Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Patrick Pailloux, ANSSI : quelle cyberdéfense face à l’échec de la sécurité ?

octobre 2011 par Emmanuelle Lamandé

Dans son discours de clôture de la 11ème édition des Assises de la Sécurité, Patrick Pailloux, Directeur Général de l’Agence nationale de la sécurité des systèmes d’information, a expliqué pourquoi la sécurité est aujourd’hui un échec. Il a appelé les acteurs du monde de l’informatique à reprendre le contrôle de leurs systèmes d’information, en appliquant dans un premier temps les règles élémentaires d’hygiène informatique.

« Nos systèmes d’information sont en danger » constate Patrick Pailloux. La grande majorité des entreprises disposent aujourd’hui d’une politique de sécurité, font de l’analyse de risques, déploient des outils… mais, malgré tous ces efforts, force est de constater que la sécurité a échoué. Les SI sont toujours aussi perméables et les attaques toujours plus nombreuses. Patrick Pailloux a, en effet, souligné qu’un nombre très important d’attaques à des fins d’espionnage sont détectées par l’administration et les entreprises. Ce constat a d’ailleurs conduit le Gouvernement à prendre certaines mesures fin mai, ayant notamment pour vocation de donner à l’ANSSI la capacité d’assister les administrations et les opérateurs d’importance vitale tant pour sécuriser leurs systèmes d’information que pour intervenir en cas d’attaque informatique.

Pour lui, ce constat d’échec est lié au fait que les entreprises font souvent de la sécurité cache-sexe, de la sécurité technique et de la sécurité périmétrique. Elles déploient des solutions et après ne s’en occupent plus. Enfin, les règles d’hygiène de sécurité élémentaires ne sont que trop rarement déployées.

Appliquez les règles élémentaires d’hygiène informatique

Le Directeur général de l’ANSSI a appelé les acteurs du monde de l’informatique à reprendre le contrôle de leurs systèmes d’information, et a interpellé les professionnels des systèmes d’information sur la nécessaire application de règles élémentaires d’hygiène informatique. Il a ainsi souligné la nécessité de revenir à des principes élémentaires souvent oubliés, tels que la limitation des droits d’accès, l’analyse des mouvements suspects sur les systèmes d’information, la sanctuarisation des éléments les plus critiques comme les dispositifs de gestions des droits d’accès, l’application régulière des correctifs de sécurité... L’une des premières choses à faire pour une entreprise est de réduire au maximum le nombre de personnes ayant accès à l’Active Directory central de son système.

La cyberdéfense nécessite une mobilisation générale

Patrick Pailloux a plus largement appelé les industriels du secteur à se mobiliser autour de cet objectif commun. « Les industriels du secteur doivent être capables de vous accompagner dans la mise en œuvre de solutions de sécurité. Ils doivent aussi appliquer eux-mêmes ces règles ».

Les DSI doivent se mobiliser pour remonter vers leur direction générale tous les incidents de sécurité dont l’entreprise est victime. Les DG doivent, quant à elles, mandater leurs DSI pour renforcer la sécurité des SI et leur en donner les moyens.

Les écoles d’ingénieurs, les universités et les différents organismes qui forment les futurs développeurs et responsables de systèmes d’information, doivent inclure les règles de sécurité élémentaires dans leurs cursus.

Enfin, les RSSI doivent penser si ce qu’ils mettent en place va réellement et concrètement améliorer la sécurité.

« Il faut reprendre le pouvoir sur nos propres systèmes, et ce n’est pas chose impossible. On peut faire changer les choses, il suffit de le vouloir » a-t-il conclu.




Voir les articles précédents

    

Voir les articles suivants