Le titre de la conférence d'ouverture de ces Assises de la sécurité 2012 était éloquent « Osez dire non !». Si l'année dernière, Patrick Pailloux, directeur général de l'ANSSI avait tancé vertement les RSSI présents aux Assises, en leur demandant de respecter les principes fondamentaux d'hygiène informatique, cette année, son discours d'ouverture a été plus pédagogique. Ainsi, sur ce respect des règles élémentaires de sécurité, l'ANSSI a publié sur son site un « précis » comprenant 40 règles concrètes à travers 13 étapes. « Nous avons mis du temps pour établir ce document, il y a eu des arbitrages. Au départ, il y avait 45 à 50 règles », précise M. Pailloux.

Au sein de ces règles, on retrouve la nécessité de réaliser une cartographie précise de son système d'information et des utilisateurs, mettre à jour ses logiciels, réaliser un audit de la sécurité ou sensibiliser les utilisateurs.  « Avec ce précis, plus personne n'aura d'excuse pour ne pas appliquer des politiques de sécurité. Je ne veux plus entendre : on ne sait pas quoi faire, on ne savait pas », ajoute M. Pailloux. Ce précis est soumis à commentaires pendant un mois avant d'être définitivement mis en place. Ce rôle de pédagogue a été bien accueilli par les RSSI présents dans la salle. « Il a compris qu'il fallait convaincre les PDG de sociétés et pas nécessairement faire porter la faute sur les RSSI », indique un responsable de la sécurité d'une collectivité territoriale.  Un autre RSSI d'une société d'assurance s'interroge sur la mise en place de ce guide : « est-ce que cela ne prépare pas de futures sanctions ? ». Patrick Pailloux a anticipé cette interrogation en expliquant qu'à terme, il faudrait réfléchir à des sanctions pour faire respecter les règles. « Elles pourront prendre plusieurs aspects, assurances, décision d'un régulateur, amendes, avertissements, etc » prévoit le responsable.

Résolument contre le BYOD

Objet de multiples tables rondes, ateliers, aux assises de la sécurité, le phénomène du BYOD (Bring Your Own Device) est sévèrement combattu par le directeur général de l'ANSSI. « Un terminal personnel ne doit pas rentrer dans l'entreprise et se connecter au système d'information », explique Patrick Pailloux et d'ajouter, « il s'agit d'un abandon total de sécurité ». Il exhorte les RSSI à rentrer en résistance et ne pas hésiter à dire non : « il est autorisé d'interdire ». Ainsi, il prend l'exemple des tablettes en rappelant qu'avant de se connecter au système d'informations, ces terminaux doivent d'abord passer par  les fourches caudines de l'authentification d'identité auprès de Google (via Gmail) ou Apple (via iTunes). « Cela signifie que l'on confie nos identités à ces sociétés qui deviennent des passerelles pour l'accès, l'achat, etc. », analyse le responsable.

Patrick Pailloux, par contre, fait la distinction entre les différentes stratégies de mobilité des entreprises. « Si une entreprise fournit des tablettes qui respectent la politique de sécurité de celle-ci, il n'y a pas de problème ». Les éditeurs rencontrés sur le salon restent dubitatifs sur cette charge contre un phénomène qui est déjà présent dans certaines entreprises. La question, pour ces dernières, est plutôt se savoir comment y répondre : gestion des identités, authentification, accès aux réseaux, MDM, etc.

La menace sur les systèmes industriels

En conclusion de son discours, M. Pailloux s'est attardé sur une inquiétude de plus en plus croissante sur les menaces ciblant les systèmes industriels. L'exemple d'Aramco Saudi, compagnie pétrolière et l'infection de 30 000 postes de travail, a suscité une prise de conscience de la fragilité de ces systèmes. Pour Patrick Pailloux, il existe deux grands mouvements sur ces sujets : de plus en plus de systèmes industriels sont informatisés avec un OS (Windows, Linux...), une interconnexion réseau au système d'information... et de plus en plus de personnes s'intéressent à ce type d'attaques.

L'ANSSI considère ces problématiques comme une priorité et elle envoie un message aux entreprises : « il faut isoler les systèmes industriels de l'Internet. Si cela est impossible, il est urgent de chercher des alternatives ». Surtout que parmi le palmarès des menaces, Patrick Pailloux recense « le sabotage, il y a encore un an, on n'avait pas de cas. Aujourd'hui, on a franchi le Rubicon ».