jeudi 19 octobre 2017    || Inscription
BanniereNews
 
 
News Partenaires

2016 a été une année record en matière de failles de sécurité. De récentes études indiquent que le nombre de dossiers exposés a atteint les 4,2 milliards l'année dernière, contre seulement 1,1 milliard en 2013.

[Lire l'article...]

Le CDSE avait initialement envisagé de faire clôturer ce colloque par le Ministre de l’Intérieur, Manuel Valls. Le nom du Ministre avait été imprimé sur le carton d’invitation avec un astérisque renvoyant à la mention « en attente de confirmation ». Tout le monde comprend que l’agenda du Ministre puisse être chargé… ou que celui-ci ne soit pas encore suffisamment à l’aise sur un tel sujet. En tout état de cause, c’est un homme maîtrisant totalement le sujet que le CDSE a finalement confié le soin de clore ce colloque du 6 décembre : Patrick Pailloux, directeur de l’ANSSI.

Peut-être peu à l’aise en matière de communication lors des premiers mois qui ont suivis la création de l’ANSSI, notre directeur s’affirme désormais comme un grand communiquant n’hésitant à interpeller et à houspiller les directeurs et les grands dirigeants.

Il faut parler vrai et agir

Reprenant tout d’abord indirectement les injonctions de Nicolas Ruff dans la matinée qui se déclarait être un chercheur, indépendant des discours marketing, cherchant l’exactitude des faits et ne portant pas de cravate, Patrick Pailloux monte à la tribune et retire sa cravate pour prendre la parole. Il faut parler vrai et agir : le fond et la forme doivent se rejoindre dans l’action et dans la communication !

Tout d’abord, Patrick Pailloux interpelle son auditoire : aurions-nous pu imaginer il y a 2 ou 3 ans un colloque de cette nature avec ce thème « les entreprises et l’Etat face aux cybermenaces » ? Il est remarquable que le CDSE ait pu faire un tel travail ! Et de poursuivre en s’adressant aux directeurs de la sécurité en entreprise pour parler des actions critiques à mener. C’est sans doute difficile, concède-t-il, mais on peut changer … en mieux … ou en pire…

L’espionnage n’est pas de la science fiction déclare-t-il. C’est un exercice facile et peu onéreux. Si on propose les termes « iPhone » et « espionnage » dans un moteur de recherche tel que Google, on obtient en retour des liens vers des offres d’outils, dont certains gratuits, tels que SpyBubble proposant des services d’espionnage de smartphones. La version professionnelle est proposée sur le web à 61€90 ajoute Patrick Pailloux. C’est bien sûr aujourd’hui totalement illégal, mais rien n’empêchera personne d’acquérir ce genre d’outil permettant d’activer à distance le micro du terminal mobile !

Un rôle essentiel des directeurs de la sécurité

Le patrimoine informationnel des industries et organismes français est donc très sérieusement menacé. Face à cela, le rôle des directeurs de la sécurité est essentiel. Le sujet est certes complexe :

  • C’est un sujet ardu, complexe, technique. On utilise un jargon d’experts, qui ont eux-mêmes du mal à décoder le jargon des experts en marketing … 
  • Les responsables ont souvent l’impression de ramer en sens inverse du courant dominant de l’entreprise qui cherche à aller vers plus de simplicité et moins de coûts. Ils peuvent avoir le sentiment de devoir « labourer la mer ». Ils ne présentent que des postes de coûts aux directions, ce qui n’est bien perçu dans les temps actuels et ne sont pas perçus comme centres de profits… La sécurité rigidifie les processus ne cesse-t-on d’entendre alors que tout le monde ne cherche qu’à assouplir et réduire les contraintes… 
  • Les responsables sont inquiets. Le travail de persuasion est à faire et pour cela des actions concrètes doivent être proposées. Il faut donc passer d’urgence au stade qui consiste à présenter ce que l’on peut faire !

Des règles d’hygiène à appliquer

Dans l’immense majorité des cas sur lesquels l’ANSSI a du intervenir, les attaques auraient pu être détectée préalablement si quelques « règles d’hygiène » avaient été appliquées explique Patrick Pailloux. Trop d’acteurs de la sécurité subissent aux sirènes des discours marketing, mais leurs pratiques de la sécurité sont trop souvent ridicules. Pourrait-on imaginer un hôpital équipé avec toutes les dernières technologies, mais n’appliquant aucune règle d’hygiène ? C’est pourtant ce que nous voyons dans les entreprises lorsqu’elles sont attaquées explique Patrick Pailloux…. Des caméras reliées à des terminaux que personne ne regarde ne protègent pas. On peut sans doute, après coup, mieux analyser l’attaque, mais les dégâts sont déjà là …

On ne peut plus continuer ainsi, s’insurge Patrick Pailloux ! Les règles élémentaires ne sont pas appliquées car les responsables ne savent pas… peut-être … mais c’est pourquoi l’ANSSI a recensé 40 règles élémentaires et a soumis son travail à un appel à commentaires en cours d’analyse. En gros, nous explique Patrick Pailloux, il y a deux catégories de commentaires. Ou bien les acteurs se plaignent de l’insuffisance des règles proposées, ou bien ils se plaignent de la difficulté, voire de l’impossibilité de mettre en œuvre celles-ci. C’est peut-être que nous ne sommes pas si loin que cela de la cible minimale des actions à mettre en œuvre, conclut, pragmatiquement, Patrick Pailloux. L’ANSSI travaille sur tous ces commentaires pour élaborer une seconde version de son guide de 40 règles d’hygiène de sécurité des systèmes d’information.

Il faut déterminer un niveau en dessous duquel il n’est pas raisonnable de se situer, argumente Patrick Pailloux.

Il poursuit en incitant les directeurs de la sécurité à faire appel à des spécialistes, notamment pour la surveillance en « temps réel du patrimoine informationnel ». Il explique que trop souvent il existait des signaux permettant d’identifier l’attaque, mais que ceux-ci ont été ignorés. Par exemple, un PC infecté a été remastérisé ou remplacé alors qu’une analyse aurait permis de comprendre l’analyse du début d’une attaque de plus grande envergure. Il faut avoir le courage de voir ce que se passe analyse Patrick Pailloux et de partager les compétences. On gagne en communiquant et en partageant le savoir-faire !

L’Etat ne peut pas jouer en permanence le rôle du pompier

Mais l’Etat n’a pas les moyens d’intervenir partout et sans arrêt constate-t-il. Bien sûr, les services de secours sont appelés pour secourir des touristes qui gravissent le Mont-Blanc en tongs et en short, mais ce n’est pas ainsi qu’il faut travailler, déplore-t-il. Il faut faire appel à des prestataires compétents. L’ANSSI peut aider les entreprises, mais il faut aussi que celles-ci soient « responsables ». L’Etat ne peut pas être le pompier pour des gens qui ne font rien !

Aides-toi et l’ANSSI t’aidera !

Patrick Pailloux souligne le fait de nombreux guides ont été rédigés par l’ANSSI et qu’il faut que les entreprises les utilisent. Des labels ont été créés. Il y en aura sans doute d’autres…

Il conclut en assurant que les entreprises peuvent faire appel à ses services, y compris pour des actions de sensibilisation auprès des comités de direction au plus haut niveau.




Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Billet d'humeur

Histoire vécue incroyable de RSSI (3)

Le rêve d’un « service premium gratuit » et de contrats de maintenance à vie sans payer (n°3 d’une longue série à venir.)

la rédaction 0 823

Les histoires ci-dessous sont tirées de cas réels de comportements déviants d’utilisateur / utilisatrice, assez incroyables, mais complètement réelles.
Il est usuel d’exiger une qualité de service parfaite. Les produits doivent fonctionner et n’avoir aucun défaut. Le fournisseur doit apporter une réponse immédiate à tout, y compris pour fournir des services qu’il n’a jamais envisagés, et le tout gratuitement.
Des telles attentes reposent sur un malentendu dans lequel l’utilisateur est aussi fautif que le fournisseur. Que l’on soit avec un service de grande consommation, ou avec un service professionnel.

Réduire

Événements SSI

RENCONTRES ARCSI

Messageries et systèmes de confiance

la rédaction 0 218

Les 11èmes Rencontres de l'ARCSI (Association des Réservistes du Chiffre et de la Sécurité de l'Information) se tiennent le 7 novembre 2017 à Paris (école du Val-de-Grâce) sur le thème : Messageries et systèmes de confiance Quel monde numérique allons-nous laisser à nos enfants ?. Organisées par l'ARCSI.

TRUSTECH

Technologies de la confiance

la rédaction 0 360

Cet événement international dédié aux "technologies de la confiance" qui intègre désormais le salon Cartes Secure Connexions (jusqu'en 2015 celui-ci se tenait à Paris Villepinte) est organisé à Cannes (palais des festivals) du 28 novembre au 30 novembre 2017. Organisé par Comexposium.

FIC

Forum International de la Cybersécurité à Lille

la rédaction 0 400

Le 10ème Forum International de la Cybersécurité occupe les 23 et 24 janvier 2018 le Grand Palais de Lille. Organisé par la Région Nord-Pas de Calais et Euratechnologies, la Gendarmerie Nationale et CEIS.

IT MEETINGS

Salon business des réseaux, des télécoms, de la mobilité, du cloud computing, des datacenters et de la sécurité

la rédaction 0 402

Le salon business des réseaux, des télécoms, de la mobilité, du cloud computing, des datacenters et de la sécurité aura pour cadre à nouveau du 20 au 22 mars 2018 le palais des festivals et des congrès de Cannes. Organisé par Weyou Group.

DOCUMATION

Couplé avec le Data Intelligence Forum

la rédaction 0 373

Congrès et exposition Documation et Data Intelligence Forum, deux événements pour réussir sa digitalisation, du 20 au 22 mars 2018  à Paris Porte de Versailles. Organisé conjointement avec les salons Solutions RH, Solutions Intranet, Collaboratif et RSE et I-expo par Infopromotions.

SSI SANTÉ

6ème Congrès National de la Sécurité des SI de Santé

la rédaction 0 147

Le 6ème Congrès National de la Sécurité des SI de Santé a lieu du 3 au 5 avril 2018 au Mans avec pour thèmes : Europe & RGPD, cyber-insécurité, technologies & méthodes. Organisé par l'Apssis (Association Pour la Sécurité des Systèmes d'Information de Santé).

RSA CONFERENCE

Édition USA

la rédaction 0 363

Dédiée à la sécurité de l'information, la RSA Conference USA se tient à San Francisco (Moscone Center) du 16 au 20 avril 2018. Organisée par RSA.

RSS