jeudi 27 novembre 2014    || Inscription
BanniereNews
 
 

Le CDSE avait initialement envisagé de faire clôturer ce colloque par le Ministre de l’Intérieur, Manuel Valls. Le nom du Ministre avait été imprimé sur le carton d’invitation avec un astérisque renvoyant à la mention « en attente de confirmation ». Tout le monde comprend que l’agenda du Ministre puisse être chargé… ou que celui-ci ne soit pas encore suffisamment à l’aise sur un tel sujet. En tout état de cause, c’est un homme maîtrisant totalement le sujet que le CDSE a finalement confié le soin de clore ce colloque du 6 décembre : Patrick Pailloux, directeur de l’ANSSI.

Peut-être peu à l’aise en matière de communication lors des premiers mois qui ont suivis la création de l’ANSSI, notre directeur s’affirme désormais comme un grand communiquant n’hésitant à interpeller et à houspiller les directeurs et les grands dirigeants.

Il faut parler vrai et agir

Reprenant tout d’abord indirectement les injonctions de Nicolas Ruff dans la matinée qui se déclarait être un chercheur, indépendant des discours marketing, cherchant l’exactitude des faits et ne portant pas de cravate, Patrick Pailloux monte à la tribune et retire sa cravate pour prendre la parole. Il faut parler vrai et agir : le fond et la forme doivent se rejoindre dans l’action et dans la communication !

Tout d’abord, Patrick Pailloux interpelle son auditoire : aurions-nous pu imaginer il y a 2 ou 3 ans un colloque de cette nature avec ce thème « les entreprises et l’Etat face aux cybermenaces » ? Il est remarquable que le CDSE ait pu faire un tel travail ! Et de poursuivre en s’adressant aux directeurs de la sécurité en entreprise pour parler des actions critiques à mener. C’est sans doute difficile, concède-t-il, mais on peut changer … en mieux … ou en pire…

L’espionnage n’est pas de la science fiction déclare-t-il. C’est un exercice facile et peu onéreux. Si on propose les termes « iPhone » et « espionnage » dans un moteur de recherche tel que Google, on obtient en retour des liens vers des offres d’outils, dont certains gratuits, tels que SpyBubble proposant des services d’espionnage de smartphones. La version professionnelle est proposée sur le web à 61€90 ajoute Patrick Pailloux. C’est bien sûr aujourd’hui totalement illégal, mais rien n’empêchera personne d’acquérir ce genre d’outil permettant d’activer à distance le micro du terminal mobile !

Un rôle essentiel des directeurs de la sécurité

Le patrimoine informationnel des industries et organismes français est donc très sérieusement menacé. Face à cela, le rôle des directeurs de la sécurité est essentiel. Le sujet est certes complexe :

  • C’est un sujet ardu, complexe, technique. On utilise un jargon d’experts, qui ont eux-mêmes du mal à décoder le jargon des experts en marketing … 
  • Les responsables ont souvent l’impression de ramer en sens inverse du courant dominant de l’entreprise qui cherche à aller vers plus de simplicité et moins de coûts. Ils peuvent avoir le sentiment de devoir « labourer la mer ». Ils ne présentent que des postes de coûts aux directions, ce qui n’est bien perçu dans les temps actuels et ne sont pas perçus comme centres de profits… La sécurité rigidifie les processus ne cesse-t-on d’entendre alors que tout le monde ne cherche qu’à assouplir et réduire les contraintes… 
  • Les responsables sont inquiets. Le travail de persuasion est à faire et pour cela des actions concrètes doivent être proposées. Il faut donc passer d’urgence au stade qui consiste à présenter ce que l’on peut faire !

Des règles d’hygiène à appliquer

Dans l’immense majorité des cas sur lesquels l’ANSSI a du intervenir, les attaques auraient pu être détectée préalablement si quelques « règles d’hygiène » avaient été appliquées explique Patrick Pailloux. Trop d’acteurs de la sécurité subissent aux sirènes des discours marketing, mais leurs pratiques de la sécurité sont trop souvent ridicules. Pourrait-on imaginer un hôpital équipé avec toutes les dernières technologies, mais n’appliquant aucune règle d’hygiène ? C’est pourtant ce que nous voyons dans les entreprises lorsqu’elles sont attaquées explique Patrick Pailloux…. Des caméras reliées à des terminaux que personne ne regarde ne protègent pas. On peut sans doute, après coup, mieux analyser l’attaque, mais les dégâts sont déjà là …

On ne peut plus continuer ainsi, s’insurge Patrick Pailloux ! Les règles élémentaires ne sont pas appliquées car les responsables ne savent pas… peut-être … mais c’est pourquoi l’ANSSI a recensé 40 règles élémentaires et a soumis son travail à un appel à commentaires en cours d’analyse. En gros, nous explique Patrick Pailloux, il y a deux catégories de commentaires. Ou bien les acteurs se plaignent de l’insuffisance des règles proposées, ou bien ils se plaignent de la difficulté, voire de l’impossibilité de mettre en œuvre celles-ci. C’est peut-être que nous ne sommes pas si loin que cela de la cible minimale des actions à mettre en œuvre, conclut, pragmatiquement, Patrick Pailloux. L’ANSSI travaille sur tous ces commentaires pour élaborer une seconde version de son guide de 40 règles d’hygiène de sécurité des systèmes d’information.

Il faut déterminer un niveau en dessous duquel il n’est pas raisonnable de se situer, argumente Patrick Pailloux.

Il poursuit en incitant les directeurs de la sécurité à faire appel à des spécialistes, notamment pour la surveillance en « temps réel du patrimoine informationnel ». Il explique que trop souvent il existait des signaux permettant d’identifier l’attaque, mais que ceux-ci ont été ignorés. Par exemple, un PC infecté a été remastérisé ou remplacé alors qu’une analyse aurait permis de comprendre l’analyse du début d’une attaque de plus grande envergure. Il faut avoir le courage de voir ce que se passe analyse Patrick Pailloux et de partager les compétences. On gagne en communiquant et en partageant le savoir-faire !

L’Etat ne peut pas jouer en permanence le rôle du pompier

Mais l’Etat n’a pas les moyens d’intervenir partout et sans arrêt constate-t-il. Bien sûr, les services de secours sont appelés pour secourir des touristes qui gravissent le Mont-Blanc en tongs et en short, mais ce n’est pas ainsi qu’il faut travailler, déplore-t-il. Il faut faire appel à des prestataires compétents. L’ANSSI peut aider les entreprises, mais il faut aussi que celles-ci soient « responsables ». L’Etat ne peut pas être le pompier pour des gens qui ne font rien !

Aides-toi et l’ANSSI t’aidera !

Patrick Pailloux souligne le fait de nombreux guides ont été rédigés par l’ANSSI et qu’il faut que les entreprises les utilisent. Des labels ont été créés. Il y en aura sans doute d’autres…

Il conclut en assurant que les entreprises peuvent faire appel à ses services, y compris pour des actions de sensibilisation auprès des comités de direction au plus haut niveau.