REVUE
revue256bd
revue256bd
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
Les acteurs régaLiens<br />
LES ACTEurS réGALIEnS DE LA CyBErSéCurITé ET SA GouVErnAnCE<br />
y a des capacités d’audit à peu près<br />
comparables. même si on voulait se<br />
passer du secteur privé dans ce domaine,<br />
cela n’aurait aucun sens. La cybersécurité<br />
est une question qui doit être normalisée,<br />
traitée comme les autres et les<br />
prestataires privés ont un rôle<br />
fondamental à jouer. Comment peut-on<br />
promouvoir cela ? Tout d’abord, nous<br />
avons des liens étroits avec la plupart des<br />
personnes qui produisent des<br />
équipements de sécurité ou qui<br />
proposent des services de sécurité.<br />
Ensuite, nous considérons que le rôle de<br />
l’état n’est pas de tout faire mais<br />
d’indiquer vers qui se tourner pour faire le<br />
travail efficacement. C’est exactement la<br />
démarche de qualification qui est en place<br />
et qui consiste à vérifier qu’un acteur qui<br />
propose des produits ou des services est<br />
à la fois compétent et de confiance, ainsi<br />
que le disait l’amiral. Il y a des personnes<br />
très compétentes mais d’une confiance<br />
très limitée de notre point de vue national.<br />
Il y a également des personnes qui sont<br />
de confiance mais pas compétentes :<br />
celles-là je vous les déconseille, c’est<br />
évident, avec eux vous allez dépenser<br />
votre argent pour rien. nous avons<br />
vraiment besoin de ces deux qualités qui<br />
sont complètement orthogonales. Cela ne<br />
se décrète bien évidemment pas sur la<br />
bonne tête des uns et des autres ou sur<br />
les bonnes relations que nous pouvons<br />
avoir. Ce n’est que le fruit d’un processus<br />
sérieux d’évaluation sur la base de règles<br />
du jeu claires et ouvertes.<br />
Concrètement, nous produisons des<br />
référentiels qui sont publics et qui<br />
expliquent ce que nous attendons d’un<br />
prestataire de services de sécurité.<br />
Ensuite, nous évaluons les prestataires,<br />
au vu de ce référentiel, ou, plus<br />
exactement, nous les faisons évaluer de<br />
manière indirecte par des laboratoires<br />
indépendants, comme pour les produits<br />
de sécurité. Parfois même, nous sommes<br />
obligés d’évaluer les experts, un par un,<br />
parce que nous savons très bien, dans le<br />
cas type des audits, des pentests qu’il<br />
faut avoir confiance dans l’entité mais<br />
également dans la personne qui va mener<br />
le test lui-même. C’est extrêmement<br />
compliqué et lourd, mais in fine, quand on<br />
a fait tout ce travail, on peut dire, au nom<br />
de l’état français, au nom du Premier<br />
ministre que tel prestataire a la<br />
compétence et le potentiel pour mener,<br />
par exemple, des audits. C’est tout<br />
(17) référentiel d’exigence<br />
applicable aux prestataires<br />
d’audit de la sécurité des<br />
systèmes<br />
d’information<br />
l’intérêt du référentiel<br />
PASSI 17 et du<br />
dispositif PASSI qui<br />
sont en place et déjà<br />
opérationnels. Arnaud CouSTILLIErE se<br />
plaint un peu du manque d’acteurs. En<br />
ce qui me concerne, je suis au contraire<br />
agréablement surpris du nombre<br />
d’acteurs qualifiés et de la qualité du<br />
travail réalisé aujourd’hui .<br />
on peut se demander si c’est encore<br />
suffisant pour répondre à la demande,<br />
mais il s’agit plutôt ici d’un problème<br />
positif. La même démarche est amorcée<br />
4 e trimestre 2016 Revue de la Gendarmerie Nationale<br />
37