lundi 7 octobre 2013

Assises de la Sécurité à Monaco : vers l'échouage ou le renflouement ?

La treizième édition des Assises de la Sécurité à Monaco à peine refermée, débute le mois européen de la cybersécurité. Aussi appelé ECSM (European Cyber Security Month), il est regrettable que le site Internet dédié à l’événement, plutôt bien fait, ne communique que dans la langue de Shakespeare. Un compte Twitter permet aux twittos anglophones de suivre l’activité à l’échelle européenne, plus dense que l’année dernière.

La plupart des pays de l’Union européenne (UE) ayant décidé de participer à l’événement, la France (1) au premier rang ce qui est une louable initiative. Avec le même regret que l’année dernière : pourquoi ne pas débuter ce mois européen de la cybersécurité par les Assises de Monaco ? La Principauté, qui n’est certes pas membre de l’UE, fait pourtant pleinement partie de l’Europe continentale, coincée entre ses deux grands voisins, la France et l’Italie. Un partenariat entre les deux institutions serait mutuellement gagnant.

Pour revenir aux Assises, le regret est grand de constater que l'intérêt professionnel devient de moins en moins évident. Avec un écosystème RSSI/éditeurs qui commence juste à comprendre (et à accepter ?) que la "SSI 1.0" a fait preuve de son inefficacité (2) même si, ici et là, quelques esprits plus rapides (et pratiques) s'engouffrent dans les brèches. Le président du CESIN, sans doute un peu amer, ne dit rien d'autre lorsqu'il déclare que la "future obligation de déclaration des incidents de sécurité par les opérateurs d'importance vitale (OIV) indiquerait donc que nous - les RSSI - n'avons pas bien fait notre travail ces dix dernières années ?". Une phrase qui résonnera longtemps dans un "silence assourdissant".

Avec cette déclaration, ce ne sera pas faire injure à la majorité des intervenants que de penser que la révolution copernicienne de la cybersécurité n'aura pas lieu à Monaco. Hormis, et rétrospectivement pour nombre de RSSI, les interventions remarquées et remarquables du directeur général de l'ANSSI, M. Patrick Pailloux. Cette année encore n'aura pas fait exception à la règle, le projet de la prochaine loi de programmation militaire et son article 15 (3) n'étant sans doute pas étranger à l'absence de ricanements ou de cris d'orfraies comme lors des deux précédentes éditions. Difficile alors de ne pas partager les remarques, mi-amusées mi-sérieuses, de certaines figures de la communauté comme, par exemple, Nicolas Ruff.



 

Si l’exercice des Assises perd de son intérêt fondamental au fil des éditions (4), sa surface d’exposition médiatique et la concentration de professionnels de la SSI en ferait pourtant la tribune idéale pour lancer l’ECSM. Surtout, l'exercice devrait être aussi l'occasion de repenser et de relancer le paquebot "Assises" qui poursuit imperturbablement son cap vers une destination de plus en plus floue. 

Sortir des constats déjà faits depuis des mois voire des années, cesser les mêmes discours stéréotypés en amenant du sang neuf et en faisant intervenir de nouveaux visages, introduire une dose de "rump sessions" plus pointues et moins mercantiles sont autant de pistes à envisager. Souhaitons donc que ce salutaire chantier s'ouvre et que le FIC ou les RIAMS, de belles réussites alliant l'agrément à l'efficacité, inspirent les Assises. Sous peine de perdre définitivement de leur sens et de leur intérêt.


(1) http://cybersecuritymonth.eu/ecsm-countries/france
(2) On relira la série débutée en 2011 et conjointement écrite avec Cidris "la sécurité de l'information est-elle un échec ?"
(3) http://www.senat.fr/leg/pjl12-822.html
(4) Il convient néanmoins de saluer l'efficacité de l'organisation qui n'a  pas ménagé ses efforts ainsi que les rencontres professionnelles "de gré à gré", le plus souvent informelles

5 commentaires:

Anonyme a dit…

Mon cher Si Vis,

Je me permets d'apporter quelques éléments de réponses qui permettront, peut être, de modérer ces désillusions.

Revenons sur le mois européen de la cybersécurité. Tout d'abord celui-ci
a commencé le premier Octobre, ce qui ne coïncide pas strictement avec
les Assises. Aussi lancer ce mois de la sécurité, un peu en décalé, au
travers d'un évènement commercial et non étatique, pourrait apparaître
à certain un peu cavalier.

Ce point entendu (par moi au moins ;) ) je reviens sur les Assises en
elle même. Si je partage un peu le côté vase clos de l'évènement qui
pourrait rapidement être mis hors sujet par un espace réservé de stands à produits/services innovant d'entreprises de moins de X ans (je n'ai pas de modèle économique en tête), je suis plus réservé sur ta vison paquebot des "Assises" qui maintiendrait son cap vers une destination de plus en plus floue (pour reprendre tes mots).

En effet le modèle des Assises est un peu auto porteur : C'est une
occasion donnée aux RSSI de faire du networking et d'exposer leurs problématiques en matière de SSI aux
partenaires présents (charge à eux de savoir s'en emparer). Un modèle simple qui se satisfait à lui même, les partenaires souhaitant vendre ayant là une occasion unique de dialoguer avec un nombre important de leurs clients dans un temps assez court.

De façon plus anecdotique j'ai noté que les plus jeunes des invités
(moins expérimentés ou moins en visibilités des commerciaux, partenaires de l'évènement) appréciaient ses moments d'échanges et de découvertes de certaines solutions (ils ne sont pas encore désabusé et c'est agréable pour nous pauvres anciens ;) ). Enfin, et ce n'est pas si anecdotique que cela, les Assises sonnent le lancement du mercato (c) qui permet aux RSSI de changer d'air et de
rester motivés dans un monde ou les problématiques croissent mais évoluent finalement assez peu (SCADA aujourd'hui, BYOD hier, Cloud, avant hier, mais qui a réellement solutionné le problème des patchs JAVA pour avoir un navigateur à jour et des applications métier accessibles ?)

Je reviens aussi, un instant, sur la vision du président du CESIN. Son
analyse me semble celle de celui qui n'apprécie pas que l'on regarde par dessus son épaule et je peu le comprendre. Cependant si le RSSI Groupe, pour coordonner la SSI au sein de son groupe, demande des remontés à ses RSSI de directions (remontés qui lui permettront de définir la politique ainsi que les moyens RH et financier qu'il engagera sur tel ou tel sujet), l'ANSSI elle a besoin de ces remontés pour assurer une coordination au niveau nationale et déterminer la politique ainsi que
les moyens RH et financier qu'elle engagera sur tel ou tel sujet... (Comme un air de répétition ...) Le
RSSI de l'état impose réglementairement sa politique... aucun RSSI, après réflexion, ne devrait trouver à y redire.

Enfin pour reprendre ton concept de sécurité 1.0 que j'aime bien (ce qui
ne t'étonnera pas), je l'envisage aujourd'hui comme le placement du RSSI au bon niveau (avec les effets qui s'en suivent), la sécurité 2.0 sera de mon point de vu de placer la SSI au bon niveau : dans les priorités des membres de COMEX. Sans quoi toute solution, innovante, pragmatique, globale, ou tout autre adjectif qualificatif 2.0 que l'on pourra reprendre à s'en écoeurer dans la presse ne connaîtra pas plus de succès que les précédentes.

Merci pour ton article matinal, j'aime bien commencer mes journées avec des lectures qui prêtent au débat.

Bien à toi,
@3ccdesecurite

newsoft a dit…

Merci pour la citation :)

Je crois que la sécurité ne va nulle part car de manière générale, l'informatique n'intéresse personne (en France). C'est un métier trop ... "technique" (désolé pour l'insulte !).

Le marquis de Seignelay a dit…

Bonsoir Si Vis,

Il n'empêche que cette question de calendrier ne résume pas toute les Assises mais elle me semble fondamentale. Elle fait écho à une chose qui me chagrine : le troupeau anarchique de conférences sur les "sujets stratégiques & cie" à Paris. Cela paraît tout bête mais il ne semble pas y avoir recherche pour maîtriser le calendirer et entrecroiser les sujets.

Amicalement,

Le marquis de Seignelay

Si vis pacem a dit…

@Anonyme
Nous nous rejoignons globalement même si je demeure convaincu (et ne suis pas le seul) du bien-fondé de faire évoluer cet événement qui s'essoufflera sinon.

@Newsoft
De rien pour la citation. Je ne suis pas forcément d'accord avec toutes tes positions mais je te reconnais (au moins :-) le talent d'agiter les idées et de souvent poser les bonnes questions !

@LeMarquis
Sans doute.
Je préfère pourtant une offre anarchique mais pléthorique qui souligne la vivacité du débat en France sur ces divers sujets.
Et je ne vois pas de solution permettant d'optimiser le calendrier. Si quelqu'un a une idée, bienvenue !

sécurité informatique a dit…

Merci pour cet article. Cet événement à Monaco et l'ECSM ne sont pas contradictoires, bien au contraire. Je trouve que cela aurait donné un nouveau souffle professionnel à cette activité et l'appartenance de Monaco ou non à l'Union Européenne n'a pas d'impact sur le fait que la sécurité informatique est le problème de tout le monde.