Après les médailles des Passi, des Pris, des Secnumcloud, des Psce, des Pdis, des Psco, un nouveau label pourra être accroché à la vaillante poitrine des intervenants SSI : l’ordre des Pams, ou « Prestataires d’Administration et de Maintenance Sécurisées « . En simplifiant à l’extrême, avant, il y avait un « spécialiste » externe avec droits « root » ou « admin » que l’on appelait chaque fois que la comptabilité tombait en panne, désormais, il y aura ce même spécialiste, mais dont la certification garantira une absolue discrétion quant aux secrets de l’entreprise. Un « gardien des clefs » facturé à la prestation en d’autres termes.
C’est là une fonction importante et nécessaire, particulièrement dans le cadre de grandes et moyennes entreprises qui ont parfois bien du mal à déterminer les limites de leurs différentes externalisations (lorsqu’elles les connaissent). Ce sera surtout un véritable sport de combat pour déterminer combien de fonctions stratégiques doivent ou non dépendre d’un Pams, et à combien de Pams il faudra faire appel…
Le second bouclier magique brandi par l’Anssi est une variante de la célèbre méthode Ebios ( Expression des besoins et identification des objectifs de sécurité), poussée par le Clusif depuis de nombreuses années. Cette fois, il s’agit d’une extension spécifiquement destinée à l’analyse de risques, explique le communiqué de l’Agence Nationale. Une méthode de plus ? Plutôt un moyen de formaliser l’analyse de risques en impliquant les différents responsables et acteurs de l’entreprise. Et pour que cette implication fonctionne, il faut également que participent à la mise en œuvre de cette méthode bien entendu le RSSI, mais également les responsables métier et surtout les directions opérationnelles et stratégiques. L’avantage évident d’Ebios « analyse de risques » est de décentraliser et déporter la responsabilité en dehors du cercle restreint de la SSI. En toute logique, si la recette Anssi fonctionne, on devrait moins entendre dans le cercle que « la sécurité est un échec ».