Accueil > Actualités et informations rapides sur la documentation juridique > Boîte à outils > Prise en compte des nouveaux risques SSI : un défi pour les petites et moyennes

Prise en compte des nouveaux risques SSI : un défi pour les petites et moyennes entités publiques

Ouverture du colloque SSTIC07, Rennes, 30 mai 2007

dimanche 10 juin 2007, par Stephane Cottin

J’ai eu l’occasion, en compagnie de Jérôme Rabenou, d’ouvrir le symposium annuel sur la sécurité des TIC (SSTIC)

Nous n’y étions pas du tout en tant que spécialistes des TIC (encore moins de la sécurité des TIC), mais comme utilisateurs et consommateurs de sécurité(s) des TIC, et surtout, pour ma part, comme (un peu) décideur (en tout cas conseilleur) pour embaucher un responsable SSTIC dans une institution comme la mienne.

L’intervention était annoncée ici http://www.sstic.org/SSTIC07/progra..., elle sera dans les actes du colloque, elle a déjà fait l’objet de commentaires sur des "blogs" spécialisés comme celui-ci par exemple http://adssi.over-blog.com/article-..., ou sur celui-ci http://sid.rstack.org/blog/index.ph... (qui donne de nombreux liens vers d’autres commentaires)

Je dois avouer qu’il n’a pas été facile de parler devant un tel auditoire, particulièrement exigeant techniquement, détestant la langue de bois, surtout que je tenais un discours décalé pour eux (celui du donneur d’ordre qui n’y connaît rien) et que je n’avais absolument pas envie de parler en détail de la situation de la sécurité dans mon institution (sinon j’aurai été étranglé sur place par mon officier chargé de la sécurité TIC, présent dans la salle). Aussi ne soyez pas étonné des commentaires au mieux poliment discrets sur ma piètre performance, et plus généralement acerbes sur la vacuité de mon discours, et surtout sur ce que je suis obligé de dire sur les problèmes de sécurité nés des NTIC dans mon secteur (notamment l’organisation des élections), à cause de ma stricte obligation de réserve.

L’objectif était surtout de dévoiler les méthodes qui ont permis, en ces temps de disette budgétaire, dans une administration comme la mienne, de petite taille, de créer un poste de RSSI. Ce retour d’expériences était accompagné d’un bref catalogue de problèmes liés à la sécurité des TIC dans le monde du droit et de l’administration, et que je trouvais être des cibles potentielles pour des travaux théoriques. Je pensais tout ceci utile pour une partie de ces professionnels qui auraient pu se réjouir d’apprendre qu’il existe des débouchés et des emplois à créer, pour peu qu’on arrive à convaincre les décideurs.

Voici le résumé de l’intervention, et, en pièces jointes, les supports (doc et ppt)

Les institutions publiques de toute taille sont par nature émettrices et/ou destinataires de normes, de jurisprudences, de correspondances ou de notes confidentielles, etc. Si l’évolution des NTIC a permis des avancées dans la productivité, elle a aussi ouvert des brèches béantes dans la sécurité, souvent inadaptée, de ces entités. Elles n’ont pas toutes, en effet loin s’en faut, la taille critique pour s’offrir un service de sécurité des systèmes d’information digne de ce nom.

Les états d’esprit évoluent favorablement vers la prise en compte de ces risques... même si les moyens ne suivent pas toujours.

Mais de nouvelles menaces apparaissent avec l’arrivée de nouveaux besoins, en une sorte de fuite en avant insurmontable.

Que penser en effet des initiatives de dématérialisation de la justice, de l’ELAO (élaboration de la loi assistée par ordinateur), du journal officiel électronique qui n’a pas remplacé la version papier, du vote électronique qui ne remplace pas les urnes et le vote papier ?...

SPIP | | Plan du site | Suivre la vie du site RSS 2.0