lundi 23 juillet 2012

Puisqu’il faut bien en parler ...

Malgré les vacances, le microcosme de la sécurité informatique ne bruisse que de la récente publication du « Rapport Bockel » sobrement intitulé « La cyberdéfense : un enjeu mondial, une priorité nationale » (le titre « La sécurité informatique : un échec global » ayant probablement été jugé moins sexy ou non libre de droits).

Je ne vais pas parler de ce rapport, pour la bonne raison qu’il fait 158 pages et que je ne l’ai pas lu. Fort heureusement, une synthèse officielle de 4 pages est disponible en ligne, ainsi que de nombreuses analyses tierces - dont celles de Sysdream, SecurityVibes, HackersRepublic, Reflets.info, Le Mag IT, 01Net, et tous les médias traditionnels … « Analyse » étant un bien grand mot, la plupart se contentant de traduire la synthèse officielle dans une forme plus journalistique.

Rassurez-vous, j’écris trop peu souvent pour perdre mon temps à vous servir la soupe officielle. Car pour moi, ce rapport est une nième déclaration d’intention qui fera certainement bouger les lignes politiques, mais n’aura aucun effet sur le niveau d’insécurité actuel – même si toutes ses recommandations étaient mises en œuvre promptement.

De la représentativité du panel choisi

Sur la forme, on peut constater en Annexe que l’essentiel des personnes auditionnées sont des fonctionnaires français ou des militaires américains (et assimilés, comme les militaires anglais, et les penseurs de l’OTAN). On peut déjà s’attendre à une vision très américaine du monde, du type : « La cyberguerre est une chose trop sérieuse pour être confiée à des poilus (du menton ou du caillou) ». Certes ça va parler failles de sécurité, botnets, Anonymous, et autres fléaux de l’Internet moderne – mais après tout qui de mieux placé qu’un militaire pour cela ?

Quelques entreprises françaises ont néanmoins été auditionnées : AREVA, Cassidian, CEIS, SOGETI (par la voix de son PDG), SysDream et Thalès. Un panel pour le moins … éclectique. Sans compter les prestataires mentionnés dans le corps du document :

« On trouve également en France un tissu de PME-PMI innovantes, à l’image de Netasq et d’Arkoon en matière de logiciels et produits de sécurité ou de Sysdream, d’Atheos et de DevoTeam en matière de services. »

Comme me le glissait à l’oreille un concurrent qui préfère rester anonyme (ce sont toujours les mieux informés), on peut se demander en quoi ces entreprises sont plus innovantes que les dizaines d’autres prestataires existants sur le marché français. A part dans le choix de la Côte d’Azur pour organiser des séminaires clients, peut-être ?

Donc, après avoir interviewé l’ANSSI, le Ministère de la Défense, et des prestataires au service des précédents, la conclusion du rapport est que pour augmenter le niveau de sécurité … il faut augmenter les ressources de l’ANSSI et celles de la « Lutte Informatique Offensive ». Brillant ! Dommage que personne n’ait pensé à interviewer n’importe quel PDG d’une entreprise du CAC40 ou d’un OIV (dont il est tant question dans ce rapport), qui achètent des iPad à la cantonade et « cloudifient » leur informatique à coup de Google Apps. Autant dire qu’ils n’auraient pas tout à fait la même vision de l’avenir de l’informatique, et encore moins de sa sécurité.

Car aujourd’hui en entreprise, le DSI comme le RSSI sont priés d’arrêter de jouer les Cassandres, mais plutôt d’introduire plus « d’innovation » (comprendre : de gadgets technologiques et de services « grand public ») au sein d’une entreprise qui ne fonctionne plus qu’avec des sous-traitants interconnectés depuis les quatre coins du monde. Cela aura son importance dans la suite de cet article.

Des 10 priorités

Entrons dans le vif du sujet : les 10 priorités que tout le monde retiendra. Je vous fais la version courte :

1. Augmenter le budget de l’armée et de la LIO.

Je ne vais pas troller m’étendre longtemps sur le sujet de la « cyberguerre » : pour moi ce concept n’a tout simplement aucun sens. Certes une organisation déterminée à « mettre la grouille » dans les réseaux civils français n’aurait probablement aucun mal à désorganiser quelque peu l’activité du pays – par exemple en éteignant la téléphonie mobile :) Mais une telle action n’aurait aucun sens en dehors d’une « vraie » guerre d’invasion ou de destruction – et là, pouvoir accéder à Facebook sera probablement le dernier de nos soucis. Par ailleurs une action purement informatique serait probablement moins efficace qu’un embargo sur des produits clés, ou des attentats ciblés, pour paralyser le pays (mais là, j’avoue mon incompétence dans le domaine de la destruction de pays – même si je suis fan de Risk).

Par ailleurs les militaires vivent en vase clos et n’ont aucune incidence sur le niveau de sécurité informatique du pays dans son ensemble, qui repose essentiellement sur les technologies civiles utilisées par les entreprises (matériels, logiciels, réseaux de communication, etc.). Certes ils pourront monter sur les remparts avec leurs fusils le jour où l’ennemi débarquera, mais ils pourront difficilement empêcher les plans de toutes leurs casernes d’être volés dans les réseaux informatiques des entreprises de BTP (note : j’ai choisi un exemple – normalement – fictif afin de ne froisser personne).

Etre capable d’aller attaquer « les autres » (LIO) procure probablement une satisfaction intellectuelle, mais ne les dissuadera pas de nous attaquer eux aussi.

2. Augmenter (encore) les capacités de l’ANSSI, de la DGA, et autres « services ».

Bon travail de lobbying de leur part. Mais il ne faut pas oublier « qu’en face », ils sont environ vingt fois plus nombreux. Et qu’avec le mode de fonctionnement actuel – dit « mode pompier » – on ne peut pas la gagner, cette « cyberguerre » (qui n’est actuellement qu’une vaste opération d’espionnage et de pillage technologique par les puissances adverses).

S’il l’on se reporte au corps du document pour en savoir plus, on y trouve cette perle :

« (…) il paraît nécessaire d'introduire, dans le code de la défense, des modifications législatives visant à donner les moyens à l'ANSSI, aux armées et aux services spécialisés d'exercer leurs missions. Cela concerne notamment les domaines suivants :

- l'autorisation de la rétroconception, c'est-à-dire la possibilité de « démonter », pour des motifs de sécurité, un logiciel ou un système ayant servi à une attaque informatique ;

- la possibilité de procéder à l'analyse de comportement des codes malveillants, de façon à suivre leur évolution, détecter leurs cibles d'attaque et anticiper leur mutation ; (…) »

Le CERTA va enfin pouvoir analyser des virus et des chevaux de Troie sans les transmettre à des éditeurs étrangers ! ;)

Blague à part, ce paragraphe est tout à fait symptomatique de l’échec de la pensée militaire appliquée à la SSI. Tout commence par une idée simple telle que : « interdisons la possession de chars Leclerc au grand public ; formons des pilotes de chars en interne ; nous aurons un avantage tactique certain en cas de guerre civile ».

Ce qui se traduit ensuite par : « interdisons la connaissance de l’assembleur x86 ; formons quelques conscrits à OllyDbg ; nous aurons un avantage certain sur Anonymous ».

Sauf que dans le cas n°1, l’effet dissuasif de la loi est assez faible, mais il reste effectivement assez difficile de se procurer, d’entretenir et de manier un char Leclerc. Alors que dans le cas n°2, la connaissance est libre et abondante – une loi de restriction des connaissances ne peut fonctionner que si les « ennemis » décident de la respecter …

Accessoirement, on peut se demander quel instructeur va former au reverse engineering. Car il y a bien un problème de poule et d’œuf : à force d’avoir voté des lois essentiellement destinées à protéger l’industrie du divertissement (cinéma, musique et jeux vidéo en tête), la « scène » française qui était pourtant si performante s’étiole, et les compétences en reverse engineering s’amenuisent … heureusement qu’il reste l’irréductible village de l’ANSSI pour les héberger :)

Sans parler du mythe : « le reverse engineering est une compétence comme une autre ». Encore une déformation militaire : ça n’est pas parce que tout le monde peut tenir un fusil après quelques heures d’entrainement (avec toutefois une habileté variable selon les gens) que tout le monde peut lutter contre les codes « ennemis », même après quelques années d’instruction … L’informatique est une compétence, la sécurité un talent.

La seule bonne nouvelle dans cette priorité, c’est la volonté de développer une véritable politique de gestion des ressources humaines au sein de l’ANSSI. Les contractuels de trois ans qui constituent le gros des « troupes » aujourd’hui apprécieront. Reste à voir ce qu’en pensent les syndicats et les fonctionnaires en place. D’ailleurs si quelqu’un a des nouvelles de la « Fondation » dont parlait Patrick Pailloux l’année dernière, qu’il se manifeste dans les commentaires …

3. Donner l’ANSSI un pouvoir de régulation et de sanction.

Voyons, l’ANSSI n’a toujours pas réussi à mettre au point un programme de labellisation des prestataires de sécurité (car sauf erreur de ma part, l’initiative actuelle est au point mort). Est-ce le pouvoir réglementaire qui lui manquait ? Ou est-ce que l’initiative est tombée dans le fossé qui existe entre les délires sécuritaires du RGS et la réalité du terrain ?

La CNIL, qui dispose elle d’un pouvoir de sanction depuis bien longtemps, ne semble pas avoir réussi à inquiéter les RSSI – et encore moins les entités extranationales (tels que Google, Facebook, LinkedIn et consorts) – du moins pas au point de les inciter à mettre en place une véritable politique de protection des données personnelles conforme à la loi.

Quant au défaut de sécurité informatique, il est déjà couvert par de nombreux textes – on attend toujours les premières jurisprudences sérieuses.

4. Faire de la sécurité informatique dans les ministères (grâce à la sensibilisation et aux IDS).

C’est une bonne idée. Bon courage. Notons quand même qu’on n’a pas vu de faille exploitable à distance sur Windows 98 depuis longtemps, preuve que le niveau de sécurité s’améliore.

5. Rendre obligatoire la déclaration des « incidents de sécurité » à l’ANSSI (et « encourager les mesures de protection par des mesures incitatives »).

Problème déjà traité par ailleurs dans le cadre des discussions européennes sur le sujet : il est impossible de définir ce qu’est un « incident de sécurité », et la mesure n’aura probablement aucun effet tangible sur les politiques de sécurité des entreprises.

Ca n’est pas en obligeant les entreprises à déclarer les incidents de sécurité qu’elles vont se réveiller un matin et réaliser que leurs politiques et leurs architectures de sécurité doivent être entièrement reconsidérées. Ou pour le dire autrement : ça n’est pas en jetant quelqu’un à la mer qu’on lui apprend à nager.

Quant à l’incitation aux mesures de protection, de quoi s’agit-il exactement ? D’une réduction d’impôts pour ceux qui appliquent les correctifs de sécurité ? Mais aucune entreprise du CAC40 ne paie d’impôts en France …

6. Faire de la sécurité informatique chez les OIV (grâce aux IDS).

Très bien. Quel OIV s’y colle en premier ? Est-ce qu’Orange est prêt à voir débarquer un « bataillon » de l’Agence qui va lui expliquer comment faire du BGP et du LTE correctement ? Ou placer des sondes aux quatre coins de son réseau pour inspecter tout le trafic des clients ? (Aux dernières nouvelles, non).

Et accessoirement : qui va payer la détection et le traitement des « incidents » ?

7. Financer les entreprises de sécurité françaises.

De loin ma mesure préférée. A peu près tous les financements publics alloués à des entreprises dites « innovantes » se sont avérés être du détournement de fonds. Dans tous les cas, aucune entreprise « soutenue » n’a vécu plus de 5 ans (vous pouvez livrer des contre-exemples dans les commentaires s’il vous en vient à l’esprit). Voir à ce sujet l’avis du PDG de Gandi sur le projet « Andromède », parmi les exemples récents.

Un produit de sécurité ne peut vivre que s’il est internationalement reconnu comme techniquement bon, pas parce qu’il a des marchés « réservés » au niveau de l’Etat et des entreprises sous tutelle. D’autant qu’il est parfois difficile pour ces acteurs d’acheter les produits issus de PME qu’ils ont soutenues, pour des raisons obscures de marchés publics ou de politiques d’achat …

Notez que je suis tout à fait pour « renforcer la coopération entre l'Etat et le secteur privé », cité dans la même phrase. Il paraît même que l’ANSSI publie des outils Open Source désormais.

8. Former des ingénieurs, faire de la recherche et du conseil, sensibiliser le public.

Rien à ajouter à ce pot-pourri. Il reste à trouver des jeunes qui veuillent devenir ingénieurs en SSI. Pas sûr qu’avec la considération qu’on ait pour eux en entreprise (sans parler de carrière), les candidats se bousculent. Car selon des chiffres présentés récemment par l’ARJEL, la quasi-totalité des auditeurs/consultants/experts en SSI sur le marché ont entre 0 et 3 ans d’expérience. Et aucun n’a plus de 10 ans.

9. Négocier avec les USA, la Russie et la Chine pour qu’ils arrêtent de nous attaquer.

Ca mérite d’être tenté. Toujours essayer la diplomatie en premier :)

10. Interdire l’achat de routeurs chinois (Huawei et ZTE).

Le meilleur pour la fin. Bien que le rapport cite nommément la Chine, il reste suffisamment évasif dans sa formulation pour laisser planer le doute sur Cisco (américain) et Checkpoint (israélien). Et voilà encore un beau « marché réservé » qui se profile pour Alcatel-Lucent, malgré ses déboires récents.

Mais dans un pays encore à la pointe en matière de chiffrement, la sécurité du cœur de réseau est-elle vraiment un problème ? ;)

Et faut-il interdire l’achat de marques chinoises, ou de marques intégrant des éléments fabriqués en Chine (et donc potentiellement compromis) ? Dans le deuxième cas, on frise la science-fiction.

Le vrai problème avec Huawei, ça n’est pas une hypothétique backdoor matérielle, mais plutôt les contrats d’infogérance qu’ils proposent. Et faire administrer ses routeurs par un prestataire situé au bout du monde pour réduire les coûts, ça peut arriver avec n’importe quel constructeur.

Conclusion (constructive)

Le rapport Bockel : du pur jacobinisme à la française, que d’autres ont résumé par ce titre : « L’ANSSI va sauver le monde » (alors qu’elle n’existe que depuis le 7 juillet 2009).

Mais puisque les vacances m’ont détendues, et qu’avec l’âge on devient constructif, voici mes recommandations pour que ça change. Gratuites et prises sur mon temps libre, les auditions ayant été réalisées autour d’une bière (bien française comme il se doit).

  1. Supprimer le statut de fonctionnaire. Cela aurait le double effet positif de valoriser les carrières au sein de l’ANSSI, et d’augmenter les passerelles entre le privé et le public par le biais de parcours croisés (comme cela se voit aux USA). Ainsi les gens qui auditeraient ou qui formuleraient des recommandations auraient eux-mêmes une expérience de la production.
  2. Supprimer toute loi réprimant une connaissance. Ainsi les compétences en reverse engineering pourraient librement s’épanouir dès le plus jeune âge – seule l’utilisation malhonnête de ces compétences serait pénalisée.
  3. Remettre l’Etat au service de la Nation (et donc des entreprises). Au lieu de construire une machine administrative qui n’est là que pour distribuer l’argent public ou les mauvais points, on pourrait envisager que la connaissance et les outils des « services » (ANSSI en tête) servent à « sécuriser » les affaires des entreprises françaises à l’étranger, comme c’est le cas aux USA. Ca n’est pas comme si l’ANSSI aurait pu vous dire depuis 10 ans qu’il fallait supprimer « WDIGEST.DLL » des Logon Providers par défaut.
  4. Verser à la Documentation Française les rapports d’inspection de l’ANSSI et les rapports d’incident du CERTA (en version éventuellement anonymisée). Il n’existe pas de raison valable pour que l’obligation de notification soit asymétrique, d’autant que l’analyse des techniques et outils employés par les attaquants pourrait permettre d’immuniser l’écosystème informatique (principe de la vaccination).
  5. Faire appliquer les lois existantes (ou les abroger), au lieu de créer des constructions juridiques toujours plus complexes. Si la première loi n’a effrayé personne car elle n’a jamais été appliquée, les dix suivantes n’auront aucun effet. Par exemple, Anonymous se gausse de la récente loi qui pénalise encore plus fortement l’atteinte aux systèmes de l’Etat.
  6. Arrêter de financer directement l’industrie de la sécurité (ou alors contrôler beaucoup plus efficacement, et dans la durée, l’utilisation des fonds). Toute politique industrielle qui se résume à verser un gros chèque après le montage d’un dossier kafkaïen ne peut se terminer que dans la corruption et le détournement. Un produit de sécurité ne peut marcher que s’il est reconnu internationalement comme techniquement bon.
  7. Développer un véritable statut légal de l’expert en sécurité, sur le modèle des médecins ou de toute autre profession réglementée. Ce qui conduirait de facto à la création de cursus longs (plus adaptés à la masse de connaissances qu’il est nécessaire d’acquérir pour devenir réellement « expert ») et à un plus grand poids dans les entreprises (à l’image d’un commissaire aux comptes). La sécurité informatique est aux technologies grand public ce qu’est la chirurgie cardiaque aux cours de premiers soins délivrés par la Croix Rouge.
  8. Obliger les entreprises françaises à innover. Bon là j’avoue, je n’ai pas de solution miracle. Les entreprises gagnent plus aujourd’hui en spéculant avec leur trésorerie qu’en fabriquant des produits. Les têtes pensantes durent rarement plus de cinq ans, et ne sont jamais mises en face de leurs échecs. Dans ces conditions, difficile d’imaginer qu’ils puissent insuffler le goût de l’innovation et la passion créatrice …
  9. Développer un antivirus français en plus des IDS existants. Ah non, ça c’est seulement pour 2014 :)

Remerciements : tous ceux qui ont participé à la rédaction de ce billet en me faisant part de leurs avis circonstanciés. Ils se reconnaitront ;)

27 commentaires:

Tris a dit…

Hello,
tout d'abord merci pour le rétro-lien et très bon article, juste ce qu'il faut de trollogène (pour l'humour) mais de sérieux avec des vraies idées dedans. J'aime beaucoup. :)

Anonyme a dit…

Bonjour,

vous avez probablement raison sur toute la ligne. Mais pour vos recommandations, j'avoue ne pas les partager du tout. L'expert sécurité, c'est bien, mais ça laisse à penser que c'est l'affaire de quelques-uns de sécuriser pour tous les autres.

Pour moi il serait plus important d'enseigner la sécurité à tous les informaticiens, et non plus aux seuls spécialistes sécurités, et ce non seulement dans une discipline indépendante, mais également DANS CHAQUE DISCIPLINE. La sécurité, elle commence dans chaque action, chaque installation, chaque configuration et chaque ligne de code de chaque informaticien.

Lorsque tous les informaticiens français auront des pratiques sûres au quotidien, alors l'internet français sera un peu plus en sécurité. Aujourd'hui on en est loin. La sécurité, tout le monde s'en fout, dès la formation initiale.

Actuellement, la réelle sécurité n'est pratiquée que dans certaines boites privées très exposés (non, pas les banques !) et composées de geeks... Et encore, pas toutes !

Greg a dit…

Ouch, j'adore

Tris a dit…

@Anonyme de 12:31 : c'est quoi l'Internet Français ?
Et si on veut pousser la chose jusqu'au bout, la sécurité informatique est l'affaire de tous les internautes, pas des seuls personnes qui ont pu faire des études d'informatique.

newsoft a dit…

@Anonyme: il ne faut pas tout mélanger. Tout le monde doit conduire prudemment, mais seule une minorité de gens savent concevoir un airbag. Tout le monde a un ordinateur, mais tout le monde n'est pas informaticien. Etc.

jpl a dit…

Bonjour,

@Anonyme :

Vous manquez un point important, arrêtons de dire que tout le monde est informaticien.

Par exemple, une personne Lambda est-elle qualifiée d'informaticienne parce qu'elle utilise un simple PC pour "surfer" et/ou gérer ses comptes en banque ?

Comme @tris et @newsoft le précisent, c'est l'affaire de toutes les personnes qui utilisent un équipement de communication (pc, tablette, etc.) dont nous devrions parler.

C'est un peu la même chose lorsque quelqu'un me dit : je suis un spécialiste en sécurité informatique.

Wow !!

Un qui maîtrise toutes les arcanes du domaine, une vraie perle.

Cettte personne serait idéalement une combinaison (liste réduite) de :

- Joanna rutkowska
- Dan kaminsky
- Kostya kortchinsky
- Théo de radt

Voyez vous le genre ?

Cordialement.

Vincent L. a dit…

Si une attaque directe sur les télécoms aurait un impact relativement faible en dehors de la gène publique, on peut penser à frapper des points sensibles avec pour vecteur le réseau. J'avais lu des rapports il y a un baille sur la sécurité des infrastructures électriques aux U.S. brillant par leur pauvre isolation, j'imagine que la France ne doit pas être beaucoup mieux lotie.
Bref, on peut imaginer une guerre ayant pour composante la privation des moyens techniques d'un État, le conduisant ainsi à son effondrement pur et simple (lire la Technique du coup d'état de Curzio Malaparte à ce sujet, qui met en perspective pas mal d'idées et dont les principes restent inchangés).

Laurent C. a dit…

Nicolas, tu n'es pas dans la liste des gens "interviewés" pour la rédaction de ce rapport, tu n'as donc pas pu leur souffler tes fameux titres à base "d'Echec" :D

Et puis de toute façon, s'il avait retenu le titre "La sécurité informatique : un échec global", cela aurait largement biaisé la lecture; la guilde des opposants à la prose Ruffienne ;) aurait reconnu ta "patte" et n'aurait pas manquer de tirer une salve de critiques avant même d'en avoir lu un mot :D

newsoft a dit…

@jpl pour commencer, le véritable expert connait ses limites et sait dire "je ne sais pas" quand ça le dépasse (c'est déjà une qualité de nos jours !)

@VincentL tu as probablement raison, mais ... à quoi ça servirait de faire la guerre à un pays comme la France aujourd'hui ? Tout a déjà été pillé !

MeiK a dit…

Sur un lien trouvé dans un commentaire d'un très vieux post du blog sur lequel nous trollons actuellement :
https://libertesinternets.wordpress.com/2009/04/26/il-suffit-dun-secateur-pour-paralyser-une-ville-de-50-000-habitants/
Appliquons ça à un pays comme la France. Je pense qu'il n'y a pas besoin de trop se déformer l'imagination...

newsoft a dit…

@MeiK si tu es cataphile, tu t'en doutes déjà ;)

jsf a dit…

En quoi supprimer le statut de fonctionnaire va-t-il valoriser les carrières des agents de l'anssi alors que vous le dites vous-même, ce sont majoritairement des contractuels ?

C'est un peu contradictoire de vouloir supprimer le statut de fonctionnaire et en meme temps vouloir creer un statut d'expert...

newsoft a dit…

@jsf Le problème dans une administration telle que l'ANSSI, c'est de conserver et de valoriser les compétences.

Aujourd'hui il y a une "couche basse" de contractuels qui disposent de l'expertise technique, et une "couche haute" de fonctionnaires qui travaillent leur carrière.

Un contractuel de la fonction publique qui passe par l'ANSSI, c'est 6 ans de perdus pour sa carrière ultérieure dans le privé. Même la caisse d'allocations chômage est différente.

Un tel système n'encourage pas la mobilité entre public et privé (et réciproquement) ! Un contrat de travail unique ne serait-il pas la solution à bien des problèmes ?

jpl a dit…

Bonjour,

@newsoft,

Bien d'accord avec toi concernant l'expert. :)

Concernant la prise de conscience régalienne qui semble maintenant prévaloir en terme de sécurité informatique, nous risquons d'aller dans un mur.

Ce qu'il faut, c'est pouvoir se projeter dans le futur, savoir anticiper. Le mode de fonctionnement de nos institutions est-il compatible avec ce mode de pensée ?

Cordialement.

Anonyme a dit…

"L’informatique est une compétence, la sécurité un talent."
Le fils spirituel de Lao Tzu nous fait part de ses strategies les plus stochastiques.
Moi, je dis bravo! J'adhère au dogme!

Anonyme a dit…

"L’informatique est une compétence, la sécurité un talent."

j'adore :D

je suis en train de lire le rapport (je suis prestataire dans un grand compte :D)

jsf a dit…

On est d'accord qu'il y a un probleme de caisses que ce soit pour le chomage (quoique ça commence à bouger) ou pour la retraite mais cela est complètement distinguable du statut de fonctionnaire qui qql avantages (égalité de traitement, neutralité, moins sensible à la corruption, etc.). Ceci dit il me semble qu'un séjour à l'anssi, ca fait très bien sur le CV pour repartir dans le privé mais peut etre que je me trompe !

newsoft a dit…

@jsf pour les gens qui cherchent à se recaser dans le "privé privé" avec pour toute expérience 6 ans passés à l'ANSSI, je ne sais pas.

Pour les gens qui se recasent dans le "para public" (ou le "para privé"), ils sont effectivement recherchés ... pour leur carnet d'adresses et leur connaissance des rouages de l'administration !

Et je ne vois pas comment le "statut de fonctionnaire" protège le système ... il suffit de voir la facilité avec laquelle un expert en code des marchés publics peut faire acheter ce qu'il veut ou travailler avec qui il veut.

Même en admettant que ce soit le cas, on aimerait bien avoir "l'égalité de traitement" et "l'insensibilité à la corruption" aussi dans le privé !

Pierre-Luc Pelletier a dit…

Je crois au contraire que ce statut d'expert aiderait les responsables sécurité à avoir une vraie autorité dans l'entreprise.

Je vois trop souvent des équipes sécurité réduites à faire du security as a service, avec le métier qui choisit pour quel niveau de sécurité il a envie de payer.

Un vrai expert sécurité avec un statut reconnu sera l'autorité suprême avec laquelle il sera possible de négocier, mais dont la décision finale fera force de loi dans l'entreprise.

Anonyme a dit…

@Pierre-Luc Pelletier

L'autorité suprême n'est pas et ne sera jamais l'expert sécurité, le RSSI ou whatever. Cessons de rêver. Ceux qui ont le pouvoir sont ceux qui ramènent l'argent, tout simplement.

Anonyme a dit…

Quid des milliers de chinois et étrangers que nous avons formés gratuitement dans nos universités françaises ? C'est déjà une sacrée faille à mon goût ! Et les stagiaires étrangers dans nos grandes entreprises fan des clés usb et du mode photo des smartphones ? La sécurité est une utopie, c'est la formalisation d'une schyzophrénie où nous avons besoin de la circulation de l'information et en même temps nous voulons la retenir.

Anonyme a dit…

Some times its a discomfort within the ass to read what weblog owners wrote but this internet web site is rattling user friendly :)!

Anonyme a dit…

Thanks for your nice experience to share with us. Really awesome article with plenty of informative things to be known for us.

Anonyme a dit…

It would always be stimulating to learn content material from other writers and practice a bit something from their store.

Anonyme a dit…


Rattling excellent information can be found on web blog :))

Anonyme a dit…


There are some interesting points in time in this article but I don’t know if I see all of them middle to heart.

Anonyme a dit…


Have you considered about adding some social bookmarking buttons to these blog posts. At least for facebook.