Gérard Rio

Après le message de bienvenue de Gérard Rio, Fondateur des Assises de la Sécurité, il a passé la parole à Patrick Pailloux, Directeur Général de l’ANSSI. Pour Patrick Pailloux, les Assises sont un événement incontournable pour rencontrer l’ensemble des acteurs de la sécurité et pour acquérir des solutions. Il a rappelé que l’an dernier il avait préconisé aux entreprises de faire de l’hygiène informatique. Selon lui, les grandes entreprises sont aujourd’hui conscientes de la nécessité d’agir en ce domaine. Toutefois, pour lui, les dirigeants se sentent désarmés devant le problème de la sécurité informatique. Patrick Pailloux préconise aux dirigeants de travailler avec les DSI.

Patrick Pailloux

L’ANSSI publie aujourd’hui unprécis d’hygiène informatique en 13 étapes dont les règles doivent être appliquées afin de protéger son SI de façon résiliente. Cette version est une version de travail. Il a proposé à l’ensemble de la filière de faire des commentaires sur une durée de 1 mois. Par la suite, une version officielle sera publiée. Pour lui, les entreprises qui n’auront pas appliqué ces mesures ne pourront s’en prendre qu’à elles-mêmes. Pourtant, il a reconnu qu’à part la sanction business, il n’existe pas pour le moment réellement de sanctions pour les entreprises qui ne respecteront pas ces 13 mesures.

Patrick Pailloux considère que la sécurité s’affronte à deux problèmes : le "c’est trop difficile" et "c’est trop contraignant". Pour le "c’est trop difficile", le précis publié ce jour répond à la problématique. Pour le groupe contraignant, il a répondu par deux allégories : la première sur la vitesse de connexion et les excès de vitesse en matière de circulation automobile. Pour les systèmes d’authentification, il a rappelé que, dans le monde réel, on protège sans cesse ses actifs, alors que dans l’immatériel souvent rien n’est protégé, ni trié. Dans le monde immatériel comme dans la vie réelle, il y a des règles et il faut les respecter. Il a tout particulièrement pointé les tablettes. Pour lui, il faut refuser de passer par les « fourches caudines » des systèmes d’authentification de Google et d’Appel... Bien sûr, des solutions existent, mais elles ont un coût, toutefois c’est sans doute le prix de la sécurité.

Il faut rentrer en résistance contre les usages qui se propagent

Il faut rentrer en résistance contre des usages qui se propagent : Non je n’amène pas mon terminal privé au travail, je n’envoie pas par mail des informations sensibles, je ne laisse pas mon téléphone portable sans sécurité… « En un mot, je refuse la tendance du BYOD ! » s’est-il exclamé.

En matière de sécurité, il est autroisé d’interdire ! Pour cela, il faut expliquer le pourquoi aux utulisateurs. Pour lui, il faut acquérir des solutions de sécurité du marché et non se fier au tout gratuit… Ce qui semble aller un peu à l’encontre de la doctrine du gouvernement sur l’usage du libre. Il a rappelé que l’ANSSI a publié plusieurs guides de bonnes pratiques dans de nombreux domaines cette année, entre autres sur la virtualisation, le Cloud…

Il a rappelé ses préoccupations en matière de sécurité : la protection des infrastructures vitales. Pour étayer son propos, il a rappelé l’affaire Aramco où de très nombreux disques durs de cette société ont été effacés. Pour lui, de plus en plus de systèmes industriels deviennent informatique et fonctionnent de plus en plus sous IP avec une interconnexion au SI, voire même avec internet. Ainsi, il y a de plus en plus de personnes qui s’intéressent aux attaques de ses dispositifs. De ce fait, il est absolument impératif que les entreprises qui disposent de systèmes industriels de vérifier qu’elles se connectent à Internet et si c’est le cas de les déconnecter d’internet. Il est presque criminel de ne pas respecter les règles préconisées dans le précis que l’ANSSI vient de publier. Patrick Pailloux considère que, dans l’ensemble, ces règles sont bien respectées, par contre, il y a de plus en plus de systèmes industriels qui s’interconnectent au SI… d’où son inquiétude.

Il a aussi recommandé de se plonger dans l’étude de cas publiée récemment par l’ANSSI et qui est riche de conseils en matière de sécurisation des SI.
Il a conclu son intervention en rappelant que si les choses ne changent pas, il faudra s’attendre à de graves problèmes…

Enfin, il a rendu un hommage à ses collaborateurs « dont les nuits sont brèves ». Il a annoncé le prochain déménagement d’une partie des experts techniques de l’ANSSI dans le 15ème arrondissement de Paris. Il a rappelé, en outre, que l’ANSSI devrait recruter environ 80 personnes en 2013.

– POur télécharger le précis des 13 mesures : http://www.ssi.gouv.fr/IMG/pdf/Hygiene_informatique_20121002-1859.pdf