II. LA FRANCE EST ENCORE INSUFFISAMMENT PRÉPARÉE ET ORGANISÉE
Si la France a atteint un haut degré dans la diffusion et l'usage des systèmes d'information, elle n'a sans doute pas accordé suffisamment d'importance à la sécurité de ces systèmes.
Les exigences de sécurité paraissent encore trop souvent considérées comme une source de contraintes excessives, allant à l'encontre de solutions techniques plus simples et plus efficaces pour l'opérateur et pour l'utilisateur.
Quant aux activités d'ingérence ou d'espionnage par voie informatique, elles suscitent parfois l'étonnement ou le scepticisme. Que ce soit dans les services de l'Etat ou le monde de l'entreprise, la conscience de pouvoir devenir la cible d'une telle menace n'est guère répandue, du moins tant qu'elle ne s'est pas concrètement matérialisée. Cette situation renvoie d'une certaine manière au constat sur les insuffisances de la « culture du renseignement » et de la sensibilisation aux enjeux de l'intelligence économique dans notre pays, par rapport à certains de nos partenaires, notamment anglo-saxons.
Les politiques publiques en matière de sécurité des systèmes d'information ont été lancées il y a une vingtaine d'années, mais leurs limites ont conduit en 2004 le Premier ministre de l'époque à définir un plan triennal de renforcement de la sécurité des systèmes d'information de l'Etat. Une analyse exhaustive de la situation de la France au regard de la sécurité des systèmes d'information a été publiée au début de l'année 2006, dans le cadre de la mission qui avait été confiée à notre collègue député Pierre Lasbordes . Le rapport de ce dernier dresse un constat sévère , tant en termes d'organisation que de moyens. En effet, si des avancées incontestables ont été effectuées ces dernières années, elles demeurent insuffisantes au regard des enjeux.
La France accuse ainsi un réel retard par rapport à nos principaux partenaires, en premier lieu l'Allemagne et le Royaume-Uni .
Enfin, la France participe à diverses enceintes internationales dans ce domaine, mais les coopérations en sont encore à un stade peu développé, notamment en ce qui concerne l'Union européenne.
A. UNE PRISE DE CONSCIENCE RÉCENTE ET DES POLITIQUES TROP TIMIDES
La France a défini en 1986 une politique d'ensemble de la sécurité des systèmes d'information, avec l'adoption d'une série de textes réglementaires instituant une commission et une délégation interministérielles pour la sécurité des services d'information, ainsi que d'un service central de la sécurité des services d'information.
Cette organisation a été revue avec l'attribution en 1996 au Secrétariat général de la défense nationale (SGDN) d'une responsabilité particulière dans le domaine de l'identification et de la surveillance des risques affectant la sécurité des systèmes d'information. Succédant au service central précédemment mentionné, la Direction centrale de la sécurité des services d'information (DCSSI) , partie intégrante du SGDN, a été créée par décret du 31 juillet 2001. Elle est chargée d'apporter son soutien à l'ensemble des administrations par des missions d'inspection et de conseil. Elle évalue et vérifie la sécurité des réseaux et des systèmes d'information des services publics. Elle agrée tous les matériels de chiffrement qui protègent des données classifiées. Elle prépare et met en oeuvre les mesures de sécurité des systèmes d'information prévues par les plans Vigipirate et Piranet.
Outre cette structure interministérielle, plusieurs ministères disposent de compétences spécifiques intéressant la sécurité des systèmes d'information : le ministère de la défense , avec la Délégation générale pour l'armement, au travers de son expertise technique ( notamment le CELAR, Centre électronique de l'armement), et les services de renseignement (Direction générale de la sécurité extérieure - DGSE - et Direction de la protection et de la sécurité de la défense - DPSD) ; le ministère de l'intérieur, avec la Direction de la surveillance du territoire (DST), devenue Direction centrale du renseignement intérieur (DCRI), et l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC) ; les ministères de l'économie et des finances et du budget, avec les structures de soutien à l'innovation et la Direction générale de la modernisation des moyens de l'Etat, qui a notamment repris les attributions de l'Agence de développement de l'administration électronique (ADAE).
Enfin, chaque ministère est responsable de la sécurité de ses propres systèmes d'information . L'organisation retenue repose sur les hauts fonctionnaires de défense placés auprès de chaque ministre, éventuellement assistés d'un fonctionnaire de sécurité des systèmes d'information (FSSI). Aux différents échelons des administrations centrales et des services déconcentrés doivent être désignées des autorités qualifiées en sécurité des systèmes d'information (AQSSI)
Au cours de ses auditions, votre rapporteur a constaté un sentiment très largement partagé de nécessaire réforme de ce dispositif , tant en termes d'organisation que de moyens. Le constat sévère effectué il y a un peu plus de deux ans par le rapport Lasbordes n'est guère contesté, même s'il ne faut certainement pas négliger la réalité des efforts qui ont été accomplis, mais restent modestes au regard des besoins.
1. Le constat sévère du rapport Lasbordes de 2006 : un retard préoccupant
Le plan de renforcement de la sécurité des systèmes d'information de l'Etat, décidé par le Premier ministre Jean-Pierre Raffarin et exposé dans un document du 10 mars 2004, débute par les considérations suivantes, particulièrement préoccupantes :
« Depuis plusieurs années, les rapports annuels des départements ministériels sur l'état de la sécurité des systèmes d'information (SSI) font part des difficultés persistantes rencontrées pour améliorer la situation : compétences et capacités opérationnelles trop réduites et isolées, manque de sensibilité des décideurs aux enjeux, insuffisance de produits de sécurité dûment qualifiés combinée à des positions monopolistiques dans des segments importants du marché, prolifération d'interconnexions de réseaux mal sécurisés, réglementation nationale difficilement applicable, dimension européenne mal coordonnée. Si certaines améliorations ponctuelles sont constatées, les efforts accomplis, pour méritoires qu'ils soient, n'ont pas été à la mesure de l'évolution rapide des technologies et des menaces ».
En parallèle avec la mise en place du plan destiné à redresser cette situation, M. Jean-Pierre Raffarin décidait le 27 mai 2005 de confier à notre collègue député Pierre Lasbordes une mission sur la sécurité des systèmes d'information .
Le rapport intitulé : « La sécurité des systèmes d'information - Un enjeu majeur pour la France », à la rédaction duquel M. Pierre Lasbordes a associé plusieurs personnalités qualifiées éminentes, a été remis au Premier ministre Dominique de Villepin le 13 janvier 2006.
Le rapport Lasbordes effectue une analyse exhaustive et approfondie de l'ensemble des enjeux liés à la sécurité des systèmes d'information , non seulement du point de vue de la protection de l'Etat, mais également de celle des infrastructures vitales et du monde de l'entreprise dans son ensemble.
Il dresse un constat sans complaisance des faiblesses de notre organisation et de nos moyens , notamment au regard de nos partenaires européens les plus proches. Il estime ainsi que « la France accuse un retard préoccupant face aux impératifs de sécurité des systèmes d'information, tant au niveau de l'Etat qu'au niveau des entreprises, quelques grands groupes mis à part ». Ce constat, pour l'essentiel, demeure largement valable aujourd'hui.
Le rapport énonce enfin six recommandations générales assorties de propositions détaillées qui, pour la plupart, auraient toujours vocation à être mises en oeuvre.
. Une organisation marquée par la dispersion et l'autonomie des différents acteurs au sein des services de l'Etat
L'une des principales faiblesses mise à jour par le rapport Lasbordes tient à la conduite de la politique de sécurité des systèmes d'information, qui souffre d'une grande dispersion des acteurs et à l'autorité insuffisante des structures chargées de la mettre en oeuvre.
Le rapport estime notamment que « la multiplication des acteurs publics, dont les missions se chevauchent et dont les textes fondateurs sont peu précis, donne une impression générale de confusion et d'éparpillement des moyens et des hommes. Dans cette nébuleuse, l'acteur public dédié, le SGDN et plus précisément la DCSSI, souffre d'un manque d'autorité et parfois de crédibilité auprès des publics concernés. Ces deux facteurs, l'éparpillement des moyens et le manque d'autorité du SGDN, nuisent à l'efficacité de l'Etat dans la définition et la mise en oeuvre de la politique globale de sécurité des systèmes d'information ».
Le rapport constate que si une structure interministérielle existe, elle n'a pas été investie de l'autorité politique nécessaire pour assurer une véritable coordination des différents acteurs . On assiste ainsi à des chevauchements de compétence, comme dans le domaine de la labellisation de produits et de procédures. Les prérogatives de la DCSSI relèvent du conseil ou de la recommandation. Elles n'ont pas de caractère directif et ne lui donnent en aucun cas la possibilité d'imposer des prescriptions de sécurité aux différents ministères qui demeurent libres d'appliquer les mesures qui leur semblent pertinentes et adaptées à leurs besoins.
Une analyse comparative de cinq ministères montre que la mise en oeuvre de la sécurité des systèmes d'information est très hétérogène. Des principes tels que la séparation entre la fonction « sécurité » et les services informatiques, l'identification des logiciels associés aux applications traitant des données sensibles ou la classification de ces données sensibles n'y sont absolument pas appliqués de manière uniforme.
Le rapport relève notamment que le dispositif de sécurité des systèmes d'information , reposant sur le haut fonctionnaire de défense et les autorités qualifiées en sécurité des systèmes d'information, est mis en oeuvre de manière très inégale selon les ministères , et le plus souvent de manière peu satisfaisante. Selon le rapport, « il est fréquent de constater que les services informatiques ne suivent pas les fortes recommandations des hauts fonctionnaires de défense lors de choix de solutions pour des applications sensibles, sous couvert d'une stricte application du code des marchés publics ». Il conclut que « les disparités dans la mise en oeuvre de ce dispositif, ainsi que des difficultés à mobiliser des ressources humaines compétentes et dédiées ... et l'absence de pouvoir réel de ces acteurs de la sécurité des systèmes d'information, rendent cette organisation inopérante ».
Votre rapporteur s'est intéressé plus particulièrement au ministère de la défense , dont les systèmes d'information, par nature, peuvent être la cible d'actions visant leur disponibilité, leur intégrité ou leur confidentialité. Il a constaté que l'organisation mise en place, résumée dans l'encadré ci-après, prenait en compte de manière cohérente et complète la sécurité des systèmes d'information.
L'organisation de la lutte informatique défensive au ministère de la défense Le ministère de la défense gère un nombre considérable de systèmes d'information couvrant trois domaines : les systèmes d'information opérationnels et de communication liés à l'emploi des forces ; les systèmes d'information scientifiques et techniques ; les systèmes d'administration et de gestion. Créée en mai 2006, la direction générale des systèmes d'information et de communication (DGSIC) assure le pilotage central de l'ensemble de ces systèmes pour lesquels elle définit une politique commune. Elle comporte une sous-direction de la sécurité des systèmes d'information chargée notamment d'identifier les capacités techniques nécessaires et de conseiller les différentes entités du ministère. Afin de parer les agressions dont ses systèmes d'information pourraient faire l'objet, le ministère de la défense a mis en place une organisation permanente, centralisée , disposant d'une connaissance et d'une vision de l'ensemble des réseaux et devant être en mesure d'assurer en temps contraint, en liaison avec des acteurs identifiés au sein des organismes, les fonctions de : - veille , pour assurer la prévention et l' anticipation des crises ainsi que la détection des activités hostiles ; - alerte , pour analyser, hiérarchiser et notifier tout évènement présentant un risque ; - réponse , pour déterminer et conduire les actions défensives correspondantes. Cette organisation permanente de veille, alerte et réponse ( OPVAR ) en charge de la lute informatique défensive comprend, à l'échelon central : - un comité directeur qui définit les orientations et fixe les priorités stratégiques ; - un centre d'analyse de lutte informatique défensive (CALID) qui assure la fonction de veille et réalise le volet technique des fonctions d'analyse et de réponse ; - un centre opérationnel situé au centre de planification et de commandement des opérations du ministère, qui décide des réponses appropriées en fonction des éléments techniques fournis par le centre d'analyse et des priorités liées aux missions ; - une cellule d'expertise qui fédère et capitalise l'expertise de l'ensemble des organismes du ministère et des partenaires externes. Au niveau décentralisé, les actions de lutte informatique défensive sont distribuées aux différents niveaux sous la responsabilité des autorités qualifiées en sécurité des systèmes d'information. |
Au cours de ses auditions, il est également apparu à votre rapporteur que l' absence d'une politique globale et coordonnée pour la sécurité des systèmes d'information des différents ministères augmentait la vulnérabilité d'ensemble des réseaux , leur niveau de sécurisation étant tributaire des maillons les plus fragiles, quelles que soient les dispositifs de sécurité mis en place par ailleurs.
On peut ainsi s'étonner que les « passerelles » reliant les réseaux des administrations et l'internet n'aient pas été systématiquement identifiées, comme le prévoyait le plan de renforcement de la sécurité des systèmes d'information de 2004. La réduction de leur nombre s'impose pour en faciliter la surveillance et diminuer les vulnérabilités .
A cet égard, le réseau mis en place par le groupement d'intérêt public RENATER au profit de la communauté française de l'enseignement supérieur et de la recherche a été présenté à votre rapporteur comme particulièrement exemplaire .
Fédérant les grands organismes de recherche 1 ( * ) et les ministères de l'éducation nationale, de l'enseignement supérieur et de la recherche, RENATER raccorde plus de 1 000 sites dispersés sur le territoire national. Il assure l'interconnexion avec une soixantaine d'opérateurs et fournisseurs d'accès internet en France par un noeud d'échange central (Sfinx) et dispose de deux interconnexions pour les communications avec l'internet dans le reste du monde. Une telle solution, mise en place à l'origine pour disposer de connexions à très hauts débits dans les meilleures conditions de coût, présente des avantages évidents en matière de sécurité .
Une telle architecture peut être prise en exemple par des ministères qui n'ont pas eu le même souci de cohérence dans la réalisation de leur réseau.
. Des moyens insuffisants
Le deuxième constat principal du rapport Lasbordes tient à l'insuffisance des moyens consacrés à la sécurité des systèmes d'information.
Plaidant pour le maintien et le renforcement d'une base industrielle et technologique et européenne dans le domaine de la sécurité des systèmes d'information, le rapport déplore également la modestie des financements publics en matière de recherche et de soutien à l'innovation.
Il souligne surtout l' effectif très restreint de la DCSSI , limité à 100 personnes, qui ne lui permet pas de répondre aux besoins identifiés dans le cadre de ses missions, que ce soit en matière de réalisation d'inspections au sein des ministères, de formation des responsables de la sécurité des systèmes d'information, de conseil aux administrations et aux entreprises. Les homologues britannique ou allemand de la DCSSI disposent d'effectifs de quatre à cinq fois supérieurs .
Aux yeux de votre rapporteur, l'une des manifestations les plus criantes de cette insuffisance de moyens réside dans l' absence de capacité de surveillance centralisée des flux transitant entre l'internet et les systèmes d'information des administrations. Il s'agit là d'une faiblesse majeure par rapport à nos principaux partenaires , en premier lieu les Allemands, qui disposent d'une telle capacité de surveillance et donc de détection des flux anormaux par lesquels transitent les attaques informatiques.
Dans la situation actuelle, la surveillance et la détection ne peuvent être assurées qu'au niveau de chaque administration. Bien souvent, celles-ci ne disposent pas des moyens humains et de l'expertise technique nécessaire pour accomplir de telles tâches.
Cette lacune capacitaire nous rend dépendants des informations que nos partenaires sont disposés à nous transmettre en cas d'actions telles que celles provenant de Chine l'an passé.
. Des entreprises vulnérables
Une large partie du rapport Lasbordes est consacrée au monde de l'entreprise , qu'il considère comme étant au coeur de la menace et de la problématique de la sécurité des systèmes d'information.
Il estime que d'une manière générale, les entreprises françaises ont insuffisamment pris en compte la réalité de la menace et ne se sont pas mises en situation de s'en protéger, quelques grands groupes mis à part. Les raisons évoquées tiennent au manque d'implication des directions générales, à la formation insuffisante des personnels en matière de risques informatiques, à l'absence d'identification pertinente des données sensibles ou à l'insuffisance des budgets dédiés à la sécurité des systèmes d'information, le retour sur investissement étant dans ce domaine souvent difficilement perceptible.
Il insiste particulièrement sur la problématique spécifique des PME qui, bien souvent, ne disposent pas des moyens d'investir dans la sécurité des systèmes d'information, ni de personnels formés et compétents en la matière.
Enfin, le rapport estime que les pouvoirs publics ne répondent que très imparfaitement aux besoins des entreprises qui souhaitent pouvoir disposer d'un interlocuteur unique et de produits certifiés ou labellisés.
Cette situation est préoccupante car les entreprises, y compris celles intervenant dans des domaines sensibles, sont confrontées à la nécessité d'ouvrir de plus en plus leurs réseaux pour communiquer avec leurs partenaires. La généralisation des solutions offertes pour s'adapter à la mobilité de leurs collaborateurs (connexions à distance, usage d'outils mobiles) renforce leur vulnérabilité.
L'adoption par les entreprises d'une politique de sécurité de systèmes d'information adaptée à leurs particularités et au niveau de risque est une nécessité. Votre rapporteur a eu le sentiment, à l'issue de ses auditions, que les craintes émises à ce sujet par le rapport Lasbordes restaient d'actualité.
A titre d'exemple, il lui semble utile de présenter les principes d'action en matière de sécurité des systèmes d'information qui animent un groupe comme Total et qui semblent particulièrement pertinents.
La sécurité des systèmes d'information dans les entreprises L'exemple de Total Total a mis en place un cadre de référence complet en matière de sécurité des systèmes d'information, une politique de classification des ressources et de sécurisation adaptée au niveau de protection requis par chaque type de données, ainsi qu'un dispositif de pilotage pour ajuster, arbitrer et améliorer son dispositif. Total a défini sept grands principes d'action : 1. Maîtriser les accès aux systèmes d'information afin de limiter les risques d'intrusion et de restreindre les accès aux seules fonctions et informations nécessaires aux activités, et d'être en mesure de justifier les droits d'accès accordés. 2. Maintenir la disponibilité et l'intégrité des systèmes d'information afin de préserver la continuité des activités du groupe et préserver les services offerts aux utilisateurs 3. Organiser la veille et la surveillance , détecter au plus tôt les comportements inhabituels, les attaques déloyales et les incidents de sécurité, et limiter leurs impacts dans le cadre d'une réponse coordonnée à l'échelle du groupe, des branches et des filiales. 4. Définir des périmètres de sécurité homogènes et compatibles avec les enjeux des métiers afin que les informations circulent dans des conditions cohérentes de sécurité et que ces périmètres limitent les risques de propagation d'intrusion et de déni de service global. 5. Intégrer formellement la sécurité des systèmes d'information dans les projets afin d'aligner les fonctions de sécurité sur les enjeux des métiers, et privilégier la prévention et être en mesure d'expliquer les choix effectués. 6. Conserver et protéger les éléments permettant de reconstituer , a posteriori, les actions sensibles effectuées sur les systèmes d'information en les imputant à leurs auteurs afin de répondre au mieux aux exigences réglementaires, juridiques et de contrôle. 7. Sensibiliser et former le personnel afin de limiter les comportements à risque, améliorer la capacité de réaction de chacun et disposer des compétences nécessaires pour implémenter les dispositifs de sécurité. |
. Six recommandations
Le rapport Lasbordes concluait sur les six recommandations suivantes :
- sensibiliser et former à la sécurité des systèmes d'information ;
- responsabiliser les acteurs , par la généralisation des chartes d'utilisateurs et la labellisation des fournisseurs de produits sécurisés ;
- renforcer la politique de développement de technologies et de produits de sécurité et définir une politique d'achat public en cohérence ;
- rendre accessible la sécurité des systèmes d'information à toutes les entreprises ;
- accroître la mobilisation des moyens judiciaires ;
- assurer la sécurité de l'Etat et des infrastructures vitales , notamment en renforçant l'autorité des structures en charge de la sécurité des systèmes d'information.
Il préconisait également une réorganisation de la politique interministérielle de la sécurité des systèmes d'information en séparant les fonctions d'autorité (élaboration de la politique nationale, validation des politiques de chaque ministère), confiées au SGDN, et les fonctions opérationnelles (veille, formation, conseil, inspection, certification, alerte, politique d'achat public) qui s'appuieraient sur les moyens de l'actuelle DCSSI renforcés et regroupés dans une structure nouvelle à statut d'établissement public industriel et commercial.
2. Des efforts réels mais encore modestes
Le constat sévère du rapport Lasbordes ne doit pas occulter les efforts réels réalisés ces dernières années, dans le cadre de moyens certes limités, pour renforcer notre politique de sécurité des systèmes d'information. Nombre d'entre eux résultent du plan gouvernemental lancé en 2004.
. Les capacités de veille et de réaction : le rôle du COSSI et des CERT, le plan Piranet
Depuis le printemps 2005, la DCSSI dispose d'un centre opérationnel de la sécurité des systèmes d'information (COSSI) qui fonctionne 24 heures sur 24, 7 jours sur 7. Le COSSI assure une veille permanente sur l'évolution de la menace, sur les vulnérabilités découvertes dans les divers produits informatiques, sur les attaques conduites dans le monde et sur les incidents affectant notamment les systèmes d'information gouvernementaux. En liaison étroite avec les différents centres ministériels, notamment ceux du ministère de l'intérieur et de la défense, et de nombreux centres homologues étrangers, il se tient prêt à donner l'alerte et à proposer les mesures techniques appropriées de prévention ou de protection. Le COSSI dispose d'un effectif de 25 personnes.
Le COSSI intègre en son sein le Centre d'expertise gouvernemental de réponse et de traitement des attaques informatiques ( CERTA ) qui avait été créé en 1999 et qui constitue son unité technique. Le CERTA assure, pour le compte de l'administration française, les missions d'information sur les vulnérabilités, d'assistance en cas d'incidents de sécurité et de traitement des alertes et réactions aux attaques informatiques.
Des structures analogues, baptisées CERT ( Computer emergency response team ) existent dans de très nombreux pays du monde et agissent au profit du secteur public comme à celui du secteur privé. La France compte quatre CERT : le CERTA, dédié au secteur de l'administration ; le CERT-RENATER, établi au profit de la communauté de l'enseignement supérieur et de la recherche ; le CERT-IST (Industrie, services et tertiaire), centre d'alerte et de réaction constitué sous la forme d'une association de la loi de 1901 et destiné aux entreprises françaises qui ont souhaité y adhérer ; enfin le CERT-LEXSI (Laboratoire d'expertise en sécurité informatique) qui est un prestataire de service commercial.
Le dispositif de réaction en cas d'attaques de grande ampleur sur les systèmes d'information de l'État et des opérateurs d'infrastructures d'importance vitale repose sur les mesures de sécurité des systèmes d'information insérées dans le plan gouvernemental de vigilance Vigipirate et par la mise sur pied du plan gouvernemental de réponse aux crises Piranet .
LE PLAN PIRANET Le plan Vigipirate permet de se préparer à d'éventuelles attaques informatiques en fonction du niveau perçu de la menace. Le plan Piranet est destiné à faire face à des attaques informatiques majeures, pouvant être d'origine terroriste, ayant touché les systèmes d'information de l'État ou d'opérateurs d'infrastructures d'importance vitale , et à organiser la réponse à ces attaques : - en mettant en oeuvre un dispositif d'alerte et d'intervention ; - en procédant au confinement des attaques ainsi qu'à la remise en état des systèmes touchés ; - en transmettant également l' alerte vers les services non affectés , en leur indiquant les postures à prendre et les parades à mettre en place. Dans la continuité du plan Vigipirate, il vise à permettre aux autorités gouvernementales de réagir rapidement à tout événement grave en mobilisant sans délais tous les acteurs concernés, en prenant les premières décisions imposées par l'urgence et en veillant à la cohérence des actions entreprises par les différents départements ministériels conformément à leurs responsabilités propres. Le périmètre pris en compte dans le déclenchement du plan Piranet peut couvrir l'ensemble des services (cas d'une agression massive) ou certains services seulement (cas d'une agression ciblée). Des plans Piranet spécifiques sont déclinés pour chaque ministère. Le premier plan Piranet a été créé en 2002, peu après les attentats du 11 septembre 2001. Sa rédaction est régulièrement adaptée en fonction de l'évolution de la menace et du retour d'expérience des exercices. |
La mise en oeuvre des plans Vigipirate et Piranet suppose l'activation de centres opérationnels ministériels agissant en coordination avec le COSSI. Le plan de renforcement de la sécurité des systèmes d'information insistait à cet égard sur la nécessité de garantir la disponibilité en toutes circonstances de ressources humaines compétentes et suffisantes pour constituer ces équipes opérationnelles. La montée en puissance du dispositif dans les différents ministères, en cas de renforcement des mesures Vigipirate dans le domaine de la sécurité des systèmes d'information ou d'activation du plan Piranet, est testée lors des exercices interministériels.
. Les activités de formation, de conseil, d'audit et d'entraînement
La DCSSI dispose d'un Centre de formation à la sécurité des systèmes d'information destiné à la formation des acteurs publics concernés. Le rapport Lasbordes avait regretté que ces actions ne puissent pas être développées et ouvertes à un public plus large. Au cours de la période récente, le nombre et les thèmes des formations proposées ont très sensiblement augmenté (16 stages différents, répartis tout au long de l'année en 65 sessions de durées variant entre la journée et 5 semaines). Plus de 1 100 agents de l'Etat en ont bénéficié en 2007. Le centre de formation de la DCSSI entretient des liens étroits avec des établissements d'enseignement supérieur et des centres de formation continue afin d'encourager la prise en compte de la sécurité des systèmes d'information à tous les niveaux et de partager les expériences et réflexions respectives. La DCSSI effectue également de nombreuses démonstrations afin, notamment, de sensibiliser les hautes autorités.
Conformément aux recommandations du rapport Lasbordes, un portail internet gouvernemental consacré à la sécurité informatique et destiné au grand public comme aux professionnels a été ouvert au mois de février 2008 2 ( * ) . Il propose des fiches pratiques et des conseils destinés à tous les publics. Des guides de configuration sont proposés aux utilisateurs pour les aider à mettre en pratique les recommandations faites dans les fiches techniques. Il comporte également des actualités et avertit de menaces nouvellement rencontrées qui appellent une action rapide des utilisateurs pour en limiter les effets.
La DCSSI réalise également un programme d'inspection qui vise à vérifier le niveau de sécurité de l'ensemble des ministères sur une période de trois ans. Fin 2008, l'ensemble des ministères auront été inspectés au moins un fois . Toutes ces inspections comportent un volet tentative d'intrusion. Les rapports réalisés après chaque inspection sont adressés aux directeurs de cabinet des ministères concernés. Il faut noter que les moyens actuels que la DCSSI peut dégager au profit des inspections ne permettent pas de prendre en compte les opérateurs d'importance vitale.
Enfin, une politique d'exercices interministériels en matière de sécurité des systèmes d'information a été mise en place en 2005. Elle prévoit de réaliser au moins trois exercices par an , pouvant être transverses aux différents ministères ou spécifiques à l'un d'entre eux. Au printemps 2008, s'est déroulé l'exercice majeur Piranet 08, auquel ont participé tous les ministères, le cabinet du Premier ministre et deux opérateurs de secteurs d'activité d'importance vitale. Les précédents exercices de mise en oeuvre du plan Piranet avaient eu lieu en 2003 et en novembre 2005.
. Le développement de réseaux d'information protégés et la diffusion de produits sécurisés
Dans la lignée des orientations du plan de renforcement de la sécurité des systèmes d'information, d'importants progrès ont été réalisés en vue de sécuriser les moyens de communication gouvernementaux .
Le réseau interministériel RIMBAUD a été modernisé. Il sera prochainement doté de nouveaux terminaux de « cryptophonie de nouvelle génération ». Pour les communications de données, l' intranet sécurisé interministériel ISIS (Intranet sécurisé interministériel pour la synergie gouvernementale) a été inauguré le 27 novembre 2007. Il s'agit du premier réseau interministériel permettant le partage d'informations classifiées au niveau confidentiel-défense. ISIS constitue également un outil de conduite de l'action gouvernementale lors d'une situation d'urgence ou en cas de crise. D'un périmètre encore limité aux instances centrales, son extension aux autorités déconcentrées est à l'étude. Enfin, le système de messagerie électronique MAGDA a été modernisé et son déploiement a été étendu. Il est interconnecté au réseau ISIS. L'ensemble des préfectures seront desservies fin 2008.
Par ailleurs, un effort important est réalisé pour développer et acquérir des produits de haut niveau de sécurité (protection d'informations classifiées au niveau secret-défense) destinés aux services gouvernementaux, notamment pour le chiffrement des communications téléphoniques (terminaux téléphoniques chiffrants) et des échanges de données chiffrées sur internet (boîtiers de chiffrement IP). La DCSSI soutient certaines initiatives industrielles dans des domaines tels que les ressources de chiffrement pour poste de travail, les supports externes chiffrants, les chiffreurs IP individuels ou les assistants personnels sécurisés.
Enfin, la DCSSI développe son activité d' identification de produits de sécurité à travers plusieurs niveaux de décisions (certification, qualification, agrément, labellisation) correspondant au niveau de sécurité exigé. Elle met à la disposition des utilisateurs, qu'il s'agisse d'administrations ou d'entreprises, des catalogues désormais plus fournis de produits adaptés à leurs besoins.
. La protection des opérateurs d'importance vitale
La protection contre les attaques informatiques fait partie intégrante du dispositif de sécurité des activités d'importance vitale , tel qu'il a été réformé pat le décret du 23 février 2006.
Dans chaque secteur d'activités essentielles à la vie nationale, une directive de sécurité analyse les risques à partir de scénarios fondés sur les analyses de renseignements. Elle énonce des exigences de sécurité traduites en actions de réduction des vulnérabilités et en dispositions pratiques de protection, ventilées en une posture permanente de sécurité et en mesures graduées en fonction de l'intensité conjoncturelle de la menace.
Ces directives prennent en compte la menace d'attaques informatiques. Il en va de même des plans de sécurité et de protection que chaque opérateur concerné devra établir pour se conformer à la directive nationale.
. Les perspectives ouvertes par le renforcement de la lutte contre la cybercriminalité
Le plan de lutte contre la cybercriminalité annoncé au mois de février 2008 par Mme Michèle Alliot-Marie, ministre de l'intérieur, qui en a fait l'une de ses priorités, comporte des dispositions pouvant intéresser les atteintes à la sécurité des systèmes d'information gouvernementaux ou sensibles, même s'il vise essentiellement la délinquance sur l'internet.
Ce plan prévoit, sur le plan national, des adaptations législatives ou réglementaires permettant de mieux identifier les utilisateurs d'internet , notamment en matière de conservation des données de connexion, et la possibilité, sous le contrôle de l'autorité judiciaire, de capter à distance les données numériques se trouvant sur un ordinateur.
Il propose également, à l'échelle européenne, d'établir des accords permettant la perquisition informatique à distance sans qu'il soit nécessaire de demander au préalable l'autorisation du pays hôte du serveur.
* 1 CEA, CIRAD, CNES, CNRS, INRA, INRIA, INSERM, BRGM, CEMAGREF et IRD
* 2 http://www.securite-informatique.gouv.fr