Patrick Pailloux (Anssi) enjoint les RSSI à dire «non»
Le directeur général de l’Agence Nationale de la sécurité des systèmes d’information est intervenu en ouverture de la 12ème édition des Assises de la Sécurité, qui se déroule actuellement à Monaco, pour enjoindre les responsables de la sécurité du SI à apprendre à dire «non» à la consumérisation de leur environnement. Un «non» qui doit, reconnaît-il, venir du sommet de la hiérarchie.
Encore une fois, le ton risque de paraître «professoral», voire «un peu agressif ». Patrick Pailloux, directeur général de l’Agence Nationale de la sécurité des systèmes d’information (Anssi), répond avec humour aux critiques dont son discours, en clôture de la précédente édition des Assises de la Sécurité, a pu faire l’objet. Mais c’est pour tenter de mieux faire passer un message qui commence par un rappel du précédent : «l’an dernier, j’étais intervenu sur le thème de l’hygiène informatique, avec un retour aux bases. [...] J’aimerais vous dire que tout le monde s’y est mis mais vous ne me croiriez pas et vous auriez raison.» Toutefois, des entreprises «ont mis en place un plan d’action concret pour améliorer leur situation. C’est sans doute l’arbre qui cache la forêt, mais c’est le début d’un succès ». Un succès qu’il n’est pas question de laisser passer. Pour Patrick Pailloux, de nombreux responsables d’entreprises se sentent «désarmés» face au besoin de sécuriser leur système d’information. Alors pour les aider sur le chemin de «l’hygiène» dont il faisait la promotion un an plus tôt, le directeur général de l’Anssi propose désormais un guide «de 40 règles, en 13 étapes, pour assainir le SI ». Des règles qui se veulent «très concrètes, très pratiques et qui doivent être appliquées systématiquement ». Pour lui, avec ce document, «plus personne n’aura d’excuse ». Jouant l’humilité, Patrick Pailloux présente toutefois ce «précis» de sécurité informatique comme une «version V.0» et lance un appel à commentaires «constructifs» pour une période de un mois au bout de laquelle la version «officielle» du document sera mise en ligne. Celui-ci n’a toutefois pas la prétention de garantir contre les attaques; il s’agit juste d’améliorer les «résiliences» des systèmes face aux attaques. Et surtout de répondre à ceux qui disent : «c’est trop difficile, trop compliqué; on ne sait pas quoi faire.» Armé de ce guide, selon l’Anssi, ils devraient savoir quoi faire.
Dire «non» aux utilisateurs
Un brin provocateur, comme à son habitude, le patron de l’agence s’est attaqué à un autre point de difficulté : les utilisateurs et leurs envies d’iPad, de services Cloud, etc. Et de s’interroger sur les raisons pour lesquelles on accepte, en tant qu’utilisateur, dans le monde physique, des contraintes et des règles alors qu’il n’en faudrait pas dans le monde de l’immatériel. Sans verser dans la «philosophie», il estime que «si l’on ne change pas les comportements, on n’arrivera pas à grand chose ». Ou bien à une situation qui ne lui inspire pas grand chose de positif. Bref, pour lui, dans l’immatériel comme dans le monde physique, «il y a des règles et des contraintes; ceux qui ne les respectent pas finissent par être sanctionnés d'une manière ou d'une autre ».
Réfutant toute tentative de lutte contre une technologie ou une autre - «une bagarre perdue d’avance» -, il estime toutefois qu’il «faut entrer en résistance contre la liberté totale dans l’usage des technologies de l’information ». Pour lui, donc, «la sécurité, c'est aussi avoir le courage de dire non ». Un discours qui a laissé quelques membres de l’audience un brin sceptiques - «qui a le pouvoir de dire non aux VIP ?», a demandé, applaudi, un intervenant. Mais pour Patrick Pailloux, c’est d’abord «au patron de l’entreprise de dire non et d’assumer les règles [...] il y a une chose qui ne se délègue pas, c’est l’exemplarité ».