Pour les absents, nous revenons sur le débat entre l’ANSSI et la communauté des RSSI présents lors de la soirée du Cercle Européen de la Sécurité, à laquelle participait SecurityVibes.

Jeudi 11 février 2010 avait lieu à Paris un débat organisé par le[ Cercle Européen de la Sécurité | http://www.lecercle.biz] et avec le concours de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI ).

SecurityVibes y était convié afin de présenter les retours des membres de la communauté à la question « comment l’ANSSI peut-il mieux aider les entreprises françaises en matière de SSI ? ». Question délicate s’il en est, puisque nous n’avons recueilli en définitive que très peu d’avis.

Même constat pour DG Consultants (organisateur de la soirée), qui avec un peu moins de 70 entretiens sur le sujet n’a pu noter qu’une grande réticence de la part des responsables sécurité à s’exprimer au sujet de l’ANSSI.

L’intervention de SecurityVibes, par votre serviteur, a porté sur trois axes d’amélioration :

Une communication plus opérationnelle, notamment basée sur des outils immédiatement exploitables (d’ou l’idée d’un RGS « light » plus facilement assimilable, par exemple)

La mise à disposition de supports de sensibilisation prêts-à-utiliser et ludiques (bande dessinée, affiches prêtes à imprimer, par exemple)

La nécessité d’un hoaxbuster officiel : tempérer les emballements médiatiques d’une voie officielle (posée et argumentée bien entendu, s’appuyant sur l’excellence technique du CERTA par exemple).

Par ailleurs, nous avons fait état des attentes de la communauté en matière d’activation des observatoires zonaux (OzSSI), de l’extension de l’IGCA (infrastructure de clés publiques gouvernementale) aux collectivités territoriales et d’une homologation PRIS v2 plus rapide.

Selon Patrick Pailloux, Directeur de l’ANSSI et participant à cette soirée, l’organisme est parfaitement conscient de ces besoins, et ils vont pour l’ensemble dans le sens des améliorations en cours. Mais la nécessaire mutation des mentalités n’est entamée que depuis peu et cela prendra du temps (après tout, issue de la DCSSI, l’ANSSI prend ses racines dans le monde du renseignement et non dans celui de la communication).

Patrick Pailloux a également rappelé que l’aide aux entreprises privées n’est qu’une mission récente de l’ANSSI, et que l’organisme aura bien entendu toujours pour priorité la protection de la Nation. Néanmoins, des actions de communication ont déjà été entreprises : des refontes de ses différents sites web ont eu lieu, et l’organisme a déjà joué le jeu de la com’ en publiant récemment un « passeport de conseil aux voyageurs ».

Il s’agit d’un document de sensibilisation ludique qui reprend, sous la forme d’un passeport traditionnel, les conseils de base que tout voyageur d’affaire devrait connaître pour éviter de voir son ordinateur portable siphonné au passage de « certaines » frontières. Outre une version papier à distribuer, le document est aussi téléchargeable sur le site de l’ANSSI et il peut être librement modifié afin de s’adapter aux politiques de sécurité spécifiques des entreprises.

A noter que les différents sites de l’ANSSI (ssi.gouv.fr , certa.ssi.gouv.fr et securite-informatique.gouv.fr) fourmillent déjà d’informations qui peuvent servir de base solide à des opérations de sensibilisation maison… pour qui saura les remettre en forme !

Le débat a également abordé, notamment à travers les questions de la salle, le sujet des certifications : si l’attente pour des produits certifié est forte, le processus de certification est jugé encore trop contraignant et conduirait parfois à voir certifiées des versions de produits qui ne sont plus au catalogue. Patrick Pailloux a répondu à cela en précisant les différents niveaux de certification actuellement disponibles et en estimant que tous ne sont pas aussi contraignants que l’évaluation selon les Critères Communs, par exemple.

Enfin, une attente forte de la communauté toutefois ne sera pas réalisée : l’ouverture du centre de formation à la SSI (CFSSI) aux entreprises privées. L’ANSSI ne souhaite en effet pas offrir des formations gratuites et se placer ainsi en concurrence déloyale vis-à-vis des cabinets de consultants et des organismes de formation.