INTERVIEW
 
19/11/2008

Patrick Pailloux (DCSSI)
"Nous voulons créer des réseaux de confiance internationaux"

patrick pailloux dcssi Labellisation des produits de sécurité, création d'une agence de sécurité, coopération internationale, mise en ½uvre du livre blanc de la défense : les réponses de la direction centrale de la sécurité des systèmes d'information.
  Envoyer Imprimer  

En savoir plus

Quels labels va encadrer la DCSSI ?

Globalement, nous avons trois grands types de labels. Un premier qui s'appelle l'agrément. Il vise la protection des informations classifiées défense, secret défense, confidentiel défense. Ce sont des éléments spécifiques à la protection de l'Etat. C'est un laboratoire gouvernemental à Rennes au ministère de la défense qui réalise les évaluations sur ces produits.

Nous avons ensuite un label de reconnaissance internationale basé sur des critères communs qui est la certification. Il fonctionne relativement bien, notamment dans le domaine de la carte à puce. Toutes les cartes bancaires, etc, sont évaluées et certifiées par ces labels. Les laboratoires en France s'appellent les CESTI. Ils effectuent les évaluations et la DCSSI délivre les certificats.

Enfin, ce que nous sommes en train de lancer, et en phase expérimentale désormais depuis plusieurs mois, est la certification de premier niveau.

 

De quoi s'agit-il concrètement ?

"Le label est une analyse boîte noire d'environ 20 jours homme"

Il s'agit d'une analyse boîte noire d'environ 20 jours homme par un laboratoire dans le but d'évaluer ce que fait effectivement un produit de sécurité : comme réagit-il ? Fait-il bien ce qui est attendu ? Existe-t-il des bugs ?

En 20 jours, il n'est pas possible de réaliser une analyse poussée, donc le label permet de réaliser une première évaluation. Nous avons d'ores et déjà délivré les premiers labels. Cela reste en phase expérimentale afin d'évaluer comment réagissent les sociétés notamment, ainsi que leur intérêt à l'égard de ce label.

Nous comptons beaucoup sur ce label qui présente l'avantage d'être relativement peu onéreux. En termes d'investissement, l'industriel développant un produit, ou l'entreprise souhaitant l'acheter, dispose d'une évaluation à prix accessible.

 

La liste des produits labélisés sera-t-elle bien publique ?

Oui tout à fait. Hormis les agréments, mais qui visent uniquement l'Etat, ces deux autres types de certifications sont publiques. Les industriels qui les ont obtenues peuvent communiquer sur la labellisation. Sur notre site, vous pouvez d'ores et déjà en trouver la liste.

La certification est reconnue à l'international. Quant au label de premier niveau, il demeure franco-français, mais nous avons quelques espoirs de pouvoir l'étendre à l'échelle internationale.

 

assises2008 pailloux tisserand
 
Patrick Pailloux (DCSSI) et Isabelle Tisserand (Le Cercle) lors de la conférence sur la cyber-défense française aux Assises de Monaco. ©  C. Auffray - JDN Solutions
 

Les marchés publics sont-ils amenés à baser leurs choix sur les certifications délivrées par la DCSSI ?

C'est absolument ce que nous souhaitons. Cela a été fait dans le domaine des infrastructures des bâtiments. Dans les démarches de qualité, vous n'avez pas un industriel aujourd'hui qui réponde à un appel d'offre s'il n'est pas certifié ISO 9000. Notre stratégie, c'est de faire la même chose dans le domaine de la sécurité pour que les appels d'offres s'appuient sur un certains nombre de labels.

 

Les administrations pourront-elles vous consulter afin de les assister dans leurs choix de solutions ?

C'est une de nos stratégies dans le cadre de la création de l'agence chargée de la sécurité des systèmes d'information au niveau de l'Etat. Il s'agit d'avoir un réservoir de compétences au profit des grandes administrations, des collectivités locales, des grands opérateurs.

Ces acteurs, lorsqu'ils font un appel d'offres, ont des questions de sécurité complexes à traiter. Nous serons là pour répondre aux besoins d'assistance dans ce domaine. Ce sera même un des cœurs de métier de cette agence que de venir les aider, en rédigeant quasiment la partie de l'appel d'offres sur les aspects liés à la sécurité.

 

"L'agence sera un réservoir de compétences au profit des grandes administrations, des collectivités locales, des grands opérateurs"

Quel calendrier pour les premières mises en œuvre du livre blanc de la défense et de la sécurité nationale ?

Il est en train de se construire. Les premières mises ne œuvre sont prévues pour le début de l'année prochaine. La première concrétisation sera la création de l'agence chargée de la sécurité des systèmes d'information.

En termes de développement de produits, nous verrons. J'espère voir un certain nombre de produits de sécurité arriver sur le marché dès l'année prochaine. Nous allons en effet faire développer des produits auprès d'industriels sur la base de nos propres spécifications, pour nos propres besoins gouvernementaux de très haute sécurité, mais aussi pour des besoins plus larges des grandes entreprises ou autres.

 

La coopération avec les pays européen se fera-t-elle aussi sur ces produits ?

Nous avons avec nos grands partenaires européens déjà des relations suffisamment étroites, quasi quotidiennes, sur les produits de sécurité, mais aussi sur les attaques informatiques. L'idée est surtout de créer des réseaux de confiance à l'échelon international pour s'échanger des informations au jour le jour sur ce qui se passe sur la planète de la sécurité.

 

Avez-vous une appréciation de la sensibilisation aux risques informatiques parmi nos voisins européens ?

En savoir plus

Il est difficile de répondre. Vous avez à peu près autant de situations différentes que de pays. Ce qu'on peut dire de manière générale, c'est que les pays anglo-saxons sont plus sensibilisés aux questions de perte d'information que les pays latins.

De manière caricaturale, les pays du nord sont probablement plus sensibilisés que ceux du sud. Mais la situation reste extraordinairement variable. En Estonie par exemple, le degré de sensibilisation à la sécurité est extrême.    


JDN Solutions Envoyer Imprimer Haut de page

Sondage

Votre entreprise évolue-t-elle vers une informatique bimodale ?

Tous les sondages