A lire sur: http://www.lemagit.fr/technologie/securite-technologie/2012/10/03/patrick-pailloux-anssi-enjoint-les-rssi-a-dire-non/?utm_source=essentielIT&utm_medium=email&utm_content=new&utm_campaign=20121004&xtor=ES-6
Le 3 octobre 2012 (16:07) - par Valéry Marchive
Le directeur général de l’Agence Nationale de la sécurité des
systèmes d’information est intervenu en ouverture de la 12ème édition
des Assises de la Sécurité, qui se déroule actuellement à Monaco, pour
enjoindre les responsables de la sécurité du SI à apprendre à dire «non»
à la consumérisation de leur environnement. Un «non» qui doit,
reconnaît-il, venir du sommet de la hiérarchie.
Encore une fois, le ton risque de paraître
«professoral», voire «un peu agressif ». Patrick Pailloux, directeur
général de l’Agence Nationale de la sécurité des systèmes d’information
(Anssi), répond avec humour aux critiques dont son discours, en clôture
de la précédente édition des Assises de la Sécurité, a pu faire l’objet.
Mais c’est pour tenter de mieux faire passer un message qui commence
par un rappel du précédent : «l’an dernier, j’étais intervenu sur le
thème de l’hygiène informatique, avec un retour aux bases. [...]
J’aimerais vous dire que tout le monde s’y est mis mais vous ne me
croiriez pas et vous auriez raison.» Toutefois, des entreprises «ont mis
en place un plan d’action concret pour améliorer leur situation. C’est
sans doute l’arbre qui cache la forêt, mais c’est le début d’un succès
». Un succès qu’il n’est pas question de laisser passer. Pour Patrick
Pailloux, de nombreux responsables d’entreprises se sentent «désarmés»
face au besoin de sécuriser leur système d’information. Alors pour les
aider sur le chemin de «l’hygiène» dont il faisait la promotion un an
plus tôt, le directeur général de l’Anssi propose désormais un guide «de
40 règles, en 13 étapes, pour assainir le SI ». Des règles qui se
veulent «très concrètes, très pratiques et qui doivent être appliquées
systématiquement ». Pour lui, avec ce document, «plus personne n’aura
d’excuse ». Jouant l’humilité, Patrick Pailloux présente toutefois ce
«précis» de sécurité informatique comme une «version V.0» et lance un appel à commentaires «constructifs»
pour une période de un mois au bout de laquelle la version «officielle»
du document sera mise en ligne. Celui-ci n’a toutefois pas la
prétention de garantir contre les attaques; il s’agit juste d’améliorer
les «résiliences» des systèmes face aux attaques. Et surtout de répondre
à ceux qui disent : «c’est trop difficile, trop compliqué; on ne sait
pas quoi faire.» Armé de ce guide, selon l’Anssi, ils devraient savoir
quoi faire.
Dire «non» aux utilisateurs
Un brin provocateur, comme à son habitude, le patron de l’agence s’est attaqué à un autre point de difficulté : les utilisateurs et leurs envies d’iPad, de services Cloud, etc. Et de s’interroger sur les raisons pour lesquelles on accepte, en tant qu’utilisateur, dans le monde physique, des contraintes et des règles alors qu’il n’en faudrait pas dans le monde de l’immatériel. Sans verser dans la «philosophie», il estime que «si l’on ne change pas les comportements, on n’arrivera pas à grand chose ». Ou bien à une situation qui ne lui inspire pas grand chose de positif. Bref, pour lui, dans l’immatériel comme dans le monde physique, «il y a des règles et des contraintes; ceux qui ne les respectent pas finissent par être sanctionnés d’une manière ou d’une autre ».
Réfutant toute tentative de lutte contre une technologie ou une autre – «une bagarre perdue d’avance» -, il estime toutefois qu’il «faut entrer en résistance contre la liberté totale dans l’usage des technologies de l’information ». Pour lui, donc, «la sécurité, c’est aussi avoir le courage de dire non ». Un discours qui a laissé quelques membres de l’audience un brin sceptiques – «qui a le pouvoir de dire non aux VIP ?», a demandé, applaudi, un intervenant. Mais pour Patrick Pailloux, c’est d’abord «au patron de l’entreprise de dire non et d’assumer les règles [...] il y a une chose qui ne se délègue pas, c’est l’exemplarité ».
Dire «non» aux utilisateurs
Un brin provocateur, comme à son habitude, le patron de l’agence s’est attaqué à un autre point de difficulté : les utilisateurs et leurs envies d’iPad, de services Cloud, etc. Et de s’interroger sur les raisons pour lesquelles on accepte, en tant qu’utilisateur, dans le monde physique, des contraintes et des règles alors qu’il n’en faudrait pas dans le monde de l’immatériel. Sans verser dans la «philosophie», il estime que «si l’on ne change pas les comportements, on n’arrivera pas à grand chose ». Ou bien à une situation qui ne lui inspire pas grand chose de positif. Bref, pour lui, dans l’immatériel comme dans le monde physique, «il y a des règles et des contraintes; ceux qui ne les respectent pas finissent par être sanctionnés d’une manière ou d’une autre ».
Réfutant toute tentative de lutte contre une technologie ou une autre – «une bagarre perdue d’avance» -, il estime toutefois qu’il «faut entrer en résistance contre la liberté totale dans l’usage des technologies de l’information ». Pour lui, donc, «la sécurité, c’est aussi avoir le courage de dire non ». Un discours qui a laissé quelques membres de l’audience un brin sceptiques – «qui a le pouvoir de dire non aux VIP ?», a demandé, applaudi, un intervenant. Mais pour Patrick Pailloux, c’est d’abord «au patron de l’entreprise de dire non et d’assumer les règles [...] il y a une chose qui ne se délègue pas, c’est l’exemplarité ».
Aucun commentaire:
Enregistrer un commentaire