Travail sur une tablette

Chacun est responsable de tous

Dossier : CybersécuritéMagazine N°711 Janvier 2016
Par Guillaume POUPARD (92)

Agence char­gée de la cyber­sé­cu­ri­té, l’ANSSI insiste sur la res­pon­sa­bi­li­té de tous, les créa­teurs numé­riques, les admi­nis­tra­teurs de la « ges­tion de la cité » et des uti­li­sa­teurs. La sécu­ri­té infor­ma­tique doit deve­nir un avan­tage concur­ren­tiel pour la pro­duc­tion des entre­prises françaises.

Trois idées irriguent la stra­té­gie natio­nale pour la sécu­ri­té du numé­rique. La pre­mière idée est com­mune dans son expres­sion mais prend ici une dimen­sion par­ti­cu­lière. Au sein d’un monde numé­rique en construc­tion, cha­cun d’entre nous a une part de res­pon­sa­bi­li­té effec­tive dans la sécu­ri­té et la défense nationale.

“ Le comportement d’un seul peut compromettre la sécurité de beaucoup, de tous ”

Il ne s’agit pas sim­ple­ment d’une sorte d’incarnation numé­rique de « l’esprit de défense » que cha­cun connaît bien et qu’il fau­drait déve­lop­per dans les réseaux.

Comme le montrent les trai­te­ments de nom­breuses attaques infor­ma­tiques, les carac­té­ris­tiques propres au cybe­res­pace font que le com­por­te­ment d’un seul peut com­pro­mettre la sécu­ri­té de beau­coup, de tous.

REPÈRES

Le Premier ministre a présenté, le 16 octobre 2015, la « stratégie nationale pour la sécurité du numérique », en présence notamment de la secrétaire d’État chargée du numérique, du secrétaire général de la Défense et de la sécurité nationale, du président du Conseil national du numérique et de nombreux responsables d’entreprises.
Cette participation des plus hautes instances de l’État et d’acteurs économiques de premier plan montre que, transition numérique aidant, les questions liées à la cybersécurité, issues de la seule sphère technique, sont devenues de réels enjeux de société.

Trois communautés

Trois com­mu­nau­tés sont iden­ti­fiées. Il y a d’abord celle qui regroupe les inno­va­teurs, les créa­teurs des nou­veaux usages, ser­vices et pro­duits du numé­rique, les cher­cheurs, les opé­ra­teurs de réseaux de com­mu­ni­ca­tions élec­tro­niques, les entre­prises du domaine de la cyber­sé­cu­ri­té, les équi­pe­men­tiers et les intégrateurs.

UN ENJEU À NOTRE PORTÉE

Les X sont nombreux parmi les bâtisseurs du numérique, dans les laboratoires ou à des postes clés d’opérateurs ou d’entreprises du domaine.
Moi-même, à la tête d’une agence en forte croissance, je constate combien est importante la compréhension par cette communauté du niveau de la menace à laquelle nous sommes confrontés. Il s’agit de construire un monde numérique durable – et il ne le sera que s’il est sûr.
C’est un enjeu à notre portée pour peu que soient prises suffisamment en amont les questions de sécurité.

Cette com­mu­nau­té a le devoir de pro­po­ser des pro­duits et ser­vices dont le niveau de sécu­ri­té cor­res­pond aux besoins expri­més par la néces­saire ana­lyse de risque qui doit accom­pa­gner tout pro­jet numérique.

La deuxième com­mu­nau­té est consti­tuée de tous ceux qui prennent les déci­sions concer­nant la « ges­tion de la cité » : élus, gou­ver­ne­ment, admi­nis­tra­tions cen­trales et ter­ri­to­riales et syndicats.

La mis­sion de cette com­mu­nau­té est d’intégrer la sécu­ri­té et la défense du numé­rique dans leur vision poli­tique des enti­tés dont ils ont la charge. Il appar­tient, par exemple, à l’élu d’une col­lec­ti­vi­té ter­ri­to­riale de deman­der à ses ser­vices que le site inter­net de sa col­lec­ti­vi­té béné­fi­cie du niveau de sécu­ri­té néces­saire, comme il lui appar­tient de faire voter les bud­gets requis.

Beau­coup par­mi les poly­tech­ni­ciens appar­tiennent à cette com­mu­nau­té ou la servent. La com­plexi­té du gou­ver­ne­ment de socié­tés avan­cées comme la nôtre fait que des ques­tions appa­rais­sant d’abord comme tech­niques sont rare­ment débat­tues au plus haut niveau.

Le déci­deur poli­tique et ceux qui le conseillent doivent bien com­prendre l’étroitesse des liens entre la confiance que les admi­nis­trés attendent – et qui sera demain la condi­tion de leur uti­li­sa­tion des ser­vices publics numé­riques – et la sécu­ri­té informatique.

Ce point est essen­tiel. Cette confiance doit être visée et finan­cée dès la construc­tion de pro­jets dont la robus­tesse aux attaques infor­ma­tiques doit être régu­liè­re­ment mesurée.

La troi­sième com­mu­nau­té, la plus large, est consti­tuée de tous les uti­li­sa­teurs du numé­rique, des chefs d’entreprises ou des res­pon­sables d’associations, de tous les citoyens. Il leur revient d’utiliser les res­sources du numé­rique avec la pru­dence néces­saire pour ne pas se mettre en dan­ger, mettre en dan­ger leurs proches ou leur entre­prise, leurs clients ou leurs fournisseurs.

Dans les faits, cha­cun appar­tient au moins à deux com­mu­nau­tés. Dans le cybe­res­pace, comme l’a écrit Antoine de Saint-Exu­pé­ry : « Cha­cun est res­pon­sable de tous. Cha­cun est seul res­pon­sable. Cha­cun est seul res­pon­sable de tous. »

Données personnelles

La deuxième idée conte­nue dans la stra­té­gie natio­nale pour la sécu­ri­té du numé­rique est encore nais­sante même si, intui­ti­ve­ment, cha­cun peut en com­prendre les fon­de­ments. Elle a trait à la cap­ta­tion des don­nées per­son­nelles des Français.

Il revient à chaque uti­li­sa­teur d’exploiter les res­sources du numé­rique avec la pru­dence néces­saire pour ne pas se mettre en dan­ger. © SYDA PRODUCTIONS / FOTOLIA

On peut l’illustrer par deux exemples. D’une part, une cap­ta­tion mas­sive de ces don­nées per­son­nelles à des fins d’exploitation éco­no­miques par des acteurs étran­gers peut entraî­ner un dés­équi­libre défa­vo­rable sus­cep­tible de mettre en dan­ger une part de l’économie natio­nale voire européenne.

D’autre part, et dans cer­tains cas, une cap­ta­tion ciblée de don­nées per­son­nelles – par exemple celles dis­po­nibles sur les réseaux sociaux concer­nant direc­te­ment ou indi­rec­te­ment tous les per­son­nels du minis­tère de la Défense – et leur exploi­ta­tion peuvent consti­tuer un pro­blème de sécu­ri­té nationale.

Si quelques cas d’exploitation de don­nées per­son­nelles obte­nues par attaque infor­ma­tique ont mis en dan­ger les per­sonnes concer­nées ou les entre­prises vic­times, il n’y a pas, à ce jour, de démons­tra­tion cor­ro­bo­rant cette menace, même si on en com­prend aisé­ment les mécanismes.

Inverser la charge de la preuve

La troi­sième idée est issue d’une anti­ci­pa­tion fon­dée sur l’observation des faits : depuis plu­sieurs années, les attaques infor­ma­tiques sont en crois­sance forte en nombre et en sophis­ti­ca­tion. Plus la France avance dans sa tran­si­tion numé­rique, plus elle aug­mente sa « sur­face d’attaque » et plus grand est le risque d’être vic­time d’une attaque informatique.

“ Une captation ciblée de données personnelles peut constituer un problème de sécurité nationale ”

Ce rai­son­ne­ment est appli­cable pour tout pays. Pour­tant, pour l’entreprise, pour l’administration et pour cha­cun d’entre nous, la sécu­ri­té est régu­liè­re­ment pré­sen­tée et tou­jours vécue comme une contrainte et un coût.

La stra­té­gie natio­nale pour la sécu­ri­té du numé­rique pro­pose en quelque sorte d’inverser la charge de la preuve. La sécu­ri­té infor­ma­tique doit deve­nir un avan­tage concur­ren­tiel pour les pro­duits et ser­vices pro­po­sés par les entre­prises françaises.

Dans un mar­ché mon­dial concur­ren­tiel et face à des menaces révé­lées quo­ti­dien­ne­ment, notam­ment contre la confi­den­tia­li­té des don­nées ou la rési­lience de pro­duits connec­tés, les uti­li­sa­teurs se tour­ne­ront demain vers les pro­duits et ser­vices qu’ils esti­me­ront de confiance.

Ain­si, pen­sée et inté­grée en amont de la concep­tion, la sécu­ri­té numé­rique des pro­duits et ser­vices pro­po­sés par les entre­prises fran­çaises sera, à per­for­mance égale, en posi­tion favo­rable sur les mar­chés internationaux.

Cinq objectifs

Manipulation d'une tablette
Toute for­ma­tion ini­tiale supé­rieure doit inté­grer une sen­si­bi­li­sa­tion à
la cyber­sé­cu­ri­té. © SKYLINE / FOTOLIA

Le 16 octobre 2015, le Pre­mier ministre a pré­sen­té les grands axes et orien­ta­tions de la stra­té­gie natio­nale pour le numé­rique. Issue d’un tra­vail inter­mi­nis­té­riel enga­gé en juin 2014, cette stra­té­gie pré­sente cinq objec­tifs et pro­pose pour cha­cun d’entre eux des orientations.

Il appar­tient désor­mais aux minis­tères, sou­te­nus par l’Agence natio­nale de la sécu­ri­té des sys­tèmes d’information (ANSSI), de contri­buer à l’atteinte de ces objec­tifs par des actions rele­vant de leurs champs de compétences.

Le pre­mier axe de la stra­té­gie est dans la conti­nui­té des orien­ta­tions don­nées par les Livres blancs sur la défense et la sécu­ri­té natio­nale de 2008 et 2013. Il vise à ren­for­cer la pro­tec­tion des infra­struc­tures cri­tiques de la France par une crois­sance de la sécu­ri­té de leurs sys­tèmes d’information.

C’est le sens du tra­vail enga­gé entre l’ANSSI et les opé­ra­teurs d’importance vitale pour la mise en œuvre des dis­po­si­tions légis­la­tives rela­tives à la sécu­ri­té des sys­tèmes d’information conte­nues dans la loi de pro­gram­ma­tion mili­taire de décembre 2013.

Protéger la vie numérique des français

Le deuxième axe concerne plus par­ti­cu­liè­re­ment la pro­tec­tion de la vie numé­rique des Fran­çais. En com­plé­ment du pre­mier axe, il s’agit d’une part de pro­mou­voir et défendre dans le cybe­res­pace les valeurs de la Répu­blique, et d’autre part d’apporter une aide aux entre­prises et par­ti­cu­liers vic­times d’actes de cybermalveillance.

Sur ce der­nier point, un groupe de tra­vail copi­lo­té par le pré­fet char­gé de la lutte contre les cyber­me­naces du minis­tère de l’Intérieur et l’ANSSI a per­mis de poser les bases de ce que sera le dis­po­si­tif d’aide qui sera mis en place cou­rant 2016.

“ Promouvoir et défendre dans le cyberespace les valeurs de la République ”

Le troi­sième axe aborde les enjeux des for­ma­tions ini­tiales et conti­nues. La stra­té­gie sou­ligne que l’ensemble des Fran­çais doivent être sen­si­bi­li­sés et que toute for­ma­tion ini­tiale supé­rieure doit inté­grer un volet sen­si­bi­li­sa­tion ou for­ma­tion à la cyber­sé­cu­ri­té adap­té à la filière.

Le qua­trième axe vise à favo­ri­ser le déve­lop­pe­ment d’un éco­sys­tème favo­rable au déve­lop­pe­ment de pro­duits et ser­vices de sécu­ri­té per­for­mants et de confiance.

Il s’agit éga­le­ment de trans­for­mer la contrainte bud­gé­taire et humaine liée à l’intégration de la sécu­ri­té infor­ma­tique dans les pro­duits et ser­vices en avan­tage concur­ren­tiel pour l’entreprise et en valeur ajou­tée pour le client.

Mobiliser l’Union européenne

Le cin­quième axe, enfin, vise à mobi­li­ser les États membres de l’Union euro­péenne pour atteindre une véri­table sou­ve­rai­ne­té numé­rique pro­pice au déve­lop­pe­ment d’acteurs euro­péens de la cyber­sé­cu­ri­té. L’objectif est éga­le­ment de ren­for­cer l’influence fran­çaise dans les ins­tances internationales.

Notre for­ma­tion et nos res­pon­sa­bi­li­tés nous placent en pre­mière ligne pour la mise en œuvre de l’effort qui per­met­tra à notre nation d’être rési­liente à des attaques infor­ma­tiques qui aujourd’hui grèvent notre com­pé­ti­ti­vi­té, nous appau­vrissent et détruisent des emplois et demain vise­ront nos infra­struc­tures cri­tiques, au risque de pertes de vies humaines et de dom­mages éco­no­miques graves.

Poster un commentaire