« L'ANSSI est insuffisante tant en termes de moyens que de prérogatives »
Le sénateur Jean-Marie Bockel s'est exprimé au P'tites Riams à Paris le jeudi 18 octobre 2012. Il y a plaidé pour un renforcement de la politique de cybersécurité.
« L'ANSSI [Agence Nationale pour la Sécurité des Systèmes d'Information] est insuffisante tant en termes de moyens que de prérogatives » a plaidé le sénateur Jean-Marie Bockel lors des Petites Rencontres de l'Identité, de l'Audit et du Management de la Sécurité (P'tites RIAMS), le jeudi 18 octobre 2012 à L'Elysées Biarritz, Paris. Organisées par le cabinet Atheos et animées par Nicolas Arpagian, rédacteur en chef du magazine Prospective Stratégique, ces rencontres ont été l'occasion d'une longue intervention de l'auteur du rapport parlementaire sur la cybersécurité sous forme d'un dialogue avec les RSSI et consultants présents dans la salle.
Plus de moyens, une nécessité
Admettant que la cyberdéfense est certes un enjeu mondial, le sénateur a appelé à en faire une priorité nationale. Accroître les prérogatives de l'ANSSI devrait ainsi permettre à cette administration d'intervenir plus aisément et complètement, notamment dans les entreprises privées constituant des intérêts vitaux pour la Nation. Cet accroissement de compétences passerait nécessairement par un accroissement de moyens, chose délicate à négocier dans cette période de rigueur budgétaire.
Jean-Marie Bockel s'est offusqué : « la cybersécurité, c'est 31 euros/habitant.an aux Etats-Unis, 3 au Royaume Uni et 1,2 en France ». Rebondissant sur la guerre faite par l'ANSSI contre le BYOD (Buy your own device), le sénateur a tranché : « c'est insuffisant ». Mais il s'est réjoui que, malgré les tensions budgétaires, la progression des moyens était en cours de négociation. Le sénateur estime cependant nécessaire la prise de parole du « patron », c'est à dire du Président de la République, sur le sujet de la cyberdéfense. Seule une telle prise de parole peut, selon lui, donner l'impulsion nécessaire au sujet. David Cameron (premier ministre britannique) et Barack Obama (président des Etats-Unis) auraient ainsi pris la parole sur le sujet.
S'entraider plutôt que mourir chacun seul
Mais, face à une pénurie de moyens qui ne frappe pas seulement le secteur public, le réalisme peut être dans la mutualisation et l'entraide, y compris entre sociétés concurrentes. « Les entreprises devraient s'entraider pour lutter contre la cybercriminalité, dans le cadre de leurs véritables intérêts bien compris » a jugé le sénateur.
Jean-Marie Bockel a dû revenir sur le sujet des routeurs chinois qui ne cesse de le poursuivre depuis la publication de son rapport. Un RSSI du secteur public a ainsi interpellé le parlementaire en requérant une modification du Code des Marchés Publics qui, seule selon lui, permettrait d'écarter des routeurs chinois (Huawei, ZTE) ou américains (Cisco) lors d'un appel d'offres.
Selon le sénateur, au contraire, (...)
Selon le sénateur, au contraire, il suffit d'exiger une labellisation de sécurité des outils proposés dans les réponses aux appels d'offres. « La qualité de nos relations avec nos amis chinois n'empêche pas de taper du poing sur la table lorsque c'est nécessaire » a martelé le sénateur.
Pour lui, l'Europe a besoin d'un « Airbus des réseaux » face aux leaders mondiaux actuels. Comme dans l'aviation où les acteurs européens étaient en voie d'élimination, un tel consortium européen pourrait être la voie de la survie et de l'expansion.
Quelle place pour le RSSI ?
A l'occasion des P'tites Riams 2012, une table ronde a abordé le délicat sujet de la place du RSSI dans la hiérarchie de l'entreprise. Cette table ronde réunissait Cathie-Rosalie Joly Avocat associé du cabinet Ulys, Denis Losfelt Directeur de l'Audit et des Risques du Groupe SNCF et Jean-Claude Tapia, Président de l'activité Audit & Conseil d'Atheos.
Encore aujourd'hui, le RSSI peut aussi bien être rattaché à la DSI (cas de la Société Générale) qu'à la direction des Audits et du Risque (cas de la SNCF). Cette place est donc toujours en question.
Mais cette gestion du risque informatique ne doit pas non plus être déconnectée de la direction juridique. En effet, le non-respect des règles et prescriptions légales (notamment celles concernant les données personnelles) est en lui-même un risque.