Business

Les Assises de la Sécurité : le BYOD en question

La douzième édition des Assises de la Sécurité se tiennent à Monaco au Palais Grimaldi du 3 au 5 octobre 2012. Le thème central en est le BYOD mais bien d'autres sujets y sont abordés.

Publicité« Les enjeux que nous avons à relever tous ensemble sont extraordinaires » a déclaré Patrick Pailloux, directeur général de l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) en ouvrant la douzième édition des Assises de la Sécurité. Celles-ci se tiennent à Monaco au Palais Grimaldi du 3 au 5 octobre 2012. Mais il s'est désolé que toutes les entreprises n'ont pas encore une « hygiène informatique », même si tous les patrons seraient plus ou moins conscients de l'importance de la cybersécurité.

Le thème fédérateur de cette édition est le BYOD (Bring Your Own Device). Cette notion est ici prise au sens le plus large, c'est à dire davantage dans le sens de la consumérisation de l'IT (usage professionnel d'outils grand public, que ce soit des outils personnels ou non).

Un guide pour l'hygiène informatique

Or ce BYOD est au coeur d'importantes failles dans la sécurité des entreprises. L'ANSSI s'en inquiète tant on est ici à l'opposé de la bonne « hygiène informatique ».

Face à la situation, l'ANSSI publie un « précis d'hygiène informatique » de 40 règles à appliquer en 13 étapes pour aider les entreprises à mettre en oeuvre l'hygiène informatique. Patrick Pailloux a affirmé : « plus personne n'a désormais d'excuse pour dire qu'il ne sait pas quoi faire. Ceux qui n'ont pas appliqué ces mesures n'auront désormais qu'à s'en prendre à eux-mêmes si il leur arrive des problèmes. Ce document est cependant une version 0. » L'ANSSI a appelé à la collaboration de la communauté pour améliorer ce document avant une version définitive d'ici un mois.

Les mauvaises excuses ne tiennent plus

Les excuses des cybernégligents se résument en général en deux catégories : c'est trop compliqué ou c'est trop contraignant pour être accepté par les utilisateurs. Pour la première catégorie, le précis est la réponse. Reste la seconde. « Quand vous voulez dépasser la vitesse sur autoroute, les gendarmes vous rappellent à l'ordre ; quand vous sortez de chez vous, vous fermez à clé la porte après avoir saisi le code de l'alarme et mis au coffre les choses de valeur » a constaté Patrick Pailloux.

Pourquoi être plus négligent dans la vie numérique que dans la vie réelle ? Il existe des règles. Il existe des exigences. Il existe des contraintes. Pour Patrick Pailloux, « ceux qui ne respectent pas les règles doivent être sanctionnés, même sur les tablettes. Je récuse le discours ambiant sur la convivialité et la productivité : une bonne sécurité n'empêche pas la mobilité, bien au contraire. ».

Il faut respecter les règles

(...)

Photo : Patrick Pailloux (à droite) et Gérard Rio, fondateur des Assises.

Il faut respecter les règles

PublicitéLes fameuses tablettes, au coeur du BYOD, contiennent des données sensibles lorsqu'elles sont utilisées à des fins professionnelles. Or, pour le directeur général de l'ANSSI : « Non, on ne connecte pas un terminal personnel au système d'information ; non, je ne mets pas mes données dans un cloud public ; non, on n'accepte pas les fourches caudines de Google ou d'Apple. Il est autorisé d'interdire. »

Cependant, plutôt qu'un « non », il convient de prononcer un « non mais » qui favorise les industriels proposant des outils sécurisés. Car « toute bataille contre une technologie, telle que la tablette, est perdue d'avance » reconnaît Patrick Pailloux.

Sécuriser même au prix de la convivialité

Sur une question de la salle au sujet du Rapport Bockel déconseillant l'usage des outils chinois, Patrick Pailloux a rappelé la nécessité de maîtriser les outils que l'on utilise même s'il s'est refusé à commenter un rapport sénatorial en lui-même. Les smartphones et les tablettes peuvent être sécurisées, certes au prix de contraintes mais pas si lourdes que certains le craignent.

Pour les cas les plus sensibles, l'ANSSI a ainsi fait développer par Thalès un smartphone, Théorème, 100 % français. Il a soupiré : « un tel téléphone est évidemment moins convivial qu'un smartphone sous Androïd ou iOS. Mais il vous appartient de définir votre niveau de sécurité, pas d'accepter une sécurité définie par un tiers. ». De la même façon, pour Patrick Pailloux, le cloud n'est qu'une forme d'externalisation et il faut discuter la sécurité avec le prestataire.

Mais il admet : « le principal défi des années à venir sera pour nous les systèmes industriels ». L'ANSSI est ainsi passé en quelques années d'un organisme orienté vers les administrations à une agence qui se consacre essentiellement au secteur privé.

Photo : Patrick Pailloux (à droite) et Gérard Rio, fondateur des Assises.

L'ANSSI fait la revue de détail

En marge de la manifestation des Assises de la Sécurité, Patrick Pailloux a rencontré la presse. Il a admis que l'ANSSI travaillait sur un livre blanc consacré à la cyberdéfense qui devrait être publié début 2013. Ce livre blanc posera la stratégie de la France en la matière, validée par les autorités politiques avec l'engagement des moyens adéquats. Ce livre blanc fera partie du prochain livre blanc sur la défense au sens large.

Ce travail prend place dans la revue régulière des menaces que l'ANSSI réalise pour le compte du gouvernement. Mais il ne s'agit pas, cependant, de se contenter de « regarder le passé ». L'ANSSI cherche donc les scénarios de l'avenir, de menaces qui ne se sont pas encore concrétisées voire qui seraient techniquement impossibles aujourd'hui.

Le NFC est aussi actuellement une préoccupation pour l'ANSSI. Patrick Pailloux a soupiré : « Le NFC n'est pas très mature ».

« Une revue de détail régulière est nécessaire car il est impossible de prévoir à dix ou douze ans » a souligné Patrick Pailloux.