<p>L'aluminium des anciens Mac Pro est une très bonne base pour créer une foule d'objets du quotidien comme un banc public ou un barbecue.</p>

L'Image du jour

L'aluminium des anciens Mac Pro est une très bonne base pour créer une foule d'objets du quotidien comme un banc public ou un barbecue.

Région PACA : Une filière numérique ancrée et solide mais dispersée sur un vaste territoire

Dernier Dossier

Région PACA : Une filière numérique ancrée et solide mais dispersée sur un vaste territoire

Ne percevons pas uniquement la région PACA (Provence-Alpes-Côte d'Azur) à travers le tourisme et le soleil ! Cette région possède aussi une solide fil...

Restez proche de l'actualité IT

NEWSLETTERS THEMATIQUES

Découvrez nos différentes newsletters adaptées à vos besoins d'actualités IT Pro : Mobilité, Réseaux, Stockages, ...

Abonnez-vous 
FERMER

ESPACE PARTENAIRE

Webcast

FERMER

LMI MARKET

Votre comparateur de prestataires IT : Comparez les devis, Evaluez les prestataires, Trouvez le juste prix!...

Accéder à ce service 

BLOG

Découvrez les contenus exclusifs publiés par les lecteurs du Monde Informatique avec la plateforme LMI Blog...

Accéder à ce service 

COMPARATEUR DE SALAIRE

Partagez votre situation salariale anonymement, consultez les statistiques depuis 2009 et faites vos propres analyses...

Accéder à ce service 

IT TOUR

LMI vous invite à sa Matinée-Débats dans votre région.
Inscrivez-vous

Accéder au site 
FERMER
0
Réagissez Imprimer Envoyer

La sécurité des systèmes d'information est-elle un échec ?

Patrick Pailloux, directeur général de l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'information)

Patrick Pailloux, directeur général de l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'information)

Les systèmes d'information seraient mal sécurisés quand on écoute les multiples incidents exposés dans les médias grand public. Cependant, la faute ne serait pas du côté des RSSI mais plutôt des DSI et des directions générales lorsqu'ils ne sont pas assez impliqués.

« La sécurité des systèmes d'information est-elle un échec ? » s'est interrogé Michel Van den Berghe, PDG d'Atheos, en ouvrant la soirée des RIAM's (Rencontres Identité Audit et Management de la Sécurité) le 5 février 2013. Les incidents de sécurité se multiplient en effet avec des échos médiatiques croissant. Ces mises en avant ennuient parfois les RSSI alors que déclarer les incidents aux autorités administratives ne poserait pas de vrai problème selon Lazaro Pejsachowicz, président du CLUSIF (Club de la Sécurité des Systèmes d'Information Français).

Selon Patrick Pailloux (en photo), directeur général de l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'information), l'un des véritables problèmes est la dichotomie entre DSI et RSSI. Chacun des deux reste dans sa bulle avec ses préoccupations. Lorsque l'ANSSI intervient en pompier sur un incident, Patrick Pailloux constate que cela se passe mieux quand le DSI mène l'opération avec l'appui du RSSI et plus mal quand le RSSI tente de mener seul l'opération, le DSI restant éloigné de la crise. 

Et, bien entendu, plus le comité exécutif est impliqué, mieux c'est. Le vrai drame est l'incapacité des dirigeants de l'entreprise de comprendre à quel point la sécurité informatique est un sujet qui les concerne. Un point faible récurrent est l'annuaire des utilisateurs du système d'information, c'est à dire la porte d'accès à tout le système d'information. Si la porte est grande ouverte, élever des murailles ne sert pas à grand chose.

Promouvoir les règles d'hygiène du système d'information 

« On sait ce qui doit être fait mais ce n'est pas appliqué » a déploré Patrick Pailloux. Pour lui, il faut donc communiquer autour des expériences concrètes, des missions réussies. Les entreprises doivent ainsi tirer des enseignements de l'expérience. L'ANSSI s'est aussi évertué à publier des guides de bonnes pratiques, des règles d'hygiène du système d'information. Ce guide, bien entendu, doit être adapté à chaque situation concrète d'entreprise. Pour Patrick Pailloux, « la sécurité reste avant tout une question de main d'oeuvre : la technologie sans spécialistes, c'est comme une vidéo-surveillance sans personne devant les écrans ». La sécurité ne suppose pas forcément ou uniquement de grandes dépenses, au grand dam des fournisseurs.

L'ANSSI travaille ainsi aujourd'hui à hauteur de 60% environ pour le secteur privé alors que, jadis, elle était plutôt dédiée au secteur public et industriel de défense. Pour Patrick Pailloux, l'ANSSI ne sait pas encore bien travailler avec le secteur privé. Il n'est pas question de transmettre des listes de signatures de virus mais plutôt de savoir transmettre de vraies alertes majeures. 

L'ANSSI essaye aussi de travailler avec de grands prestataires. En cas de manquements du secteur privé, l'ANSSI doit savoir aussi, selon son directeur général, « combler les trous dans la raquette ». A la manière du Cloud, l'Etat doit investir lorsqu'il n'existe pas d'offre satisfaisante sur le marché, notamment du point de vue de la sécurité, y compris de la sécurité nationale.

Intervenir sur le marché

Une forme d'intervention de l'ANSSI sera de certifier et de labelliser les acteurs. Mais la mise en place d'une telle démarche complète va prendre du temps. L'audit commence à bénéficier d'un tel label. Il reste bien d'autres domaines à couvrir. Patrick Pailloux a regretté que le secteur de la sécurité informatique ne se soit pas créé ses propres labels comme l'alimentaire avait su le faire. Les labels d'Etat peuvent alors être les plus restrictifs et globalement rares.

« L'hygiène promue par l'ANSSI est un ensemble de règles connues depuis trente ans » s'est amusé Nicolas Ruff, chercheur en sécurité chez EADS. Ali Baba a volé le mot de passe « Sésame ouvre toi » simplement en se cachant dans un buisson. Nicolas Ruff a rappelé : « depuis Ali Baba, rien n'a changé et les gens continuent de se faire voler leurs mots de passe sur des réseaux Wi-Fi ouverts. » Pour lui, la réponse à la question initiale est évidente : oui, la sécurité informatique est en échec.

Les autres intervenants ont été plus nuancés : il y a une course entre les responsables sécurité et les pirates. Parfois, l'un gagne, parfois l'autre, mais cela ne remet pas en cause le parcours accompli jusqu'au jour de l'attaque. L'essentiel est, en fait, de prendre des précautions en fonction des risques identifiés, de savoir détecter une agression et de savoir réagir rapidement. Finalement, si la sécurité doit être comprise par la direction générale, le sujet concerne au premier chef le RSSI. Celui-ci peut s'appuyer sur la problématique de la conformité réglementaire pour être entendu : c'est un langage compris par la direction générale. Patrick Pailloux a admis : « si l'on remet notre guide à un DG, il transmet à son DSI ou à son RSSI en lui demandant de s'en occuper... »

Article de Bertrand Lemaire

Commenter cet article

commenter cet article en tant que membre LMI

CONNEXION

Commenter cet article en tant que visiteur






* Les liens HTML sont interdits dans les commentaires

Publicité
Publicité
Publicité