Patrick Pailloux (Anssi), un prêcheur dans le désert ?

Hygiène élémentaire, BYOD, Scada... le directeur de l’Anssi vient prêcher la bonne parole aux Assises de la Sécurité depuis plusieurs années. Mais parvient-il vraiment à se faire entendre, dans les entreprises comme dans les administrations ?

Raillé l’an passé pour une position affichée contre le BYOD perçue comme trop tranchée et irréaliste par beaucoup de participants aux Assises de la Sécurité, Patrick Pailloux est apparu cette année semblant trouver des raisons d’être satisfait de l’évolution de la situation et de l’écoute que trouveraient ses messages. Pourtant, sa sortie initiale sur le BYOD continue de faire quelques gorges chaudes. Dès lors, le patron de l’agence nationale pour la sécurité des systèmes d’information parvient-il réellement à entretenir une proximité avec les RSSI et avec leur réalité ?

Une gestion de la mobilité en retard

Certains commentaires permettent d’en douter, et cela jusqu’au gouvernement. Dans un ministère, un responsable de la sécurité informatique nous apprend que la circulaire envoyée par le directeur de cabinet du Premier ministre, fin août, pour rappeler les règles de communication électronique d’informations sensibles, est arrivée à ses équipes par Internet où elle s’est propagée comme une traînée de poudre après que l’Express l’a dévoilée. Et que c’est de là qu’elle a été diffusée en interne. Quant à son impact sur les pratiques des membres du cabinet ministériel, ce responsable est pour le moins dubitatif : «C’est la Disic qui est chargée du sujet [de l’encadrement et de l’administration des parcs de terminaux mobiles utilisés au sein du gouvernement, NDLR]. Elle s’est saisie du sujet en début d’année et prévoit de lancer un appel d’offres début 2014.» Autant dire qu’il n’y aura rien de concret... avant 2015 ou 2016. Pour rappel, la Disic est la direction interministérielle des systèmes d’information et de communication de l’Etat. Créée par décret début 2011, elle est placée sous l’autorité du Premier ministre et rattachée au Secrétaire général du gouvernement.

Des Scadas vieillissants

Sur le terrain des Scada, le contact de l’Anssi avec la réalité du terrain ne semble guère meilleure. Lors d’un atelier consacré à la détection et la gestion des vulnérabilités, Christophe Long, RSSI Groupe adjoint de GDF Suez, a détaillé ses efforts en la matière sur son informatique de gestion mais pas encore sur son informatique industrielle. Laquelle n’est encore quasiment pas, semble-t-il, connectée à l’informatique de gestion et encore moins à Internet. Pas question, pour l’instant, d’identifier les machines concernées comme des machines «problématiques» dans le cadre de la gestion de risque du groupe. Là, ce sont les processus de gestion des accès physiques aux sites industriels concernés qui doivent assurer la sécurité des systèmes informatiques concernés. Mais Christophe Long concède que le besoin d’interconnexion et d’ouverture se fait de plus en plus ressentir. Reste que l’on trouve dans son informatique industrielle des serveurs sous Windows NT 4. Des systèmes sur lesquels il n’oserait pas faire d’analyse et de recherche de vulnérabilité et dont le cycle de vie est extrêmement long : «nous avons des contrats de maintenance dont la durée peut attendre 30 ans, voire plus », explique-t-il.

Du best effort

Dans un autre ministère, un autre spécialiste de sécurité se fait particulièrement critique : «sur tous les participants aux Assises, je suis certain que l’on n’en trouve pas un qui ait une cartographie complète de son réseau, de ses flux, de ses données, de leur criticité. Et pourtant, c’est la base.» Et pour lui, Patrick Pailloux, parlant de «semestres» pour sécuriser les systèmes critiques des opérateurs d’importance vitale, souffre clairement d’une «certaine déconnexion ». Mais ses efforts de communication ont toutefois le mérite «de faire ressortir certains sujets» et de conduire les organisations concernées à «faire du best effort ».