Question de Mme ESPAGNAC Frédérique (Pyrénées-Atlantiques - SOC) publiée le 24/04/2014

Mme Frédérique Espagnac attire l'attention de Mme la secrétaire d'État, auprès du ministre de l'économie, du redressement productif et du numérique, chargée du numérique sur l'arrêt par Microsoft des mises à jour de sécurité pour Windows XP.
En effet, depuis le 8 avril 2014, Microsoft a cessé sa maintenance et ses mises à jour de sécurité pour les ordinateurs fonctionnant toujours avec XP. Cette décision pourrait entraîner un certain nombre de risques pour les très petites entreprises (TPE) et les petites et moyennes entreprises (PME) de notre territoire qui se sentent menacées. Selon de nombreux experts, un grand nombre de pirates informatiques seraient en capacité, depuis le 8 avril 2014, de lancer des cyberattaques depuis des appareils infectés. Car, si les petites entreprises concernées n'ont pas pris les mesures de précaution nécessaires, elles ne sont plus protégées, puisque Microsoft n'agit plus pour bloquer les éventuelles attaques. Cela pourrait donc concerner les TPE, les PME mais également de nombreuses écoles qui ont conservé XP après s'être habituées à ce système d'exploitation.
Enfin, ce changement affecte également de nombreux distributeurs automatiques de billets, notamment ceux des bornes de retrait indépendantes qui se trouvent le plus souvent dans les petits commerces n'appartenant pas à des banques.
Elle lui demande donc de bien vouloir lui indiquer ce qui a été fait en amont par le Gouvernement pour prévenir ce changement et ce qu'il compte mettre en œuvre pour éviter les désagréments susceptibles de se produire.

- page 981


Réponse du Secrétariat d'État, auprès du ministère de l'économie, du redressement productif et du numérique, chargé du numérique publiée le 26/06/2014

L'arrêt du service de maintenance et des mises à jour de sécurité du système d'exploitation Windows dans sa version XP par l'entreprise américaine Microsoft, propriétaire du logiciel, intervenu le 8 avril 2014, avait été annoncé fin 2012. L'agence nationale de sécurité des systèmes d'information (ANSSI) a depuis régulièrement publié des notes d'information et de recommandation. L'ANSSI a ainsi alerté les responsables informatiques sur la fin du support de Windows XP en préconisant de migrer les systèmes ou applications vers des solutions à jour et maintenues. De nombreux systèmes utilisant Windows XP étant encore aujourd'hui encore en service, l'ANSSI continue de recommander aux entreprises ou à tout organisme qui ne l'aurait pas encore fait, y compris les écoles, de migrer sans attendre les réseaux et postes informatiques de ces entités vers un système d'exploitation dont les mises à jour de sécurité seront assurées après avril 2014. Le périmètre concerné par cette migration comprend essentiellement les postes de travail mais peut également inclure des équipements intégrés embarquant le système Windows XP (équipements industriels, médicaux, interfaces utilisateur, etc.). Pour ces derniers, pouvant faire l'objet de contraintes métier spécifiques, une démarche ad-hoc doit être engagée, en coordination avec le fournisseur, afin d'étudier les différents scénarios de migration envisageables. Pour les entités qui auraient besoin de temps pour opérer cette migration, il est possible de contractualiser, afin de se prémunir contre de futurs risques, une extension de service support. Concernant la faille CVE-2014-1776 apparue le samedi 26 avril 2014 sur internet explorer, Microsoft vient d'annoncer la publication d'un correctif pour Windows 7, 8.1 mais également pour XP. Concernant l'administration d'État, l'ANSSI a informé début 2013 l'ensemble des ministères concernés afin d'anticiper le problème et de rappeler les recommandations en termes de gestion de l'obsolescence logicielle. Des solutions au problème de la migration d'XP sont aujourd'hui trouvées ou en passe de l'être dans la majorité des ministères. En tout état de cause, il est recommandé à tous les utilisateurs d'ordinateurs de respecter les règles de base de la sécurité informatique, que sont notamment la mise à jour des logiciels, l'installation d'un antivirus et l'adoption d'une approche prudente devant des contenus potentiellement risqués (faux emails, sites non sécurisés, etc.). Les principes généraux de la sécurité informatique sont rappelés par l'ANSSI sur son site (http ://www. ssi. gouv. fr/fr/guides-et-bonnes-pratiques/principes-generaux/) qui détaille les dix commandements de la sécurité sur internet, dont celui-ci : « avoir un système d'exploitation et des logiciels à jour : navigateur, antivirus, bureautique, pare-feu personnel, etc. ». L'ANSSI diffuse aussi un guide d'hygiène informatique, disponible sur le même site (http ://www. ssi. gouv. fr/IMG/pdf/guide_hygiene_informatique_anssi. pdf). La secrétaire d'État au numérique invite l'ensemble des entreprises à suivre le travail de veille de l'ANSSI en s'inscrivant à la lettre d'information que publie le CERT-FR, centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques (http ://www. cert. ssi. gouv. fr/). Elle s'engage à relayer les informations publiées par l'ANSSI. La cybersécurité est un enjeu majeur de souveraineté pour notre nation et pour nos entreprises et la France déploie une réponse industrielle et stratégique pour se donner les moyens de prévenir les attaques et l'exploitation des failles de sécurité. En particulier, un des 34 plans de la nouvelle France industrielle est consacré à la cybersécurité et, depuis 2011, un cadre renforcé a été mis en place pour la notification des failles de sécurité à l'ANSSI et à la commission nationale de l'informatique et des libertés. Ce cadre devrait être étendu dans le cadre du règlement sur les données personnelles en cours de discussion dans les institutions de l'Union européenne.

- page 1567

Page mise à jour le