prise de conscience en plein débat sur la souveraineté des données et le cloud de confiance. La version 2022, la plus récente, prend en compte la nécessité d’assurer la protection des données vis-à-vis des législations extraterritoriales, notamment le prédateur Cloud Act qui permet à la justice américaine d’accéder à l’intégralité des données stockées ou transitant via des opérateurs américains au mépris du RGPD européen avec toutes les menaces que cela représente pour notre souveraineté économique. En conséquence, les entreprises dont le siège social n’est pas situé en UE ou dont l’actionnariat n’est pas majoritairement européen ne sont plus éligibles à la certification.
En 2017 la plateforme de signalement cybermalveillance.gouv.fr voit le jour sous l’impulsion de Jérôme Notin. Permettant d’adresser les problèmes cyber des particuliers et des TPE-PME, la plateforme a bénéficié du soutien sans faille de Guillaume Poupard, devenu par la suite président de son conseil d’administration, au cours de sa mise en service : « Élément indispensable de notre organisation nationale de cybersécurité, cybermalveillance.gouv.fr est résolument engagé avec les centres opérationnels régionaux et sectoriels en cours de construction ainsi qu’avec l’Agence nationale de la sécurité des systèmes d’information et l’ensemble des acteurs de notre cybersécurité pour proposer des solutions de prévention et de réponse à incident à l’ensemble des acteurs. » Le signalement des cyberattaques s’inscrit dans une stratégie de transparence et de partage de l’information pour mieux tracer et traquer les cybercriminels tout en permettant aux entreprises de communiquer sur les attaques dont elles sont victimes sans perdre la confiance de leurs clients. De plus, cette politique permet de toucher et de sensibiliser le plus grand nombre, participant par là au développement d’une culture globale de résilience.
L’ANSSI change encore de dimension en 2018 avec l’application de la directive européenne Network and Information System Security (NIS) à la France, notamment via l’identification d'opérateurs de services essentiels. L’ANSSI devient alors en quelque sorte garante de la politique de résilience cyber pour les organismes stratégiques.
De nouvelles fonction stratégiques dans un contexte de renforcement de la menace
Le 13 décembre 2022 Docaposte, filiale du groupe La Poste spécialisée dans le traitement de document et l’archivage électronique annonce l’arrivée de Guillaume Poupard au poste de directeur général adjoint. Les propos d’Olivier Vallet, président de Docaposte sont sans équivoque sur la nature éminemment stratégique de cette nomination : « L’arrivée de Guillaume Poupard au sein du Comité Exécutif de Docaposte est une chance pour l’entreprise et illustre la dimension prise par Docaposte ces dernières années sur le marché de la confiance numérique (…). L’expertise et l’expérience de Guillaume en matière de cloud et de cybersécurité représentent des atouts précieux pour Docaposte dans la réalisation des objectifs. »
Cette arrivée représente aussi un atout pour la stratégie du cloud de confiance Numspot lancé par Docaposte en partenariat avec Dassault Systèmes et Bouygues Telecom. Cette initiative est destinée à fournir une haute qualité de service aux acteurs économiques et institutionnels français sous la certification SecNumCloud. Un secteur que connaît bien Guillaume Poupard dont l’expérience européenne et internationale devrait permettre de relever le challenge.
Quel avenir pour l’ANSSI ?
L’ANSSI représente aujourd’hui environ 600 personnes travaillant en étroite collaboration avec les SSI des entreprises au sein des cadres et structures évoquées plus haut, lesquelles sont l'œuvre du mandat qui vient de s’achever. L’augmentation du nombre de cyberattaques et la professionnalisation des attaquants constitue un nouveau défi pour l’Agence qui rapporte 1082 signalements d’intrusions en 2021 contre 786 en 2020, soit une hausse de 37 %. Ces chiffres constituent cependant, selon les mots mêmes de Guillaume Poupard « la partie émergée de l’iceberg ». La mission de l’ANSSI reste la même tandis que ses méthodes se sont adaptées à une menace dont le spectre est plus large que jamais. Les années à venir portent de nouveaux défis en matière de cybersécurité avec notamment les Jeux Olympiques de Paris en 2024.
Pour l’heure, le gouvernement vient de nommer le 4 janvier 2023 Vincent Strubel pour reprendre l’héritage de Guillaume Poupard à la tête de l’ANSSI, après une courte période de vacation pendant laquelle Emmanuel Naëgelen garantissait la transition. Vincent Strubel n’est pas un inconnu de la maison. Il l’avait quittée deux années auparavant afin assurer la direction de Opérateur des Systèmes d’Information Interministériels Classifiés (OSIIC) – dont la fonction est de « mettre en œuvre les services d’information classifiés du Président de la République, du Gouvernement et des différents ministères, ainsi que les systèmes de communication inter-gouvernementaux et internationaux. » Le Portail de l’Intelligence Économique souhaite bon courage à Vincent Strubel pour sa prise de fonction. Familier des enjeux cyber français, il est sans aucun doute la personne la plus appropriée pour y répondre, compte tenu de sa familiarité avec le sujet.
Pour conclure, Guillaume Poupard restera en France celui qui a donné à la cybersécurité ses lettres de noblesse. « Mundi placet et cyber spiritus minima. »
Antoine Cornu
Pour aller plus loin :