Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Patrick Pailloux, ANSSI : « La sécurité c’est aussi avoir le courage de dire non »

auteur de l'article Jerome Saiz , dans la rubrique Cyber Pouvoirs

Les Assises de la sécurité 2012, Monaco. « Il faut entrer en résistance contre la liberté totale dans l’usage des technologies de l’information« .

Pour son discours d’inauguration de cette douzième édition des Assises de la Sécurité, Patrick Pailloux, le Directeur Général de l’ANSSI, poursuit son oeuvre d’évangélisation sécuritaire. L’an dernier, il conseillait aux entreprises françaises de « revenir aux fondamentaux » de la sécurité. Cette année, il persiste, cajole et menace.

Il cajole, tout d’abord, en apportant dans sa besace un outil destiné à aider les entreprises à, justement, revenir aux fondamentaux. L’ANSSI dévoilait en effet hier à l’occasion des Assises un guide pratique de 40 règles élémentaires, très concrètes, couvrant les bases incontournables du métier. Le document est conçu pour qu’un responsable d’entreprise puisse le confier à son équipe informatique et lui demander d’en valider chacun des points. Il ne s’agit pas bien entendu d’une méthodologie officielle, mais les 40 règles suggérées renforceront tout système d’information au point de ne plus en faire une cible d’opportunité pour pirate en recherche de la facilité.

Ce guide est lancé en version « zéro » : il est opérationnel mais ouvert aux commentaires et aux suggestions des entreprises et des experts qui le découvriront aujourd’hui. Il sera publié en version finale dans un mois, après la prise en compte de vos commentaires (« constructifs« , insiste Patrick Pailloux) éventuels.

Il menace, ensuite. « Ceux qui n’auront pas appliqué ces règles ne pourront s’en prendre qu’à eux même« . Le Directeur Général de l’ANSSI estime même que si la notion de sanction pour manquement aux règles de bonne hygiène sécurité était prématurée il y a encore un an, aujourd’hui les choses ont bougées : même s’ils ne savent pas encore tout à fait comment régler la question, les chefs d’entreprises sont mieux sensibilisés (« ils ont compris qu’il y a un problème« , résume Patrick Pailloux) et les outils d’information et de bonnes pratiques sont disponibles. Le Directeur Général de l’ANSSI ne serait pas surpris de voir à l’avenir plus de sanctions – sous quelques forme que ce soit : marché, métier, réglementaires – à l’encontre des entreprises qui ne feraient pas le minimum syndical en la matière.

La mobilité et le BYOD, un thème très à la mode en ces douzièmes Assises de la Sécurité, lui procurent un excellent exemple de ce « minimum syndical » : l’entreprise doit savoir dire non à leur usage entièrement libre et injustifié par ses collaborateurs. « Dans une entreprise : non on ne travaille pas avec son terminal privé, non on ne connecte pas un terminal contrôlé par un tiers (la gestion des identités imposée et maîtrisée par Apple et Google pour utiliser leurs terminaux, ndlr), non on n’installe pas le dernier joujou à la mode, non je ne mets pas les données de mon entreprise dans le Cloud gratuit, non je ne mets pas au même endroit mes données sensibles et les autres, non je ne laisse pas mon ordinateur connecté si je ne suis pas là.  A l’étranger : non je ne peux pas, depuis ma chambre d’hôtel, accéder à mes données sans un dispositif de sécurité, non je ne vais pas au restaurant en laissant mon portable avec des données sensibles dans ma chambre d’hôtel, non je n’envoie pas par mail des informations très sensibles« , explique Patrick Pailloux. Et de poursuivre en rappelant qu’il n’est pas rare de voir les utilisateurs exiger de pouvoir se comporter dans le monde virtuel comme ils ne le feraient jamais dans le monde réel, en laissant traîner leurs affaires n’importe où et en ne verrouillant pas la porte de leur domicile derrière eux, par exemple.

Pour autant, le Directeur Général de l’ANSSI n’est pas opposé aux technologies mobiles (« on ne peut pas lutter contre une technologie« ). Il milite simplement pour que les entreprises aient le courage de faire la distinction entre les demandes motivées par la seule envie et celles mues par le besoin. « Dans ce cas, la réponse n’est pas non, c’est non mais…« . A l’entreprise de proposer alors des solutions alternatives – forcément moins pratiques mais plus sécurisées – que l’utilisateur acceptera en toute connaissance de cause. « Il y a des solutions, ou du moins elles commencent à pointer leur nez, qui permettent de répondre au besoin de mobilité et qui s’adaptent tant bien que mal aux nouvelles technologies. Mais évidemment, elles sont moins conviviales, plus difficiles à gérer pour les équipes informatiques, et elles coûtent de l’argent. Toutes les bonnes raisons de ne pas les utiliser« .

Le message de l’ANSSI face aux défis de la mobilité est donc particulièrement clair : ne cédez pas aux effets de mode, sachez, à l’image de parents responsables, dire « non » aux désirs de vos collaborateurs lorsqu’ils ne sont pas motivés par un besoin métier, et sachez aller au compromis : une solution sécurisée sera certes toujours moins pratique que le dernier « joujou à la mode », comme l’appelle Patrick Pailloux – mais elle aura le mérite de permettre de répondre à un besoin métier.

A suivre : la forte inquiétude de l’ANSSI au sujet de la piètre sécurité de l’informatique industrielle.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.