L’Etat veut reprendre la main sur la sécurité des SI

L’Etat a décidé de se pencher sur la question o combien critique de la sécurité des systèmes d’information (SSI). Il était temps. Qu’il s’agisse de la protection des entreprises ou des SI de l’Etat, la problématique est la même: beaucoup de travail reste à faire et la France pêche à de nombreux niveaux.

Le Premier ministre Dominique de Villepin a donc confié à Pierre Lasbordes, député UMP de l’Essonne, la lourde mission de rédiger un rapport d’études sur la question. Ce rapport vient d’être présenté à l’hôte de Matignon. Six grandes séries de propositions y sont présentées. Du côté des entreprises, le député observe que les grands comptes sont évidemment les mieux protégés avec une gestion des SI la plus optimale. « Mes propositions ne s’adressent pas à eux mais bien aux petites et moyennes entreprises », souligne le député. Ces PME, qui constituent l’essentiel du tissu économique français, sont les moins bien préparées aux attaques et celles dont les SI sont les moins bien organisés et protégés. La première recommandation du rapport est donc de sensibiliser et de former ces cibles à la sécurité des SI. Pierre Lasbordes propose ainsi de lancer une grande campagne d’information et de mettre en place un portail Internet d’informations (avec notamment une veille sur les menaces). Sensibiliser, responsabiliser Il s’agit aussi d’intégrer des modules de formation en SSI (sécurité des systèmes d’information) dans les cursus de l’enseignement supérieur et de la formation continue. La sensibilisation passe aussi, selon le député, par une meilleure information sur les produits informatiques vendus dans le commerce. « Ils devront inclure une documentation présentant les risques encourus, les points de vigilance », explique-t-il. Sensibiliser c’est bien, responsabiliser les utilisateurs c’est mieux, souligne l’auteur du rapport. Le député préconise ainsi d’établir une charte obligatoire à l’attention des personnels en charge des SI. Et qui dit responsabilisation, dit sanction. « Ceux qui manipulent des données critiques doivent être conscients qu’ils seront sanctionnés en cas de dérapage », propose le député. La troisième recommandation du rapport vise à définir une politique d’achat cohérente. Le député souhaite que l’Etat permette la certification de produits destinés aux maillons sensibles de la chaîne SSI. En d’autres termes, l’Etat doit influer sur les politiques d’achat. Il s’agirait donc à la puissance publique de favoriser les conditions d’élaboration d’une offre certifiée, labellisée, française ou non. « Une sorte de Galileo de la sécurité », résume le député. Aider les PME avec un guichet unique Dans le même temps, les entreprises de petite ou moyenne taille, même conscientes des menaces, n’ont pas la capacité de mettre en place une vraie politique de SSI. Le rapport sort donc la carte des aides publiques qui inciteraient les entreprises à évoluer. Un guichet unique d’aide et de conseil est également préconisé. Lorsqu’une attaque ou une intrusion dans le SI a été repéré, les entreprises ont souvent des difficultés à trouver le bon interlocuteur officiel (police, justice). Pierre Lasbordes souhaite donc que soit mise très rapidement en place une spécialisation des policiers et des magistrats sur ces questions. D’autre part, il réclame une agravation des peines en matière d’atteinte à la SSI, des peines jugées encore trop clémentes. Une mesure limitée, car de nombreuses attaques sont initiées hors du territoire national. Enfin, le député se penche sur la question douloureuse de la SSI de l’Etat et des infrastructures vitales. « Il n’y a pas de raisons que les entreprises soient piratées et pas les administrations. L’Etat doit s’inspirer des pratiques des grandes entreprises », souligne-t-il. SSI de l’Etat: tout est à revoir Sur ce terrain, la situation est en effet préoccupante. Chacun travaille dans son coin, les politiques de sécurité (quand il y en a) sont hétérogènes et décentralisées. Les organismes officiels sont trop nombreux. Il faut donc mettre à jour les politiques et les schémas directeurs de chaque ministère. Une autorité centrale et opérationnelle devrait être mise en place afin d’approuver le lancement de projets sensibles. Cette autorité devra contrôler, valider et évaluer ces projets. Dans le même temps, elle devra inspecter et tester la sécurité des SI des ministères, administrations et infrastructures vitales. Toutes ces mesures, inexistantes, sont pourtant déjà utilisées en Allemagne par exemple avec le BSI. « L’Etat n’a jamais montré sa capacité à être opérationnel et à être évalué », regrette le député. Si toutes ces recommandations vont dans le bon sens, reste la question de l’application. Le député assure que le Premier ministre adhère à ce rapport et vient de mettre en place un groupe de travail pour savoir comment appliquer ces mesures. Pour autant, les rapports parlementaires finissent le plus souvent aux oubliettes. Pierre Lasbordes promet de tout faire pour qu’un calendrier à court terme soit dressé et pour que son rapport « ne se retrouve classé à la verticale ».