J’ai hésité à écrire ce billet car je ne suis pas fan de l’ANSSI bashing (c’est la mode en ce moment). Je ne reproche rien de spécial à l’ANSSI et surtout pas le « pillage » des entreprises privées car je trouve normal qu’une agence gouvernementale cherche à recruter les « meilleurs ». Ce qui est inquiétant pour les entreprises, c’est surtout de constater qu’elles ne proposent pas de challenges (car selon certains les salaires proposés par l’Etat ne sont pas assez « motivants »…) assez intéressants pour retenir leurs meilleurs talents (et aussi que nos écoles et universités ne sortent pas assez de diplômés dans notre secteur de la sécurité informatique…mais ça fera l’objet d’un autre billet… un jour…). J’espère avoir vos avis sur la question dans les commentaires ou sur Twitter ! Par ce billet, je souhaitais simplement réagir au discours des Assises, au guide d’hygiène informatique et à quelques autres sujets.
Back to basics Vs Non mais
Mais revenons en au sujet initial : le fameux discours des Assises de Patrick Pailloux et le guide d’hygiène informatique. Je pense que vous avez tous lu le billet de @newsoft sur le sujet. Et je suis globalement d’accord avec lui. Autant j’avais bien aimé le « Back to Basics » de l’année dernière, autant je trouve ce discours un peu déconnecté de la réalité de l’entreprise (et de l’administration… mais j’y reviendrais). Si le directeur général de l’ANSSI souhaitait coller au thème des Assises, il a réussi. Le BYOD c’est le mal, interdisons le. Ou pas. Car j’ai du mal à imaginer un RSSI dire non à son DG ou son PDG car il veut un iPad ou un Dropbox (troll).
Malheureusement on essaye surtout de s’adapter au contexte et aux évolutions technologiques. Pour moi, le maître mot (et notre métier !) c’est d’analyser les risques (les vrais qui impactent les métiers de l’entreprise ou la sûreté de l’Etat) et de tenter de les réduire aux maximum, pas de dire non mais.
Ce que j’adore dans les conférences « sécurité » c’est quand quelqu’un prononce le mot Cloud ou BYOD. Tout de suite c’est le branle-bas de combat, les « experts » se regardent tous avec un air atterré ou en rigolent… Arrêtons de fermer les yeux devant la réalité du terrain. Ce n’est que le début… Le temps des tablettes et du Cloud ne fait que commencer. Notre métier ne consiste pas à dire non aux technologies qui évoluent plus vite que la sécurité.
Je reviens aussi sur les analogies pointées du doigt par @newsoft. Je suis d’accord aussi sur ce point. On a le droit de faire des analogies et certaines sont possibles mais là… elles étaient surtout mal choisies ou trop caricaturales. Personnellement je n’ai pas de coffre à la banque (je ne dois pas avoir beaucoup de choses de valeur… ah si mon iPad et mon iPhone…). Je remarque la même tendance à l’analogie dans le domaine de la cyberstratégie (ou cyberguerre mais je n’aime pas le terme) qui simplifie (pas tous) le cyberespace en le comparant aux traditionnels espaces militaires (air, terre, mer, espace). L’analogie ne serait-elle pas la solution de facilité qui nous évite d’inventer et de développer de nouveaux modes de pensée et des solutions innovantes pour répondre à des menaces nouvelles ?
Je vais vous dire ma vision des choses : il faut entrer en résistance contre la liberté totale dans l’usage des technologies de l’information. Dans une entreprise : non on ne travaille pas avec son terminal privé, non on ne connecte pas un terminal contrôlé par un tiers, non on n’installe pas le dernier joujou à la mode, non je ne mets pas les données de mon entreprise dans le Cloud gratuit, non je ne mets pas au même endroit mes données sensibles et les autres, non je ne laisse pas mon ordinateur connecté si je ne suis pas là. A l’étranger : non je ne peux pas, depuis ma chambre d’hôtel, accéder à mes données sans un dispositif de sécurité, non je ne vais pas au restaurant en laissant mon portable avec des données sensibles dans ma chambre d’hôtel, non je n’envoie pas par mail des informations très sensibles,… La sécurité c’est aussi avoir le courage de dire non. […] Donc en fait, la bonne réponse n’est pas non, c’est non mais. Patrick Pailloux, directeur général de l’ANSSI – discours des Assises 2012
Je trouve donc que le discours de cette année est en régression par rapport à celui de l’année dernière. L’an passé, on parlait de retour aux bonnes pratiques de la sécurité informatique, ce qui me semblait une très bonne idée (voir les exemples des hacks de Stratfor, HBGary Federal ou Sony pour s’en persuader) pour repartir sur des bases saines. Aujourd’hui, le discours ressemble à celui d’une défaite. Les attaques se multiplient et il y a autant de trous dans nos systèmes. Et la solution proposée est… de dire non (pardon non mais). Je ne suis pas convaincu par l’efficacité de ce conseil… Le combat semble perdu d’avance.
L’hygiène c’est également pour les patients
Concernant l’hygiène informatique (l’expression fait beaucoup sourire en ce moment), j’ai toujours adhéré au concept. Je trouve que l’analogie (pour une fois) avec le médical est bien trouvée (ce n’est que mon avis, je sais que beaucoup d’entre vous n’y adhèrent pas forcément). Respecter des bonnes pratiques simples semble un bon début pour limiter les risques et éviter les situations embarrassantes. J’ai donc été un peu été surpris par le guide publié par l’ANSSI. Il est peut être complet mais il enfonce surtout des portes ouvertes, de façon trop théorique et il est ressenti par beaucoup comme déconnecté de la réalité du terrain. Je ne vais pas les énumérer ici, d’autres en ont déjà parlé. Mais passons, car malgré la difficulté d’implémenter toutes ces solutions / procédures de sécurité, ça ne fait pas de mal de se rendre compte qu’on ne les respecte pas. Malgré tout, la cybersécurité avance et qui sait, un jour, certaines pratiques jugées irréalisables en entreprise deviendront plus accessibles.
En fait, j’imaginais différemment ce guide d’hygiène informatique car je pensais qu’il aurait du s’adresser, pas seulement aux responsables informatiques et professionnels de la sécurité, mais aussi aux utilisateurs lambdas, aux dirigeants et aux informaticiens en général. Car la sécurité n’est pas l’affaire de quelques RSSI, c’est surtout une responsabilité pour chacun : respecter quelques bonnes pratiques et fuir les mauvaises ! Et les bases, pour les informaticiens par exemple, ça serait de rappeler aux développeurs de programmer de façon sécurisée (ce qui implique de changer leur formation) ou aux administrateurs systèmes de (vraiment) prendre en compte la sécurité (et oui ce n’est pas seulement aux équipes sécurité de faire de la sécurité…).
Mais encore faut-il que tout le monde soit informé ou sensibilisé à ces questions (c’est peut-être tarte à la crème mais je trouve que c’est indispensable). Actuellement, seul un incident grave permet de sensibiliser (un minimum) les utilisateurs et la direction.
Les guides de l’ANSSI, que je trouve généralement bien écrits et assez didactiques, me font également penser que la communauté sécurité française n’est pas mature. Car ils sont bien destinés à la communauté sécurité et pas à la communauté informatique en général. En effet, je ne suis pas sûr que l’ANSSI soit bien identifiée en dehors du monde de la sécurité… Selon moi, c’est le monde de l’IT en général qui doit être visé. Avec toutes les normes qui existent et toutes les publications / conférences qui se multiplient depuis quelques années, je pense que les professionnels de la sécurité connaissent leurs basiques (après qu’ils les appliquent ou pas, c’est un autre problème).
Et je ne parle pas des utilisateurs ou des citoyens qui sont malgré tout les premières victimes de la cybercriminalité (mais l’ANSSI n’en a pas la charge, même si les frontières entre cybercriminalité, cyber espionnage et cyber[tout ce que vous voulez] restent floues) et un des principaux vecteurs d’attaque en entreprise / administration. Pour aller dans ce sens, j’avais apprécié une recommandation du rapport Bockel qui souhaitait rendre accessible la cybersécurité au grand public à la manière de la sécurité routière (en utilisant, par exemple, des campagnes TV ou sur le web). Beaucoup se sont moqués de cette proposition mais elle a le mérite de viser tous les citoyens français, particuliers comme entreprises.
Des positions paradoxales
Et puis il y a quelques positions de l’ANSSI que je ne comprends pas. Toujours lors des Assises, Patrick Pailloux est revenu sur la polémique des routeurs chinois (après que Bockel se soit défaussé sur l’ANSSI).
La question qu’il faut se poser c’est, quand vous avez des systèmes essentiels, comment vous assurez que vos systèmes font exactement ce pour quoi ils sont faits et qu’ils fonctionnent correctement ? C’est un problème d’analyse de risque. Patrick Pailloux, directeur général de l’ANSSI – point presse
Je suis totalement d’accord avec cette approche « risques » mais pourquoi ne pas en parler pour le BYOD ou le Cloud ?
Ensuite, lors d’un point presse, l’ANSSI a été interrogé sur les cyber attaques contre l’Elysée. Une information, qui avait fait le buzz il y a quelques mois, à quelques semaines de la sortie du rapport Bockel. Patrick Pailloux n’a pas voulu commenter cette information, elle-même rapidement commentée à l’époque par le sénateur Bockel.
Il y a tout un tas d’affaires sur lesquels nous ne communiquons pas. Pour tout un tas de raisons, la principale étant que la communication des incidents appartient au propriétaire des données. Patrick Pailloux, directeur général de l’ANSSI – point presse
En effet, je vois mal l’Elysée commenter cette cyberattaque. En ont-ils la compétence ? N’est-ce pas le boulot de l’ANSSI de sensibiliser et d’expliquer ? Lors des cyberattaques contre Bercy, la communication semblait beaucoup plus facile avec une interview exclusive donnée à Paris Match. J’avoue ne pas comprendre la position de l’ANSSI sur cette affaire. Mais peut être que les attaques ont été beaucoup plus sophistiquées que celles ayant visé Bercy (c’est le bruit qui court en tout cas). Ce que je leur ai reproché sur Twitter en diffusant l’article d’ITespresso.fr, c’est simplement de ne pas donner l’exemple.
Ca me donne l’occasion de parler de l’administration. Car l’ANSSI s’adresse beaucoup aux entreprises (surtout aux Assises) mais les administrations (ministères en premier lieu) ne sont-elles pas des cibles privilégiées ? Mais l’ANSSI peut-elle dire non aux ministères ? L’ANSSI peut-elle imposer ses règles de sécurité ? Les faire appliquer ? Les sanctionner ? Si on en croit le rapport Bockel, qui préconise de donner à l’agence nationale plus de pouvoirs, ce n’est pas encore le cas aujourd’hui.
A suivre…
En conclusion, il reste encore beaucoup de boulot. Je ne remets pas en cause le travail de l’ANSSI qui part de très loin et qui, avec sa montée en puissance actuelle, tente de se mettre au niveau de ses homologues européennes. En deux ans, les efforts effectués ont été énormes.
Je l’encourage à poursuivre son travail de communication à destination des entreprises, des administrations mais aussi des particuliers. Les guides sont, par exemple, de très bonnes initiatives à relancer en 2013. Mais je les invite également à ouvrir le dialogue avec le monde du privé. Ce n’est peut être qu’une impression (malheureusement j’en doute) mais il me semble qu’une grande fracture s’est créée entre la communauté sécurité qui travaille dans le privé et les personnels de l’ANSSI. Tenu par un devoir de réserve (je suppose) et par une obligation de confidentialité, j’ai constaté qu’il était difficile de partager avec eux. Le dialogue devient unidirectionnel. C’est dommage de se priver d’échanges et de retours d’expérience de la part des personnes qui sont censées être à la pointe sur ce sujet complexe. Je comprends que le sujet est maintenant, comme dirait les américains, une question de sécurité nationale mais ça n’empêche pas la confiance (et les mécanismes qui la permette). Dans le privé, vous pourriez me rétorquer que le silence est également de mise. Bizarrement on n’aime pas parler de cyberattaques, si ce n’est celles des autres (ou lues dans la presse). Sécurité et transparence (avec des règles bien évidemment) n’ont jamais fait bon ménage en France
Je ne rentrerai pas dans le débat du « pillage » des ressources humaines des cabinets de conseil en sécurité informatique car c’est le « jeu ». J’invite donc aussi les entreprises à proposer des challenges intéressants à leurs consultants (et à changer leurs méthodes de management et de recrutement dans certains cas) et à nouer des partenariats avec des écoles / universités qui proposent des formations dans le domaine (et s’y investir en donnant des cours et en les finançant). On pourrait également parler (tout le monde porte une responsabilité dans l’effort de cybersécurité) des offreurs de service (pensez à leur demander leur PSSI ou les mesures de sécurité qu’ils s’appliquent à eux-mêmes… ça peut être intéressant parfois), des consultants en cybersécurité et des vendeurs de solutions de sécurité mais gardons ce thème pour débattre sur Twitter ou dans un prochain billet.
Plutôt d’accord avec ces arguments, notamment celui qui évoque une adaptation des préconisations au niveau de « l’utilisateur lambda » (la sécurité c’est l’affaire de tous toussa… »). C’est le mois de la cybersécurité en Europe et la France n’y participe pas…
Moi je pense que de ne pas oublier les bons usages c’est quand même le B.A-BA à rappeler.
Notre société qui évolue vite est très attirée par le commercial, le ludique, le geek, le hype, l’image hi-tech, etc…
On a tendance à ne considérer aujourd’hui les nouvelles technologies que par leur aspect attractif…. mais on oublie qu’il s’agit aussi d’outils complexes à manier avec l’expertise nécessaire. Donc quand un chef d’entreprise VEUT un iPad parce que sa femme et ses potes du golf ont la même chose, il faut savoir aussi se poser la question de savoir ce à quoi va être employer cet outil et constitue-t-il la meilleure solution à la problématique de l’entreprise et quels problèmes il peut poser.
Donc forcément quand on donne aux client des conseils « simplistes » que l’on a pu lire en exemples dans le billet ci-dessus, on prive peut-être un consultant en cybersécurité et d’autres professionnels de la vente de solutions miracles…mais au final il y a aussi le bon sens et l’intérêt du client et pas seulement la volonté de créer des besoins….
Je ne comprends pas trop votre commentaire. Je ne vends ni de solutions de sécurité ni de conseils simplistes. Je donne simplement mon avis sur ce blog. Ce n’est pas un blog commercial. Je n’ai également jamais dit que rappeler le BA BA était inutile. Au contraire. Je ne fais que rappeler les bases de la sécurité sur ce blog.
Et pour l’histoire de l’iPad malheureusement ce n’est pas le consultant ou le RSSI qui va réussir à changer les habitudes consuméristes de l’être humain en général. Il faut s’adapter. Des solutions existent. Des règles simples (et non techniques) aussi.
Je ne crée pas de besoins. Sinon d’analyser les risques pour protéger les métiers de l’entreprise. Ce dont vous semblez parler à un moment. Il me semble surtout que vous avez lu rapidement et de travers ou que vous êtes mon troll du vendredi. Mais si vous voulez en discuter en privé, vous pouvez passer par le formulaire de contact du blog.
Je pense que Sampiero visait plutôt les propos de P.Pailloux en parlant de conseils simplistes, et l’auditoire des assises de la sécurité en parlant de professionnels de la vente de solutions miracles.
Ou alors je n’ai pas bien compris moi non plus.
Juste un commentaire sur les salaires de l’ANSSI, pour dire que – au moins du temps où j’y travaillais – ceux-ci étaient alignés sur les salaires du privé au moyen d’une prime. Donc dans la pratique ils sont tout à fait équivalents à ce que l’on peut trouver sur le marché.
@Devergranne : Petite remarque pour signaler que les primes n’entrent pas dans le calcul de la retraite et que donc cela fait tout de même une différence.
Hello 🙂
Déjà merci pour la référence vers mon article sur ce sujet (que je ne découvre qu’aujourd’hui).
Ensuite, je vais dans ton sens et je vais te raconter une petite anecdote sur laquelle je vais gloser sur son site : un chef d’entreprise qui m’invite pour causer business et me dit très calmement qu’il ne voit pas pourquoi il devrait faire pentester son site en pré-prod ou même en prod alors qu’il ne gère aucune donnée bancaire.
J’en suis restée baba.
La moyenne d’age dans ce genre de service est de .?
» pourquoi il devrait faire pentester son site en pré-prod ou même en prod alors qu’il ne gère aucune donnée bancaire. »
Il comprendra plus tard, mais ça, c’est plus ton problème ^^