Patrick Pailloux : « Prism n’a strictement rien changé » à l'ANSSI

Patrick Pailloux : « Prism n’a strictement rien changé » à l’ANSSI

Quand l'ANSSI marche sur des clouds

Avatar de l'auteur
Marc Rees

Publié dans

Logiciel

03/10/2013 2 minutes
30

Patrick Pailloux : « Prism n’a strictement rien changé » à l'ANSSI

Est-ce que le scandale Prism a changé quelque chose au sein de l’ANSSI, l’autorité nationale en matière de sécurité et de défense des systèmes d’information ? Rien, selon son directeur, Patrick Pailloux.

pailloux anssi

 

Patrick Pailloux, hier aux Assises de la sécurité de Monaco

 

Au sein de l'ANSSI, Prism « n’a rien strictement rien changé du tout ». Voilà l’assurance tambourinée hier par Patrick Pailloux, lors d'une rencontre avec un comité restreint de journalistes aux assises de la sécurité de Monaco. Le patron de l’ANSSI affirme par là que toutes les révélations de ce scandale avaient déjà été imaginées par ses services. Et pour cause : « Mon travail est d’imaginer les vulnérabilités dans les systèmes, les cas typiques d’attaques » poursuit-il. « Des scandales, des attaques informatiques, il y en a partout ».

 

 « Pour nous, Prism a certes aidé à la sensibilisation mais n’a strictement rien changé dans l’approche qu’on avait de la menace. Discutez avec d’autres experts, ils vous diront la même chose ». Cette notion de sensibilisation est cependant primordiale pour cette agence rattachée à Matignon. Elle avait publié en ce sens son guide d’hygiène informatique, recommandant chaudement aux DSSI d’en suivre les préceptes.

 

Cette notion d’hygiène informatique se rattache aussi à la problématique du stockage en ligne, et spécialement dans le cloud. Là encore l’ANSSI est rivée sur sa ligne droite : « C’est toujours la même chose : la question est de savoir si les données sont sensibles ou pas. En fonction du niveau, à vous de choisir. Si les données sont ultra sensibles, vous les mettez chez vous dans un coffre-fort. Si elles sont sensibles, mais pas trop, vous les fournissez à un prestataire français ou, si elles sont moins sensibles, européen. Quand elles ne sont pas du tout sensibles, vous les mettez où vous voulez, cela n’a pas d’importance. »

 

Patrick Pailloux a pour l’occasion affirmé son soutien aux sociétés Numergy et Cloudwatt, deux centrales numériques de confiance françaises accompagnées par le programme des investissements d’avenir.

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

next n'a pas de brief le week-end

Le Brief ne travaille pas le week-end.
C'est dur, mais c'est comme ça.
Allez donc dans une forêt lointaine,
Éloignez-vous de ce clavier pour une fois !

Fermer

Commentaires (30)


Ricard
Le 03/10/2013 à 08h 41



Le patron de l’ANSSI affirme par là que toutes les révélations de ce scandale avaient déjà été imaginées par ses services



Ha ben faut qu’il change de job alors…<img data-src=" />


Jed08
Le 03/10/2013 à 08h 47







Ricard a écrit :



Ha ben faut qu’il change de job alors…<img data-src=" />







Euuu, pourquoi ?



Ricard
Le 03/10/2013 à 08h 52







Jed08 a écrit :



Euuu, pourquoi ?





Ca n’a pas empêché les USA de poser des micros dans les ambassades, par exemple.<img data-src=" />



Winderly Abonné
Le 03/10/2013 à 08h 53

Vraies questions, je suis totalement sérieux.



les typiques d’attaques



C’est français ?

Si la réponse à la première question est oui, ça veut dire quoi ?


Jed08
Le 03/10/2013 à 08h 58







Ricard a écrit :



Ca n’a pas empêché les USA de poser des micros dans les ambassades, par exemple.<img data-src=" />







L’ANSSI c’est pas les services secrets Français. Ils ne vont pas checker ta chambre, tes téléphones tes chiottes, ta cave à vin, ta cave à p*te pour voir s’il y a pas des micros poser quelque part (je suis même pas sûr que ce soit le rôle des services secret de faire non plus).



Eagle1 Abonné
Le 03/10/2013 à 09h 03



« Pour nous, Prism a certes aidé à la sensibilisation &gt;&gt;





là par contre, faut qu’il change de job. S’il a découvert prism avec les récentes “révélations”. Car n’importe quel péqueno était au courant d’un truc comme ça…



Jed08
Le 03/10/2013 à 09h 08







Eagle1 a écrit :



là par contre, faut qu’il change de job. S’il a découvert prism avec les récentes “révélations”. Car n’importe quel péqueno était au courant d’un truc comme ça…







Ah ? C’est bizarre que beaucoup de monde fut si indigné et si surpris lors des fuites de Snowden !

Si n’importe quel péqueno était au courant, tout le monde aurait du s’en foutre des révélations…



Troll à part, je pense qu’effectivement la découverte de PRISM par le grand public à du facilité de la travail de sensibilisation de l’ANSSI. Les gens ont se sont rendus compte que la sécurité c’est pas juste un truc chiant qu’on te demande de faire pour faire plaisir au RSSI.



WereWindle
Le 03/10/2013 à 09h 09







Winderly a écrit :



Vraies questions, je suis totalement sérieux.



C’est français ?

Si la réponse à la première question est oui, ça veut dire quoi ?





ça ressemble soit à du jargon soit à un adjectif substantivé (transformé en nom commun)



En français courant, je le comprendrais comme “les caractéristique permettant de catégoriser une attaque informatique”.

Mais oui, le terme est bien chelou.




ErGo_404
Le 03/10/2013 à 09h 24







Eagle1 a écrit :



là par contre, faut qu’il change de job. S’il a découvert prism avec les récentes “révélations”. Car n’importe quel péqueno était au courant d’un truc comme ça…





N’importe quel péqueno se doutait que ça pouvait arriver. L’affaire Snowden a juste apporté la preuve “officielle”.



T’en fais pas que l’ANSSI tout comme la grande majorité des grosses boîtes françaises savent déjà très bien que ce genre de choses peuvent arriver. Malheureusement tous le savent mais tous ne s’y préparent pas forcément.



hellmut Abonné
Le 03/10/2013 à 09h 26







WereWindle a écrit :



ça ressemble soit à du jargon soit à un adjectif substantivé (transformé en nom commun)



En français courant, je le comprendrais comme “les caractéristique permettant de catégoriser une attaque informatique”.

Mais oui, le terme est bien chelou.





je dirais que c’est juste la contraction de “cas typique”.



Eagle1 Abonné
Le 03/10/2013 à 09h 32







Jed08 a écrit :



Ah ? C’est bizarre que beaucoup de monde fut si indigné et si surpris lors des fuites de Snowden !

Si n’importe quel péqueno était au courant, tout le monde aurait du s’en foutre des révélations…



Troll à part, je pense qu’effectivement la découverte de PRISM par le grand public à du facilité de la travail de sensibilisation de l’ANSSI. Les gens ont se sont rendus compte que la sécurité c’est pas juste un truc chiant qu’on te demande de faire pour faire plaisir au RSSI.







qui s’est indigné, les politiciens ? Ont-ils fait quelques choses ? Es-tu vraiment assez naif pour croire que c’était sincère ?



WereWindle
Le 03/10/2013 à 09h 33







ErGo_404 a écrit :



N’importe quel péqueno se doutait que ça pouvait arriver. L’affaire Snowden a juste apporté la preuve “officielle”.



T’en fais pas que l’ANSSI tout comme la grande majorité des grosses boîtes françaises savent déjà très bien que ce genre de choses peuvent arriver. Malheureusement tous le savent mais tous ne s’y préparent pas forcément.





l’avantage aussi c’est que ça permet de réorienter la prévention en cela que “l’attaque” a maintenant une forme définie là où, avant, on devait parer à pleins de menaces potentielles (donc disperser les moyens)

(Après je ne dis pas non plus que Snowden et PRISM ne sont pas juste une manip élaborée pour qu’on s’arrête à la main droite pendant que la gauche nous fait les poches <img data-src=" />)







hellmut a écrit :



je dirais que c’est juste la contraction de “cas typique”.





oui mais “typique dans son sens premier (ce qui défini le type donc ces carac) là où le langage courant mais l’accent sur le côté récurrent - point de vue totalement perso)



J’aime bien le résumé de la situation qu’il fait dans l’avant dernier paragraphe.



Par contre, les Numergy et les Cloudwatt, je dis non et non :http://spiraledigitale.com/le-cloud-ce-grand-truc-qui-fait-perdre-la-tete-aux-di…


Eagle1 Abonné
Le 03/10/2013 à 09h 35







ErGo_404 a écrit :



N’importe quel péqueno se doutait que ça pouvait arriver. L’affaire Snowden a juste apporté la preuve “officielle”.



T’en fais pas que l’ANSSI tout comme la grande majorité des grosses boîtes françaises savent déjà très bien que ce genre de choses peuvent arriver. Malheureusement tous le savent mais tous ne s’y préparent pas forcément.







Tout le monde savait. La preuve, depuis rien n’a changé. Les diplomates/chef d’états n’en ont même pas parlé entre eux.



WereWindle
Le 03/10/2013 à 09h 40







Eagle1 a écrit :



Tout le monde savait. La preuve, depuis rien n’a changé. Les diplomates/chef d’états n’en ont même pas parlé entre eux.





haaaan t’as tes entrées aux réceptions de l’ambassadeur avec Ferrero Rochers et jus d’orange dans des flûtes à champagne et tu fais même pas tourner :‘(



FunnyD
Le 03/10/2013 à 09h 45







Eagle1 a écrit :



Tout le monde savait. La preuve, depuis rien n’a changé. Les diplomates/chef d’états n’en ont même pas parlé entre eux.





Tu es courant des discussions qu’ils ont en privé?



Eagle1 a écrit :



là par contre, faut qu’il change de job. S’il a découvert prism avec les récentes “révélations”. Car n’importe quel péqueno était au courant d’un truc comme ça…





On comprend pas la même chose, pour moi ca veut juste dire qu’il a pu appuyer son discours auprés des personnes “autorisées” par les “révélations” de Snowden.



Ricard
Le 03/10/2013 à 10h 05







Jed08 a écrit :



L’ANSSI c’est pas les services secrets Français. Ils ne vont pas checker ta chambre, tes téléphones tes chiottes, ta cave à vin, ta cave à p*te pour voir s’il y a pas des micros poser quelque part (je suis même pas sûr que ce soit le rôle des services secret de faire non plus).





Leur boulot, c’est en amont hein, pas une fois que c’est fait.



Jed08
Le 03/10/2013 à 10h 08







Ricard a écrit :



Leur boulot, c’est en amont hein, pas une fois que c’est fait.







Encore une fois, l’ANSSI ce n’est pas les services secret.

L’espionnage et le contre espionnage ne sont pas leurs missions.



Ricard
Le 03/10/2013 à 10h 14







Jed08 a écrit :



Encore une fois, l’ANSSI ce n’est pas les services secret.

L’espionnage et le contre espionnage ne sont pas leurs missions.





Ben leur boulot, c’est de conseiller sur les règles de sécurité. Va sur leur site et regarde les conseils qu’ils donnent sur la messagerie par exemple… ça fait doucement rigoler. Alors quand le monsieur il dit:“moi j’ai pensé à toutes les situations”, ben moi je lui dit:“Change de job”.<img data-src=" />



Ricard
Le 03/10/2013 à 10h 20







WereWindle a écrit :



haaaan t’as tes entrées aux réceptions de l’ambassadeur avec Ferrero Rochers et jus d’orange dans des flûtes à champagne et tu fais même pas tourner :‘(





<img data-src=" /><img data-src=" /><img data-src=" />



oufledingue
Le 03/10/2013 à 10h 20







Ricard a écrit :



Ben leur boulot, c’est de conseiller sur les règles de sécurité. Va sur leur site et regarde les conseils qu’ils donnent sur la messagerie par exemple… ça fait doucement rigoler. Alors quand le monsieur il dit:“moi j’ai pensé à toutes les situations”, ben moi je lui dit:“Change de job”.<img data-src=" />







je me permet de reposter un commentaire fait sur l’autre sujet des assises et qui rejoins un peu ton opinion sur notre ami P. Pailloux





Patrick pailloux est intelligent, très intelligent.

Ce qui est dommage, c’est que son discours très intelligible se voit nuancé par un ton desaprobateur qui ne peut fédérer

M. Pailloux, la sécurité informatique est bien évidemment un enjeu national. Mais il faut savoir rester dans l’analyse avec le recul et l’humilité qui vous sierait bien mieux, et non dans le constat (“je vous l avais dit, vous avez vu j avais raison”) ou dans la vindicte.



Mais au delà de tout ça, vos idée sont justes sur la plupart des sujets. Mais il manque pour moi 2 sujets dans vos ateliers.




  • le dimensionnement des concepts aux tailles des entreprises. je ne suis pas d’accord accord pour dire qu une pme est plus facile à sécuriser qu’une grosse boîte. Les problèmes sont identiques mais des échelles d’effectif et de moyens différents.

  • l’intégration du management dans le processus de définition des niveau de sécurité de l’entreprise : je pense que l’anssi via ses ateliers de travail devrait bûcher sur un cursus ou une boîte à outils afin d’aider les Dsi à vulgariser les notions de la SSI pour le management hors IT





    et sinon, je me répète :





    Marc, si tu lis ce commentaire, je suis à Monaco, ça serait cool de pouvoir te voir en vrai :-)



cid_Dileezer_geek
Le 03/10/2013 à 10h 46







WereWindle a écrit :



haaaan t’as tes entrées aux réceptions de l’ambassadeur avec Ferrero Rochers et jus d’orange dans des flûtes à champagne et tu fais même pas tourner :‘(



A mon avis tu regardes trop la télé, il n’y a pas de plateaux de Ferrero rochers et ce n’est pas du jus d’orange dans les flûtes <img data-src=" />



<img data-src=" /><img data-src=" />



WereWindle
Le 03/10/2013 à 11h 16







cid_Dileezer_geek a écrit :



A mon avis tu regardes trop la télé, il n’y a pas de plateaux de Ferrero rochers et ce n’est pas du jus d’orange dans les flûtes <img data-src=" />



<img data-src=" /><img data-src=" />





oh bah c’est moins cool du coup :/



cid_Dileezer_geek
Le 03/10/2013 à 11h 20







WereWindle a écrit :



oh bah c’est moins cool du coup :/



Attend, je t’ai pas encore parlé des babes. <img data-src=" />



Eagle1 Abonné
Le 03/10/2013 à 12h 01







WereWindle a écrit :



haaaan t’as tes entrées aux réceptions de l’ambassadeur avec Ferrero Rochers et jus d’orange dans des flûtes à champagne et tu fais même pas tourner :‘(









bon j’arrête, je vous laisse au pays des bisounours.



theyellowman
Le 03/10/2013 à 14h 07

Bon, ça fait peut être un peu publicité. Mais pour la SSI pour les particuliers, j’ai publié une application sur Android pour sensibiliser les personnes avec des fiches, des quiz et des outils. : SecuChecker

C’est idéal de sécuriser les grandes entreprises, mais les particuliers ne doivent pas être oubliés. Et pour la réception, je vous confirme que c’est plus classe que du simple jus d’oranges ;).


Jarodd Abonné
Le 03/10/2013 à 14h 54



« C’est toujours la même chose : la question est de savoir si les données sont sensibles ou pas. En fonction du niveau, à vous de choisir. Si les données sont ultra sensibles, vous les mettez chez vous dans un coffre-fort. Si elles sont sensibles, mais pas trop, vous les fournissez à un prestataire français ou, si elles sont moins sensibles, européen. Quand elles ne sont pas du tout sensibles, vous les mettez où vous voulez, cela n’a pas d’importance. »





Vaines paroles. Même sur PCInpact, où on peut penser que les intervenants savent de quoi ils parlent, on se faisait pendre haut et court quand on disait ne pas vouloir mettre ses documents sous le PAtriot Act. J’ai la flemme de rechercher ses messages mais on pourrait se marrer quelques minutes… <img data-src=" />


matroska
Le 03/10/2013 à 16h 29







Jarodd a écrit :



Vaines paroles. Même sur PCInpact, où on peut penser que les intervenants savent de quoi ils parlent, on se faisait pendre haut et court quand on disait ne pas vouloir mettre ses documents sous le PAtriot Act. J’ai la flemme de rechercher ses messages mais on pourrait se marrer quelques minutes… <img data-src=" />







<img data-src=" /><img data-src=" />



Je crois bien qu’à lire vos réponses vous ne mesurez pas la portée de Prism.



Mais qui bosse dans la secu info ici ?



.

Mdr les bu esec et consort


aztazt
Le 04/10/2013 à 13h 43







ledufakademy a écrit :



Je crois bien qu’à lire vos réponses vous ne mesurez pas la portée de Prism.



Mais qui bosse dans la secu info ici ?



Mdr les bu esec et consort







Moi je bosse dans la SSI, mais je préfère rester spectateur de vos commentaires.