Piloté par le secrétaire général de la défense et de la sécurité nationale (SGDSN), la revue stratégique cyberdéfense, équivalent des anciens livres blancs, a été élaborée en concertation avec des représentants des acteurs publics et privés. Après un passage en conseil de défense et en conseil des ministres, une présentation publique a été organisée au sein du magnifique incubateur de startups « Station F ». Trois tables rondes animées par les rapporteurs de la revue ont mis en exergue quelques éléments clés. Le document complet est disponible sur le site du SGDSN.

Le référentiel SecNumCloud est proposé par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) pour qualifier les prestataires de services de Cloud. Il peut être aussi utilisé comme un guide de bonnes pratiques en dehors de tout contexte réglementaire. Pour obtenir la qualification, les prestataires doivent appliquer toutes les exigences du référentiel. Cette initiative a pour objectif de renforcer la confiance entre les clients et les fournisseurs Cloud à l’instar de FedRamp aux Etats-Unis, du catalogue allemand C5 (cloud computing compliance criteria catalogue) ou encore du schéma de certification européen. Ces aspects conformité sont largement dans les certifications Cloud CCSP et CCSK.

Plusieurs études ainsi que les retours d’expériences des grands donneurs d’ordre mettent en avant le manque de ressources humaines en cybersécurité. CISO, architectes, chefs de projets, analystes SOC, spécialistes analyses de risques, auditeurs, investigateurs numériques : compétences et expériences attendues sont très différentes suivant les postes. Des référentiels existent pour décrire, catégoriser et mesurer les niveaux requis. Ils complètent à cet égard les nombreuses certifications professionnelles disponibles dans ce domaine, massivement utilisées depuis longue date aux Etats-Unis et depuis quelques années en Europe. Ces référentiels et certifications sont des sources très utiles pour les groupes de toute taille qui souhaite formaliser leur grille de métiers en cybersécurité et proposer à leurs employés des parcours de formation.

Le dispositif de sécurité des activités d’importance vitale (SAIV) est piloté en France par le SGDSN. Ce dispositif comprend des aspects liés à la sûreté, la sécurité physique et la cybersécurité. L’objectif est d’associer pouvoirs publics et entités publiques et privées, sur le périmètre de leurs activités les plus critiques pour la nation. La liste des entités OIV n’est pas publique. Les critères de désignation sont fixés par les ministères coordonnateurs. Plus récemment, des obligations ont été imposées par la directive NIS et ses transpositions nationales aux Fournisseurs de Service Numérique.