septembre 20th, 2019

Plus qu’une semaine avant le pèlerinage Monégasque qui réunit, une fois par an, le monde InfoSec, des associations professionnelles aux vendeurs de « produits et solutions, des organismes gouvernementaux (Anssi en tête) aux décideurs-prescripteurs de l’industrie.
Les Assises, c’est avant tout une réunion doctrinale, une sorte de mise au point annuelle des actions envisagées par l’Agence Nationale de la Sécurité des Systèmes d’Information. La petite phrase y prend des allures de sujet du bac, l’allusion se transforme en avertissement. Tantôt l’on rappelle qu’en matière de cyber-coopération internationale, « nous avons des alliés, pas des amis », un œil rivé sur la ligne bleue du Bsod, l’autre lorgnant de l’autre côté de l’Atlantique. Une autre fois, ce sera à l’IoT d’en prendre plein son grade. Ou bien encore l’occasion de rappeler que le temps politique et le temps SSI ne répondent pas aux mêmes agendas, et que la souveraineté d’un Cloud, d’un système d’exploitation ou d’un antivirus dépasse rarement les frontières des salons où l’on cause. On vient donc aux Assises pour écouter la bonne parole de Guillaume Poupard, Directeur Général de l’Agence.

On y vient également pour découvrir des jeunes pousses, des nouvelles technologies, dont les lauréats sont sélectionnés par un aréopage de gens du métier, lors de réunions organisées par le « Cercle des Assises ». Cette année, le gagnant de ce « prix de l’innovation » s’appelle Moabi, une startup spécialisée dans l’audit de logiciel « post-compilation » lancée par deux grands noms de la sécurité, deux inséparables chercheurs : Nicolas Massaviol et Jo « endrazine » Brossard. Deux noms que l’on avait plus souvent l’occasion de voir affichés lors de conférences plus geekesques : NoSuchCon, les Sstic, Hardwear.io, DefCon, en bref, les grandes « Con » où l’on se retrouve sans cravate. Moabi, c’est la confluence de trois tendances. D’un côté la quasi obligation des éditeurs de logiciels de poursuivre un contrôle qualité compatible avec les temps de réaction dignes des filières « agiles » et des approche DevSecOps, de l’autre le recul des offres « on premise » au profit de modèles commerciaux cloudifiés et « as a Service », enfin l’arrivée à maturité d’un projet aux origines complexes (les tests des binaires par exécution symbolique) mais enfin disponible en « boîte noire », en offre packagée et prête à l’emploi. De manière simplifiée, Moabi est un service en ligne capable de fournir un diagnostic de vulnérabilités (connues ou non encore détectées) pour tout programme déjà compilé, quel que soit le processeur censé l’exécuter, quel que soit le noyau pour lequel il a été conçu. A l’heure du « devsecops » et des méthodes d’évolution continues des applications métier, il était impensable de ne pas voir arriver sur le marché des outils capables d’assurer un contrôle qualité également « en continu » tout au long du cycle de vie d’un logiciel.
Les Assises, c’est également 90% de « off », de contacts personnels, de relations clients-fournisseurs potentielles, de tractations d’embauches occasionnelles, bref, de business as usual. C’est également un festival off, celui qui se déroule dans les salles de conférences pour le compte des exposants. Ainsi, pêle-mêle, au fil des annonces presse, les ateliers de Sogeti autour du Cloud, des containers, de l’IoT, la présentation d’Oodrive sur la gestion centralisée des identités, les rencontres d’Evidian sur le stand Atos portant sur l’usage des tableaux de bord SSI, l’inévitable conférence Microsoft à propos de la sécurité sur la plateforme 365, un RetEx proposé par le groupe Suez, l’habituelle présence d’Airbus avec une présentation orientée IoT, ou encore Devoteam sur la souveraineté de l’identité numérique, de la sphère personnelle à l’univers professionnel. On assistera également aux conférences plénières dont l’intervention très attendue de Guillaume Poupart, DG de l’Anssi.