Quarante règles simples pour sécuriser l'informatique des PME

Fournir les bonnes pratiques pour assainir son système d'information. Tel est le but du précis d'hygiène informatique élaboré par l'équipe de Patrick Pailloux, directeur général de l'Anssi (Agence nationale de la sécurité des systèmes d'information), pour accompagner les chefs d'entreprise démunis face aux attaques informatiques. “ Je ne veux plus que l'on me dise : “ nous ne savons pas quoi faire, c'est compliqué, nous manquons de compétences ” ”, déclarait Patrick Pailloux, lors des Assises de la sécurité 2012. Pour lui, les sociétés pourront désormais consulter cette liste publique “ de vérifications à faire, de mesures simples à prendre, et compréhensibles par (presque) tout le monde, en tout cas par tous les informaticiens ”. Et de conclure : “ Ceux qui ne les auront pas appliquées ne s'en prendront qu'à eux-mêmes. ” Le message est clair.Pour l'instant, la version 0 de ce guide – intitulé “ L'hygiène informatique en entreprise, quelques recommandations simples ” – est téléchargeable sur le site de l'Agence. Patrick Pailloux, qui a lancé un appel à contributions, annonce qu'une première publication officielle sera réalisée à partir des remarques et commentaires reçus. “ Je sais d'avance ce que l'on va me rétorquer anticipe-t-il. Le document est trop compliqué, il n'est pas en relation avec la réalité du terrain. Je ne le crois pas. ”De fait, si la démarche est louable, l'exercice n'en reste pas moins complexe. L'Anssi, de par son statut gouvernemental, endosse une lourde responsabilité et suscite, par conséquent, des attentes aussi fortes que nombreuses. Certains se disent même déçus par son manque d'actions, notamment auprès des PME, dont l'Anssi refuserait de se rapprocher. D'ailleurs, certaines réactions sont assez critiques : “ Proposer un guide qui recense des concepts de sécurisation sans donner les clés de mise en œuvre ne servira à rien ”, déplore Nicolas Ruff, chercheur en sécurité informatique chez EADS-IW. Pour beaucoup, il y manque le “ comment ”. Car le précis est censé toucher des populations non averties, qui risquent de se retrouver démunies face à l'application de tant de règles. “ Les PME seront incapables de les appliquer ”, assure un expert sécurité. Nombreux aussi sont ceux qui jugent ce guide déconnecté de la réalité du terrain. Par exemple, quand il préconise d'interdire l'utilisation de supports amovibles ou de smartphones personnels. “ Comment pouvez-vous tenir un tel discours alors qu'il y a derrière ces contraintes une entrave à la productivité, un frein à la compétitivité ? ”, interrogeait un intervenant lors des Assises de la sécurité.

Recadrer les pratiques

Bref, ce guide est avant tout à considérer comme une base de réflexion et un appui non négligeable pour recadrer les pratiques. De fait, l'Agence a déjà reçu un grand nombre de retours qu'elle est en train de consolider. “ Je pense utiliser ce document pour dialoguer avec ma direction ”, affirme un participant. Il fait ainsi référence à la règle numéro 30 : ne pas donner aux utilisateurs de privilèges d'administration. Ne faire aucune exception…