• Assises 2011 : Patrick Pailloux dénonce la sécurité cache-sexe

    Assises 2011 : Patrick Pailloux dénonce la sécurité cache-sexe

    Pour clôturer les Assises de la sécurité, le directeur de l’Anssi est venu présenter le nouveau logo de l’autorité nationale, mais surtout pousser un coup de gueule vis-à-vis des entreprises qui font de la sécurité en toc.

    laisser un avis
    envoyer
    par mail
    imprimer
    l'article
    Cette situation ne peut pas continuer ! Partout, on trouve des dispositifs de sécurité. Souvent, ils ont coûté cher. Des audits sont menés. On aurait donc toutes les raisons d’être satisfaits, mais on est pourtant très loin du compte. Nos systèmes d’information sont perméables et des acteurs malveillants en profitent. Trop d’entreprises font de la sécurité cache-sexe. »
    C’est dit. Patrick Pailloux, le directeur de l’Anssi, n’est pas content. Il faut dire que, depuis un an, les affaires d’intrusion informatique vont bon train et que la négligence des collaborateurs ou l'insuffisance des politiques de sécurité sont systématiquement la clé du problème.

    Les principes de base sont oubliés

    « On constate aujourd’hui un nombre important d’attaques en termes d’espionnage. Dans de nombreux cas, des règles basiques en termes de sécurité ont été oubliées », déplore Patrick Pailloux. De la protection périmétrique aux solutions très sophistiquées, le directeur de l’Anssi regrette que les annuaires et serveurs centraux aient été laissés à l’abandon alors qu’ils sont de vrais boulevards pour pirates. « On ne vérifie pas les logs des données qui peuvent être exfiltrées, ni les politiques de mots de passe administrateurs. Back to basics ! Veillons à ce que les règles soient respectées. »

    Appliquer des règles d'hygiène

    Pour illustrer son propos, Patrick Pailloux  prend l’exemple des règles d’hygiène bien connues du monde de la médecine. « Avant un geste médical, il y a beaucoup de choses à faire obligatoirement. En informatique, ces règles n’existent pas. Par exemple, on navigue sur internet en tant qu’administrateur, ou alors certains comptes de services ne sont plus rattachés à personne… ». 
    Des règles qui ne sont pas plus appliquées qu’enseignées, d’ailleurs. Tout ce qui peut être mis en place se retrouve court-circuité par des trous béants laissés ouverts. « On met des barrières, puis des gardiens aux barrières, mais on ne vérifie pas s’il reste une porte ouverte par où n'importe qui peut entrer. »
    Pour le directeur de l’Anssi, s’il y a une évolution massive des prises de conscience, cela ne se traduit pas pour autant par une mise en pratique à grande échelle. « La sécurité ne se fait pas en un claquement de doigt », conclut-il.

  • Commentaires

    Aucun commentaire pour le moment

    Suivre le flux RSS des commentaires


    Ajouter un commentaire

    Nom / Pseudo :

    E-mail (facultatif) :

    Site Web (facultatif) :

    Commentaire :