Assises de la sécurité : l'état veut secouer les responsables sécurité
« Arrêtons de nous morfondre dans notre petite communauté ». C’est ainsi, un brin provoquant, que Patrick Pailloux, directeur de la DCSSI, un service dépendant du Premier ministre, a enjoint les responsables de la sécurité des systèmes d’information réunis devant lui, pour la première table ronde des Assises de la Sécurité, à « se mettre à la portée » des décideurs. Pour lui, l’ampleur des menaces ne doit pas être exagérée, « mais il est temps de s’inquiéter. »
En ouverture des 8èmes Assises de la Sécurité, qui se déroulent jusqu’à samedi 18 octobre à Monaco, Patrick Pailloux, directeur de la Direction Centrale de la Sécurité des Systèmes d’Information (DCSSI), un service spécialisé dépendant du Premier ministre, a osé former un vœu : que les responsables de la sécurité dans les entreprises se prennent en main pour « communiquer, expliquer et convaincre » les décideurs auxquels ils rapportent ; et qu’ils cessent de « se plaindre de ne pas être écoutés. »
Des missions toujours plus étendues
Mais Patrick Pailloux n’est pas uniquement venu tancer les responsables de la sécurité des systèmes d’information (RSSI) présents aux Assises. Il est aussi venu les rassurer sur les fonctions de l’administration et ses ambitions. Ainsi, il relève avoir « très fortement développé » son activité de veille opérationnelle, sur les menaces et les intrusions. Tout en s’attachant à appliquer à lui-même ce qu’il recommande, à savoir communiquer et sensibiliser.
Au total, la DCSSI emploie aujourd’hui 110 personnes, un chiffre « pas énorme, mais ça va changer. » Sur ces effectifs, il faudrait compter sur des experts, « pour l’essentiel ».
Une demande de conseil croissante
Reste que, provenant des entreprises, c’est bien le conseil qui représente la demande la plus forte : « on nous demande quelle est la position de l’Etat sur telle ou telle question. » Et pour répondre à ces questions, la DCSSI veut proposer une certification peu onéreuse et simple à comprendre, sa CSPN : certification de sécurité de premier niveau. « Il faut compter 20 jours-hommes d’analyse technique. » Avec ce mécanisme de certification – « qui commence à prendre » - la DCSSI veut disposer d’un outil pour répondre à la question fréquemment posée par les entreprises : « ce produit qu’on vient de me proposer, est-ce qu’il est bon ? »
Des exigences vis-à-vis des entreprises
Mais Patrick Pailloux ne veut pas se contenter de rendre service aux entreprises. Il veut aussi que la communication fonctionne en sens inverse. De la part des RSSI, il attend « du concret. Il faut arrêter de croire qu’il ne se passe rien. » Pour lui, les intrusions, les ruptures de sécurité… sont « cachées ». Et d’enjoindre les décideurs à « demander à votre RSSI des rapports d’incidents. S’il n’y a rien, posez-vous des questions. » Et d’ajouter, plus loin, « examinez vos logs », « acheter des solutions de sécurité du marché, notamment pour les voyages à l’étranger. »
Tout à sa charge, le directeur de la DCSSI a en outre invité les RSSI à cesser « d’attaquer la sécurité par des solutions théoriques, souvent cache misère. » Pour lui, « il ne sert à rien d’avoir une politique de sécurité très élaborée, sur la base de standards internationaux, s’il n’y a même pas de politique de changement des mots de passe. »
Vers une DCSSI armée pour la cyberguerre
Enfin, Patrick Pailloux est revenu sur les missions futures de la DCSSI, dont les contours ont été tracés dans le cadre du livre blanc sur la défense. Pour lui, l’objectif d’une véritable entité de cyberdéfense est « atteignable. » Avec une limite, tout de même : se protéger contre « des attaques par déni de service de type Estonie est impossible ». Pour lui, l’Enisa (European Network and Information Security Agency), déjà montrée du doigt, doit devenir un Cert à l’européenne. Mais, surtout, il semble essentiel à Patrick Pailloux de « développer les coopérations internationales sur les attaques informatiques. On le fait déjà, mais nous devons passer à une autre échelle. »
Pour l’avenir, Patrick Pailloux se montre réservé : « depuis quelques mois, il y a eu des progrès fulgurants en termes de prise de conscience », mais « j’ai beaucoup d’inquiétudes. » Notamment avec « le développement d’Internet comme réseau à tout faire, celui des réseaux auto-configurants, de l’Internet des objets : autant de grands défis pour la sécurité ».