Encore une fois, le ton risque de paraître «professoral», voire «un peu agressif ». Patrick Pailloux, directeur général de l’Agence Nationale de la sécurité des systèmes d’information (Anssi), répond avec humour aux critiques dont son discours, en clôture de la précédente édition des Assises de la Sécurité, a pu faire l’objet. Mais c’est pour tenter de mieux faire passer un message qui commence par un rappel du précédent : «l’an dernier, j’étais intervenu sur le thème de l’hygiène informatique, avec un retour aux bases. [...] J’aimerais vous dire que tout le monde s’y est mis mais vous ne me croiriez pas et vous auriez raison.» Toutefois, des entreprises «ont mis en place un plan d’action concret pour améliorer leur situation. C’est sans doute l’arbre qui cache la forêt, mais c’est le début d’un succès ». Un succès qu’il n’est pas question de laisser passer. Pour Patrick Pailloux, de nombreux responsables d’entreprises se sentent «désarmés» face au besoin de sécuriser leur système d’information. Alors pour les aider sur le chemin de «l’hygiène» dont il faisait la promotion un an plus tôt, le directeur général de l’Anssi propose désormais un guide «de 40 règles, en 13 étapes, pour assainir le SI ». Des règles qui se veulent «très concrètes, très pratiques et qui doivent être appliquées systématiquement ». Pour lui, avec ce document, «plus personne n’aura d’excuse ». Jouant l’humilité, Patrick Pailloux présente toutefois ce «précis» de sécurité informatique comme une «version V.0» et lance un appel à commentaires «constructifs» pour une période de un mois au bout de laquelle la version «officielle» du document sera mise en ligne. Celui-ci n’a toutefois pas la prétention de garantir contre les attaques; il s’agit juste d’améliorer les «résiliences» des systèmes face aux attaques. Et surtout de répondre à ceux qui disent : «c’est trop difficile, trop compliqué; on ne sait pas quoi faire.» Armé de ce guide, selon l’Anssi, ils devraient savoir quoi faire.
Dire «non» aux utilisateurs
Un brin provocateur, comme à son habitude, le patron de l’agence s’est attaqué à un autre point de difficulté : les utilisateurs et leurs envies d’iPad, de services Cloud, etc. Et de s’interroger sur les raisons pour lesquelles on accepte, en tant qu’utilisateur, dans le monde physique, des contraintes et des règles alors qu’il n’en faudrait pas dans le monde de l’immatériel. Sans verser dans la «philosophie», il estime que «si l’on ne change pas les comportements, on n’arrivera pas à grand chose ». Ou bien à une situation qui ne lui inspire pas grand chose de positif. Bref, pour lui, dans l’immatériel comme dans le monde physique, «il y a des règles et des contraintes; ceux qui ne les respectent pas finissent par être sanctionnés d’une manière ou d’une autre ».
Réfutant toute tentative de lutte contre une technologie ou une autre – «une bagarre perdue d’avance» -, il estime toutefois qu’il «faut entrer en résistance contre la liberté totale dans l’usage des technologies de l’information ». Pour lui, donc, «la sécurité, c’est aussi avoir le courage de dire non ». Un discours qui a laissé quelques membres de l’audience un brin sceptiques – «qui a le pouvoir de dire non aux VIP ?», a demandé, applaudi, un intervenant. Mais pour Patrick Pailloux, c’est d’abord «au patron de l’entreprise de dire non et d’assumer les règles [...] il y a une chose qui ne se délègue pas, c’est l’exemplarité ».
Toute reproduction ou représentation intégrale ou partielle des pages publiées sur ce site, faite sans l'autorisation de l'éditeur est illicite et constitue une contrefaçon. LeMagIT s'engage à respecter la confidentialité des données personnelles conformément à la loi 78-17 du 6 janvier 1978. LeMagIT n'assume aucune responsabilité de type éditoriale sur les commentaires publiés sur ce site, la mise en ligne n'étant soumise à aucun contrôle à priori. La fréquentation de ce site est certifiée OJD.
La vraie question est à quoi sert un SI si on ne peut pas le consommer à volonté … se faire plaisir avec des terra octets de data … soit … mais quel but ? quel est le % de ces données réellement utilisé à bon escient ?
D’un point de vue DSI je comptrends qu’il est préférable de dire non, quand on n’est pas prêt à dire oui.
Maintenant quand un super commercial dit au DG, je veux mes mails sur mon iPad pour répondre à mes clients en temps réel (ça existe dans la vraie vie), et bien dans ces conditions le DG va vite demander au DSI pour trouver une solution.
Le BYOD c’est tout benef’ pour l’entreprise, l’employé utilise ses propres devices et il travaille plus.
Ok, si le SI n’est pas prêt, il vaut mieux dire non plutôt que prendre des risques de sécurité mais il faut rapidement prendre le problème à l’endroit. Ce discours de Patrick Pailloux me paraît archaïque.
Accepter la consumérisation et le BYOD, c’est être plus productif et c’est bien de cela dont la France à besoin.
Le problème, c’est quand c’est le DSI lui-même qui est un incompétent notoire en informatique, un peu geek sur les bords et qui veut faire mumuse avec son Ipad ou avec Skype …
C’est souvent le cas dans les administrations ou le DSI est un
administratif qui ne connaît rien à l’informatique (ou pense connaître ce qui est pire) et le poste dans une direction technique un passage difficile dans sa carrière.
Pierre : Il n’ y a pas de demandes illégitimes sauf si elles vont contre la loi. C’est aux DSI de trouver des solutions et éventuellement de faire preuve de pédagogie
Ping : Patrick Pailloux (Anssi) enjoint les RSSI à dire «non» | Veille Marché Octobre 2012 | Scoop.it
Ping : BYOD : l’Anssi s’enferme dans l’autisme | LeMagIT