Cette année, le Livre Bleu, un incontournable des Assises de la Sécurité, aura une double utilité : sa vocation première de fournir un “outil” aux responsables concernés doublé, cette fois, d’un bilan sur la période 2000-2010 et ce, à l’occasion des 10 ans des Assises. C’est une publication annuelle essentiellement destinée aux RSSI et DSI qui, sous une forme synthétique, regroupe indicateurs et statistiques grâce aux remontées de plus de 250 patrons informatiques et sécurité. Devenu au fur et à mesure des années un véritable outil de travail, le Livre Bleu est né en 2004 suite à une enquête sur la fonction Sécurité du Système d’Information au sein d’une entreprise ou d’une administration. A l’époque, une véritable “radiographie” de la fonction SSI avait pu être établie grâce aux réponses à un questionnaire composé d’une quarantaine de questions. Vu le succès du premier Livre, l’enquête a été réitérée chaque année avec un éclairage différent en se basant à chaquefois sur une problématique du moment.
10 ans de bilan
Ainsi en 2004, l’histoire a débuté avec la question “Va-t-on vers un management stratégique du cyber-risque ?” , elle s’est poursuivie l’année suivante avec “Vers un benchmarking de la sécurité” pour générer un tableau de bord “éducateur” de la situation sur le terrain et en 2006, est apparu le premier bilan sur “Les grands défis de la fonction sécurité du SI” . Après une première volée de Livres Bleus plutôt orientée prospectiviste et exploratrice du milieu de la SSI, à partir de 2007, les sujets proposés poussaient à une exploration plus concrète du domaine. En 2007 exactement, la question sur “Les pouvoirs en sécurité des SI” a donc été posée. En 2008, c’est le moment de parler de la “Sécurité Globale” dans le cadre du décret publié sur les infrastructures vitales passées à cette occasion au nombre de 13 (et non plus seulement 4) infrastructures critiques définies. Un décret avec lequel les entreprises concernées doivent se débrouiller pour l’appliquer. L’an passé, l’analyse a porté sur “le développement de la culture des risques” (sensibilisation, formation …).
Le bilan 2000-2010 présentera “l’évolution des menaces et des risques” . De l’essor des botnets de Mafia Boy à Zeus à l’industrie du malware de I love à Conficker, en passant par les attaques ciblées de l’infrastructure à l’information, sans oublier un aperçu de l’économie de la cybercriminalité au travers de l’exploration de cas tels que Serge Humpisch à Albert Gonzalès: tout sera balayé. Le second axe portera, dans la foulée, sur l’évolution des “Solutions et services apportés par le marché”.
En ce qui concerne l’aspect Bilan dédié à l’évolution du cadre légal, Christiane Férhal- Schul et Eric Caprioli, tous deux avocats deleur état, se sont prêtés à l’exercice. Dématérialisation, archivage électronique, signature électronique …autant d’aspects légaux qui ont marqué cette décennie et notamment le décret du 13 mars 2000 relatif à la preuve électronique, une date clé au coeur de cette évolution.
8 RSSI, experts “terrain”
Enfin le dernier point relatif à l’évolution du métier des RSSI sur cette période a nécessité la participation d’experts terrain, en l’occurrence 8 RSSI reconnus pour leurs compétences et issus de différents secteurs d’activité afin de recouvrir toute la sphère économique et industrielle. Ils ont répondu sur l’impact des normes dans leur quotidien, l’arrivée du CIL (partenaire ?, ennemi ?, RSSI ? …), l’évolution de la société d’informationversus l’intelligence économique (luttede pouvoir entre assureur, informaticien,monde de la Défense ?), la tendance de la sécurité à devenir non plus une contrainte mais une véritable valeur ajoutée sous la forme d’un service de confiance (dans l’entreprise, le commerce, la santé …).
Outre le bilan de la dernière décennie, la question de cette année et l’enquête tourneront autour de l’”Analyse de la Dimension économique de la sécurité des Systèmes d’Information” en s’appuyant sur une enquête annuelle composée de 25 questions à laquelle 250 professionnels ont participé.En conclusion de ce Livre Bleu beaucoup d’interrogations actuelles seront soulevéescomme la mise en danger des données personnelles, les vulnérabilités liées à Internet et aux réseaux sociaux, des relations multipersonnes N to N et sans maîtrise des interlocuteurs, les malwares qui tendent à une durée de vie de plus en plus courte … Ainsi selon Pierre-Luc Refalo, un des principaux participants au Livre Bleu, “Cette année, nos travaux ne proposent pas d’orientation stratégique car l’incertitude règne partout. Nous avons souhaité éclairer le présent par ce bilan 2000-2010, centrant l’analyse sur les aspects économiques de la sécurité du SI en période de crise et alors que le développement de la cybercriminalité n’en est qu’à ses débuts.”
Le Livre Bleu des Assises 2010 : un ouvrage à ne pas manquer …
