Assises de la sécurité : la coopération public-privé en clé de voûte de la cyberdéfense

Les temps ont changé, le ton aussi. Si, l’an passé, Patrick Pailloux, directeur de la récente Agence Nationale de la Sécurité des Systèmes d’Information avait à tout le moins secoué les responsables de la sécurité des SI participant aux Assises de la Sécurité, cette année, il en appelle à leur collaboration. Un message relayé par le Général d’armée Marc Watin-Auguard qui, au travers notamment du Forum International de la Cybercriminalité de Lille, mise sur une coopération large, à l’échelle européenne.

dsc 2945Une année s’est écoulée depuis la dernière édition des Assises de la Sécurité qui réunissent, à Monaco, une bonne partie de ce que la France compte de responsables de la sécurité des systèmes d’information (RSSI). A l’automne dernier, Patrick Pailloux s’était fait remarquer par une allocution musclée, enjoignant, en substance, les RSSI à cesser de se lamenter sur leur sort et à adapter leur langage pour convaincre les directions de leurs entreprises de l’impératif de protection de leurs SI. Depuis, la DCSSI s’est muée en Anssi, ses missions évoluant au passage. Le discours de Patrick Pailloux a suivi le même chemin. Pour lui, les RSSI constituent, de facto, une communauté.  Une communauté sur laquelle il compte bien s’adosser : « c’est vous qui êtes confrontés aux menaces, aux difficultés techniques, à la variété des demandes [des utilisateurs] et à celle des fournisseurs […] Excusez les grands mots, mais la défense de notre pays passera de plus en plus par les infrastructures informationnelles. » Un appel aux échanges qui vise notamment à affiner une approche opérationnelle des nouvelles missions de l’Anssi, à commencer par la communication et la sensibilisation aux problématiques de sécurité informatique, une chose « qui n’est pas dans notre culture, mais on se soigne », concède Patrick Pailloux.

Donnant-donnant

La crise, un contexte à double tranchant
Jusqu'ici, la crise économique ne semble avoir eu qu'un impact limité sur les dépenses en matière de sécurité informatique. En témoignage la participation record à cette neuvième édition des Assises de la Sécurité, avec plus de 1400 participants et 90 exposants. Mais pour le Général d'armée Marc Watin-Auguard, le contexte de crise, avec ce qu'il avoir de stimulant pour le développement des menaces, représente un risque : "se concentrer sur l'immédiat et sacrifier le long terme. Aujourd'hui, nous avons tous l'obligation de nous préparer pour l'avenir. Car, si c'est trop tard pour la crise actuelle, ce n'est pas trop tôt pour la prochaine..."
Cliquez pour dérouler

En contrepartie, selon le patron de l’Anssi, « l’Etat a tenu ses promesses. » En particulier, les effectifs de l’Agence doivent progresser sensiblement en 2010 – « une soixantaine de recrutements qui, en intégrant le turnover, conduiront à un total de 250 personnes. » De quoi remplir des missions de labellisation des solutions, les recommandations de sécurité – le très attendu référentiel général de sécurité devrait être finalisé d’ici la fin 2009. Pas question, donc, de faire de l’assistance personnalisée, « hors cas grave exceptionnel », mais de la large diffusion de bonnes pratiques. Bref, de gros efforts de sensibilisation.

En finir avec l’omerta de la sécurité informatique

Reste un point noir : « vos incidents, il faut les faire remonter ; les camoufler, ce n’est pas une bonne politique. Un message relayé par le Général d’armée Marc Watin-Auguard, à l’origine du Forum International de la Cybercriminalité (FIC) de Lille. Pour lui, « la cybercriminalité est la criminalité du 21ème siècle. » Une forme de criminalité qui souffre précisément, dans sa prise en compte, d’une certaine transparence : « tout ce qui touche à la cybercriminalité n’est pas dénoncé, pas connu. C’est un sujet indispensable à traiter. » Faisant le parallèle avec la création du FIC, une initiative présentée comme visant à favoriser les échanges sur le sujet à l’échelle régionale, autour de Lille, et même européenne, le Général Marc Watin-Auguard insiste : «  pour lutter contre la cybercriminalité, il faut s’ouvrir aux autres et nouer des partenariats. » Bref, pas question d’aborder des sujets controversés, susceptibles de fâcher, comme les questions relatives au full disclosure, mais néanmoins d’inciter à un minimum d’ouverture qui semble déjà bien difficile à obtenir…

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)

Close