RIAMS: les missions de l'Anssi questionnées
Absente et pourtant incontournable.
Absente et pourtant incontournable. L’Agence nationale pour la sécurité des systèmes d’information n’était pas représentée aux Rencontres de l’identité, des accès et du management de la sécurité (RIAMS), la semaine dernière à Saint-Tropez. Ce qui ne l’a pas empêchée de faire parler d’elle.
Lors de la plénière de clôture de l’événement, en particulier, cette absence a été lourdement soulignée par Alain Bouillé, président du Club des Experts de la Sécurité de l’Information et du Numérique (Cesin), pour mieux dénoncer des actions trop ciblées sur les administrations et les organisations d’intérêt vital (OIV) : «si vous êtes une OIV, pas de problème, vous êtes dans leur coeur de cible. Mais est-ce que l’Anssi aide vraiment les autres entreprises ?» Pas question de faire un procès d’intention à l’agence, plutôt de déplorer un manque de moyens, qui fait que «99 % des entreprises n’entendent jamais parler de l’Anssi», pourtant «référent sécurité des systèmes d’information en France ». Mais également de regretter une multiplication des structures touchant plus ou moins à la sécurité de l’information et à la lutte contre la cybercriminalité dans l’Hexagone. Une situation complexe qui fait que «lorsque vous êtes une entreprise lambda et que vous avez un problème de sécurité, savoir vers qui vous tourner [...] personne ne comprend. [...] C’est à s’arracher les cheveux ». Au point que, pour Alain Bouillé, «si l’on veut créer une filière d’excellence, l’Etat a peut-être intérêt à simplifier un petit peu le paysage, en tout cas à le clarifier ».
Pas d’accord, soutient l’un des membres de l’audience qui assure qu’il n’est pas nécessaire d’être une OIV pour travailler avec l’agence et que «l’on peut avoir des relations avec [elle], quand on est une banque» et, surtout, «quand on sait l’interpeler ». Mais pour cette personne, il faut surtout replacer le débat dans le contexte des missions de l’Anssi : «j’ai déjà entendu les mêmes propos au sujet de la DCSSI [à laquelle l’Anssi a succédé, NDLR] et de ses missions» : pour lui, «l’Anssi a une vraie mission au niveau de l’Etat et ce n’est pas le remède à tous les problèmes de sécurité des systèmes d’information en France; surtout pas ».