La 24ª edición de The Safety Assises en Mónaco abrió sus puertas con el discurso inaugural tradicional de Vincent Strubel, director general de laAnsi (Agencia Nacional para el Sistema de Sistemas de Información). Desde el principio, elogió "una victoria inequívoca y colectiva" sobre los Juegos Olímpicos de París este verano. "Sin embargo, la amenaza era sin precedentes vinculada a las tensiones geopolíticas y sistémicamente con ransomware y otros ataques", observa. Pero según él, "la preparación fue intensa varios años antes del comienzo del evento y movilizó a diferentes actores en el estado, la organización de juegos, CSIRT Networks, socios internacionales".
Como resultado, los Juegos Olímpicos no han sufrido ninguna perturbación o interrupción relacionadas con los ataques cibernéticos. "Esto no significa que no hubiera, pero no afectaron los juegos, las delegaciones, el público", observa al gerente, enfatizando "es único". En septiembre Anssi había identificado 548 eventos de ciberseguridad Incluyendo 465 informes (que requieren una intervención mínima por parte de la agencia) y 83 incidentes más graves que movilizan los equipos de la organización. Independientemente de las figuras, Vincent Strubel quiere retener dos cosas este verano, "la primera es la fuerza del colectivo, hubo una movilización sin psicotaje. Nos las arreglamos para bloquear los ataques muy temprano, incluso a veces demasiado temprano para descubrir cuáles son las intenciones de los oponentes".
Los ojos se volvieron hacia Nis 2 y la CRA
Después de la satisfacción, Vincent Strubel no olvida volver a mover a las tropas para los próximos plazos. El primer desafío es la Directiva NIS 2 que entra en vigor el 17 de octubre. No es una fecha límite, recuerda al gerente, "el 17 de octubre no habrá nada". De hecho, la directiva debe transponerse a la ley nacional y un proyecto de ley está listo para ser debatido. "Todavía hay meses de trabajo, co-construcción, consultas", admite con respecto a la situación política en Francia. Reitera su intención de dejar tres años a las entidades interesadas para cumplir con NIS 2. Por otro lado, quiere que ciertos requisitos simples se respeten lo antes posible "el registro con el ANSSI de la entidad regulado en el portal de Monespace Nis 2, notificaciones de incidentes, para mostrar inversiones en soluciones de seguridad".
Las otras regulaciones a tener en cuenta es la Ley de Resiliencia Cibernética (CRA). Esta es una regulación (a partir de la derecha en la legislación nacional) destinada a fortalecer la seguridad de todos los productos digitales. "Este texto es importante porque equilibra las responsabilidades en la ciberseguridad de los productos al imponer la seguridad predeterminada y por diseño, para establecer buenas prácticas", especifica Vincent Strubel. En este contexto, el trabajo está en marcha bajo el liderazgo de ENISA para crear estándares.
Nube, IA y Quantum en la hoja de ruta ANSSI
Entre los otros temas sujetos a vigilancia por parte del ANSSI, existe la nube y, en particular, la discusión a nivel europeo del esquema de certificación (EUC). Francia quiere eso para el más sensible dado, se adoptará el nivel más alto de certificación y destaca el repositorio de SecnumCloud. Una opinión que no es compartida por todos los Estados miembros. Vincent Strubel no ocultó las dificultades en las negociaciones, pero quiere tranquilizar "Siempre podremos imponer SecnumCloud a los sistemas más sensibles en nombre de la seguridad nacional". También se retrasó en la IA al querer "objetificar y racionalizar el debate" a través de recomendaciones emitidas conjuntamente con el BSI (ANSI alemán).
Finalmente, volvió a un tema de prospectivo pero que no debe ser ignorado, el cuántico. "Cuando la informática cuántica es efectiva, probablemente será la mayor ruptura de la TI", admite. Y tendrá implicaciones para la ciberseguridad con la capacidad de poder romper las claves de cifrado. "Tienes que prepararte para ello ahora y trabajar en algoritmos capaces de resistir"
Otras noticias que te pueden interesar