Encore une fois, la raison d'être principale de l'évènement ne m'échappe pas. Je comprends également ne pas être l'archétype de la personne qu'on souhaite inviter aux Assises. On a beau m'affubler du qualificatif on ne peut plus ambigu d'influenceur, lequel me place parmi les gens qu'on invite "à défaut de mieux", loin de moi l'idée de nier que mes attentes diffèrent de celles de la majorité de l'assistance. Mais tout de même...

La conférence du patron de l'ANSSI et ses quarante recommandations m'ont plus fait l'effet d'un "Security for dummies" à l'usage du décideur débutant que d'un réel contenu à l'adresse des RSSI présents dans la salle. S'il ne fait point de doute que ce discours trouve ses racines dans une certaine réalité, s'il s'inscrit dans la droite continuité du "Back to basics" qui clôturait l'édition précédente, il n'en reprend pas moins un des défauts que je dénonçais l'an dernier : il ne s'adresse pas à la bonne audience. "Make no mistake", oserais-je dire en paraphrasant quelques présidents américains... Lorsque Patrick Pailloux intervient aux Assises, ce n'est manifestement pas tant pour toucher une assistance qu'il sait largement sensibilisée, pour ne pas dire acquise, à ce qu'il raconte que pour profiter de l'opportunité médiatique que lui offre un évènement qui s'accommode fort bien d'une telle publicité. Et de relayer ainsi son discours vers une cible plus large, ou plus difficilement accessible comme, typiquement, les dirigeants.

Ce discours présente à un degré moindre deux des trois travers que j'ai retrouvés tout au long de ces Assises. D'un côté, des discours à peine digne d'une séance de sensibilisation à la sécurité, souvent d'une platitude impressionnante pour ne pas dire affligeante par moments, frisant parfois l'escroquerie intellectuelle. Mais donnant au demeurant l'impression que les différents orateurs s'adressent à une bande de n00bs. D'aucuns me feront ironiquement remarquer que quand on parle de RSSI, c'est probablement le cas. Je rejetterai l'objection tant le niveau semblait bas, tout au moins en ce qui concerne les ateliers auxquels j'ai assisté. De l'autre, des discours manifestement pas destinés au public présent, mais clairement à but auto-promotionnel et qui auraient tout aussi bien pu se tenir en simple conférence de presse. Ce qui aurait au moins eu le mérite de poser les choses clairement pour le plus grand bonheur de chacun.
Le troisième défaut, enfin, tient en une absence de vision stratégique chez les vendeurs dont l'offre s'inscrit quasi-exclusivement dans la réaction aux menaces à la mode. Il suffit pour s'en convaincre de parcourir le programme pour constater que l'essentiel du contenu tourne autour du BYOD, de la mobilité et du cloud, avec un zeste de traitement des APT. Loin de moi cependant la volonté de généraliser à l'emporte-pièce ce constat. Il y a eu d'une part, et bien évidemment, des exceptions notables à cette règle, malheureusement peu nombreuses. Pas assez en tout cas à ce que j'ai pu en voir pour renverser la tendance. D'autre part, si je peux comprendre l'intérêt d'orienter une présentation vers des choses qui parlent, il y a des limites... Limites que je ne suis pas la seul à penser qu'elles ont été dépassées. Prenez par exemple le retour de Bruno Kerouanton dont je partage complètement le constat, certes dur mais factuel : "beaucoup de personnes ont loupé le coche".

Il y aurait plusieurs façons d'expliquer cet état de fait, avec plus ou moins de bonheur éventuellement accompagné d'un soupçon mauvaise foi. L'hypothèse que je retiens, c'est qu'en faisant la part belle à des acteurs fortunés, parfois en mal de reconnaissance, et/ou des orateurs à la mode au discours souvent sans grande valeur ajoutée, les Assises ont sacrifié leur contenu pour quelques envolées qui ne sont manifestement pas destinées à leur public de RSSI, mais bien plus adressé à des décideurs malheureusement absents de l'évènement. C'est également ce que semble constater Hervé Schauer dans un édito qui lui a valu les foudres de l'organisation, laquelle devrait peut-être méditer la célèbre maxime de Beaumarchais[1] qui dit que "sans liberté de blâmer, il n'est pas d'éloge flatteur".
Car il est clair depuis longtemps que ce n'est pas dans la course à l'armement qui anime vendeurs de produits et autres intégrateurs de solutions standardisées peuplant les Assises et dont on connaît depuis des lustres les limites des offres, qu'on parviendra à adresser les fameux vingt pourcents qui font vraiment mal... Dommage qu'en 2012, à l'évidence, le message ne soit toujours pas passé...


Tout cela ayant été dit, et pour en revenir à ce que je disais au début sur l'intérêt principal des Assises, il faut bien reconnaître qu'on ne boude pas la magie du cadre monégasque qui remplit son rôle à merveille, permettant à tout un chacun de s'acquitter de sa part de réseautage. Ça, clairement, c'était réussi.
Pour le reste, une fois n'étant pas coutume, il est à espérer que l'organisation saura tirer quelque leçon de cette douzième édition et redresser la barre afin que les Assises ne deviennent pas un faire-valoir de plus pour quelques personnalités, et leur (re)donner la place qu'elles entendent occuper dans le paysage de la SSI française.

On ne manquera pas de me demander si, dans l'hypothèse où la situation se présenterait, je reviendrais aux Assises l'an prochain. Si c'était pour le contenu, le réponse serait évidemment non, à l'instar que la position que je tiens désormais vis-à-vis de BlackHat. Mais dans la mesure où mon intérêt premier reste le networking et si des gens intéressants y assistent également, alors, le cadre aidant, la réponse serait probablement oui.
Sinon, j'éviterai de perdre de temps et m'en retournerai travailler dur et tard. Comme certains de mes confrères, mais néanmoins amis ;)

Notes

[1] Car c'est peut-être précisément parce qu'on aime le cinéma qu'on ne veut pas voir le Festival de Cannes devenir celui du nanar...