mardi 16 octobre 2012

ANSSI, précis d'hygiène, discours du chef !

WARNING : Vous avez le droit de ne pas être d'accord avec moi, mais commentez alors :) je ne fais que vous faire part de mon opinion et mon expérience.....  CE POST N'ENGAGE QUE MOI


C'est la mode en ce moment, tout le monde veut parler de ce document....Je me permets donc de dire tout haut ma pensée sur ce dernier document et ma pensée vis a vis de l'ANSSI.


Sur le document : Ce document me parait comme la suite des autres documents ; une grosse communication au moment des assises...Le discours de PPailloux, n'est pas en phase avec le marché actuel.... Dans les ministères, c'est simple d'imposer ce qu'il dit, dans les collectivités locales et territoriales c'est quasi-impossible. Et je ne parle par des PME/PMI. Il est impossible de dire non(Bruno Kerouaton le résume bien dans son post). 


Ensuite sur la qualité du document; c'est une tres bonne compilation/résumé/traduction de ce que l'on trouve dans différentes normes(ISO) / documents (NIST entre autre). Mais je pense que si on a un RSSI, on a déja cela...C'est pas possible d'avoir un RSSI sans ce type de guide, les PME qui n'ont pas ce guide, n'ont pas de RSSI... Et les grands groupes qui ont un RSSI on déja plus... (ISO 27K ? ) 

Si le boulot de l'ANSSI se résume a cela et de nous pondre des docs comme le RGS, le document sur les prestataires d'audit, et des éléments crypto, on est pas avancé....C'est pas avec cela qu'on va gagner la "cyber-guerre" si elle éclate :) 



Sur l'ANSSI et les retours d'échanges avec eux : 

L'ANSSI est preneur de commentaires, si ils vont dans leur sens, IMHO.  (plusieurs discussions avec eux lors de "réunions"/rencontres/mails)

Je pense que l'ANSSI est actuellement plus un beau parleur, qu'un bel acteur (ca n'engage que moi : exemple : pour essayer de les impliquer dans différents dossier clients importants (opérateur régional ou ils refusent de venir car pas sur la liste des OIV....)) 

Actuellement, après plusieurs année a dire du bien de l'ANSSI, j'en viens a dire le contraire...On a bureaucratisé la SSI en France et on va avoir de chouettes rapports qui ne seront rien de plus qu'un document sur un bureau....


PS: il y a des gens tres bien à l'ANSSI, mais ils sont "bureaucratisés" et ne peuvent donc pas faire avancer des sujets de fonds intéressants (PME, ouverture au privé de certaines choses, commentaires dans les documents, ....) 
PS2: si vous avez des problèmes, pensez plus a voir la DCRI...Ils répondent présent, sont compétents, pas bureaucratisés, et ouverts d'esprit.....
PS3: ce post n'engage que moi ! 
//Activation syntaxhilight