'ai pu assister aux douzièmes Assises de la Sécurité qui se tenaient du 3 au 6 octobre derniers à Monaco. Si le cru 2011 m'avait agréablement surpris, je dois avouer que l'édition 2012 est fort loin d'avoir eu le même effet. Si je conçois parfaitement que l'intérêt de l'évènement tourne largement autour du networking et des rencontres client/fournisseur en mode (sic) "accélérateur de business", il n'en propose pas moins un nombre d'ateliers, tables rondes et autres conférences plénières dont le contenu aurait dû me laisser sensiblement moins dubitatif...
Et l'intervention qui a suscité une avalanche de commentaires, à savoir le discours d'ouverture de Patrick Pailloux n'y a pas fait exception. N'étant pas partisan du tir sur l'ambulance, je n'ajouterai pas un énième avis sur la question. Tout juste un grain de sel pour souligner que son contenu résume assez bien mon ressenti général de ces rencontres... À savoir des Assises pour les nuls...
Encore une fois, la raison d'être principale de l'évènement ne m'échappe pas. Je comprends également ne pas être l'archétype de la personne qu'on souhaite inviter aux Assises. On a beau m'affubler du qualificatif on ne peut plus ambigu d'influenceur, lequel me place parmi les invités par défaut, loin de moi l'idée de nier que mes attentes diffèrent de celles de la majorité de l'assistance. Mais tout de même...
La conférence du patron de l'ANSSI et ses quarante recommandations m'ont plus fait l'effet d'un "Security for dummies" à l'usage du décideur débutant que d'un réel contenu à l'adresse des RSSI présents dans la salle. S'il ne fait point de doute que ce discours trouve ses racines dans une certaine réalité, s'il s'inscrit dans la droite continuité du Back to basics qui clôturait l'édition précédente, il n'en reprend pas moins un des défauts que je dénonçais l'an dernier : il ne s'adresse pas à la bonne audience. "Make no mistake", oserais-je dire en paraphrasant quelques présidents américains... Lorsque Patrick Pailloux intervient aux Assises, ce n'est manifestement pas tant pour toucher une assistance qu'il sait largement sensibilisée, pour ne pas dire acquise, à ce qu'il raconte que pour profiter de l'opportunité médiatique que lui offre un évènement qui s'accommode fort bien d'une telle publicité. Et de relayer ainsi son discours vers une cible plus large, ou plus difficilement accessible comme, typiquement, les dirigeants.
Ce discours présente à différents degrés deux des trois travers que j'ai retrouvés tout au long de ces Assises. D'un côté des discours à peine digne d'une séance de sensibilisation à la sécurité, souvent d'une platitude impressionnante pour ne pas dire affligeante par moments, frisant parfois l'escroquerie intellectuelle. Mais donnant au demeurant l'impression que les différents orateurs s'adressent à une bande de n00bs. D'aucuns me feront ironiquement remarquer que si on parle des RSSI, c'est probablement le cas. Je rejetterai l'objection tant le niveau était bas, tout au moins en ce qui concerne les ateliers auxquels j'ai assisté. De l'autre, des discours manifestement pas destinés au public présent, mais clairement à but auto-promotionnel et qui auraient tout aussi bien pu se tenir en conférence de presse. Ce qui aurait au moins eu le mérite de poser les choses clairement pour le plus grand bonheur de chacun.
Le troisième défaut, enfin, tient en une absence de vision stratégique chez les vendeurs dont l'offre s'inscrit quasi-exclusivement dans la réaction aux menaces à la mode. Il suffit pour s'en convaincre de parcourir le programme pour constater que l'essentiel du contenu tourne autour du BYOD, de mobilité et du cloud, avec un zeste de traitement des APT. Loin de moi l'idée de jeter le bébé avec l'eau du bain. Il y a eu d'une part et bien évidemment des exceptions notables à cette règle, malheureusement peu nombreuses. Pas assez en tout cas à ce que j'ai pu en voir pour renverser la tendance. D'autre part, je peux comprendre l'intérêt d'orienter une présentation vers des choses qui parlent. Mais encore une fois, il y a des limites... Limites que je ne suis pas la seul à penser qu'elles ont été largement dépassées. Prenez par exemple le retour de Bruno Kerouanton dont je partage complètement la conclusion, certes dure mais factuelle : "beaucoup de personnes ont loupé le coche".
Il y aurait plusieurs façons d'expliquer cet état de fait, avec plus ou moins de bonheur éventuellement accompagné d'un soupçon mauvaise foi. L'hypothèse que je retiens, c'est qu'en faisant la part belle à des acteurs fortunés, parfois en mal de reconnaissance, et/ou des orateurs à la mode au discours souvent sans grande valeur ajoutée, les Assises ont sacrifié leur contenu pour quelques envolées qui ne sont manifestement pas destinées à leur public de RSSI, mais bien plus adressé à des décideurs malheureusement absents de l'évènement. C'est également ce que semble constater Hervé Schauer dans un édito qui lui a valu les foudres de l'organisation, laquelle devrait peut-être méditer la célèbre maxime de Beaumarchais[1] qui dit que "sans liberté de blâmer, il n'est pas d'éloge flatteur".
Car il est clair depuis longtemps que ce n'est pas dans la course à l'armement qui anime vendeurs de produits et autres intégrateurs de solutions standardisées peuplant les Assises et dont on connaît depuis des lustres les limites des offres, qu'on parviendra à adresser les fameux vingt pourcents qui font vraiment mal... Dommage qu'en 2012, à l'évidence, le message ne soit toujours pas passé...
Tout cela ayant été dit, et pour en revenir à ce que je disais au début sur l'intérêt principal des Assises, il faut bien reconnaître qu'on ne boude pas la magie du cadre monégasque qui remplit son rôle à merveille, permettant à tout un chacun de s'acquitter de sa part de réseautage. Ça, clairement, c'était réussi.
Pour le reste, une fois n'étant pas coutume, il est à espérer que l'organisation saura tirer quelque leçon de cette douzième édition et redresser la barre afin que les Assises ne deviennent pas un faire-valoir de plus pour quelques personnalités, et leur (re)donner la place qu'elles entendent occuper dans le paysage de la SSI française.
On ne manquera pas de me demander si, dans l'hypothèse où la situation se présenterait, je reviendrais aux Assises l'an prochain. Si c'était pour le contenu, le réponse serait évidemment non, à l'instar que la position que je tiens désormais vis-à-vis de BlackHat. Mais dans la mesure où mon intérêt premier reste le networking et si des gens intéressants y assistent également, alors, le cadre aidant, la réponse serait probablement oui. Sinon, j'éviterai de perdre de temps et travaillerai dur et tard. Comme certains de mes confrères, mais néanmoins amis ;)
Notes
[1] Car c'est peut-être précisément parce qu'on aime le cinéma qu'on ne veut pas voir le Festival de Cannes devenir celui du nanar...