II. MISE EN oeUVRE DE LA PRÉVENTION DANS LE SYSTÈME D'INFORMATION D'UNE ENTREPRISE

« Je vais partager avec vous ma vision d'ingénieur sur le big data et la sécurité. Certains ajoutent la sécurité aux quatre piliers du futur cyberespace que sont le cloud , la mobilité, les réseaux sociaux et le big data . M. Ross Anderson (Université de Cambridge, Computer Laboratory ) résume ainsi la situation : « Les vainqueurs sont ceux qui, dans un premier temps, ignorent la sécurité au profit de la facilité, puis, dans un second temps, verrouillent leur écosystème numérique plutôt que de nous protéger des méchants. »

M. Philippe Wolf
Ingénieur général de l'armement
19 juin 2014
Auditions. Tome II du présent rapport

La phase de prévention n'est pas suffisante en matière de maîtrise d'un environnement technologique, néanmoins, elle s'avère indispensable dans la mesure où la mise en oeuvre d'une sécurité par conception est toujours supérieure , ne serait-ce que pour en appréhender les risques et mettre en place leur surveillance par conception.

À l'heure actuelle, la mise en place d'une surveillance par conception fait cruellement défaut dans les entreprises du fait d'un déploiement pragmatique massif des équipements numériques en leur sein depuis plusieurs années .

La phase de prévention comprend la mise en place de politiques de sécurité pour spécifier les conditions d'utilisation du système, des architectures de bastions pour délimiter la ligne de défense du système et en élaborer les mécanismes de contrôle d'accès pour qu'elle reste la plus robuste possible.

A. POLITIQUES DE SÉCURITÉ DE L'ÉTAT ET DES ENTREPRISES

Le modèle de défense nationale a été conçu par les gouvernements afin de protéger la nation des agresseurs externes et internes. Le code de la défense énonce le fondement du modèle de défense français en son article 1111-1 : « La politique de défense a pour objet d'assurer l'intégrité du territoire et la protection de la population contre les agressions armées. Elle contribue à la lutte contre les dangers susceptibles de mettre en cause la sécurité nationale... ».

C'est dans ce cadre que, récemment, la Politique de Sécurité des Systèmes d'Information de l'État (PSSIE ), diffusée sous forme d'une circulaire du Premier ministre du 17 juillet 2014 a fixé les règles de protection applicables aux systèmes d'information de l'État . Ce texte est issu des travaux de l'ANSSI s'appuyant sur sa propre expérience en matière de prévention et de réaction aux attaques informatiques ainsi que sur celles de participants ministériels. La PSSIE recommande le respect de dix principes .

- Opérateurs de confiance sur le système d'information :

Lorsque la maîtrise de ses systèmes d'information l'exige, l'administration fait appel à des opérateurs et des prestataires de confiance.

- Analyse de risque :

Tout système d'information de l'État doit faire l'objet d'une analyse de risques permettant une prise en compte préventive de sa sécurité , adaptée aux enjeux du système considéré. Cette analyse s'inscrit dans une démarche d'amélioration continue de la sécurité du système, pendant toute sa durée de vie . Cette démarche doit également permettre de maintenir à jour une cartographie précise des systèmes d'information en service .

- Planification des ressources pour la sécurisation :

Les moyens humains et financiers consacrés à la sécurité des systèmes d'information de l'État doivent être planifiés, quantifiés et identifiés au sein des ressources globales des systèmes d'information.

- Authentification forte :

Des moyens d'authentification forte des agents de l'État sur les systèmes d'information doivent être mis en place. L'usage d'une carte à puce doit être privilégié .

« La politique de sécurité des systèmes d'information de l'État (PSSIE) impose l'utilisation des moyens d'authentification forte (dont la carte à puce) dans le cas de données sensibles , ce qui est plus sûr qu'un simple mot de passe. Il faut ensuite gérer tous les cas usuels et quotidiens de perte de la carte, ne pas l'oublier, penser à la récupérer etc. Cette vraie contrainte doit être intégrée avec son coût initial et ses contraintes quotidiennes d'absence de perte et de procédures à mettre en oeuvre, notamment pour retrouver sa carte d'accès lorsqu'elle a été perdue.»

M. Thiébaut Meyer
Responsable de la sécurité des systèmes d'information, Présidence de la République
27 février 2014
Auditions. Tome II du présent rapport

- Surveillance :

Les opérations de gestion et d'administration des systèmes d'information de l'État doivent être tracées et contrôlées .

- Respect de la PSSIE dans la mise en place des mesures de protection :

La protection des systèmes d'information doit être assurée par l'application rigoureuse de règles précises qui font l'objet de la PSSIE.

- L'agent et le respect des règles :

Chaque agent de l'État, en tant qu'utilisateur d'un système d'information, doit être informé de ses droits et devoirs mais également formé et sensibilisé à la cybersécurité . Les mesures techniques mises en place par l'État dans ce domaine doivent être connues de tous.

- L'administrateur du système d'information et le respect des règles :

Les administrateurs des systèmes d'information doivent appliquer, après formation, les règles élémentaires d' hygiène informatique .

- Labellisation par l'ANSSI de produits informatiques :

Les produits et services acquis par les administrations et destinés à assurer la sécurité des systèmes d'information de l'État doivent faire l'objet d'une évaluation et d'une attestation préalable de leur niveau de sécurité, selon une procédure reconnue par l'ANSSI (labellisation).

- Localisation des données sensibles :

Les informations de l'administration considérées comme sensibles, en raison de leurs besoins en disponibilité, intégrité ou confidentialité, sont hébergées sur le territoire national .

Les thèmes associés à ce dossier

Page mise à jour le

Partager cette page