Des chercheurs berlinois ont déverrouillé le Galaxy S5 de Samsung à l'aide du moulage d'une empreinte digitale relevée sur l'écran d'un smartphone.

L'Image du jour

Des chercheurs berlinois ont déverrouillé le Galaxy S5 de Samsung à l'aide du moulage d'une empreinte digitale relevée sur l'écran d'un smartphone.

Big data : zoom sur les usages et les applications

Dernier Dossier

Big data : zoom sur les usages et les applications

2014 devrait être une année de transition pour le big data en France. En effet, les projets se multiplient et commencent timidement à se professionnal...

Restez proche de l'actualité IT

NEWSLETTERS THEMATIQUES

Découvrez nos différentes newsletters adaptées à vos besoins d'actualités IT Pro : Mobilité, Réseaux, Stockages, ...

Abonnez-vous 
FERMER

PARTNER ZONE
Nous vous proposons des espaces d'information et de services dédiés à des acteurs du marché IT. Vous y trouverez de nombreux livres blancs, vidéos, articles...

Partner Desk

Nous vous proposons, dans ces espaces, les dernières nouveautés d'une marque IT.

Webcast

FERMER

OFFRE D'EMPLOI

Découvrez chaque jour des offres d'emploi 100% IT et profitez de toute la puissance de LMI pour promouvoir votre carrière.

Accéder au site 

LMI MARKET

Votre comparateur de prestataires IT : Comparez les devis, Evaluez les prestataires, Trouvez le juste prix!...

Accéder à ce service 

BLOG

Découvrez les contenus exclusifs publiés par les lecteurs du Monde Informatique avec la plateforme LMI Blog...

Accéder à ce service 

COMPARATEUR DE SALAIRE

Partagez votre situation salariale anonymement, consultez les statistiques depuis 2009 et faites vos propres analyses...

Accéder à ce service 
FERMER
0
Réagissez Imprimer Envoyer

La sécurité des systèmes d'information est-elle un échec ?

Patrick Pailloux, directeur général de l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'information)

Patrick Pailloux, directeur général de l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'information)

Les systèmes d'information seraient mal sécurisés quand on écoute les multiples incidents exposés dans les médias grand public. Cependant, la faute ne serait pas du côté des RSSI mais plutôt des DSI et des directions générales lorsqu'ils ne sont pas assez impliqués.

« La sécurité des systèmes d'information est-elle un échec ? » s'est interrogé Michel Van den Berghe, PDG d'Atheos, en ouvrant la soirée des RIAM's (Rencontres Identité Audit et Management de la Sécurité) le 5 février 2013. Les incidents de sécurité se multiplient en effet avec des échos médiatiques croissant. Ces mises en avant ennuient parfois les RSSI alors que déclarer les incidents aux autorités administratives ne poserait pas de vrai problème selon Lazaro Pejsachowicz, président du CLUSIF (Club de la Sécurité des Systèmes d'Information Français).

Selon Patrick Pailloux (en photo), directeur général de l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'information), l'un des véritables problèmes est la dichotomie entre DSI et RSSI. Chacun des deux reste dans sa bulle avec ses préoccupations. Lorsque l'ANSSI intervient en pompier sur un incident, Patrick Pailloux constate que cela se passe mieux quand le DSI mène l'opération avec l'appui du RSSI et plus mal quand le RSSI tente de mener seul l'opération, le DSI restant éloigné de la crise. 

Et, bien entendu, plus le comité exécutif est impliqué, mieux c'est. Le vrai drame est l'incapacité des dirigeants de l'entreprise de comprendre à quel point la sécurité informatique est un sujet qui les concerne. Un point faible récurrent est l'annuaire des utilisateurs du système d'information, c'est à dire la porte d'accès à tout le système d'information. Si la porte est grande ouverte, élever des murailles ne sert pas à grand chose.

Promouvoir les règles d'hygiène du système d'information 

« On sait ce qui doit être fait mais ce n'est pas appliqué » a déploré Patrick Pailloux. Pour lui, il faut donc communiquer autour des expériences concrètes, des missions réussies. Les entreprises doivent ainsi tirer des enseignements de l'expérience. L'ANSSI s'est aussi évertué à publier des guides de bonnes pratiques, des règles d'hygiène du système d'information. Ce guide, bien entendu, doit être adapté à chaque situation concrète d'entreprise. Pour Patrick Pailloux, « la sécurité reste avant tout une question de main d'oeuvre : la technologie sans spécialistes, c'est comme une vidéo-surveillance sans personne devant les écrans ». La sécurité ne suppose pas forcément ou uniquement de grandes dépenses, au grand dam des fournisseurs.

L'ANSSI travaille ainsi aujourd'hui à hauteur de 60% environ pour le secteur privé alors que, jadis, elle était plutôt dédiée au secteur public et industriel de défense. Pour Patrick Pailloux, l'ANSSI ne sait pas encore bien travailler avec le secteur privé. Il n'est pas question de transmettre des listes de signatures de virus mais plutôt de savoir transmettre de vraies alertes majeures. 

L'ANSSI essaye aussi de travailler avec de grands prestataires. En cas de manquements du secteur privé, l'ANSSI doit savoir aussi, selon son directeur général, « combler les trous dans la raquette ». A la manière du Cloud, l'Etat doit investir lorsqu'il n'existe pas d'offre satisfaisante sur le marché, notamment du point de vue de la sécurité, y compris de la sécurité nationale.

Intervenir sur le marché

Une forme d'intervention de l'ANSSI sera de certifier et de labelliser les acteurs. Mais la mise en place d'une telle démarche complète va prendre du temps. L'audit commence à bénéficier d'un tel label. Il reste bien d'autres domaines à couvrir. Patrick Pailloux a regretté que le secteur de la sécurité informatique ne se soit pas créé ses propres labels comme l'alimentaire avait su le faire. Les labels d'Etat peuvent alors être les plus restrictifs et globalement rares.

« L'hygiène promue par l'ANSSI est un ensemble de règles connues depuis trente ans » s'est amusé Nicolas Ruff, chercheur en sécurité chez EADS. Ali Baba a volé le mot de passe « Sésame ouvre toi » simplement en se cachant dans un buisson. Nicolas Ruff a rappelé : « depuis Ali Baba, rien n'a changé et les gens continuent de se faire voler leurs mots de passe sur des réseaux Wi-Fi ouverts. » Pour lui, la réponse à la question initiale est évidente : oui, la sécurité informatique est en échec.

Les autres intervenants ont été plus nuancés : il y a une course entre les responsables sécurité et les pirates. Parfois, l'un gagne, parfois l'autre, mais cela ne remet pas en cause le parcours accompli jusqu'au jour de l'attaque. L'essentiel est, en fait, de prendre des précautions en fonction des risques identifiés, de savoir détecter une agression et de savoir réagir rapidement. Finalement, si la sécurité doit être comprise par la direction générale, le sujet concerne au premier chef le RSSI. Celui-ci peut s'appuyer sur la problématique de la conformité réglementaire pour être entendu : c'est un langage compris par la direction générale. Patrick Pailloux a admis : « si l'on remet notre guide à un DG, il transmet à son DSI ou à son RSSI en lui demandant de s'en occuper... »

Article de Bertrand Lemaire

Commenter cet article

commenter cet article en tant que membre LMI

CONNEXION

Commenter cet article en tant que visiteur






* Les liens HTML sont interdits dans les commentaires

Publicité
Publicité
Publicité