B. L'EXEMPLE DU SECTEUR DES TÉLÉCOMMUNICATIONS
Les opérateurs de télécommunications cumulent plusieurs rôles : ils sont à la fois opérateurs d'infrastructures et de services Internet et de téléphonie. Ils fournissent, par exemple, des centres de données permettant aux opérateurs d'importance vitale d'externaliser l'hébergement de leurs données.
Face au risque numérique, les opérateurs de télécommunications placent au premier rang la capacité de réaction à partir d'une organisation agile aux cycles de décision courts avec des dirigeants et des collaborateurs impliqués et pragmatiques.
Quant à la protection , elle est conçue dans la profondeur.
« Il convient enfin d' opter pour « une protection dans la profondeur », soit un système de défense organisé autour de cercles concentriques de plus en plus sécurisés . Au niveau de chaque cercle, les problèmes doivent être détectés, analysés et corrigés. Nous devons être dans un état de « paranoïa raisonnable » , c'est-à-dire qu'il nous faut nous astreindre à une vigilance permanente, où tout risque de relâchement - dû notamment à la croyance en une technologie miracle -, est prohibé. »
M. Alexandre Archambault
|
Certaines entreprises de télécommunications, comme Orange , sont considérées comme des entreprises d'importance vitale et sont donc soumises à des contraintes particulières : par exemple, ses administrateurs informatiques ne disposant que de postes de travail non reliés à la messagerie ou à l'Internet, doivent utiliser d'autres postes pour intervenir sur un système à distance.
Des projets dits « confidentiels défense » nécessitent la délimitation de zones réservées à leur traitement à l'intérieur desquelles, par exemple, il est recouru à la précaution consistant à laisser son téléphone portable à l'entrée et où aucune connexion Internet n'est possible .
Free a décidé de limiter voire d'exclure toute infogérance et de stocker ses données sensibles en interne .
Free achète ses équipements mais maîtrise ses réseaux. Cependant, pour les routeurs et les solutions mobiles, les équipementiers sont soumis à des obligations de sécurité spécifiques . De la sorte, les réseaux français de troisième génération (3G) et de quatrième génération (4G) ont atteint un degré de sécurité supérieur aux normes fixées par le Third generation partnership project (3GPP) .
Il est à noter que, en dépit d'une vive concurrence commerciale entre opérateurs de télécommunications, la forte interdépendance entre eux les conduit à partager rapidement toute information en cas de crises au cours desquelles la capacité de réaction importe plus que tout.
La Fédération française des télécoms (FFT) relève qu' il est impossible - et, en tout cas, très coûteux - de savoir ce qu'il y a derrière les composants à partir du moment où on ne les fabrique pas. D'où, pour les entreprises, la recherche permanente d'un équilibre entre le risque et les opportunités au moyen d'évaluations de risque .
La FFT souhaite que soient mis en place un label européen de stockage de données et que les logiciels et les équipements critiques diffusés en Europe soient soumis à une certification .