Assises de la sécurité : Patrick Pailloux (ANSSI) sermonne les RSSI

Manifestement, le message peine à passer. Patrick Pailloux, directeur de l’Agence Nationale pour la Sécurité des Systèmes d’Information a fait la leçon, une heure durant, à un public de responsables de la sécurité de l’information, les tançant de revenir aux «bases» et d’en finir avec la «sécurité cache-sexe.»

«La situation ne peut pas continuer telle qu’elle est». Le ton est pontifiant. En clôture des Assises de la Sécurité, qui se sont déroulées cette semaine à Monaco, Patrick Pailloux, directeur de l’Anssi a lancé un appel, plusieurs même. Aux industriels sur secteur, tout d’abord, «qui doivent être capables de vous [les RSSI, NDLR] accompagner effectivement la mise en oeuvre [de leurs outils]. Trop peu sont aujourd’hui capables de vous aider lorsque vous découvrez une attaque.» Ceux-ci, également représentés dans l’audience, en seront pour leurs frais : «ils doivent aussi appliquer eux-même des règles de sécurité de base [...] Il est inacceptable qu’un mot de passe soit écrit en dur dans le code.» Siemens, éditeur des outils Scada visés par Stuxnet, appréciera la référence à peine voilée. Les responsables informatiques, qui avaient déjà été quelque peu repris par le même Patrick Pailloux, lors d’une précédente édition des Assises de la Sécurité, n’échapperont pas au sermon. A eux, il reviendra de se «mobiliser pour que les incidents soient remontés auprès de [l’Anssi].» 

Il faut dire que, pour Patrick Pailloux, la situation est grave : «les systèmes d’information, en France et dans le monde, sont aujourd’hui en danger [...] J’ai un peu l’impression qu’ils sont abandonnés à leur situation.» Certes, cela ne signifie pas que rien n’est fait : «il y a des dispositifs de sécurité partout, qui ont souvent coûté cher.» Mais, selon lui, «la réalité que l’on constate tous les jours, sur le terrain, c’est que nos SI sont très souvent perméables et que des acteurs malveillants en ont très largement profité.» Egrainant ensuite toute une série d’erreurs ou de négligences qui seraient largement répandues, Patrick Pailloux appelle à un «retour aux basiques» - «back to the basics» lancera-t-il à plusieurs reprises [note de la correctrice : A nos lecteurs qui s'offusqueraient de l'utilisation du faux ami "basiques" par le directuer de l'Anssi, rappelons que  la traduction correcte selon l'Académie serait plutôt "retour aux fondamentaux"]. Ces erreurs, selon lui, sont la gestion des droits, l'utilisation de droits élevés pour des activités ne le nécessitant pas, la non application de mises à jour et correctifs, le non examen de logs enregistrés, etc. Tout y passe, ou presque.

Pour le patron de l’Anssi, le mal vient d’une pratique de la sécurité sur le mode «cache-sexe» : «on fait croire que l’on fait de la sécurité mais surtout sans embêter les utilisateurs ni les administrateurs [...] on déploie des outils et on ne s’en occupe plus.» Et encore, «on fait de la sécurité périmétrique, sorte de ligne Maginot. On sait depuis longtemps ce que cela donne.» Pour lui, les administrateurs «n’appliquent pas à eux-même des règles d’hygiène élémentaire. C’est plus simple de se plaindre des utilisateurs.»

Mais il faut rebondir : «nous devons reprendre le contrôle de nos SI. C’est possible, cela a été fait dans les institutions où nous sommes intervenus. Et rapidement, malgré une forte pression.» On est tenté de penser à l’incident de Bercy, mais l’on n’en saura pas plus à ce sujet. En tout cas, pour lui, faire ces efforts de reprise en main «ne coûte pas des millions; ce n’est pas insurmontable ni inacceptable par les utilisateurs»... à condition toutefois de profiter «d’un minimum de soutien de la direction générale et d’avoir les moyens nécessaires.» Surtout, «ça ne sert à rien de faire compliqué si l’on ne fait pas le basique du basique

Bref, pour Patrick Pailloux, «on peut très facilement reprendre le contrôle de nos SI [...] L’Anssi peut vous aider. Mais, avec 190 personnes aujourd’hui et 360 à fin 2013, on ne peut pas tout faire tous seuls.» Quoi qu’il en soit, c’est donc, selon lui, «le bon moment pour se mobiliser. Nous sommes prêts à changer les choses; c’est le moment pour nous tous d’être au rendez-vous.»

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)

Close