Assises de la Sécurité : l'État et l'Europe sont-ils en mesure de nous protéger?
Publié par Arnaud Dimberton le - mis à jour à
Avec l'explosion de la cybercriminalité, l'augmentation du risque terroriste, et les récentes attaques des présumés hackers de l'Empire du Milieu, la question est plus que jamais d'actualité. l'État français est-il capable de réellement protéger les intérêts des citoyens, des chefs d'entreprise, et des PME, et que fait l'Europe en matière de sécurité du système d'information
Monaco. - Voilà donc le thème de la première conférence de la septième édition des Assises de la sécurité informatique, un événement qui se déroule à Monaco. Pour répondre à ces deux questions, le salon accueille cette année : Alain Esterle, Directeur du Département technique de l'ENISA (European Network and Information Security Agency) et Pierre Lasbordes député de la 5ème circonscription de l'Essone et auteur d'un rapport remis à Dominique de Villepin en janvier 2006 sur le niveau de sécurité du système d'information de l'État français.
Dans son document, le député Lasborde a souligné plusieurs impératifs, d'abord l'importance de la sensibilisation de tous les citoyens, une meilleure information concernant la responsabilité des acteurs, le renforcement de la politique des achats, l'accroissement des moyens juridiques, la valorisation du poste de RSI ou RSSI, d'autres points sont également cités, mais ceux-ci semblent être les plus pertinents. Lasborde rappelle également les risques liés à la réorganisation du SI de l'État.
Ce dernier évoque également un courrier envoyé par le premier ministre François Fillon dans lequel ce dernier rappelle son grand intérêt sur ces questions de sécurité informatique. Le ministre confirme également dans ce courrier la création d'un portail dédié à la sécurité informatique pour répondre au premier impératif de sensibilisation du grand public. Ce dernier est en passe d'être finalisé, il devrait être ouvert d'ici la fin de l'année. Son ambition est de vulgariser les problématiques en rapport avec la sécurité informatique. Ce portail sera aussi bien destiné au grand public qu'aux chefs d'entreprise. Plus de 200 fiches techniques seront disponibles au téléchargement, mais également un glossaire, une base de veille technologique et de veille sur les alertes de sécurité. Enfin, un mémento pratique et des outils de diagnostic permettant de réparer des bogues et corriger des vulnérabilités seront également disponibles.
Lasborde estime également qu'il est nécessaire de responsabiliser les acteurs sur les risques pénaux encourus. Concernant la politique des achats, le rapport préconise la création d'un label de premier niveau. Ce dernier a pour but de donner une qualification aux fournisseurs d'équipements. Concernant le risque lié à la réorganisation du SI de l'État, Lasborde évoque la volonté gouvernementale et notamment présidentielle d'engager la réforme après la publication d'un livre blanc détaillent plus particulièrement la loi de programmation militaire.
Globalement le rapport Lasborde aurait sensibilisé les services de l'État à ce problème en particulier la SGDN (Secrétariat général de la défense nationale) qui est désormais plus« à l'écoute ». Qui plus est, la récente affaire de l'attaque qui aurait été menée par des hackers chinois a réactivé le travail de l'État sur les questions de sécurité du système d'information. Certes les gouvernements n'ont pas l'habitude de communiquer sur ces questions pourtant selon Lasborde :« le site le plus attaqué au monde reste celui du DOD, le département de la défense américain. »
Lasborde se réjouit de la nomination à la tête de l'agence Nationale de la recherche, de Jacques Stern (un éminent cryptologue ), et estime que ce choix va certainement rimer avec des investissements dans ce secteur. Pierre Lasbordes se dit tout de même « confiant pour l'avenir » mais il préfère jouer la carte de « la vigilance »car selon lui : « l'État a besoin d'être surveillé ». La principale difficulté pour assurer la protection des citoyens et des entreprises va être la réorganisation de l'État, il va également falloir fournir un important travail en ce qui concerne les PME car les grands comptes disposent de moyens colossaux pour assurer leur sécurité, les Chambres de Commerce vont certainement devoir jouer un rôle auprès de ces petites structures.
Et au niveau européen ?
Alain Esterle, Directeur du département Technique de l'Enisa, explique que le style d'intervention de la commission européenne est lent et lourd, mais que ce dernier procure une grande inertie, en clair une fois en place il est difficile d'arrêter la machine européenne.
Le travail de la commission repose sur une stratégie dite de Lisbonne (ndlr : car elle date de l'époque de la présidence portugaise). L'idée au coeur de cette stratégie est simple : » faire de l'Europe le lieu au monde le plus compétent dans le domaine de la société de l'information et des nouvelles technologies, l'objectif étant par ce biais de créer de l'emploi. » Pour Esterle, les attentats du 11 septembre 2001 ont encore accéléré cette prise de conscience de la nécessité de protéger les infrastructures vitales européennes.
La protection des utilisateurs du SI (Professionels et particuliers) au niveau européen a connu trois grandes phases. D'abord de 2001 à 2004, la phase dite d'exploration », la commission européenne a demandé la création d'un groupe de personnalités qui début 2004 a publié un rapport reconnaissant la nécessité de soutenir la R&D sur la sécurité. En octobre 2003, un second document a été publié intitulé « Protection des infrastructures critiques dans le cadre de la lutte contre le terrorisme. » Puis la ENISA (European Network and Information Security Agency) a été créée peu de temps après le lancement du premier programme de recherche en sécurité, financé à hauteur de 25 millions d'euros. 150 propositions ont été déposées, mais seulement 12 projets ont finalement été financés par manque d'argent.
En décembre 2006, la commission demande le recensement et le classement des infrastructures européennes, et suite à l'adoption d'une directive et à la seconde évaluation à mi parcours de l'ENISA, le budget du programme européen de recherche en Sécurité a été augmenté passant à 1,4 milliard d'euros sur 7 ans. Après le recensement de décembre 2006, une directive a été mise en oeuvre. Avec ce document, les États ont été obligés de publier des rapports pour la commission européenne. Ce qui a accéléré la création d'un système d'alerte transnational.
À terme, il n'est donc pas impossible de voir un système inspiré de celui de Compensation électrique. Concrètement si un important Backbone tombe en panne il serait intéressant de disposer d'un système de bascule à l'échelle de l'Europe. Par exemple en créant un centre de répartition de la bande passante. L'Union essaye donc de rapprocher les acteurs et de renforcer la collaboration entre les pays.
Pour conclure, Esterle rappelle que d'ici la fin de l'année l'Union européenne va faire une proposition de reforme du « paquet télécoms » introduisant de nouvelles mesures comme la création d'un régulateur Européen (EECMA) ou l'obligation de notification aux consommateurs. Ces mesures seront appliquées dans les trois ans à venir.