Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Patrick Pailloux : « Prism n’a strictement rien changé » à l’ANSSI

Quand l'ANSSI marche sur des clouds

Patrick Pailloux : « Prism n’a strictement rien changé » à l'ANSSI

Le 03 octobre 2013 à 08h15

Est-ce que le scandale Prism a changé quelque chose au sein de l’ANSSI, l’autorité nationale en matière de sécurité et de défense des systèmes d’information ? Rien, selon son directeur, Patrick Pailloux.

pailloux anssi

 

Patrick Pailloux, hier aux Assises de la sécurité de Monaco

 

Au sein de l'ANSSI, Prism « n’a rien strictement rien changé du tout ». Voilà l’assurance tambourinée hier par Patrick Pailloux, lors d'une rencontre avec un comité restreint de journalistes aux assises de la sécurité de Monaco. Le patron de l’ANSSI affirme par là que toutes les révélations de ce scandale avaient déjà été imaginées par ses services. Et pour cause : « Mon travail est d’imaginer les vulnérabilités dans les systèmes, les cas typiques d’attaques » poursuit-il. « Des scandales, des attaques informatiques, il y en a partout ».

 

 « Pour nous, Prism a certes aidé à la sensibilisation mais n’a strictement rien changé dans l’approche qu’on avait de la menace. Discutez avec d’autres experts, ils vous diront la même chose ». Cette notion de sensibilisation est cependant primordiale pour cette agence rattachée à Matignon. Elle avait publié en ce sens son guide d’hygiène informatique, recommandant chaudement aux DSSI d’en suivre les préceptes.

 

Cette notion d’hygiène informatique se rattache aussi à la problématique du stockage en ligne, et spécialement dans le cloud. Là encore l’ANSSI est rivée sur sa ligne droite : « C’est toujours la même chose : la question est de savoir si les données sont sensibles ou pas. En fonction du niveau, à vous de choisir. Si les données sont ultra sensibles, vous les mettez chez vous dans un coffre-fort. Si elles sont sensibles, mais pas trop, vous les fournissez à un prestataire français ou, si elles sont moins sensibles, européen. Quand elles ne sont pas du tout sensibles, vous les mettez où vous voulez, cela n’a pas d’importance. »

 

Patrick Pailloux a pour l’occasion affirmé son soutien aux sociétés Numergy et Cloudwatt, deux centrales numériques de confiance françaises accompagnées par le programme des investissements d’avenir.

Commentaires (30)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar







Ricard a écrit :



Ha ben faut qu’il change de job alors…<img data-src=" />







Euuu, pourquoi ?


votre avatar







Jed08 a écrit :



Euuu, pourquoi ?





Ca n’a pas empêché les USA de poser des micros dans les ambassades, par exemple.<img data-src=" />


votre avatar

Vraies questions, je suis totalement sérieux.



les typiques d’attaques



C’est français ?

Si la réponse à la première question est oui, ça veut dire quoi ?

votre avatar







Ricard a écrit :



Ca n’a pas empêché les USA de poser des micros dans les ambassades, par exemple.<img data-src=" />







L’ANSSI c’est pas les services secrets Français. Ils ne vont pas checker ta chambre, tes téléphones tes chiottes, ta cave à vin, ta cave à p*te pour voir s’il y a pas des micros poser quelque part (je suis même pas sûr que ce soit le rôle des services secret de faire non plus).


votre avatar



« Pour nous, Prism a certes aidé à la sensibilisation &gt;&gt;





là par contre, faut qu’il change de job. S’il a découvert prism avec les récentes “révélations”. Car n’importe quel péqueno était au courant d’un truc comme ça…


votre avatar







Eagle1 a écrit :



là par contre, faut qu’il change de job. S’il a découvert prism avec les récentes “révélations”. Car n’importe quel péqueno était au courant d’un truc comme ça…







Ah ? C’est bizarre que beaucoup de monde fut si indigné et si surpris lors des fuites de Snowden !

Si n’importe quel péqueno était au courant, tout le monde aurait du s’en foutre des révélations…



Troll à part, je pense qu’effectivement la découverte de PRISM par le grand public à du facilité de la travail de sensibilisation de l’ANSSI. Les gens ont se sont rendus compte que la sécurité c’est pas juste un truc chiant qu’on te demande de faire pour faire plaisir au RSSI.


votre avatar







Winderly a écrit :



Vraies questions, je suis totalement sérieux.



C’est français ?

Si la réponse à la première question est oui, ça veut dire quoi ?





ça ressemble soit à du jargon soit à un adjectif substantivé (transformé en nom commun)



En français courant, je le comprendrais comme “les caractéristique permettant de catégoriser une attaque informatique”.

Mais oui, le terme est bien chelou.



votre avatar







Eagle1 a écrit :



là par contre, faut qu’il change de job. S’il a découvert prism avec les récentes “révélations”. Car n’importe quel péqueno était au courant d’un truc comme ça…





N’importe quel péqueno se doutait que ça pouvait arriver. L’affaire Snowden a juste apporté la preuve “officielle”.



T’en fais pas que l’ANSSI tout comme la grande majorité des grosses boîtes françaises savent déjà très bien que ce genre de choses peuvent arriver. Malheureusement tous le savent mais tous ne s’y préparent pas forcément.


votre avatar







WereWindle a écrit :



ça ressemble soit à du jargon soit à un adjectif substantivé (transformé en nom commun)



En français courant, je le comprendrais comme “les caractéristique permettant de catégoriser une attaque informatique”.

Mais oui, le terme est bien chelou.





je dirais que c’est juste la contraction de “cas typique”.


votre avatar







Jed08 a écrit :



Ah ? C’est bizarre que beaucoup de monde fut si indigné et si surpris lors des fuites de Snowden !

Si n’importe quel péqueno était au courant, tout le monde aurait du s’en foutre des révélations…



Troll à part, je pense qu’effectivement la découverte de PRISM par le grand public à du facilité de la travail de sensibilisation de l’ANSSI. Les gens ont se sont rendus compte que la sécurité c’est pas juste un truc chiant qu’on te demande de faire pour faire plaisir au RSSI.







qui s’est indigné, les politiciens ? Ont-ils fait quelques choses ? Es-tu vraiment assez naif pour croire que c’était sincère ?


votre avatar







ErGo_404 a écrit :



N’importe quel péqueno se doutait que ça pouvait arriver. L’affaire Snowden a juste apporté la preuve “officielle”.



T’en fais pas que l’ANSSI tout comme la grande majorité des grosses boîtes françaises savent déjà très bien que ce genre de choses peuvent arriver. Malheureusement tous le savent mais tous ne s’y préparent pas forcément.





l’avantage aussi c’est que ça permet de réorienter la prévention en cela que “l’attaque” a maintenant une forme définie là où, avant, on devait parer à pleins de menaces potentielles (donc disperser les moyens)

(Après je ne dis pas non plus que Snowden et PRISM ne sont pas juste une manip élaborée pour qu’on s’arrête à la main droite pendant que la gauche nous fait les poches <img data-src=" />)







hellmut a écrit :



je dirais que c’est juste la contraction de “cas typique”.





oui mais “typique dans son sens premier (ce qui défini le type donc ces carac) là où le langage courant mais l’accent sur le côté récurrent - point de vue totalement perso)


votre avatar

J’aime bien le résumé de la situation qu’il fait dans l’avant dernier paragraphe.



Par contre, les Numergy et les Cloudwatt, je dis non et non :http://spiraledigitale.com/le-cloud-ce-grand-truc-qui-fait-perdre-la-tete-aux-di…

votre avatar







ErGo_404 a écrit :



N’importe quel péqueno se doutait que ça pouvait arriver. L’affaire Snowden a juste apporté la preuve “officielle”.



T’en fais pas que l’ANSSI tout comme la grande majorité des grosses boîtes françaises savent déjà très bien que ce genre de choses peuvent arriver. Malheureusement tous le savent mais tous ne s’y préparent pas forcément.







Tout le monde savait. La preuve, depuis rien n’a changé. Les diplomates/chef d’états n’en ont même pas parlé entre eux.


votre avatar







Eagle1 a écrit :



Tout le monde savait. La preuve, depuis rien n’a changé. Les diplomates/chef d’états n’en ont même pas parlé entre eux.





haaaan t’as tes entrées aux réceptions de l’ambassadeur avec Ferrero Rochers et jus d’orange dans des flûtes à champagne et tu fais même pas tourner :‘(


votre avatar







Eagle1 a écrit :



Tout le monde savait. La preuve, depuis rien n’a changé. Les diplomates/chef d’états n’en ont même pas parlé entre eux.





Tu es courant des discussions qu’ils ont en privé?



Eagle1 a écrit :



là par contre, faut qu’il change de job. S’il a découvert prism avec les récentes “révélations”. Car n’importe quel péqueno était au courant d’un truc comme ça…





On comprend pas la même chose, pour moi ca veut juste dire qu’il a pu appuyer son discours auprés des personnes “autorisées” par les “révélations” de Snowden.


votre avatar







Jed08 a écrit :



L’ANSSI c’est pas les services secrets Français. Ils ne vont pas checker ta chambre, tes téléphones tes chiottes, ta cave à vin, ta cave à p*te pour voir s’il y a pas des micros poser quelque part (je suis même pas sûr que ce soit le rôle des services secret de faire non plus).





Leur boulot, c’est en amont hein, pas une fois que c’est fait.


votre avatar







Ricard a écrit :



Leur boulot, c’est en amont hein, pas une fois que c’est fait.







Encore une fois, l’ANSSI ce n’est pas les services secret.

L’espionnage et le contre espionnage ne sont pas leurs missions.


votre avatar







Jed08 a écrit :



Encore une fois, l’ANSSI ce n’est pas les services secret.

L’espionnage et le contre espionnage ne sont pas leurs missions.





Ben leur boulot, c’est de conseiller sur les règles de sécurité. Va sur leur site et regarde les conseils qu’ils donnent sur la messagerie par exemple… ça fait doucement rigoler. Alors quand le monsieur il dit:“moi j’ai pensé à toutes les situations”, ben moi je lui dit:“Change de job”.<img data-src=" />


votre avatar







WereWindle a écrit :



haaaan t’as tes entrées aux réceptions de l’ambassadeur avec Ferrero Rochers et jus d’orange dans des flûtes à champagne et tu fais même pas tourner :‘(





<img data-src=" /><img data-src=" /><img data-src=" />


votre avatar







Ricard a écrit :



Ben leur boulot, c’est de conseiller sur les règles de sécurité. Va sur leur site et regarde les conseils qu’ils donnent sur la messagerie par exemple… ça fait doucement rigoler. Alors quand le monsieur il dit:“moi j’ai pensé à toutes les situations”, ben moi je lui dit:“Change de job”.<img data-src=" />







je me permet de reposter un commentaire fait sur l’autre sujet des assises et qui rejoins un peu ton opinion sur notre ami P. Pailloux





Patrick pailloux est intelligent, très intelligent.

Ce qui est dommage, c’est que son discours très intelligible se voit nuancé par un ton desaprobateur qui ne peut fédérer

M. Pailloux, la sécurité informatique est bien évidemment un enjeu national. Mais il faut savoir rester dans l’analyse avec le recul et l’humilité qui vous sierait bien mieux, et non dans le constat (“je vous l avais dit, vous avez vu j avais raison”) ou dans la vindicte.



Mais au delà de tout ça, vos idée sont justes sur la plupart des sujets. Mais il manque pour moi 2 sujets dans vos ateliers.




  • le dimensionnement des concepts aux tailles des entreprises. je ne suis pas d’accord accord pour dire qu une pme est plus facile à sécuriser qu’une grosse boîte. Les problèmes sont identiques mais des échelles d’effectif et de moyens différents.

  • l’intégration du management dans le processus de définition des niveau de sécurité de l’entreprise : je pense que l’anssi via ses ateliers de travail devrait bûcher sur un cursus ou une boîte à outils afin d’aider les Dsi à vulgariser les notions de la SSI pour le management hors IT





    et sinon, je me répète :





    Marc, si tu lis ce commentaire, je suis à Monaco, ça serait cool de pouvoir te voir en vrai :-)


votre avatar







WereWindle a écrit :



haaaan t’as tes entrées aux réceptions de l’ambassadeur avec Ferrero Rochers et jus d’orange dans des flûtes à champagne et tu fais même pas tourner :‘(



A mon avis tu regardes trop la télé, il n’y a pas de plateaux de Ferrero rochers et ce n’est pas du jus d’orange dans les flûtes <img data-src=" />



<img data-src=" /><img data-src=" />


votre avatar







cid_Dileezer_geek a écrit :



A mon avis tu regardes trop la télé, il n’y a pas de plateaux de Ferrero rochers et ce n’est pas du jus d’orange dans les flûtes <img data-src=" />



<img data-src=" /><img data-src=" />





oh bah c’est moins cool du coup :/


votre avatar







WereWindle a écrit :



oh bah c’est moins cool du coup :/



Attend, je t’ai pas encore parlé des babes. <img data-src=" />


votre avatar







WereWindle a écrit :



haaaan t’as tes entrées aux réceptions de l’ambassadeur avec Ferrero Rochers et jus d’orange dans des flûtes à champagne et tu fais même pas tourner :‘(









bon j’arrête, je vous laisse au pays des bisounours.


votre avatar

Bon, ça fait peut être un peu publicité. Mais pour la SSI pour les particuliers, j’ai publié une application sur Android pour sensibiliser les personnes avec des fiches, des quiz et des outils. : SecuChecker

C’est idéal de sécuriser les grandes entreprises, mais les particuliers ne doivent pas être oubliés. Et pour la réception, je vous confirme que c’est plus classe que du simple jus d’oranges ;).

votre avatar



« C’est toujours la même chose : la question est de savoir si les données sont sensibles ou pas. En fonction du niveau, à vous de choisir. Si les données sont ultra sensibles, vous les mettez chez vous dans un coffre-fort. Si elles sont sensibles, mais pas trop, vous les fournissez à un prestataire français ou, si elles sont moins sensibles, européen. Quand elles ne sont pas du tout sensibles, vous les mettez où vous voulez, cela n’a pas d’importance. »





Vaines paroles. Même sur PCInpact, où on peut penser que les intervenants savent de quoi ils parlent, on se faisait pendre haut et court quand on disait ne pas vouloir mettre ses documents sous le PAtriot Act. J’ai la flemme de rechercher ses messages mais on pourrait se marrer quelques minutes… <img data-src=" />

votre avatar







Jarodd a écrit :



Vaines paroles. Même sur PCInpact, où on peut penser que les intervenants savent de quoi ils parlent, on se faisait pendre haut et court quand on disait ne pas vouloir mettre ses documents sous le PAtriot Act. J’ai la flemme de rechercher ses messages mais on pourrait se marrer quelques minutes… <img data-src=" />







<img data-src=" /><img data-src=" />


votre avatar

Je crois bien qu’à lire vos réponses vous ne mesurez pas la portée de Prism.



Mais qui bosse dans la secu info ici ?



.

Mdr les bu esec et consort

votre avatar







ledufakademy a écrit :



Je crois bien qu’à lire vos réponses vous ne mesurez pas la portée de Prism.



Mais qui bosse dans la secu info ici ?



Mdr les bu esec et consort







Moi je bosse dans la SSI, mais je préfère rester spectateur de vos commentaires.


votre avatar



Le patron de l’ANSSI affirme par là que toutes les révélations de ce scandale avaient déjà été imaginées par ses services



Ha ben faut qu’il change de job alors…<img data-src=" />

Patrick Pailloux : « Prism n’a strictement rien changé » à l’ANSSI

Fermer