Lors de son passage aux Assises de la sécurité, Patrick Pailloux, Directeur de la Direction central de la sécurité des systèmes d’information (DCSSI) a profité de l’auditoire composé de professionnels de la protection des systèmes et des réseaux pour faire passer quelques messages. Mais on est resté sur sa faim tant la session de questions-réponses a été courte.

La mission de cette branche « sécurité informatique » au sommet de l’Etat « n’a pas changé mais elle a fortement évolué », estime Patrick Pailloux. Outre la veille opérationnelle, l’organisme prend désormais en charge des « investissements dans des produits de sécurité ». Une convention a été signée avec l’OSEO (agence de soutien aux PME innovantes) qui accorde à la DCSSI « une petite capacité d’intervention auprès des sociétés de sécurité IT ».

La DCSSI développe une politique de labellisation des produits de sécurité, avec l’ambition de faire gonfler ce portefeuille de solutions approuvées. Du coup, une certification de premier niveau (une analyse de type boîte noire en quelque sorte) est en cours d’expérimentation.

Le directeur de la Direction centrale de la sécurité des systèmes d’information (DCSSI) tient à rester « l’interlocuteur privilégié » des responsables de sécurité et systèmes d’information (RSSI) des entreprises dans le secteur privé. « En cachant les affaires [d'intrusion ou de piratage], on n’avance pas », martèle-t-il.

« Il est bon mon firewall ? »

« Préoccupez-vous de la sécurité, ne croyez pas que cela n’arrive que chez les autres. » Des réflexes essentiels manquent encore aux entreprises, ne serait-ce qu’une politique de changement de mots de passe d’accès sur les postes ou l’établissement d’un budget de sécurité IT…

Patrick Pailloux invite les PME à se connecter sur le tout frais Securite-informatique.gouv.fr, un site gouvernemental dédié à la sensibilisation sur ce thème. Mais le manque d’information peut sembler parfois cruel. Il arrive souvent que la DCSSI reçoive des appels d’entreprises qui cherchent des informations sur les produits de sécurité (des requêtes du type « Le firewall de tel prestataire, il est bon ? »).

Patrick Pailloux assure que son équipe prend le temps de guider leurs interlocuteurs vers une sélection de produits de référence. Bien qu’elle n’ait pas vocation à se transformer en guichet d’information.

Du concret plutôt que des concepts

Du côté des éditeurs de solutions de sécurité, Patrick Pailloux souhaite que la communauté de la sécurité informatique « cesse de se morfondre », n’hésitant pas à reprendre en substance la célèbre phrase de JF Kennedy (« Il ne faut pas se demander ce que le pays peut faire pour vous mais ce que vous pouvez faire pour votre pays »).

Le représentant de DCSSI invite les acteurs de la sécurité informatique à intensifier leurs efforts d’évangélisation. « La communauté doit fournir un véritable effort pour que les décideurs comprennent les enjeux. », prône-t-il. « La sécurité, c’est du concret (… )Arrêtons d’évoquer la mécanique de la sécurité par des concepts théoriques. »