Cette frise a été créée dans le cadre du projet "Histoire de la Cyber Française", une initiative visant à documenter et valoriser les jalons historiques, les acteurs, et les événements marquants qui ont contribué au développement de la cybersécurité en France.;xNLx;;xNLx;Les informations présentées ici proviennent de recherches approfondies, de témoignages exclusifs et d'archives historiques. Le projet vise également à inspirer les professionnels et les passionnés en leur offrant un aperçu des racines profondes et du chemin parcouru par la cybersécurité en France.
Dans le monde de la cybersécurité française, certaines sociétés restent gravées dans l'histoire. Parmi elles, XP Conseil, avec un de ses fondateurs Jean-Claude TAPIA, a joué un rôle clé dans l'émergence de la sécurité informatique en France dans les années 80/90. Nous avons eu l'opportunité d'échanger avec Jean-Claude sur son parcours, l'histoire de XP Conseil et l'évolution du secteur. Un parcours d’ingénieur vers la cybersécurité "J'ai commencé chez Mazars en 1988, après mes études d'ingénieur. J'y ai été recruté pour développer un département d'audit informatique, et, pour mieux comprendre les besoins des auditeurs financiers, j’ai eu la chance d’être formé à l'audit financier. C'est au sein de cette structure qu'est né XP Conseil. Nous étions trois associés fondateurs, Didier Chambard, André Grissonnanche et moi-même", raconte Jean-Claude TAPIA. XP Conseil était l'une des premières entreprises françaises spécialisées dans la sécurité informatique, bien avant que le terme "cybersécurité" ne devienne courant. "Il y avait XP Conseil, PSI puis CF6, Apogée et Edelweb qui ont depuis été rachetés et intégrés dans des ESN. Nous faisions partie des précurseurs." L'ambition d'un cabinet de conseil pas comme les autres L'entreprise a rapidement évolué, mais des divergences stratégiques entre les fondateurs ont conduit à leur séparation. L'une des contributions majeures de XP Conseil à l'écosystème de la cybersécurité française a été la création du forum Eurosec. "C'était un événement unique en son genre. Pas de sponsor, un financement entièrement assuré par nous, trois jours de conférences avec des intervenants de haut niveau, y compris des experts européens et internationaux (américains, indiens…). Il y avait une participation relativement importante des pouvoirs publics, notamment du ministère de l'Intérieur." Mais organiser un tel événement était un défi de taille. "La pression était forte. On ne savait jamais si les intervenants étrangers allaient pouvoir venir, ni si on aurait assez de participants pour remplir la salle. Mais ça a fonctionné pendant plusieurs années." L'origine du nom XP Conseil Le nom "XP Conseil" a une histoire particulière. À l'origine, l'entreprise devait s'appeler "Mazars Salustro et & Associés Conseil", mais ce nom a été abandonné lorsque Mazars n'a pas fusionné avec Salustro. C'est alors que l'idée du nom "XP Conseil" est née, inspirée par la fascination des associés du Cabinet Mazars pour l'exponentiation, d'où le choix de "XP". Le logo initial de l'entreprise représentait trois triangles, symbolisant les trois associés fondateurs. Une vision multidisciplinaire de la cybersécurité L'approche de XP Conseil était novatrice : "Nous avons très tôt compris que la sécurité informatique n'était pas qu'un problème technique. C'était aussi une question d'organisation, de processus, de droit et de psychologie humaine. Nous avions des informaticiens, mais aussi des juristes et même une anthropologue." Ce modèle pluridisciplinaire a eu un impact profond sur la cybersécurité française. "Aujourd'hui, c'est une évidence. Mais à l'époque, c'était révolutionnaire. Nous avons aussi été les premiers en France à parler de sensibilisation et de comportement sécuritaire, avec un jeu éducatif, à une époque où ces notions étaient presque inexistantes." L'après-XP Conseil et une passion intacte Après XP Conseil, Jean-Claude TAPIA a créé plusieurs autres entreprises, dont Digital Security, spécialisée dans la sécurité de l'IoT. "Cédric Messeguer et moi-même avons lancé la société en 2015 avec le soutien d'Econocom. En trois ans, nous sommes passés de 0 à 300 collaborateurs et 30 millions d'euros de chiffre d'affaires." Mais l'esprit entrepreneurial ne l'a jamais quitté. "Je ne sais pas travailler seul. Pour moi, une entreprise, c'est avant tout une équipe. J'ai toujours cherché à m'entourer de gens de confiance, à déléguer intelligemment et à garder une vision stratégique." Aujourd'hui, il continue d'intervenir dans l'écosystème cyber et de contribuer au développement du secteur, notamment au sein du Club Concordance. Un héritage toujours présent Lorsqu'on lui demande quel a été l'impact de XP Conseil sur la cybersécurité française, il répond modestement : "On a contribué à poser des bases. Aujourd'hui, il y a des RSSI partout en France dont une grande partie ont commencé chez XP Conseil. L'industrie s'est professionnalisée, mais il reste beaucoup à faire, notamment dans l’éducation, la formation, le décloisonnement des compétences et la consolidation des savoirs." Un regard rétrospectif qui montre combien les débuts de la cybersécurité en France ont été portés par des pionniers passionnés et visionnaires. Une histoire à transmettre aux nouvelles générations pour donner du sens à leur engagement dans ce domaine stratégique.
Le chiffrement a longtemps été un sujet hautement sensible en France, oscillant entre protection des libertés individuelles et impératifs de sécurité nationale. Le Général Desvignes, acteur clé de la libéralisation du chiffrement dans les années 1990, revient sur cette période charnière, marquée par des tensions entre les services de renseignement, le monde politique et les acteurs économiques. Un contexte de suspicion et de résistance Dans les années 1990, le chiffrement était considéré en France comme une technologie stratégique, assimilée à une arme de guerre. Les services de renseignement, notamment la DGSE et la police, étaient réticents à l'idée d'une libéralisation qui leur ferait perdre le contrôle sur les communications. « Si le chiffre ne permet plus les interceptions, la justice ne pourra plus être rendue », entendait-on. "La France était classée au même niveau que la Russie et la Chine dans les restrictions d’usage du chiffrement", rappelle le Général Desvignes. Des tensions existaient également entre les impératifs de sécurité nationale et le développement du commerce électronique, qui exigeait des mécanismes de protection robustes. "Il était crucial de trouver un compromis entre les besoins des entreprises, les préoccupations des défenseurs des libertés individuelles et les exigences de l’État", explique-t-il. Les premières brèches dans le mur Un premier assouplissement intervient en 1990 avec un ajout (quasiment un cavalier législatif) à la loi de règlementation des télécommunications, qui distingue les systèmes de signature électronique des systèmes de chiffrement destinés à la confidentialité. Cette évolution permet de desserrer l’étau sur certaines technologies, sans pour autant remettre en cause le contrôle strict exercé par l’État. Le débat prend un tournant avec l’essor d’Internet et la pression internationale. "Les acteurs du numérique voyaient bien que la réglementation française était un frein au développement du commerce électronique", note le Général. Dans ce contexte, il propose d’expérimenter un système de "tierces parties de confiance", inspiré d’une approche britannique concurrente de la solution américaine « key escrow », permettant de concilier liberté et contrôle. Une victoire politique et technologique C’est encore la loi sur les télécommunications en cours de discussion qui sert à introduire cette nouvelle formule introduisant une libéralisation progressive du chiffrement. "Ce fut une bataille difficile, avec des résistances fortes du ministère de l'Intérieur, mais aussi un soutien du ministère des Télécommunications, dirigé à l’époque par François Fillon", se souvient-il. Mais la réforme adoptée sans l’expérimentation envisagée prend du temps, ses adversaires cherchant à charger la barque des tierces parties de confiance afin de les rendre peu attractifs. Pourtant, une quinzaine de candidats posent leur candidature. Par ailleurs, les décrets d’application doivent désormais être soumis à Bruxelles, ce qui allonge considérablement les délais. Les efforts sont pourtant sur le point d’aboutir, mais un évènement imprévisible se produit : une dissolution du Parlement. Le nouveau gouvernement qui en résulte souhaite afficher son libéralisme et s’engage à développer plus largement le recours à la cryptologie. Croyant booster l’industrie française de ce domaine, la loi de 1996 qui prévoyait une libéralisation progressive en fonction de l’évolution de la technologie fut mise à profit pour libérer directement « le 128 bits ». En fait, ce sont les firmes américaines qui vont en profiter. La NSA saisit en effet ce prétexte pour généraliser la politique des « backdoors » qu’elle avait déjà initiée. Alors que la loi était censée assurer la transparence et le contrôle démocratique de la cryptologie, la nouvelle politique remettait en vigueur le règne de la défiance des utilisateurs. Le bilan : entre opportunités et regrets Le Général Desvignes exprime un avis mitigé sur les conséquences de cette libéralisation. Elle était indispensable, mais aurait pu être mieux gérée. "Si elle a permis le développement du numérique, elle n'a pas profité à l'industrie française de la cryptologie", constate-t-il. Les entreprises françaises, trop dépendantes des commandes de l'État, n'ont pas pu s'imposer sur le marché international. D’ailleurs, lors des attentats du 11 septembre 2001, les apôtres de la libéralisation ont rapidement adopté une attitude opposée et, tout en continuant à afficher leur goût pour la liberté de chiffrer, ont introduit dans la nouvelle loi des dispositions très en retrait, parfois même en opposition avec la jurisprudence de la Cour européenne des droits de l’homme. Aujourd'hui, alors que les technologies comme la blockchain et l'intelligence artificielle transforment à nouveau le paysage numérique, la question de la confiance dans les systèmes informatiques demeure. "On a laissé passer des opportunités par manque de vision stratégique", regrette-t-il. "L’histoire risque de se répéter avec l'IA si nous ne prenons pas les bonnes décisions à temps." Ce témoignage, riche en enseignements, nous rappelle que la technologie ne peut être dissociée des décisions politiques et sociétales. Et que les choix d’hier façonnent toujours les débats d’aujourd’hui.
La prise de conscience du renseignement technique par la France avec l’interview de Bernard Barbier (1991) Par Jérôme Thémée Au début des années 1990, la France se retrouve spectatrice d'un conflit majeur : la première guerre du Golfe. Ce moment charnière met en évidence les faiblesses du renseignement français, en particulier en matière de surveillance satellitaire et de capacités de renseignement d’origine électromagnétique (ROEM). Bernard Barbier, ancien directeur technique de la DGSE, revient sur cet épisode qui a marqué un tournant dans l'organisation du renseignement français. Une prise de conscience brutale Lorsque la coalition internationale, dirigée par les États-Unis, lance l'offensive contre l'Irak en 1991, la France découvre avec stupeur son incapacité à obtenir des informations stratégiques de manière autonome. « Mitterrand était persuadé qu'il était manipulé », raconte Bernard Barbier. Lorsqu'il demande aux Américains de partager leurs images satellites, ceux-ci refusent catégoriquement. « On lui montrait des photos de Bagdad, mais on lui disait qu'on ne pouvait pas lui laisser ces documents ». Ce déficit d'accès à des renseignements stratégiques a fait comprendre aux autorités françaises la nécessité de développer une capacité autonome dans les domaines du renseignement spatial, des interceptions et de la cyberdéfense. Une absence de moyens criante Avant cet épisode, la France avait principalement mis l'accent sur la dissuasion nucléaire et le renseignement humain, délaissant le renseignement technique. « La DGSE était à l'âge de la pierre en termes de capacités techniques », déplore Bernard Barbier. Contrairement aux Américains et aux Britanniques, qui avaient déjà mis en place des infrastructures avancées (NSA et GCHQ), la France accusait un retard considérable. C'est dans ce contexte que le ministre de la Défense de l'époque décide de lancer un grand programme ambitieux de rattrapage. Il s'agit non seulement de développer une capacité d'observation satellitaire indépendante, mais aussi de structurer un véritable renseignement électronique. La naissance d’une capacité technique française Face à ce constat, un effort massif est déployé pour renforcer le renseignement technique. Ce programme repose sur plusieurs piliers : Le lancement de satellites d'observation : La France décide de lancer un très grand programme afin de disposer de ses propres satellites espions : le programme Helios. La modernisation des infrastructures de la DGSE : Des investissements massifs sont réalisés pour doter le Service de moyens avancés en interception et en analyse des signaux. Le recrutement d’ingénieurs spécialisés : Contrairement aux pratiques passées, où l’armée dominait les structures de renseignement, des spécialistes civils de haut niveau sont recrutés par la DGSE essentiellement sous forme de contractuels. Vers une cyberdéfense française moderne Ce tournant amorcé en 1991 aboutira, des années plus tard, à la création d’une capacité cyber offensive et défensive française. « Ce n'était que le début, mais il a fallu des années pour structurer une véritable stratégie », explique Bernard Barbier. Cette prise de conscience a permis la mise en place d’un cadre plus robuste pour la protection des intérêts stratégiques français. Aujourd’hui, la France possède une capacité de cyber défense reconnue, avec des institutions d’excellences telles que l’ANSSI (créée en 2009) et des coopérations renforcées avec les forces armées. Mais le chemin a été long depuis la débâcle du renseignement français lors de la guerre du Golfe. "L'indépendance en matière de renseignement est essentielle. Cet épisode nous a fait comprendre qu'il fallait investir massivement pour ne plus dépendre des autres", conclut Bernard Barbier.
Les débuts de la recherche dans la SSI : entretien avec Marc Dacier (1994) Par Jérôme Thémée Marc Dacier fait partie des figures incontournables des chercheurs français en cybersécurité. Avec un parcours oscillant entre recherche et industrie, il a contribué à façonner plusieurs avancées majeures du domaine. Lors d’un échange approfondi, il revient sur son parcours, ses contributions à la cybersécurité et sa vision du futur. Les débuts dans la SSI : des ambitions académiques aux premiers pas dans la recherche Formé à l'Université de Louvain en Belgique, Marc Dacier a commencé sa carrière en informatique avant de s’intéresser à la sécurité des systèmes d’information (SSI). Son attrait pour la cybersécurité naît alors qu’il travaille sur une thèse de master avec Jean-Jacques Quisquater, pionnier en cryptographie. « J’avais toujours eu envie de faire de la sécurité, mais la cryptographie n'était pas mon domaine de prédilection. Il n’existait pas de formation structurée en cybersécurité à l'époque, donc j’ai opté pour une thèse de doctorat pour me spécialiser. » Sa thèse, défendue en 1994, porte sur l'évaluation quantitative de la sécurité, un sujet alors peu exploré. Il débute ensuite un parcours international qui le conduit du CNRS à Toulouse jusqu’en Arabie Saoudite. Aujourd’hui, en tant que professeur à KAUST, et en ayant travaillé auparavant à Paris (Firstel), Zürich et Toulouse (IBM Research), Sophia Antipolis (EURECOM), Los Angeles (Symantec) et Doha (QCRI). Les grandes contributions à la cybersécurité 1. La création des premières plateformes de corrélation d’alertes L'une des premières contributions majeures de Marc Dacier à la cybersécurité, avec son équipe, est le développement d’un système de corrélation des alertes de sécurité au sein d’IBM Research. « On travaillait sur la détection d’intrusion et on s'est rendu compte qu’il y aurait rapidement trop d’alertes à gérer. Il fallait un outil capable de les regrouper, d’éliminer les faux positifs et de proposer une analyse centralisée. » C’est ainsi qu’est né Tivoli Risk Manager, le premier produit du genre, fruit de plusieurs années de recherche. Hervé Debar, aujourd’hui directeur adjoint de Télécom SudParis est, à l’époque, membre de l’équipe de Marc Dacier et fut celui qui a réussi de main de maître ce transfert de technologie entre Zurich et Austin. Cette avancée a ouvert la voie aux solutions modernes telles que les SIEM, les SOC et plus récemment les XDR. 2. La mise en place du premier réseau mondial de honeypots Lorsqu’il rejoint Eurecom en 2002, il lance un projet visionnaire : un réseau mondial de honeypots (« pots de miel ») appelé "Leurré.com". « L’idée était simple : déployer des capteurs identiques dans le monde entier, collecter des données d’attaques et analyser leur propagation en temps réel. On a vite réalisé que les cyberattaques n’avaient rien d’uniforme et que les tendances variaient selon les régions du monde. » Ce projet a été un précurseur des plateformes modernes de cyber threat intelligence (CTI), aujourd’hui essentielles aux stratégies de défense ; telle que celle gérée par la Shadowserver Foundation (https://www.shadowserver.org/) utilisée par des entités dans le monde entier. 3. L’initiative WINE : un accès sécurisé aux données de cybersécurité Durant son passage chez Symantec, il crée WINE (Worldwide Intelligence Network Environment), une plateforme permettant aux chercheurs d’accéder à des données réelles de cyberattaques sans compromettre la confidentialité. « L’un des plus grands problèmes de la recherche en cybersécurité, c’est le manque d’accès à des données de terrain. Nous avons conçu WINE pour résoudre ce problème, en offrant un accès sécurisé aux chercheurs tout en préservant la vie privée des utilisateurs. » La cybersécurité de demain : enjeux et défis Pour Marc Dacier, les défis actuels de la cybersécurité sont multiples, mais l’un des plus inquiétants concerne l’usage croissant de l’intelligence artificielle. « On observe déjà des attaques exploitant les IA comme Copilot de Microsoft. Les modèles d’IA sont tellement excitants que leur sécurité passe souvent au second plan. Le prompt injection, par exemple, est une menace grandissante qui peut permettre de manipuler les réponses des IA et de contourner les mécanismes de protection. » Par ailleurs, il souligne le danger des vulnérabilités dans les bibliothèques open source et les firmwares des objets connectés. « Beaucoup de dispositifs IoT ne seront jamais mis à jour et resteront des portes d’entrée ouvertes pendant des années. C’est un problème fondamental que nous devons adresser de toute urgence. » Conclusion Avec une carrière riche en contributions, Marc Dacier a marqué l’histoire de la cybersécurité. Son expérience illustre le lien complexe entre recherche et industrie, entre théorie et mise en pratique. Il continue d’être une voix influente dans le domaine, en construisant des équipes de recherche et en anticipant les défis de demain.
Le développement et l'évolution des méthodes de gestion des risques en cybersécurité ont façonné les politiques de sécurité des systèmes d’information en France et à l’international. La méthode d’expression des besoins et identification des objectifs de sécurité (EBIOS), créée en 1995, est devenue un outil incontournable. Matthieu Grall, expert reconnu et acteur clé de son évolution, revient sur cette histoire marquée par des avancées, des résistances et des ajustements continus. Un besoin stratégique en cybersécurité (1995) Dans les années 1990, la protection des systèmes d’information des ministères devenait une priorité stratégique. La France, comme d’autres pays, devait faire face à une complexification des systèmes et une montée des menaces, ce qui imposait un cadre méthodologique robuste et adaptable aux réglementations émergentes. « Avant mon arrivée au Service central de la sécurité des systèmes d’information (SCSSI, ancêtre de l’ancêtre de l’ANSSI), est apparu le besoin, notamment au sein du ministère de la Défense, de disposer d’une approche méthodologique pour élaborer les dossiers d’homologation des systèmes d’information », explique Matthieu Grall. Les pièces de ces dossiers (exemple : fiche d’expression rationnelle des objectifs de sécurité – FEROS) étaient jusque-là créées comme des formulaires, sans véritable démarche. C’est dans ce contexte qu’un groupe d’experts, animé par le SCSSI avec José-Patrick Boé et Dominique Chandesris, entreprend la construction d’une première version d’EBIOS en 1995. Les évolutions successives de la méthode (1995-2010) Initialement, la méthode EBIOS permettait déjà de s’interroger sur la chaine de valeur des biens et faisait le lien avec les critères d’évaluation des produits de sécurité (Information Technology Security Evaluation Criteria – ITSEC). En 2004, sous l’impulsion de ce qui était devenu la Direction centrale de la sécurité des systèmes d’information (DCSSI) et de son directeur Henri Serres, une première révision est opérée pour intégrer les meilleures pratiques de gestion des risques, les dernières évolutions normatives (exemple : critères communs – CC ou ISO/IEC 15408), et la possibilité de créer des cahiers des charges plus précis. En 2010, EBIOS a continué d’évoluer, en intégrant les concepts reconnus à l’international et en développant largement l’aspect « boîte à outils » d’EBIOS, qui permet d’utiliser ses différentes techniques de manière adaptée à différents usages (élaborer la politique d’un organisme, contribuer au dossier d’homologation d’un système, rédiger un cahier des charges pour un produit, etc.). « Nous ne parlions déjà plus d’analyse des risques, mais bien de gestion complète, qui inclut non seulement l’établissement du contexte et l’appréciation des risques, mais aussi le traitement des risques », détaille Matthieu Grall. Ces évolutions ont été motivées par une exigence accrue des organismes publics et privés, qui réclamaient une approche plus structurée face à des menaces toujours plus complexes. La tentative d’un logiciel libre et ses limites (2004-2010) Un projet de logiciel libre est lancé pour faciliter l’adoption d’EBIOS, avec deux versions majeures en 2004 et 2010. Mais il s’est heurté à des contraintes de maintenance et d’évolution. « Être éditeur de logiciel est un métier en soi », admet Matthieu. L’initiative a suscité un certain intérêt, mais le manque de ressources dédiées et l’absence d’un véritable modèle de support ont conduit à son abandon progressif. Depuis, conscient de ces limites, l’ANSSI a confié la création et le maintien des logiciels à des organismes qui les vendent, et labellise les logiciels conformément à un cahier des charges précis. Le modèle fonctionne beaucoup mieux ! La structuration du Club EBIOS en 2006 Alors que les experts se réunissaient régulièrement, mais de manière officieuse, l’association Club EBIOS voit officiellement le jour en 2006 sous l’impulsion du Bureau conseil en sécurité de la DCSSI animé par Loïc Bournon. Le Club vise d’une part à harmoniser les pratiques, et d’autre part à favoriser la collaboration entre les acteurs du secteur public et privé. « L’objectif était d’échanger sur les bonnes pratiques et structurer un écosystème autour d’EBIOS », précise Matthieu. Aujourd’hui encore, le Club EBIOS joue un rôle clé en fédérant les experts et en participant activement aux évolutions de la méthode, main dans la main avec l’ANSSI. L’influence mutuelle avec les normes internationales La norme ISO/IEC 27005, qui définit les principes de gestion des risques en sécurité de l’information, a été fortement influencée par la méthode EBIOS. Dès sa première version en 2008, de nombreux concepts issus d’EBIOS y ont été intégrés, notamment dans les sous-processus de la gestion des risques et dans les bases de connaissances utilisables pour les mettre en œuvre. Chaque évolution d’EBIOS a ensuite nourri chaque évolution de l’ISO/IEC 27005, et réciproquement. De la même manière, quand l’ISO a souhaité élaborer l’ISO 31000, dont l’objectif était d’harmoniser les pratiques éparses de gestion des risques de différents secteurs (risques financiers, risques nucléaires, risques sur les personnes et sécurité de l’information), quelques experts dans le domaine, dont Matthieu Grall, ont pu défendre la position de la sécurité de l’information dans les débats internationaux. L’ISO/IEC 27001, qui définit les exigences relatives aux systèmes de management de la sécurité de l’information et propose un catalogue de bonnes pratiques, intègre des exigences sur la gestion des risques. Les experts dans le domaine, dont Matthieu Grall qui était l’un des éditeurs de l’ISO/IEC 27001, se sont à nouveau assurés de la compatibilité avec EBIOS. Même la norme relative à la gestion des risques sur la vie privée (ISO/IEC 29134) a été influencée de la même manière, par le biais des Guides PIA de la CNIL, eux-mêmes déclinant la méthode EBIOS. L’arrivée d’EBIOS Risk Manager : une modernisation pragmatique (2018-2024) Face aux défis de cybersécurité, une nouvelle version, EBIOS Risk Manager, est publiée en 2018 par ce qui était devenu l’ANSSI. « Il était impératif d’adopter une démarche plus pragmatique en distinguant l’approche par la conformité et l’approche par les scénarios », affirme Matthieu. On devait pouvoir traiter « rapidement » la plupart des risques courants en évaluant la conformité aux règles qu’on s’est engagé à respecter, pour pouvoir se concentrer sur les attaques ciblées et de haut niveau sous la forme de scénarios. Malgré ses avancées, EBIOS rencontre des résistances. « Le principal défi reste l’adhésion des parties prenantes, normalisateurs, auditeurs, évaluateurs, formateurs, consultants et opérationnels, à cette logique qui change les habitudes », souligne Matthieu. Il ajoute même « ce qui est paradoxal, c’est que souvent, ceux qui estiment que la méthode est compliquée sont justement ceux qui refusent de l’appliquer simplement ! ». On constate enfin un frein à l’évolution lié au succès d’EBIOS : plus les guides, les formations, logiciels et labels se développent sur EBIOS, moins il est facile de faire évoluer la méthode, car l’impact des changements devient plus conséquent. L’implication de Guillaume Poupard dans l’écosystème EBIOS Un acteur clé dans l’évolution et l’ancrage d’EBIOS dans le paysage français a été Guillaume Poupard, ancien directeur général de l’ANSSI. Il a joué un rôle déterminant en facilitant un dialogue constant entre le secteur public et le secteur privé, renforçant ainsi l’adoption d’EBIOS et sa pérennisation dans les pratiques des grandes organisations. « Il a réimpliqué l’ANSSI dans la gestion des risques et la défense de la vision française à l’international », souligne Matthieu. Conclusion : un processus d’amélioration continue L’histoire d’EBIOS est marquée par une évolution constante et une reconnaissance croissante. « Ce n’est jamais un travail fini, c’est un processus d’amélioration continue », insiste Matthieu. Son avenir dépendra de sa capacité à rester flexible tout en maintenant un cadre normatif robuste. La cybersécurité évolue rapidement, et EBIOS devra s’adapter pour rester un standard de référence.
Depuis près de 25 ans, le site Zataz s’impose comme une référence incontournable dans le monde de la cybersécurité. Son fondateur, Damien Bancal, est une figure emblématique du journalisme d'investigation sur le cybercrime. De ses premiers pas dans l’univers du hacking à son engagement pour une cybersécurité responsable, retour sur le parcours d'un passionné. Les origines de Zataz : Une rencontre marquante Tout commence avec une anecdote marquante de son adolescence. Lorsqu'il était encore jeune, Damien Bancal assiste à une scène qui allait changer sa vie : dans une cabine téléphonique en Auvergne, il entend un homme qui hurlait dans le combiné. Pensant qu’il est en détresse, il s’approche pour l’aider et découvre qu’il s’agit en réalité d’un hacker pratiquant le "phreaking", une méthode permettant d'utiliser les lignes téléphoniques sans payer. Cet événement éveille en lui une fascination pour les systèmes informatiques et leurs failles, une curiosité qui deviendra le moteur de sa carrière. En 1989, il lance un fanzine baptisé C.J.C. (Contre les Jeux Cons), qui évoluera sous plusieurs noms : Cocoon, puis C.C.C. (Croco Computer Club), en hommage au Chaos Computer Club allemand, pour enfin adopter son dernier nom en version papier, H.E.S. (Hackito Ergo Sum). Ce fanzine jette les bases de ce qui deviendra plus tard Zataz. L’évolution de Zataz : D’un fanzine papier à un site web influent En 1998, Damien Bancal et Éric (alias wow), dans un cybercafé, projettent de transformer le fanzine H.E.S. en une version en ligne. ZATAZ Magazine est alors lancé et, quelques mois plus tard, voit naître Zataz.com. Le succès grandissant du site conduit, en 2001, à la sortie de Zataz Magazine en version papier, distribué en kiosque par Media Stone, puis par Pose Media qui cherche à concrétiser sur papier le succès du site. Zataz : Une référence ancrée dans la culture underground Le nom Zataz provient de l’ouvrage Temporary Autonomous Zone d’Hakim Bey, qui théorise l’existence de zones anonymes et temporaires permettant l’émergence de nouvelles idées et pratiques. Cette notion résonne avec l’esprit du web des années 90 et 2000, où des espaces hors normes et non réglementés émergent et disparaissent sans cesse. Un témoin de l’évolution du cybercrime L’un des phénomènes marquants des débuts de Zataz fut le suivi des défacements de sites web par des hackers. Damien Bancal crée une base de données recensant ces attaques, mais avec une approche différente des forums underground : Il ne fait pas la promotion des actes de piratage. Il met en garde les jeunes hackers contre les conséquences de leurs actes. Il documente et analyse les motivations derrière ces attaques. Il adopte une posture pédagogique en tentant de sensibiliser les jeunes aux risques de la cybercriminalité et en leur suggérant d'utiliser leurs compétences de manière constructive. L'impact de Zataz et sa communauté engagée Zataz est devenu au fil des années un média incontournable pour les professionnels de la cybersécurité. Nombreux sont ceux qui témoignent avoir fait leurs premiers pas grâce au site. Pourtant, Damien Bancal refuse de jouer la carte de la sur-médiatisation et préfère rester fidèle à son engagement initial : informer et protéger. Avec plus de 200 000 abonnés à sa newsletter, l’empreinte de Zataz dans le paysage de la cybersécurité française est indéniable. Un acteur de la divulgation responsable des failles Damien Bancal a développé un protocole rigoureux pour la divulgation responsable des failles de sécurité. Depuis la création de Zataz, 81482 entreprises ont été alertées sur des vulnérabilités critiques, dont la dernière, une importante compagnie aérienne basée au Moyen-Orient. Selon les cas, il oriente les signalements vers l’ANSSI ou contacte directement les entreprises concernées. Une vision éthique du journalisme en cybersécurité Contrairement à la tendance actuelle des influenceurs, Damien Bancal préserve une vision déontologique du journalisme. Son objectif n’est pas de vendre du sensationnalisme mais d’informer gratuitement afin de protéger les internautes et les entreprises. Un hacker à l’esprit compétitif En octobre 2024, Damien Bancal a remporté une compétition mondiale de social engineering (HACKFEST), une discipline qui met en avant les risques humains en cybersécurité. Cette victoire illustre à quel point il maîtrise les techniques de manipulation utilisées par les cybercriminels, qu’il dénonce depuis des années.
Dans le monde de la cybersécurité, certains noms résonnent avec force. Renaud Deraison fait partie de ces figures incontournables, notamment en tant que créateur de Nessus, l'un des scanners de vulnérabilité les plus utilisés au monde. Retour sur son parcours, ses débuts, ses décisions stratégiques et sa vision de l'avenir de la cybersécurité. Des débuts instinctifs et une passion dévorante L'aventure de Nessus commence alors que Renaud Deraison est encore lycéen. « J'étais passionné par trois choses : la programmation, les réseaux et l'administration Unix », explique-t-il. Dans les années 90, alors que l'open source commence à se démocratiser, il s'intéresse aux outils de sécurité existants et constate un manque. SATAN, un des rares scanners de vulnérabilité accessible à l'époque, n'est plus maintenu. « Je voulais un système capable d'automatiser la détection des vulnérabilités de manière efficace. » C'est ainsi que Nessus est né, avec un design basé sur un système de plugins et une architecture autosuffisante. Un projet qui prend de l'ampleur Le succès ne tarde pas. « J'ai annoncé Nessus et les retours ont été immédiats : des rapports de bugs, des demandes de fonctionnalités… Je me suis dit qu'il y avait un potentiel. » Malgré un passage en prépa intégrée, Renaud finit par faire le choix audacieux d'arrêter ses études pour se consacrer à son projet. « C'était la période de la bulle Internet, tout bougeait très vite. On me disait de mettre mon projet en pause, mais je sentais que c'était le moment ou jamais. » L'expatriation aux États-Unis : une nécessité stratégique Si la France est son pays natal, c'est aux États-Unis que Nessus connaît une véritable expansion. « Ce n'était pas tant un problème de fonds, mais de marché. Les entreprises américaines investissent plus rapidement et à plus grande échelle. » Renaud cite une anecdote marquante : alors qu'une grande banque française met neuf mois à décider d'acheter une licence à 15 000 dollars, une entreprise pétrolière américaine, après deux semaines de test, signe immédiatement pour beaucoup plus ! Avec ses cofondateurs américains, il fonde alors Tenable en 2003 et déménage aux États-Unis. « Ce n'était pas Silicon Valley, mais Columbia, une ville à proximité de la NSA et de la NASA, donc avec beaucoup de talents tech. » Tenable deviendra un acteur majeur de la cybersécurité, atteignant aujourd'hui près de 2 000 employés et un chiffre d'affaires avoisinant le milliard de dollars. L'évolution du marché et l'impact de l'IA Renaud Deraison partage une analyse fine du marché cyber actuel. « Pendant longtemps, les grandes entreprises recherchaient la meilleure solution pour chaque besoin spécifique. Aujourd'hui, avec le cloud, elles cherchent des plateformes complètes intégrées. » Cette tendance pousse les startups à vouloir tout faire, ce qui, selon lui, est un danger. « Les petites entreprises veulent devenir des plateformes, mais les seules capables de tenir ce rôle sont les mastodontes comme Palo Alto ou CrowdStrike. » Concernant l'intelligence artificielle, il reste mitigé. « L'IA excelle lorsqu'il s'agit de structurer des données non structurées, comme les emails ou les conversations. Mais en cybersécurité, la plupart des données sont déjà structurées, donc son impact est moindre. Je suis plus optimiste sur les modèles capables de faire du raisonnement (type o1 ou deepseek) qui permettront sans doute de faire des analyses plus poussées » Il voit cependant un immense potentiel dans la lutte contre la fraude et le phishing. « Avec des deepfakes et des escroqueries de plus en plus sophistiquées, nous aurons besoin d'assistants IA capables d'alerter en temps réel sur des tentatives d'arnaque. » (Google a depuis l’interview annoncé la détection de scam texts via IA - https://thehackernews.com/2025/03/google-rolls-out-ai-scam-detection-for.html ) Un retour à la technique et à l'innovation Après plus de 20 ans dans la gestion de vulnérabilités et une introduction en bourse de Tenable, Renaud Deraison a choisi de quitter le rôle de CTO pour revenir à ses premières amours : la technique. « J'avais perdu l'instinct du technologue. Aujourd'hui, je redéploie des clusters Kubernetes, j'expérimente, je teste de nouvelles solutions LLM. » Il conseille également des startups et accompagne des fonds d'investissement dans leurs choix stratégiques. Basé à New York, il savoure cette nouvelle phase de sa vie. « J'ai consacré 20 ans à ma société, aujourd'hui je redécouvre le plaisir d'apprendre et d'expérimenter sans pression. » Son parcours illustre parfaitement l'évolution d'un entrepreneur visionnaire qui, après avoir contribué à façonner la cybersécurité moderne, revient aux fondements de sa passion.
Fred Raynal est une figure incontournable de la cybersécurité en France. Pionnier dans la vulgarisation des concepts avancés de sécurité informatique, il a notamment été à l'origine de MISC, un magazine technique qui a profondément marqué la communauté francophone. Dans cet article, il revient sur la création et l'évolution de ce projet. Les Débuts : De la Recherche à l’écriture Tout a commencé pendant sa thèse. Un vendredi soir, Fred contacte Denis Bodor, rédacteur en chef de Linux Mag, sur les conseils d’un ami. "J'avais écrit un article sur automount / autofs, un outil pour monter automatiquement des partitions avec le bon système de fichiers. Mon pote m'a dit que Denis cherchait un article sur ce sujet." Très vite, il est sollicité : "Il me dit : si tu peux me le filer pour lundi, je le mets dans le prochain numéro. Banco !" L'expérience prend de l'ampleur lorsqu'il collabore avec Christophe Blaess et Christophe Grenier sur une série d'articles dédiée aux vulnérabilités et à leur exploitation. "On a parlé des bugs de format, de buffer overflow… et les retours étaient excellents." Cette réussite conduit à la publication d'un hors-série de Linux Mag sur la sécurité, qui devient un succès commercial. "L'éditeur, Diamond, m'a alors proposé de lancer un magazine récurrent sur la sécurité informatique. Mais j'étais en pleine thèse, donc hors de question de me lancer tant que ce n'était pas terminé." Une fois son doctorat achevé, MISC (Magazines Informatique Sécurité Confidentialité) voit le jour. La Philosophie de MISC : Montrer la Cyber au-Delà du Cliché du Hacker à Capuche L’idée directrice de MISC était claire : "On voulait des articles vraiment techniques. Il y en avait marre de l'image du hacker à capuche, enfermé dans un garage à boire du Coca et manger des pizzas." Fred Raynal voulait prouver que la sécurité informatique demandait de vraies compétences, "une forme d'intelligence" bien loin des clichés. "Quand j'expliquais mon travail à ma directrice de thèse, elle me disait : 'Ça, ce n'est pas de l'informatique.' J'avais développé une librairie qui transformait les bugs de format en debugger pour écrire des exploits automatiques, mais elle ne voyait pas la valeur de ce travail." Dans un monde où peu d’articles techniques existaient en français, il était crucial de rendre ces sujets accessibles. "À l’époque, le seul vrai papier de référence sur les buffer overflows était 'Smashing the Stack for Fun and Profit'. Rien n’était disponible en français." MISC a eu un impact indéniable en structurant une communauté technique et en proposant du contenu de haute qualité. Aujourd’hui encore, il reste une référence pour les professionnels de la cybersécurité.
Les origines de Hackerz Voice : Un magazine qui devient un mouvement L’histoire de Hackerz Voice commence en 2000, avec la fondation du magazine Hackers Voice par Olivier Spinnelli. À une époque où la culture du hacking était encore largement méconnue du grand public, ce magazine visait à fournir un espace d’échange et d’apprentissage pour les passionnés de hacking. Très vite, il devient un vecteur d’informations techniques, un moyen de transmission des savoirs et un symbole de la culture underground hacker en France. Les années 2000 : L’explosion d’Internet et la culture underground Les années 2000 marquent une transformation radicale de l’Internet avec l’émergence du haut débit. Ce développement a permis à des communautés de hackers de se structurer autour de forums et surtout IRC. C’est dans ce contexte que la culture underground prospère, avec des pratiques comme le ripping de DVD et le carding (utilisation frauduleuse de cartes bancaires) C’est aussi l’époque des « cerises », un terme qui fait référence aux crack pour les logiciels ou jeux circulant dans ces réseaux. Hackerz Voice devient un point de convergence pour ces communautés, offrant un espace où les connaissances s’échangent librement. Guillaume Vassault-Houlière et son arrivée dans Hackerz Voice Guillaume Vassault-Houlière, connu sous le pseudonyme Freeman, a rejoint Hackerz Voice au début des années 2000. Son entrée dans la communauté s’est faite presque par hasard. Issu d’une famille d’artisans, il a d'abord étudié l'électronique et travaillé comme monteur-câbleur pour financer son premier ordinateur. Fasciné par l’informatique et la radio, il découvre le hacking grâce à un collègue qui lui transmet des ressources sur le sujet. Progressivement, il s’immerge dans les forums et IRC, où il fait la connaissance de figures influentes de Hackerz Voice. En 2004, il rencontre plusieurs membres historiques lors d’événements et s’implique activement dans la communauté. Sa passion et son expertise le mènent à jouer un rôle clé dans l’organisation de la Nuit du Hack et à contribuer à l’évolution du mouvement. Un lieu d’échange et d’apprentissage Avec ses forums et son magazine, Hackerz Voice s’impose comme une institution dans le monde du hacking français. Les premiers numéros du magazine sont très techniques et permettent à de nombreux passionnés d’approfondir leurs connaissances en sécurité informatique. Il s’agit d’une véritable école alternative où se croisent autodidactes, ingénieurs et chercheurs. L'affaire des failles bancaires : un tournant majeur Le mouvement Hackerz Voice prend une tournure plus controversée lorsqu’il découvre des failles dans plusieurs banques françaises. Ce travail de recherche sur le système bancaire attire l’attention des autorités, entraînant des arrestations et une forte médiatisation de l’affaire. Face à cette pression, la communauté est contrainte de changer son approche et son organisation. C’est un moment clé où Hackerz Voice commence à structurer davantage ses activités pour éviter d’être assimilé à des pratiques illégales. Notamment avec la création de the hackademy school. Le mag change de nom et devient The hackademy (99% white Hat) ce qui était une forme de blague dû au 1% manquant. L’évolution des membres de la communauté Beaucoup d’anciens membres de Hackerz Voice ont par la suite occupé des rôles clés dans l’écosystème de la cybersécurité. Certains sont devenus dirigeants d’entreprises spécialisées, d’autres ont fondé des programmes de formation, et plusieurs sont aujourd’hui des figures influentes du secteur. L’esprit du mouvement continue donc d’exister à travers leurs actions et contributions. L’association HZV a aujourd’hui pris le relais dans cette démarche en continuant d’organiser lehack ( ex nuit du hack) L’influence sur l’écosystème français Le mouvement Hackerz Voice a eu un impact profond sur le paysage de la cybersécurité en France. De nombreuses entreprises et formations ont été influencées par les valeurs de la communauté. L’analogie avec le monde du skate ou du surf est utilisée par Guillaume : ce qui commence comme un mouvement underground finit par être adopté et structuré par l’industrie. Guillaume Vassault-Houlière et la continuité avec YesWeHack Aujourd’hui, Guillaume Vassault-Houlière est à la tête de YesWeHack, une plateforme de Bug Bounty qui permet aux entreprises de faire appel à des chercheurs en cybersécurité pour identifier et signaler des failles de manière éthique. Il explique que l’esprit de Hackerz Voice vit toujours à travers cette initiative, qui repose sur les principes de collaboration et de divulgation responsable des vulnérabilités. En parallèle, il a également contribué à la création de ZeroDisclo, une plateforme permettant aux chercheurs en sécurité de divulguer anonymement des failles critiques sans risque juridique. Cette idée a émergé après des discussions avec Guillaume Poupard, alors directeur général de l’ANSSI. Ensemble, ils ont réfléchi à un moyen de sécuriser la divulgation de vulnérabilités tout en protégeant les chercheurs. Par ailleurs, il a joué un rôle clé dans l’élaboration de l’article 47, une disposition législative visant à protéger les lanceurs d’alerte en cybersécurité. Cet article garantit que ceux qui révèlent des failles de bonne foi ne puissent pas être poursuivis, un enjeu essentiel pour l’avenir de la cybersécurité. Le changement du paysage du hacking en France Aujourd’hui, le hacking en France est devenu un secteur structuré et monétisé. Le partage des connaissances, autrefois au cœur du mouvement, a en partie cédé la place à des logiques commerciales. Le bug bounty est devenu un modèle dominant, tandis que la divulgation responsable des vulnérabilités s’est imposée comme une norme. Un héritage toujours présent Malgré ces transformations, l’esprit Hackerz Voice continue d’exister à travers ses anciens membres et les valeurs qu’ils transmettent. Ce mouvement a marqué l’histoire du hacking français et reste une référence pour toute une génération de passionnés.
Fred Raynal ne s’est pas arrêté à la création de MISC. Conscient du manque d’événements francophones dédiés à la cybersécurité, il a co-fondé le SSTIC (Symposium sur la Sécurité des Technologies de l'Information et des Communications). Retour sur l’histoire de cette conférence devenue une institution. La Naissance du SSTIC : Une Conférence qui Rassemble les Mondes (2003) MISC a eu un impact indéniable, mais Fred Raynal voulait aller plus loin. "On s'est dit qu'il nous fallait une conférence en français. À l'époque, les Français étaient nuls en anglais et n'osaient pas présenter leurs travaux à l'étranger, alors qu'ils faisaient des choses incroyables." Le SSTIC (Symposium sur la Sécurité des Technologies de l'Information et des Communications) est né de cette volonté. "Au départ, MISC n'était pas un succès commercial immédiat. Il fallait le faire connaître. Une conférence pouvait aider à asseoir sa légitimité." La première édition devait avoir lieu à l'ESAT à Rennes, mais un attentat déclenche le plan Vigipirate rouge, rendant les bases militaires interdites aux civils. "À trois semaines de l'événement, on se retrouve sans lieu. Christophe Bidan, un des organisateurs et professeur à Supélec, nous propose un amphithéâtre pour 2 000 euros. On n'avait absolument pas budgété ça, mais on a foncé." Avec 180 participants (contre 65 attendus), le succès dépasse toutes les attentes. "On avait des gens du renseignement, des industriels, des universitaires, des militaires incognito... Des mondes qui ne se parlaient pas, et qui ont commencé à échanger." L'événement s'ancre rapidement comme un rendez-vous incontournable. Un Modèle Unique en Son Genre Le SSTIC avait une approche inédite : "On voulait du français, du technique, et rassembler des gens venant du monde académique, industriel et gouvernemental." À l’époque, ces trois sphères ne se parlaient pas, et la conférence a permis de créer des ponts. Avec les années, le SSTIC est devenu une référence internationale, attirant des intervenants prestigieux et des participants toujours plus nombreux. "Ce qui était génial, c'est qu'à l'époque, il n'y avait pas Internet comme aujourd'hui. Pas de téléphone portable. On était ensemble trois jours, enfermés à discuter, à échanger. Ça a créé une cohésion qu'on aurait difficilement pu obtenir autrement." Aujourd’hui, la conférence continue de prospérer, fidèle à ses principes fondateurs. Elle demeure un espace unique de partage et de formation pour les professionnels de la cybersécurité.
Une naissance dans l’underground hacker La Nuit du Hack (NDH) est l’un des événements les plus emblématiques du hacking en France. Fondée en 2003 par la communauté Hackerz Voice, elle est née d’un besoin de rassembler les passionnés de cybersécurité dans un cadre propice au partage de connaissances et aux expérimentations techniques Le premier rassemblement s’est tenu dans un cybercafé à Paris avec une vingtaine en 2003 (anecdote) En 2007 le rassemblement s’est tenu dans une grange avec une cinquantaine de participants. Guillaume Vassault-Houlière raconte : « On projetait sur un mur en pierre classé monument historique, et on avait improvisé un système électrique en tirant une ligne depuis un bâtiment voisin. » L’événement, à l’origine très artisanal, ressemblait davantage à une LAN party qu’à une conférence, mais l’essence du hacking y était déjà présente : expérimentation, défis techniques et transmission de savoir. L'évolution et la montée en puissance Avec le succès grandissant, la Nuit du Hack s’est professionnalisée. Dès la première édition, les Capture The Flag (CTF) deviennent une tradition phare de l’événement, rassemblant des équipes du monde entier pour tester leurs compétences sur des systèmes conçus pour l’occasion. Aujourd’hui c’est quasiment 1000 joueurs à chaque édition de lehack. Guillaume se souvient : « On s’est retrouvés avec des experts, des étudiants, des passionnés, tous réunis pour partager, débattre et apprendre. » L’événement prend une ampleur considérable et devient une référence dans l’univers de la cybersécurité. Les moments marquants L’un des moments les plus marquants de la Nuit du Hack fut l’introduction du Confessionnal de Zataz avec Damien bancal. Cette initiative humoristique consistait à permettre aux participants de "confesser" publiquement leurs expériences de hacking, leurs erreurs ou leurs pires moments techniques. Ce rituel est rapidement devenu une tradition de l’événement, renforçant l’esprit communautaire et l’aspect convivial du rassemblement. La Nuit du Hack est aussi jalonnée d’anecdotes marquantes. Une édition s’est tenue dans un cirque, où l’équipe organisatrice a dû improviser une infrastructure réseau complète. « On dormait dans les roulottes des artistes, et il fallait tout mettre en place pour assurer une connexion stable à plusieurs centaines de participants. » Un autre moment fort a été la fameuse « Surprise du Chef » : lors de l’édition de 2019, alors que des tensions internes persistaient autour de la gestion des marques associées à Hackerz Voice, l’équipe organisatrice a annoncé un changement de nom en pleine conférence pour devenir « lehack ». « On est arrivés avec un dinosaure sur scène et des toques de chef sur nos têtes, un symbole de cette transition. » L’impact sur la cybersécurité française La Nuit du Hack a profondément marqué l’écosystème du hacking en France. De nombreux experts en cybersécurité y ont fait leurs premières armes avant de devenir des figures influentes du secteur. « Ce qui est intéressant, c’est de voir comment cet événement a structuré toute une génération de professionnels. » L’événement a également contribué à changer la perception du hacking en France, en mettant en avant son rôle clé dans la sécurité des systèmes d’information. « Aujourd’hui, des entreprises et des institutions participent activement, preuve que le hacking éthique est devenu un enjeu majeur. » Un héritage toujours vivant Bien que la Nuit du Hack ait évolué au fil des ans, elle conserve son esprit originel. Guillaume Vassault-Houlière, désormais à la tête de YesWeHack, explique comment les valeurs de Hackerz Voice et de la Nuit du Hack ont influencé la création d’une plateforme de Bug Bounty structurée et professionnelle. L’événement continue d’attirer des passionnés du monde entier et d’offrir un espace unique pour la formation, l’expérimentation et la transmission du savoir. Deux décennies après sa création, la Nuit du Hack demeure un pilier de la culture hacker en France, ancrée dans un héritage de partage et d’innovation.
Dans cet entretien, Paul Richy partage des informations précieuses sur l’histoire et l’évolution des normes de cybersécurité, en particulier le rôle du sous-comité SC 27 et des normes ISO/IEC 27000. Premiers travaux et normes fondatrices Dès 1983, les Américains ont élaboré le « Livre Orange » (TCSEC – Trusted Computer System Evaluation Criteria) qui portait sur la certification de sécurité des systèmes d’exploitation. Le succès de cette approche a conduit les Européens à développer en 1989 les ITSEC (European Information Technology Security Evaluation Criteria) sur le même thème. Ces critères ont jeté les bases des standards mondiaux actuels et abouti à la création en des Common Criteria (ISO/IEC 15408). En parallèle, le JTC 1 a été créé à l’ISO en 1987 sur le thème très général des technologies de l’information (actuellement plus de 3500 normes sur les 25000 de l’ISO). Au sein de ce JTC 1, il a été décidé, en 1989, de créer un sous-comité, le SC 27, dédié à la sécurité. La genèse du SC 27 Paul Richy a participé à la création du SC 27, qui s’est imposé comme un acteur de la normalisation en SSI. Ce sous-comité a été établi sous l’égide de l’ISO (Organisation internationale de normalisation) et de l’IEC (Commission électrotechnique internationale) pour traiter des questions liées à la sécurité de l’information. Les travaux du SC 27 ont été à l’origine fortement influencés par des normes préexistantes, notamment la BS 7799 au Royaume-Uni. « La BS 7799 a servi de point de départ à de nombreuses discussions. Elle posait les bases des systèmes de management de la sécurité de l’information (SMSI), un concept alors novateur » explique Paul Richy. La norme ISO/IEC 27001 : un jalon essentiel L’ISO/IEC 17799 est parue en 2000, elle a été renommée ISO/IEC 27002 en 2007. Publiée en 2005, l’ISO/IEC 27001 a permis de structurer les exigences pour les SMSI. Elle repose sur une approche systématique de la gestion des risques et s’appuie sur des annexes définissant les contrôles de sécurité. Groupes de travail et domaines couverts Le SC 27 traite actuellement de la sécurité de l’information, de la cybersécurité et de la protection de la vie privée. Il est composé de plusieurs groupes de travail (« Working Groups ») abordant des thématiques variées, telles que : WG1 : Principes et méthodologies pour la sécurité de l’information. WG3 : Critères d’évaluation de la sécurité (dont les Critères Communs) WG5 : Protection de la vie privée. Les acteurs clés et leurs contributions Paul Richy rappelle le rôle de plusieurs figures importantes dans ce domaine : Mathieu Grall, acteur déterminant dans l’élaboration des premières versions des normes ISO. Hervé Schauer, impliqué dans la création du Club 27001 et bien d’autres choses. Jean-Marc Lamère, créateur de la première mouture du CLUSIF et auteur de la méthode MARION, qui a influencé l’évaluation des systèmes en France. Perspectives et archivage historique Pour conclure, Paul Richy insiste sur l’importance de documenter l’évolution des normes et de valoriser les contributions des pionniers. « Il est essentiel de se souvenir des efforts qui ont permis de structurer la cybersécurité mondiale, tant pour comprendre le présent que pour préparer l’avenir » conclut-il. Cette interview avec Paul Richy illustre l’importance de la normalisation en cybersécurité et le rôle central du SC 27 dans l’établissement de standards universels.
Un tournant décisif pour la cyberdéfense française En 2007, dans le cadre de la LPM 2009-2014 demandée par le Président Sarkozy, la France amorce une transformation majeure dans sa stratégie de cybersécurité. Portée par la direction technique de la DGSE, une réflexion approfondie sur la Lutte Informatique Offensive (LIO) émerge, s’inscrivant dans un contexte global où les menaces cyber se multiplient. Ce mouvement aboutira au Livre blanc sur la défense et la sécurité nationale (publié le 17 juin 2008), qui marque un tournant en intégrant officiellement la dimension cyber au sein des priorités stratégiques de l’État. Un projet structurant sous l’impulsion de Bernard Barbier Bernard Barbier, alors à la tête de la direction technique de la DGSE, joue un rôle clé dans ces développements. Il défend avec force la nécessité de doter la France de capacités cyber offensives face aux réticences de certains acteurs institutionnels. "Nous avons pu structurer un plan d’action clair et démontrer l’importance d’une approche proactive en matière de cybersécurité", affirme-t-il. L’objectif est double : protéger les infrastructures critiques et permettre à la France de disposer d’une autonomie stratégique face aux puissances étrangères, notamment les États-Unis, la Russie et la Chine, qui ont déjà investi massivement dans ce domaine. Une bataille politique et institutionnelle Le débat sur l’intégration de la LIO dans les doctrines de défense n’est pas simple. Suite à la publication du livre blanc en juin 2008, Un groupe de travail interservices est alors mis en place (2009) réunissant la DGSE, la Direction Générale de l’Armement (DGA), l’ANSSI et l’EMA, afin d’élaborer une feuille de route commune. Bernard Barbier se souvient d’une grande réunion en 2009 où il a dû convaincre les autorités militaires de l’importance du sujet : "Les militaires avaient du mal à comprendre que la cyberdéfense ne se gérait pas comme l’infanterie." Finalement, l’argumentaire porte ses fruits, et des investissements significatifs sont débloqués pour structurer une véritable capacité offensive et défensive. Une avancée concrète : le Livre blanc de 2008 Le Livre blanc de 2008 sur la défense et la sécurité nationale officialise l’entrée du cyber offensif dans la doctrine stratégique de la France. C’est une victoire pour Bernard Barbier et son équipe, qui voient leurs efforts reconnus au plus haut niveau de l’État. Ce document clé prévoit : Le développement de capacités cyber offensives et défensives ; La création d’une structure dédiée au sein des forces armées et des services de renseignement ; Une coopération renforcée entre les acteurs publics et privés du secteur. Les anecdotes marquantes de cette période Bernard Barbier raconte qu’au départ, les décideurs sous-estimaient la menace cyber. "On me disait : 'Mais à quoi bon investir autant dans le numérique ? Nous avons déjà des missiles et des avions !' Pourtant, avec la multiplication des attaques et les démonstrations de force de puissances étrangères, la nécessité d’une capacité propre devient évidente. Il se souvient également d’un moment clé où un général sceptique a dû reconnaître la pertinence du projet après une simulation d’attaque réussie contre une infrastructure critique. "Ce jour-là, j’ai su que nous avions gagné la bataille des idées", dit-il avec amusement. Un héritage durable Les décisions prises en 2007-2008 ont jeté les bases de la cyberdéfense française actuelle. Depuis, des structures comme l’ANSSI (crée le 7 juillet 2009) et le Commandement de la Cyberdéfense (COMCYBER) (crée officiellement le 4 mai 2017, mais une structure préfiguratrice OG CYBER avait été créée dès 2011) ont vu le jour, renforçant la résilience numérique de la nation. Aujourd’hui, la France figure parmi les nations reconnues dans le domaine cyber, mais ce succès repose sur les choix audacieux effectués à cette époque. Comme le conclut Bernard Barbier : "Sans ces décisions, nous serions encore dépendants des autres. Il fallait agir, et nous l’avons fait."
Le RGS : la genèse à travers l’interview de Matthieu Grall (années 2010) Depuis le tournant des années 2000, le Référentiel Général de Sécurité (RGS) s’est imposé comme un pilier essentiel de la protection des systèmes d’information en France. Parmi ceux qui ont contribué à façonner ce socle réglementaire figure Matthieu Grall, acteur-clé de l’évolution des structures institutionnelles en matière de sécurité et témoin privilégié de la transition du SCSSI à la DCSSI et à l’ANSSI. Ses premiers pas dans l’univers de la gestion des risques, son expérience au sein de l’État et son rôle dans la structuration du RGS éclairent l’histoire encore méconnue d’un référentiel devenu incontournable. Les origines du RGS : une « rencontre » décisive avec l’administration de la sécurité Tout commence lorsque Matthieu Grall, alors étudiant en informatique et sciences cognitives, découvre fortuitement l’existence du Service central de la sécurité des systèmes d’information (SCSSI). Pour son service militaire, il entrevoit la possibilité de rejoindre cet organisme chargé de la protection des informations sensibles de l’État. Cette immersion précoce dans le monde de la sécurité opérationnelle marque un tournant : Un environnement méconnu : le SCSSI, structure encore relativement confidentielle, est l’ancêtre direct de la DCSSI, puis de l’ANSSI. Une révélation professionnelle : le service national permet à Matthieu Grall de constater à quel point l’informatique, la sécurité physique et la défense des infrastructures vitales sont indissociables. Un terrain fertile pour l’innovation : cette période constitue le germe de la réflexion qui aboutira plus tard au RGS, avec l’idée de formaliser des règles de sécurité pour l’administration. L’évolution du RGS : d’un projet d’État à un référentiel structurant Dans la seconde moitié des années 2000, le SCSSI devient la Direction centrale de la sécurité des systèmes d’information (DCSSI) du Secrétariat général de la Défense et de la sécurité nationale (SGDSN), avant de devenir l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Sous l’impulsion de personnalités comme le Général Desvignes ou Henri Serres, les effectifs grossissent et le champ d’action s’étend : Passage au niveau ministériel : la DCSSI intensifie ses relations avec les différents ministères, posant les bases d’un référentiel commun. Une montée en puissance exponentielle : le service passe de quelques dizaines d’agents experts à plusieurs centaines, augmentant sa capacité d’action et de conseil. Structuration du rôle de l’ANSSI : officialisée, l’agence se dote d’outils méthodologiques pour accompagner administrations et opérateurs critiques, jusqu’à formaliser le RGS. Le RGS : une référence ancrée dans la culture institutionnelle À l’image de ce qu’ont pu représenter les grands référentiels internationaux (ISO/IEC 2700x, par exemple), le RGS s’implante durablement au sein des entités publiques françaises. Son nom même – Référentiel Général de Sécurité – reflète l’ambition de doter l’État d’un document-cadre. Cette démarche répond à plusieurs objectifs : Uniformiser la sécurité de l’information : éviter l’éparpillement des pratiques et instaurer des standards lisibles pour toutes les administrations. Fédérer autour de la gestion des risques : la méthode EBIOS, par exemple, permet de cartographier et traiter les menaces de façon systématique. Garantir la conformité légale et cryptographique : le RGS fixe des exigences claires en matière de signatures électroniques, de cryptographie et de politiques de sécurité. Un témoin de l’évolution du cybercrime et de la cybersécurité Au fil des ans, Matthieu Grall et ses collègues ont vu l’écosystème cyber passer d’un stade émergent à un univers ultra-connecté. Les missions de la DCSSI, puis de l’ANSSI, les ont confrontés à : L’explosion des attaques en ligne : défacements, virus, malware, espionnage économique… autant de phénomènes qui ont poussé l’État à se doter d’outils de protection robustes. La prise de conscience politique : la sécurité numérique devient un enjeu national, ce qui accélère la montée en puissance de l’agence et la diffusion du RGS. La complémentarité avec les normes internationales : si l’ISO/IEC 27001 reste un socle reconnu mondialement, le RGS permet de l’adapter aux spécificités françaises (administratives, légales, etc.). L’impact du RGS et sa « communauté » d’experts En quelques années, le RGS s’est hissé au rang de référence dans l’administration française. De nombreux responsables de la sécurité des systèmes d’information (RSSI) et directeurs des systèmes d’information (DSI) se sont formés grâce aux guides pratiques et aux retours d’expérience fournis par l’ANSSI. Cette dynamique se traduit par : Un accompagnement sur mesure : audits, évaluations, conseils pour renforcer les configurations des systèmes sensibles. Des publications pédagogiques : guides de maturité, tableaux de bord, fiches techniques… qui s’inspirent parfois de la méthode EBIOS. Une reconnaissance croissante : en interne (services de l’État) comme auprès des partenaires industriels et de la société civile. Un acteur de la formalisation et de la « divulgation » des bonnes pratiques À l’instar de la divulgation responsable de failles en cybersécurité, l’ANSSI et les architectes du RGS, dont Matthieu Grall a été l’un des relais, ont adopté une approche méthodique de la diffusion d’informations sensibles : Centraliser et organiser : regrouper les exigences, les principes et les solutions dans un référentiel unique. Alerter les entités concernées : accompagner les ministères et opérateurs critiques dans leurs démarches de sécurisation. Travailler de concert avec les experts : laboratoires, universitaires, entreprises privées, tous mobilisés pour faire évoluer le RGS au fil des nouvelles menaces. Une vision globale de la cybersécurité : la défense en profondeur Loin du sensationnalisme, la DCSSI, puis l’ANSSI, ont toujours misé sur la pédagogie et le pragmatisme. Cette « défense en profondeur » se fonde sur : Des mesures techniques : pare-feux, filtrage, chiffrement, détection d’intrusion. Un volet humain : sensibiliser les agents, structurer les responsabilités, former en continu. Un cadre organisationnel : politiques de sécurité, plans de continuité, audits réguliers. Valoriser les figures historiques de la sécurité numérique française À l’instar de certains acteurs qui militent pour reconnaître les pionniers de la cybersécurité hexagonale, Matthieu Grall et ses pairs s’inscrivent dans cette démarche de mémoire et de transmission. Ils ont contribué à : Documenter les étapes clés : via des frises chronologiques, des études de cas, et des entretiens comme celui-ci. Rendre hommage aux visions fondatrices : en rappelant le rôle de personnalités comme le général Desvignes, qui ont modernisé la sécurité nationale. Poser les jalons d’une culture cyber : en suscitant l’intérêt des jeunes générations pour la gestion des risques et les enjeux majeurs de la souveraineté numérique. Aujourd’hui, le RGS demeure l’une des pierres angulaires de la politique publique de sécurité numérique en France. Son histoire, telle que révélée par le parcours et les souvenirs de Matthieu Grall, est celle d’une volonté sans cesse réaffirmée de protéger l’information stratégique, d’adopter des méthodologies fiables et de proposer un cadre de référence adapté aux réalités du terrain. Comme les grands noms de la cybersécurité qui l’ont précédé, le RGS incarne un engagement concret : aider les administrations à se défendre contre un cyberespace toujours plus exigeant et imprévisible.
Jérôme Notin, directeur général du GIP ACYMA (Cybermalveillance.gouv.fr), revient en détail sur la Genèse et l'évolution du dispositif national d'assistance aux victimes de cyberattaques. Une conversation enrichissante qui met en lumière l'importance d'une collaboration étroite entre le public et le privé. L'origine du dispositif : une volonté politique face à une menace croissante La création de Cybermalveillance.gouv.fr trouve ses racines dans la première Stratégie Nationale de Cybersécurité, présentée en octobre 2015. "Il fallait renforcer les moyens de l'ANSSI, mais aussi mettre en place un dispositif qui puisse assister les victimes que l'ANSSI ne traitait pas, c'est-à-dire les particuliers, les entreprises et les collectivités non régulées" explique Jérôme Notin. Cette volonté a mené à la mise en place d'un groupe de travail interministériel, copiloté par Guillaume Poupard, alors directeur général de l'ANSSI, et un préfet du ministère de l'Intérieur. "Les conclusions de ce groupe ont été rendues en avril 2016 et j'ai rejoint l'ANSSI en mai de la même année en tant que préfigurateur du dispositif," précise-t-il. La mission était claire : "Mettre en place un dispositif qui aidera les victimes." Pour répondre à cette commande, il fallait trouver une structure juridique adaptée permettant une implication conjointe du public et du privé, comme cela était demandé par la Stratégie nationale. "Le bureau des affaires juridiques de l'ANSSI nous a conseillé de créer un groupement d'intérêt public (GIP), ce que nous avons fait," explique Jérôme Notin. L'idée de développer un tel dispositif a été inspirée par un modèle observé à Luxembourg. "Lors d'un déplacement à Luxembourg, des membres de l'ANSSI ont découvert un système qui proposait une liste de prestataires aux victimes de cyberattaques, en particulier dans le secteur bancaire. Ils se sont dit que c'était une idée géniale et qu'il fallait l'adapter à l'ensemble du tissu industriel français," explique Jérôme Notin. Cette inspiration a renforcé l'idée que la mise en relation entre victimes et prestataires qualifiés devait être un élément central du dispositif français. Une collaboration public-privé essentielle Jérôme Notin insiste sur le fait que "l'État seul ne pouvait pas tout faire" face à l'explosion des cyberattaques. "Le privé, lui, est là pour faire du business, ce qui est normal, mais un véritable partenariat public-privé pouvait avoir du sens. L'État donne l'impulsion, et le privé peut être un soutien fort," développe-t-il. Un exemple marquant est la mise en place du dispositif Alerte Cyber. "Le MEDEF nous a sollicités en disant : 'Nous avons un problème pour notifier nos adhérents lorsqu'une vulnérabilité critique est découverte'. Nous avons donc mis en place une solution en collaboration avec la CPME, l'Union des entreprises de proximité et l’association des Maires et des Présidents d'intercommunalité. Aujourd'hui, nous avons une diffusion massive et efficace des alertes cyber," se félicite Jérôme Notin. Les obstacles rencontrés Malgré son succès, la mise en place de Cybermalveillance.gouv.fr n'a pas été sans difficultés. "Certains fonctionnaires de l'administration ne voulaient pas voir un GIP mêlant public et privé. On nous a mis des bâtons dans les roues," regrette Jérôme. "Certains allaient jusqu'à dire qu'on ne pouvait pas être de véritables agents de la fonction publique parce que nous étions contractuels. Pourtant, notre mission est claire : aider les victimes, et nous avons toujours travaillé dans l'intérêt général." Le déploiement du 17 Cyber : un tournant majeur Récemment, Cybermalveillance.gouv.fr a lancé le 17 Cyber, en partenariat avec le ministère de l'Intérieur. "Nous avons ajouté à notre plateforme la possibilité pour une victime de dialoguer avec un policier ou un gendarme, 24h/24. Cela permet un accompagnement non seulement technique, mais aussi judiciaire," explique Notin. Ce projet répond à un besoin crucial : "Les forces de l'ordre traitent des sujets très variés. Nous avons donc conçu un outil qui les aide à poser les bonnes questions et à fournir les bons conseils aux victimes de cyberattaques. Cela permet aussi d'orienter efficacement les demandes," ajoute-t-il. Cybermalveillance.gouv.fr : un modèle qui rayonne Le succès du dispositif français commence à attirer l'attention au-delà de nos frontières. "Nous avons signé un accord avec Monaco pour qu'ils reprennent notre plateforme et notre label ExpertCyber," annonce Jérôme. "D'autres pays européens s'intéressent aussi à notre modèle." Cybermalveillance.gouv.fr se distingue par son approche pragmatique : "Nous donnons accès à notre code source, ce qui permet à d'autres pays d'adapter et d'améliorer nos outils. Cette coopération pourrait à terme harmoniser les approches et favoriser une meilleure protection des victimes à l'international." Un dispositif en constante évolution Alors que les cybermenaces ne cessent de croître, Cybermalveillance.gouv.fr continue d'évoluer. "Nous avons récemment lancé un widget, le 17 Cyber, qui peut être intégré sur n'importe quel site web pour faciliter l'orientation des victimes. Nous voulons aller encore plus loin dans la diffusion de l'information," déclare Jérôme. Avec seulement 18 personnes dans son équipe, l'organisation fonctionne grâce à une automatisation avancée et un fort soutien de ses partenaires. Cybermalveillance.gouv.fr est donc bien plus qu'un simple portail d'assistance : c'est un modèle unique de collaboration public-privé qui, grâce à son pragmatisme et à son efficacité, s'impose comme un acteur clé de la cybersécurité en France et au-delà.
Depuis quelques années, la norme ISO/IEC 27701 est devenue une référence incontournable pour le management de la protection de la vie privée. Elle complète l’ISO/IEC 27001 en y intégrant spécifiquement le volet des données à caractère personnel. Pour mieux comprendre comment la France a contribué à cette norme, nous nous sommes entretenus avec Matthieu Grall, qui a suivi et influencé les travaux de l’ISO. La nécessité d’un « plugin » vie privée Matthieu Grall : « On voulait une prise en compte globale de la vie privée au niveau international, et pour ce faire, il fallait qu’on s’écrive dans un cadre. On a décidé de ne pas créer un ennième système de management, mais plutôt de faire un plugin en extension de la 27001. » Dans ces propos, Matthieu Grall décrit la logique qui a présidé à l’émergence de l’ISO/IEC 27701 : ne pas multiplier les référentiels, mais compléter l’ISO/IEC 27001 pour y intégrer la protection des droits et des libertés. En procédant ainsi, la norme aboutit à un système de management où sécurité de l’information et protection de la vie privée sont gérées conjointement. Un équilibre entre exigences juridiques et opérationnelles Matthieu Grall : « Pour beaucoup, la protection de la vie privée ne relevait que du légal ou de la compliance. Pour nous, c’est un volet qui inclut la sécurité, l’organisation et la protection des droits fondamentaux. On a donc intégré tous ces éléments dans la norme, en tenant compte d’exigences internationales comme le RGPD. » Comme le souligne Matthieu Grall, l’Europe défend une vision globale de la protection des données : technique, organisationnelle et juridique. ISO/IEC 27701 formalise cette approche en imposant aux organisations de considérer la confidentialité non pas comme une simple case à cocher, mais comme un pilier intégré dans leur système de management de la sécurité. Des négociations longues et souvent compliquées Matthieu Grall : « Il y a 40 pays, tu te retrouves avec des milliers de commentaires, et tu as des semaines de réunions pour tout passer. C’est de la négociation, de la manœuvre et beaucoup de compromis. Si on n’avait pas été présent sur place pour défendre nos idées, il n’y aurait pas eu ce volet complet de management de la vie privée. » Les travaux de l’ISO requièrent un effort de coordination et de négociation. D’après Matthieu Grall, la délégation française, soutenue par d’autres partenaires européens, a joué un rôle central pour faire accepter l’idée d’un « management de la vie privée » plutôt qu’une vision réduite à la seule conformité légale. Vers un management « global » de la vie privée Matthieu Grall : « Chez nous, l’idée, c’est qu’on ne peut pas dissocier la technique, l’organisation et la responsabilisation des acteurs. On a depuis longtemps intégré tous ces aspects en France, et ça nous a beaucoup servi pour pousser, dans la norme, une vraie démarche de gestion de la vie privée. » La notion de gestion des risques (inspirée par des approches comme EBIOS) et la prise en compte des droits fondamentaux sont deux pierres angulaires de cette extension. ISO/IEC 27701 oblige en effet les organisations à s’interroger sur l’impact de leurs activités sur les personnes concernées, de la conception des systèmes jusqu’à leur exploitation quotidienne. Conclusion : l’empreinte française sur ISO/IEC 27701 Matthieu Grall : « Avec l’ISO/IEC 27701, on a concrétisé l’idée qu’il fallait un management de la protection de la vie privée. On n’est plus seulement dans la technique ou dans la loi : on est dans l’opérationnel, avec l’obligation de se poser des questions sur les risques, les mesures, la maturité de l’organisation et la protection réelle des droits des individus. » Au fil de ces propos, on comprend comment la délégation française a contribué à faire de l’ISO/IEC 27701 bien plus qu’une simple norme de conformité. Elle propose un cadre holistique où les considérations de sécurité et de confidentialité cohabitent, dans le but de protéger concrètement les données à caractère personnel. En somme, grâce au travail d’experts comme Matthieu Grall, les valeurs et la méthode françaises (gestion des risques, protection des droits et libertés, approche complète de la sécurité) sont désormais intégrées dans un référentiel international qui s’impose comme un indispensable de la gouvernance d’entreprise et de la sécurité de l’information.
We'd love to hear from you. Please send questions or feedback to the below email addresses.
Before contacting us, you may wish to visit our FAQs page which has lots of useful info on Tiki-Toki.
We can be contacted by email at: hello@tiki-toki.com.
You can also follow us on twitter at twitter.com/tiki_toki.
If you are having any problems with Tiki-Toki, please contact us as at: help@tiki-toki.com
Close