Les Assises de la sécurité et des systèmes d’information viennent de se tenir du 5 au 8 octobre à Monaco. Quel est votre retour sur cet événement ?
Une fois de plus les Assises sont un succès, un succès à la fois grâce à une organisation de grande qualité mais aussi du fait de la présence de l’ensemble de la communauté française. RSSI, responsables des risques, DSI, éditeurs, constructeurs et cabinets de conseil, tous étaient là dans une optique de partage et d’échange toujours aussi fructueuse.
Quels sont les sujets d’actualités et les nouveautés rencontrées ?
Les sujets ont tellement été diversifiés qu’il est quasiment impossible de tous les citer. Si je devais le résumer les 3 mots clés les plus rencontrés, je dirais : cloud, consumersation et cybercriminalité. Ils ont été largement débattus et ont fait l’objet de nombreuses annonces innovantes. A l’inverse, je noterais une plus faible représentation des sujets attenant à la sécurité applicative, pourtant au cœur de la protection aujourd’hui. Enfin, des sujets plus atypiques et prospectifs comme l’IPv6, ont fait leur apparition.
Finalement la gestion de risques et l’évolution du rôle du RSSI ont, une fois de plus, été l’objet de nombreuses discussions dans plusieurs ateliers, dont celui animé par Solucom. Le débat s’est élargi, touchant alors à des problématiques hors « sécurité », avec notamment une intervention de premier plan de Luc Ferry sur la multiplication des peurs dans notre société. J’en retiendrai que la peur ne doit pas être le premier élément de nos réflexions et que la gestion du risque ne doit pas être un frein au développement ou à l’innovation !
L’ANSSI a animé une plénière pour alerter la communauté et lui demander de revenir aux fondamentaux de la sécurité, quelle est votre analyse ?
Je pense qu’aujourd’hui la communauté sécurité connaît bien ces fondamentaux (gestion d’identité, correctifs, antivirus, durcissement…), mais elle est confrontée depuis plus d’une dizaine d’année à la difficulté de les faire appliquer. Les équipes techniques et les métiers rechignent, les directions ne comprennent pas.
Cet état de fait a amené la communauté à s’orienter d’une part autour de la gestion des risques, afin de concrétiser et d’expliciter en termes « métier » les impacts potentiels, mais aussi d’autre part dans la publication de nombreuses normes ou réglementations pour aider ou « forcer » l’application de ces mesures. Pourtant, cela n’a marché qu’un temps et la plupart de ces initiatives se sont transformées en sécurité « cache sexe » comme le disait Patrick Pailloux. Cela est un vrai drame car ces démarches pourtant de qualité sont trop souvent dévoyées !
A mon sens, aujourd’hui, la communauté sécurité manque de leviers pour convaincre les directions et les métiers. Elle manque également de support managérial pour réellement sanctionner et faire évoluer des pratiques déviantes souvent rencontrées. Les récents incidents médiatiques sont une aide mais la logique du « cela n’arrive qu’aux autres » est encore trop répandue
L’ANSSI, grâce à son message « back to basics », joue un rôle de premier plan. Mais elle pourrait aller plus loin en faisant part régulièrement de leur « thermomètre » du risque tel qu’évoqué durant la plénière afin de faciliter la sensibilisation des donneurs d’ordre.
Il faut arrêter de minimiser l’exposition de la France aux menaces cybercriminelles. L’illusion de sécurité est bien trop répandue aujourd’hui et j’espère que les messages forts de la plénière aideront à changer cette situation.