L’ANSSI et l’hygiène informatique : un nouveau guide

Hier, l’ANSSI a rendu public sa nouvelle version de son guide d’hygiène informatique dont il avait déjà été question ici.  Dans cette version actualisée, si certaines règles sont pleines de bon sens et sont tout à fait pertinentes, d’autres posent de réels problèmes, tant financiers, que logistiques que juridiques. Petite synthèse explicative.

Les règles 1 et 2, au-delà de l’aspect purement sécuritaires, relèvent surtout du bon sens et des bonnes pratiques informatiques, que finalement, n’importe quel utilisateur d’ordinateur devrait appliquer, notamment chez sur ses machines personnelles.

La règle 3 soulève un problème très épineux : le pouvoir de la DSI. En effet, il est question de rédaction mais surtout d’application de règles concernant les arrivées et les départs des personnes au sein d’une entreprise. Or, la DSI est souvent au même niveau que les autres directions dans une structure professionnelle, elle n’a aucun pouvoir hiérarchique. Elle ne peut donc pas contraindre les autres salariés. Par ailleurs, cela sous-entend que la DSI et les RH collaborent au quotidien et que la direction accepte non seulement cette collaboration mais qu’elle l’officialise – notamment dans les contrats de travail – mais aussi qu’elle accepte de se plier aux dites règles.

De la même façon, la règle 4 inclue une forme de maîtrise qui potentiellement, peut dépasser le cadre légal de la DSI dans la mesure où il est question de surveillance des échanges. La règle 26 paraît également induire une forme de surveillance des salariés par la DSI, sans pour autant que la direction de la structure en question ne semble avoir son mot à dire ni même que la CNIL ne soit sollicitée. Il est d’ailleurs étonnant que l’ANSSI ait totalement omise le rôle que joue la CNIL dans certaines règles édictées, de même que l’Hadopi, qui ont toutes les deux leurs mots à dire concernant les usages informatiques. Enfin, la règle 39 pose ce même souci : la question de la sensibilisation des utilisateurs est une question centrale mais la rédaction laisse supposer que la DSI impose sans que qui que ce soit d’autre puisse y répondre.  En somme, la DSI se trouve dans une position nettement supérieure à toutes les autres directions y compris l’employeur, ce qui soulève des interrogations quant au droit du travail mais également sur le plan de la responsabilité. A l’heure actuelle, l’employeur est responsable pour le fait de ses salariés. Or, si l’employeur perd son pouvoir hiérarchique sur sa DSI, que sa DSI prend une mauvaise décision qui cause un préjudice, on peut s’interroger sur la pertinence du maintien de ce schéma classique de responsabilité civile.

Certaines règles posent des soucis inhérents aux finances et à la logistique d’une entreprise ou d’une administration. Ainsi, la règle 35 est remarquablement délicieuse car elle se propose de faire en sorte que les imprimantes ne puissent imprimer que si la personne est physiquement à proximité de la machine. Les règles 36 à 39 incluses sont tout à fait justes techniquement parlant mais oublient un point essentiel : beaucoup de structures professionnelles n’ont pas de DSI en interne et externalisent leurs prestations informatiques. Cela leur revient souvent moins cher et est moins problématique que d’avoir une personne en interne. Or, les règles 36 à 39 – ainsi que d’autres – nécessitent d’avoir une personne qui soit toujours présente au sein de l’entreprise. Enfin, la dernière règle pose également un souci financier puisqu’il est question de procéder à des audits tous les ans. Encore une fois, c’est techniquement juste et justifié. C’est financièrement compliqué pour beaucoup d’entreprises et d’administrations qui n’ont pas dédié de budget à ce type de mission et qui n’en voient parfois même pas la nécessité.

Et puis, comme toute administration qui a un rapport avec la technique, l’ANSSI nous a inséré quelques règles qui appellent au troll. Citons au passage la règle 6 qui préconise une mise à jour prioritaire de Flash et Java – alors qu’il serait si simple de s’en passer, citons la règle 7 qui fait ouvertement référence à Microsoft alors que l’ANSSI a un devoir de neutralité et qu’elle met de côté les logiciels libres et open-sources mais surtout, citons les règles 11 et 31 qui soulignent explicitement le recours aux produits certifiés par l’ANSSI comme bonne pratique de sécurité informatique. On n’a pas envie d’imaginer les  implications juridiques, notamment en matière de responsabilité, si jamais un incident de sécurité survenait malgré l’utilisation des dits produits.

Enfin, comme toujours, le BYOD est devenu l’ennemi juré de l’ANSSI, c’est pourquoi elle recommande de l’interdire formellement dans sa règle 5 mais comme elle a parfois la mémoire courte, elle préconise de l’adapter dans sa règle 15.

Qu’on se rassure : tout n’est pas à jeter dans ce guide, loin de là. Une bonne partie des règles sont des règles de bon sens, même si elles ont tendance à être oubliées, par exemple, la consultation régulière des logs de connexion. Mais certaines semblent être encore une fois trop décolérées de la réalité professionnelle pour être pleinement applicables au sein d’une entreprise et comme le signalait hier Olivier Iteanu , il n’y a aucune ligne de droit dans ce guide, à croire que l’ANSSI n’a pas de direction juridique qui relirait les publications avant parution. Enfin, ce guide n’est pas adapté aux très petites, petites et moyennes structures, qui n’ont pas les mêmes moyens financiers, humains et logistiques qu’une grande entreprise.