RIP le FIC ?

À l’origine, le FIC avait pour ambition de réunir les acteurs de la sécurité informatique, y compris ceux qui ne rentraient pas parfaitement dans les cases et la sphère militaire. Les premières éditions étaient assez intéressantes, car focalisées sur les aspects techniques, même si les composantes relationnelle et commerciale n’étaient pas absentes. Néanmoins, ce n’était pas l’essentiel.

Cette année, le FIC a accumulé les erreurs de formes, les erreurs de fonds, sans parler des erreurs de casting et de certaines omissions.

Des intervenants maltraités

Pour l’organisation, alors que beaucoup de monde était attendu, on ne peut que déplorer la gestion catastrophique. J’ai vu des évènements organisés par des bénévoles comme Pas Sage En Seine beaucoup mieux cadrés. Ainsi, les masters class se sont tenues dans une espèce de couloir, à proximité du challenge, dans un brouhaha assez insupportable. Résultat : des conférenciers frustrés, des visiteurs exaspérés et des interventions tronquées pour cause de temps mal géré. Mais pourquoi faire tenir presque une centaine de personnes dans un espace pouvant en contenir une trentaine alors que les grandes salles où avaient lieu les plénières étaient quasiment vides ? Tout simplement parce que les intervenants des salles plénières avaient payé. On connaissait les articles sponsorisés, sachez qu’il existe des conférences sponsorisées, sur la base d’environ 1000 € où un commercial va venir vous expliquer à quel point son produit est merveilleux. La surreprésentation des commerciaux a été telle que j’ai vu un commercial vilipender une inspectrice de police, parce que son collègue n’était pas disponible pour lui et ajouter, goguenard, quasiment mot pour mot, qu’il voulait voir cette personne pour lui « refourguer 20 000€ de matériel ».

Sexisme ordinaire

Et justement, sur le plan technique, il n’y avait rien d’intéressant. Lorsque l’on va dans ce type d’évènement, on s’attend à en avoir plein les yeux. À part des démonstrations ratées, je n’ai rien vu. Il faut dire que j’ai joué de malchance, car sur les stands où j’ai demandé des démonstrations techniques — notamment en matière de téléphonie — on a commencé par m’ignorer puis on m’a pris pour une stagiaire, alors que j’avais précisé mon statut professionnel juste avant. J’aurais pu mettre cela sur le compte de mon aspect physique, mais il semblerait que mes autres camarades féminines aient été joyeusement snobées, aussi bien par ceux qui tenaient les stands que par les visiteurs. Il m’a été rapporté qu’une directrice technique, proposant à un visiteur une démonstration, s’est vu répondre « je vais attendre votre collègue masculin ». Une autre professionnelle de la sécurité, demandant à parler à un responsable de recrutement, s’est fait rediriger vers le stagiaire. Mention spéciale pour un certain blogueur qui a consciencieusement dédaigné toutes les personnes de sexe féminin qui se sont présentées sur son stand. Mais j’imagine que quand on atteint un certain niveau, on oublie d’où on vient et il ne faudrait pas fâcher les gens qui vous ont acheté, même si cela dénote une certaine faiblesse intellectuelle. Quand vous avez une personne qui vous fait part d’une mauvaise expérience, vous vous dites que la personne a joué de malchance. Quand toutes les personnes de sexe féminin, avec lesquelles vous discutez, vous rapportent des faits similaires, ce n’est pas une coïncidence. Notons néanmoins qu’il y a des stands, notamment de recrutement, qui ont relevé le niveau et qui se sont adressés aux éléments féminins du salon, avec intelligence.

Quelle sécurité ?

Oublions ces questions de sexisme ordinaire dans le merveilleux monde de la sécurité informatique et penchons-nous sur le cœur de la chose : la sécurité. J’avoue avoir été passablement interloquée, d’avoir pu me promener dans tout le salon sans badge, alors que certains camarades ont dû systématiquement montrer le leur, y compris pour aller aux toilettes. J’ai évidemment montré mon badge à l’entrée, mais une fois passée, l’entrée, je suis rentrée à peu près partout, sauf dans l’espace VIP. De la même manière, il est amusant de constater que la gestion des vestiaires était tellement bien organisée, que des valises et des sacs étaient à portée de main des visiteurs. N’importe qui aurait pu repartir avec la valise de quelqu’un d’autre.

Ce débordement était le fruit d’une absence totale de communication : en effet, les organisateurs n’ont absolument pas informé les commerçants présents sur le salon, du nombre de personnes attendu. Cela s’est soldé par des files d’attentes interminables à la brasserie, car les équipes n’étaient pas suffisamment constituées, au point restauration rapide, avec 40mn d’attente pour acheter un sandwich et à des espaces convivialité surpeuplés.

On objectera que je pinaille avec des éléments sans intérêt. Pour anecdotiques qu’ils soient, ils sont surtout la démonstration d’une distorsion entre les discours et les faits. Comment peut-on prêcher la bonne parole en matière de sécurité quand la simple sécurité physique et classique n’est pas assurée ?

Un label à 15 000 € ?

La palme du double discours revient au projet ACYMA. Il s’agit d’une plateforme, notamment gérée par l’ANSSI, qui aura pour vocation de servir de point d’entrée aux particuliers et aux PME, victimes de « cyber-malveillance ». Quand il a été remarqué au représentant du ministère de l’Intérieur, que l’expression, cyber-malveillance n’avait aucune consistance juridique, ce dernier a précisé que cette plateforme de signalement n’avait pas pour vocation à servir de bureau de plainte, ni même de préplainte, mais simplement de prévention et d’aide à la résolution des problèmes liés à la sécurité. Le projet s’appuie sur deux piliers : prévention et réaction. Dans la partie réaction, si vous faites l’objet d’un acte de cyber-malveillance, vous trouverez sur cette plateforme, une liste de professionnels qui pourront vous aider, à la manière des applications VTC. L’ANSSI promet un cahier des charges relativement souple quant aux conditions de référencement des professionnels. Ce qu’elle n’a pas dit explicitement en conférence de presse, c’est que cette labellisation, façon label PUR de l’HADOPI, serait payante. En effet, des éditeurs de solutions de sécurité auraient été approchés et s’ils souhaitent être référencés sur cette plateforme qui n’a pas encore vu le jour, ils leur en coûteraient entre 15 000 € et 100 000 €. Au-delà de la question de la distorsion de concurrence organisée par l’État, au profit des gros acteurs, le fait de mettre une barrière financière à l’entrée serait de nature à compromettre le sérieux d’une telle démarche, dont on ne perçoit pas réellement la pertinence. S’il est avéré que cette barrière financière existe, pourquoi un professionnel mettrait 15 000 € sur la table pour figurer dans un annuaire alors qu’il peut s’offrir plusieurs opérations de communication, traditionnelle et numérique, au même prix, sur les grandes plateformes connues ? Quant au fond, l’absence de cadre juridique, clairement défini met à mal une telle initiative et vient s’ajouter aux innombrables guichets déjà existants. Mais la secrétaire d’État au numérique, qui a brillé par sa vulgarité et par son impolitesse lors de la conférence de presse, a bien spécifié que les cas de harcèlements et de revenge porn, ne seraient pas traités. Quand on sait que cela représente une part non négligeable des actes de malveillance sur le Web, on ne peut que s’interroger.

Mise à jour du 26/01/2017 à 13 h 52 : Concernant les prestataires sur la plateforme ACYMA, il semblerait qu’il y ait différentes versions concernant leur référencement. Officiellement, les prestataires souhaitant être référencés, n’auraient rien à débourser et les éditeurs ayant été approchés, l’auraient été pour intégrer le Groupement d’Intérêt Public (GIP) et donc participer au financement du projet. Mais officieusement, en échange de leur participation financière, les éditeurs, membres du GIP, pourraient mettre en avant leurs partenaires. Il subsiste un certain flou concernant cette plateforme et gageons que les autorités compétentes dissiperont les doutes.

Est-ce que tout était à jeter à cette édition 2017 du FIC ? Non et certains moments de camaraderie et de convivialité avec des personnes qui savent vraiment ce qu’est la sécurité ont été agréables et heureusement qu’elles ont été là. Mais si le FIC veut récupérer son originalité, il semblerait judicieux d’arrêter d’envoyer des marchands de lessive, faire des démonstrations ratées, de produits qui font tout en un clic, sans aucune originalité.