La seconde édition du Dîner du Savoir #RiskIT de l’Agora Fonctions, qui a réuni DSI et directeurs de la sécurité sur le thème de la confiance 3.0, a rencontré une nouvelle fois un franc succès.

Il faut dire que les organisateurs, associés aux responsables de l’Agora des DSI et de l’Agora des Directeurs de la sécurité, avaient bien fait les choses en réunissant les deux métiers pour un sujet qu’ils ont en commun, la sécurité des entreprises et en particulier des systèmes d’information.

La présence de Guillaume Poupard, Directeur général de l’ANSSI, l’Agence nationale de la sécurité des systèmes d'information, plutôt consensuel, et d’Alain Bauer, professeur de criminologie au CNAM, toujours aussi incisif, a également participé au succès de la manifestation, dont le but principal, rappelons-le, demeure d’échanger entre pairs.

Il est bon rappeler également que le sujet de la sécurité fait toujours recette, les derniers chiffres de la cybercriminalité en forte hausse ayant de quoi inquiéter les observateurs :

  • +51 % de cyberattaques
  • +29 % de dépenses dans la sécurité
  • +20 % de coûts des attaques

La cyberconfusion

Concernant la confiance, thème central de cette soirée, l’attitude des DSI et responsables sécurité que nous avons interviewés tend à montrer la confusion qui règne dans leur esprit. Comme l’a rappelé Alain Bauer, « 99 % des attaques sont liées à la complicité de leurs victimes ». Et de mettre en cause l’interconnexion des réseaux qui « fait baisser le niveau global de la sécurité », constate-t-il, avant de fustiger l’absence de serveur racine en France. « En France, nous regardons les faits, mais pas les causes ! Obtenir la souveraineté de notre internet et notre indépendance numérique est un enjeu majeur ».

Guillaume Poupard a évoqué quant à lui ce qu’il appelle « l’économie de la terreur », épinglant au passage la surenchère des éditeurs et les distributeurs de solutions de sécurité. « Quel est le coût des attaques ? Tous les chiffres sont faux ! On ne sait pas estimer le coût des attaques. Et certaines pertes sont inestimables ». Le Directeur de l’ANSSI invite à faire entrer « les gens qui sont en charge de l‘avenir de l’entreprise dans le cercle du secret. Le sujet de la sécurité devient un sujet du COMEX ». « Nous devons faire œuvre de pédagogie utile. Ceux qui comprennent le mieux sont ceux qui ont subi une attaque », souligne de son côté Alain Bauer

La doctrine de l’ANSSI

Sous l’autorité de l’État, l’ANSSI c’est engagée dans une mission délicate, co-construire avec les organisations les règles de sécurité. C’est une première qui va aboutir à une réglementation reconnue dont les premiers arrêtés sont à la signature. Et Guillaume Poupard d’indiquer « On sait comment se protéger. Peu importe qui nous attaque, nous n’avons pas besoin de le savoir ». Une manière d’introduire la doctrine proposée par l’ANSSI :

  • Protection

Prendre la question de la sécurité sur l’ensemble du cycle de vie des projets numériques.

  • Défense

Il n’y a pas de sécurité absolue, il faut s’adapter aux risques résiduels. « Il faut mettre en place une stratégie de détection et une stratégie de confiance, qui passent par la qualification des prestataires de sécurité ».

  • Sensibilisation

Comment convaincre ? En adaptant le discours au langage des utilisateurs. « Empêcher tout le monde n’a aucun sens, nous cherchons tous à contourner les règles se sécurité pour travailler… ».

Le facteur humain

Alain Bauer est également revenu sur ce qu’il appelle le ‘fétichisme’, la démarche d’automatisation des stratégies de sécurité via des machines. « Un outil ne remplace pas un cerveau. La machine est là pour aider l’humain à valider ses projets. (…) La réponse de l’après-Snowden est dans l’investissement humain ». Guillaume Poupard surenchérit : « Le sujet de la sécurité est le sujet de tout le monde. Et le risque doit se normaliser et s’assurer. La dynamique se met en place en Europe, qui cherche l’autonomie via la souveraineté. La confiance est complexe et se construit de manière subtile. À nous d’exploiter tout le panel, même avec des gens qui ne sont pas de confiance... »

IT Social, en partenaire de l’Agora, était présent lors de cette soirée. Nous vous inviterons prochainement à découvrir les interviews que nous avons réalisées sur place.