« La sécurité des systèmes d'information est-elle un échec ? » s'est interrogé Michel Van den Berghe, PDG d'Atheos, en ouvrant la soirée des RIAM's (Rencontres Identité Audit et Management de la Sécurité) le 5 février 2013. Les incidents de sécurité se multiplient en effet avec des échos médiatiques croissant. Ces mises en avant ennuient parfois les RSSI alors que déclarer les incidents aux autorités administratives ne poserait pas de vrai problème selon Lazaro Pejsachowicz, président du CLUSIF (Club de la Sécurité des Systèmes d'Information Français).
Selon Patrick Pailloux (en photo), directeur général de l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'information), l'un des véritables problèmes est la dichotomie entre DSI et RSSI. Chacun des deux reste dans sa bulle avec ses préoccupations. Lorsque l'ANSSI intervient en pompier sur un incident, Patrick Pailloux constate que cela se passe mieux quand le DSI mène l'opération avec l'appui du RSSI et plus mal quand le RSSI tente de mener seul l'opération, le DSI restant éloigné de la crise.Â
Et, bien entendu, plus le comité exécutif est impliqué, mieux c'est. Le vrai drame est l'incapacité des dirigeants de l'entreprise de comprendre à quel point la sécurité informatique est un sujet qui les concerne. Un point faible récurrent est l'annuaire des utilisateurs du système d'information, c'est à dire la porte d'accès à tout le système d'information. Si la porte est grande ouverte, élever des murailles ne sert pas à grand chose.
Promouvoir les règles d'hygiène du système d'informationÂ
« On sait ce qui doit être fait mais ce n'est pas appliqué » a déploré Patrick Pailloux. Pour lui, il faut donc communiquer autour des expériences concrètes, des missions réussies. Les entreprises doivent ainsi tirer des enseignements de l'expérience. L'ANSSI s'est aussi évertué à publier des guides de bonnes pratiques, des règles d'hygiène du système d'information. Ce guide, bien entendu, doit être adapté à chaque situation concrète d'entreprise. Pour Patrick Pailloux, « la sécurité reste avant tout une question de main d'oeuvre : la technologie sans spécialistes, c'est comme une vidéo-surveillance sans personne devant les écrans ». La sécurité ne suppose pas forcément ou uniquement de grandes dépenses, au grand dam des fournisseurs.
L'ANSSI travaille ainsi aujourd'hui à hauteur de 60% environ pour le secteur privé alors que, jadis, elle était plutôt dédiée au secteur public et industriel de défense. Pour Patrick Pailloux, l'ANSSI ne sait pas encore bien travailler avec le secteur privé. Il n'est pas question de transmettre des listes de signatures de virus mais plutôt de savoir transmettre de vraies alertes majeures.Â
L'ANSSI essaye aussi de travailler avec de grands prestataires. En cas de manquements du secteur privé, l'ANSSI doit savoir aussi, selon son directeur général, « combler les trous dans la raquette ». A la manière du Cloud, l'Etat doit investir lorsqu'il n'existe pas d'offre satisfaisante sur le marché, notamment du point de vue de la sécurité, y compris de la sécurité nationale.
Intervenir sur le marché
Une forme d'intervention de l'ANSSI sera de certifier et de labelliser les acteurs. Mais la mise en place d'une telle démarche complète va prendre du temps. L'audit commence à bénéficier d'un tel label. Il reste bien d'autres domaines à couvrir. Patrick Pailloux a regretté que le secteur de la sécurité informatique ne se soit pas créé ses propres labels comme l'alimentaire avait su le faire. Les labels d'Etat peuvent alors être les plus restrictifs et globalement rares.
« L'hygiène promue par l'ANSSI est un ensemble de règles connues depuis trente ans » s'est amusé Nicolas Ruff, chercheur en sécurité chez EADS. Ali Baba a volé le mot de passe « Sésame ouvre toi » simplement en se cachant dans un buisson. Nicolas Ruff a rappelé : « depuis Ali Baba, rien n'a changé et les gens continuent de se faire voler leurs mots de passe sur des réseaux Wi-Fi ouverts. » Pour lui, la réponse à la question initiale est évidente : oui, la sécurité informatique est en échec.
Les autres intervenants ont été plus nuancés : il y a une course entre les responsables sécurité et les pirates. Parfois, l'un gagne, parfois l'autre, mais cela ne remet pas en cause le parcours accompli jusqu'au jour de l'attaque. L'essentiel est, en fait, de prendre des précautions en fonction des risques identifiés, de savoir détecter une agression et de savoir réagir rapidement. Finalement, si la sécurité doit être comprise par la direction générale, le sujet concerne au premier chef le RSSI. Celui-ci peut s'appuyer sur la problématique de la conformité réglementaire pour être entendu : c'est un langage compris par la direction générale. Patrick Pailloux a admis : « si l'on remet notre guide à un DG, il transmet à son DSI ou à son RSSI en lui demandant de s'en occuper... »
La sécurité des systèmes d'information est-elle un échec ?
Les systèmes d'information seraient mal sécurisés quand on écoute les multiples incidents exposés dans les médias grand public. Cependant, la faute ne serait pas du côté des RSSI mais plutôt des DSI et des directions générales lorsqu'ils ne sont pas assez impliqués.