Assises de la sécurité : face au BYOD, il faut apprendre à dire non

le 03/10/2012, par Bertrand LEMAIRE, Sécurité, 756 mots

La douzième édition des Assises de la Sécurité se tient à Monaco au Palais Grimaldi du 3 au 5 octobre 2012. Le "Bring Your Own Device" occupe le devant de la scène avec l'intervention de Patrick Pailloux, directeur général de l'ANSSI. L'arrivée du Cloud Computing impose également de revoir ses fondamentaux.

Assises de la sécurité : face au BYOD, il faut apprendre à dire non

« Les enjeux que nous avons à relever tous ensemble sont extraordinaires » a déclaré Patrick Pailloux, directeur général de l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) en ouvrant la douzième édition des Assises de la Sécurité.

Celles-ci se tiennent à Monaco au Palais Grimaldi du 3 au 5 octobre 2012. Mais le directeur général s'est désolé que toutes les entreprises n'ont pas encore une « hygiène informatique », même si tous les patrons seraient plus ou moins conscients de l'importance de la cybersécurité.

Le thème fédérateur de cette édition est le BYOD (Bring Your Own Device). Cette notion est ici prise au sens le plus large, c'est à dire davantage dans le sens de la consumérisation de l'informatique, c'est à dire de l'usage professionnel d'outils grand public, que ce soit des outils personnels ou non.

Un guide pour l'hygiène informatique

Or ce BYOD est au coeur d'importantes failles dans la sécurité des entreprises. L'ANSSI s'en inquiète tant on est ici à l'opposé de la bonne « hygiène informatique ».

Face à la situation, l'ANSSI publie un « précis d'hygiène informatique » de 40 règles à appliquer en 13 étapes pour aider les entreprises à mettre en oeuvre l'hygiène informatique. Patrick Pailloux a affirmé : « plus personne n'a désormais d'excuse pour dire qu'il ne sait pas quoi faire. Ceux qui n'ont pas appliqué ces mesures n'auront désormais qu'à s'en prendre à eux-mêmes si il leur arrive des problèmes. Ce document est cependant une version 0. » L'ANSSI a appelé à la collaboration de la communauté pour améliorer ce document avant une version définitive d'ici un mois.

Les mauvaises excuses ne tiennent plus

Les excuses des cybernégligents se résument en général en deux catégories : c'est trop compliqué ou c'est trop contraignant pour être accepté par les utilisateurs. Pour la première catégorie, le précis est la réponse. Reste la seconde. « Quand vous voulez dépasser la vitesse sur autoroute, les gendarmes vous rappellent à l'ordre ; quand vous sortez de chez vous, vous fermez à clé la porte après avoir saisi le code de l'alarme et mis au coffre les choses de valeur » a constaté Patrick Pailloux.

Pourquoi être plus négligent dans la vie numérique que dans la vie réelle ? Il existe des règles. Il existe des exigences. Il existe des contraintes. Pour Patrick Pailloux, « ceux qui ne respectent pas les règles doivent être sanctionnés, même sur les tablettes. Je récuse le discours ambiant sur la convivialité et la productivité : une bonne sécurité n'empêche pas la mobilité, bien au contraire. ».

Il faut respecter les règles

(...)

Photo : Patrick Pailloux (à droite) et Gérard Rio, fondateur des Assises.



Il faut respecter les règles

Les fameuses tablettes, au coeur du BYOD, contiennent des données sensibles lorsqu'elles sont utilisées à des fins professionnelles. Or, pour le directeur général de l'ANSSI : « Non, on ne connecte pas un terminal personnel au système d'information ; non, je ne mets pas mes données dans un cloud public ; non, on n'accepte pas les fourches caudines de Google ou d'Apple. Il est autorisé d'interdire. »

Cependant, plutôt qu'un « non », il convient de prononcer un « non mais » qui favorise les industriels proposant des outils sécurisés. Car « toute bataille contre une technologie, telle que la tablette, est perdue d'avance » reconnaît Patrick Pailloux.

Sécuriser même au prix de la convivialité

Sur une question de la salle au sujet du Rapport Bockel déconseillant l'usage des outils chinois, Patrick Pailloux a rappelé la nécessité de maîtriser les outils que l'on utilise même s'il s'est refusé à commenter le rapport sénatorial en lui-même. Les smartphones et les tablettes peuvent être sécurisées, certes au prix de contraintes mais pas si lourdes que certains le craignent.

Pour les cas les plus sensibles, l'ANSSI a ainsi fait développer par Thalès un smartphone, Théorème, 100 % français. Il a soupiré : « un tel téléphone est évidemment moins convivial qu'un smartphone sous Androïd ou iOS. Mais il vous appartient de définir votre niveau de sécurité, pas d'accepter une sécurité définie par un tiers. ». De la même façon, pour Patrick Pailloux, le Cloud n'est qu'une forme d'externalisation et il faut discuter la sécurité avec le prestataire.

Mais il admet : « le principal défi des années à venir sera pour nous les systèmes industriels ». L'ANSSI est ainsi passé en quelques années d'un organisme orienté vers les administrations à une agence qui se consacre essentiellement au secteur privé.

Photo : Patrick Pailloux (à droite) et Gérard Rio, fondateur des Assises.

L'ANSSI fait la revue de détail

En marge de la manifestation des Assises de la Sécurité, Patrick Pailloux a rencontré la presse. Il a admis que l'ANSSI travaillait sur un livre blanc consacré à la cyberdéfense qui devrait être publié début 2013. Ce livre blanc posera la stratégie de la France en la matière, validée par les autorités politiques avec l'engagement des moyens adéquats. Ce livre blanc fera partie du prochain livre blanc sur la défense au sens large.

Ce travail prend place dans la revue régulière des menaces que l'ANSSI réalise pour le compte du gouvernement. Mais il ne s'agit pas, cependant, de se contenter de « regarder le passé ». L'ANSSI cherche donc les scénarios de l'avenir, de menaces qui ne se sont pas encore concrétisées voire qui seraient techniquement impossibles aujourd'hui.

Le NFC est aussi actuellement une préoccupation pour l'ANSSI. Patrick Pailloux a soupiré : « Le NFC n'est pas très mature ».

« Une revue de détail régulière est nécessaire car il est impossible de prévoir à dix ou douze ans » a souligné Patrick Pailloux.

Cisco alerte sur des failles dans IOS XE

Cisco a émis une alerte concernant une vulnérabilité critique au niveau de l'interface utilisateur web de son système d'exploitation d'interconnexion réseau IOS XE. Aucun patch n'est pour l'instant disponible...

le 17/10/2023, par Dominique Filippone, 506 mots

Emergency Responder et d'autres produits de Cisco vulnérables

Les dernières vulnérabilités corrigées par Cisco pourraient donner aux attaquants un accès root, permettre un déni de service ou une escalade des privilèges. En fin de semaine dernière, Cisco a corrigé des...

le 10/10/2023, par Lucian Constantin, IDG NS (adaptation Jean Elyan), 593 mots

IBM lance un service de connectivité multicloud basé sur le DNS

Le service NS1 Connect proposé par IBM peut prendre des décisions dynamiques sur l'endroit où envoyer des requêtes Internet pour assurer les meilleures connexions dans des environnements réseau complexes et...

le 27/09/2023, par Michael Cooney, IDG NS (adapté par Jean Elyan), 989 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Céline Polo

DRH du groupe iliad

"Nous recrutons dans des métiers en tension, en particulier sur l'infrastructure réseau, pour lesquels il y a...