Stratégie

L'ANSSI promeut la publicité volontaire des incidents de sécurité

En ouverture des Assises de la Sécurité à Monaco, Patrick Pailloux, directeur de l'ANSSI exhorte les entreprises privées à remonter leurs incidents de sécurité. "Nous en avons besoin", a-t-il martelé.

PublicitéMercredi 7 octobre a vu l'ouverture des Assises de la Sécurité à Monaco, un événement dans le monde de la sécurité des systèmes d'information. On y rencontre les acteurs de la sécurité aussi bien du côté des entreprises et du secteur public (Caisse des dépôts, Carrefour, CNES, La Poste, BNP Paribas, Véolia, Groupe Lagardère, Education nationale, conseils généraux, PMU, Allianz, etc) que plus de 80 fournisseurs de solutions de sécurité, éditeurs et prestataires. La conférence inaugurale a été l'occasion pour Patrick Pailloux, directeur de la toute récente Agence Nationale de la sécurité des systèmes d'information d'inciter - dans un style toujours dynamique et direct - les entreprises privées à se tourner vers l'Agence pour y trouver de l'aide et communiquer sur leurs incidents de sécurité, en toute confidentialité. « L'année dernière, j'incitais les responsables sécurité des systèmes d'information à ne pas se lamenter, cette année j'invite les entreprises du secteur privé à se tourner vers l'ANSSI. La cybercriminalité, la défense des enfants sur le web sont des sujets majeurs pour notre société. Je suis heureux que l'on ait pu créer une agence de la sécurité des systèmes d'information en quelques mois. Cette démarche se retrouve chez nos voisins comme l'Allemagne ou la Grande Bretagne. Singapour vient de créer une agence de cyberdéfense, il y a quelques semaines. Il va y avoir un cyber Tzar à la Maison Blanche aux Etats Unis". Afin de répondre aux besoins des entreprises, l'ANSSI va doubler ses effectifs et passer de 120 personnes en 2008 à 250. "Nous voulons travailler avec les grandes entreprises du privé, et les opérateurs d'infrastructures critiques. Il faut protéger notre patrimoine informationnel. Ma mission est de répondre à vos besoins, notamment au travers de la labellisation de solutions, de produits, de services, d'un guide du voyageur, et de la mise à disposition d'un référentiel général de sécurité. Nous réorienterons également vos demandes vers les bons interlocuteurs comme la justice, la police ou la gendarmerie ou nous vous donnerons des conseils en cas d'incidents, tels que ne pas éteindre le PC mais le déconnecter du réseau. » a-t-il ajouté. Patrick Pailloux a également souligné ... ... le fait qu'il y a urgence à se préparer à une cyberguerre. « La création d'un centre de cyberdéfense en France fait partie de nos missions, pour détecter les attaques, protéger les infrastructures critiques, plus communiquer, labelliser des solutions. » Il a enfin insisté sur la nécessité pour ces grandes entreprises du privé de communiquer sur leurs incidents de sécurité - dans un cercle restreint d'experts et en toute confidentialité toutefois : « Vos incidents, vos problèmes, il faut en parler, les faire remonter. On en a besoin. Camoufler les problèmes que vous rencontrez n'est pas une bonne politique.On en est encore à l'âge de Tchernobyl en la matière, le nuage s'arrête à la frontière française. » Il a conclu en insistant sur le fait que la défense de notre pays passe par la protection informatique et qu'il « faut se retrousser les manches ». Mais agir au seul niveau du cadre français ne sera pas suffisant quant il s'agit d'intelligence économique et de cyberdéfense. Le général Marc Watin-Augouard de la Gendarmerie Nationale, et parrain du Forum international sur la Cybercriminalité de 2009 qui s'est tenu à Lille, est intervenu pour marquer le fait qu'il faut « s'inscrire dans le cadre européen pour montrer les enjeux aux entreprises. » De même, il rappelle que l'intelligence économique ne se conçoit que dans le cadre d'une action partenariale. « Il ne faut pas l'oublier en période de crise ! » Il a noté que l'insécurité informatique n'est pas sanctionné dans les urnes comme peut l'être le sentiment d'insécurité au quotidien des français. « Et on peut être tenté de mettre la pédale douce sur le sujet. Or, s'il est trop tard pour réagir face à la crise actuelle, il n'est pas trop tôt pour se préparer à la prochaine crise économique.» Maître Yves-Marie Moray, président d'EuroLaw, association européenne des avocats lobbyistes, quant à lui, a également rappelé la nécessité d'être présent dans le mécanisme de décision à l'échelle européenne. « Il faut faire émerger une culture europénne dans l'entreprise. Peu de français le font. On ne travaille pas en réseau, on ne pratique pas le partage d'information. Or, il ne faut pas agir au coup par coup. De plus, le temps joue contre nous. Pendant que le temps s'écoule, le décideur de la communauté européenne avance. Les pays latins y sont souvent moins sensibles mais l'Allemagne et la Grande Bretagne sont des champions du lobbying. Les italiens sont aussi plus proches du décideur communautaire, et ces pays se voient affectés plus d'appels d'offres. » Maître Yves-Marie Moray a terminé son intervention sur un avertissement « Les choses changent. Mais il faut évaluer la capacité d'influence de l'entreprise sur le mécanisme communautaire. Or, celui qui fait la norme détient le marché. Et si vous ne défendez pas vos normes, on va vous en imposer. » Maître Eric Caprioli, avocat spécialisé dans les technologies de l'information, pour sa part, a fustigé les magistrats français et leur timidité à sévir en matière d'introduction frauduleuse dans les systèmes d'information : « Nos magistrats ont des textes qu'ils appliquent avec très peu de sévérité. Ils ne font pas leur boulot, au point que cela ne donne pas envie de ne pas y aller. » Patrick Langrand, RSSI du groupe La Poste et président de l'Association des Auditeurs en Intelligence économique a clôturé la session en rappelant que cela fait sept ans que l'association affirme qu'il y a un lien entre la sécurité des systèmes d'information et l'intelligence économique, et il se félicite que ce lien se concrétise de plus en plus.