L’évolution des enjeux de la sécurité des systèmes d’information

Dossier : La confiance électroniqueMagazine N°582 Février 2003
Par Henri SERRES (69)

« Les TIC sont por­teuses de pro­messes dans tous les domaines […]. Il nous appar­tient de libé­rer les éner­gies, créer la confiance et sou­te­nir l’in­no­va­tion […]. Créer un cli­mat de confiance en fixant des règles du jeu claires aux acteurs et en assu­rant une pro­tec­tion effi­cace des utilisateurs »…

Extraits du dis­cours du Pre­mier ministre Jean-Pierre RAFFARIN devant L’E­lec­tro­nic Busi­ness Group le 12 novembre 2002 – Pré­sen­ta­tion du plan RE/SO 2007 (Pour une REpu­blique numé­rique dans la SOcié­té de l’information).

L’essor de la socié­té de l’in­for­ma­tion, à l’o­ri­gine pro­vo­qué par la dif­fu­sion des pro­grès des tech­no­lo­gies de l’in­for­ma­tion et de la com­mu­ni­ca­tion, pro­cède assu­ré­ment d’une démarche volon­ta­riste au niveau de l’É­tat, comme l’a réaf­fir­mé le Pre­mier ministre devant l’E­lec­tro­nic Busi­ness Group. En ce qui concerne la sphère publique, cet essor devrait se tra­duire par une amé­lio­ra­tion consi­dé­rable de la pro­duc­ti­vi­té et de la qua­li­té du tra­vail des admi­nis­tra­tions ain­si que des ser­vices ren­dus aux usa­gers. Ces consé­quences béné­fiques ne doivent cepen­dant pas occul­ter le revers de la médaille : l’ap­pa­ri­tion de vul­né­ra­bi­li­tés nou­velles, l’ac­crois­se­ment des risques pesant sur les sys­tèmes d’in­for­ma­tion et l’é­mer­gence de menaces carac­té­ri­sées par leur ubi­qui­té, leur sou­dai­ne­té et une capa­ci­té de nui­sance par­ti­cu­liè­re­ment forte.

Ain­si, la néces­si­té de pro­té­ger les sys­tèmes d’in­for­ma­tion de l’É­tat face à ces vul­né­ra­bi­li­tés, ces risques et ces menaces est à l’o­ri­gine de la créa­tion, déci­dée en 2000 et offi­cia­li­sée à l’é­té 2001, de la Direc­tion cen­trale de la sécu­ri­té des sys­tèmes d’in­for­ma­tion (DCSSI)1.

Depuis, la média­ti­sa­tion de la dif­fu­sion de cer­tains virus et sur­tout les évé­ne­ments du 11 sep­tembre 2001 ont ren­for­cé la prise de conscience des risques et des attaques pos­sibles ou pro­bables, et des pro­grès notables en matière de pro­tec­tion des sys­tèmes d’in­for­ma­tion ont été accomplis.

Mais le cadre géné­ral dans lequel s’ins­crit aujourd’­hui l’ac­tion en matière de sécu­ri­té des sys­tèmes d’in­for­ma­tion (SSI) est en évo­lu­tion per­ma­nente : de nou­velles tech­no­lo­gies appa­raissent et se dif­fusent mas­si­ve­ment sans que leur impact sur la sécu­ri­té ait été com­plè­te­ment pris en compte, les failles de sécu­ri­té se mul­ti­plient et engendrent de nou­velles vul­né­ra­bi­li­tés à carac­tère sys­té­mique, des menaces per­ni­cieuses et inédites se font jour, dont la moindre n’est pas la menace cyberterroriste.

S’a­dap­ter à cette évo­lu­tion et si pos­sible l’an­ti­ci­per appa­raît donc comme un impé­ra­tif majeur pour pou­voir assu­rer conve­na­ble­ment la sécu­ri­té des sys­tèmes d’in­for­ma­tion, notam­ment ceux de l’État.

Les tendances d’évolution du contexte de la sécurité des systèmes d’information

Une évolution technologique pernicieuse et périlleuse

Cer­taines des évo­lu­tions tech­no­lo­giques en cours et de celles qui se des­sinent ne vont pas dans le sens d’un ren­for­ce­ment intrin­sèque de la sécu­ri­té. À titre d’exemple, on peut citer toutes les tech­no­lo­gies sans fil qui émergent et devraient se dif­fu­ser rapi­de­ment et mas­si­ve­ment, ain­si que l’In­ter­net mobile dont la dif­fu­sion devrait être aus­si rapide qu’a été celle du télé­phone por­table. La faci­li­té avec laquelle il est pos­sible de péné­trer les sys­tèmes de sécu­ri­té des réseaux sans fil avec des équi­pe­ments ordi­naires a récem­ment ame­né les hackers à pra­ti­quer un nou­veau « sport » : le « war dri­ving », qui consiste à se pro­me­ner en voi­ture, muni d’un ordi­na­teur por­table doté d’un simple adap­ta­teur, et à repé­rer puis atta­quer les réseaux sans fil rencontrés.

Le carac­tère dan­ge­reux de ces tech­no­lo­gies au regard de la sécu­ri­té des sys­tèmes d’in­for­ma­tion est accen­tué du fait que bien sou­vent les équi­pe­ments les incluent nati­ve­ment sans que leurs uti­li­sa­teurs en soient infor­més ou aient conscience des risques aux­quels ils s’exposent.

L’internationalisation du cadre d’action

En matière de sécu­ri­té des sys­tèmes d’in­for­ma­tion, une des évo­lu­tions récentes les plus mar­quantes est l’in­ter­na­tio­na­li­sa­tion du cadre d’ac­tion, conco­mi­tante de l’ex­ten­sion des réseaux à l’é­chelle pla­né­taire et de l’ex­pan­sion de l’In­ter­net, et de leur corol­laire, l’ap­pa­ri­tion d’une cyber­cri­mi­na­li­té qui ignore les frontières.

C’est ain­si que de nom­breuses orga­ni­sa­tions inter­na­tio­nales (Conseil de l’Eu­rope, G8) s’at­tachent à défi­nir des ins­tru­ments poli­tiques et juri­diques adap­tés à la lutte contre la cyber­cri­mi­na­li­té. De son côté, l’U­nion euro­péenne s’est sai­sie de la pro­blé­ma­tique de la sécu­ri­té des sys­tèmes d’in­for­ma­tion et le plan d’ac­tion « eEu­rope 2005« 2 accorde une impor­tance toute par­ti­cu­lière à la sécu­ri­té du « monde en ligne ». De même, l’OCDE vient récem­ment d’a­dop­ter une recom­man­da­tion de son Conseil inti­tu­lée : « Lignes direc­trices régis­sant la sécu­ri­té des sys­tèmes et réseaux d’in­for­ma­tion : vers une culture de la sécu­ri­té« 3.

L’offre industrielle française en SSI

L’offre fran­çaise de pro­duits de confiance en matière de sécu­ri­té des sys­tèmes d’in­for­ma­tion est encore insuf­fi­sante par rap­port aux enjeux et aux efforts consen­tis par les autres grands pays indus­tria­li­sés. Les rai­sons en sont connues : étroi­tesse du mar­ché, fai­blesse des retours sur inves­tis­se­ment, manque d’ac­tions inci­ta­tives en la matière.

Dans ces condi­tions, le risque serait grand de devoir s’en remettre exclu­si­ve­ment, à rela­ti­ve­ment court terme, à des pro­duits ou logi­ciels de sécu­ri­té d’o­ri­gine étran­gère alors que de grands groupes fran­çais ou des PME inno­vantes ont les capa­ci­tés de pro­po­ser des pro­duits ou des tech­no­lo­gies intéressants.

Une coor­di­na­tion accrue des efforts de déve­lop­pe­ment et d’in­dus­tria­li­sa­tion des pro­duits euro­péens est paral­lè­le­ment souhaitable.

Une cybercriminalité durable

La com­plexi­té crois­sante des sys­tèmes d’in­for­ma­tion, même si tout est fait pour rendre leur uti­li­sa­tion trans­pa­rente aux uti­li­sa­teurs, est en elle-même une source de vul­né­ra­bi­li­tés. On sait que l’in­gé­nio­si­té des atta­quants est sans limite pour détec­ter et exploi­ter ces vulnérabilités.

Par ailleurs, la déma­té­ria­li­sa­tion des flux finan­ciers et le déve­lop­pe­ment du com­merce élec­tro­nique mul­ti­plient les ten­ta­tions pour des mal­fai­teurs ver­sés dans la haute tech­no­lo­gie, agis­sant seuls ou dans le cadre du crime orga­ni­sé, de réa­li­ser des gains lucra­tifs avec un sen­ti­ment de rela­tive impunité.

De nom­breuses études ou rap­ports sont publiés régu­liè­re­ment sur le sujet. Toutes ces études et ces rap­ports convergent pour sou­li­gner l’aug­men­ta­tion consi­dé­rable et per­ma­nente de la cyber­cri­mi­na­li­té et, plus géné­ra­le­ment, des atteintes por­tées aux sys­tèmes d’in­for­ma­tion des entre­prises et des orga­ni­sa­tions de toute nature. Ain­si le nombre total d’at­taques recen­sées dans le monde a aug­men­té de 160 % de 2000 à 2001 (source CERT). Autre exemple : si en 2000, un cour­rier élec­tro­nique sur 700 conte­nait un virus, en 2001 un cour­rier élec­tro­nique sur 350 véhi­cu­lait une forme d’at­taque mal­veillante (même source).

Vers une interconnexion généralisée des réseaux

La dif­fu­sion et l’u­ti­li­sa­tion des TIC dans les entre­prises et les admi­nis­tra­tions devraient se pour­suivre à un rythme au moins équi­valent au rythme actuel. Si des évo­lu­tions notables ne sont pas à attendre dans le domaine de la bureau­tique, sauf un usage sans doute plus répan­du des logi­ciels libres, en revanche les échanges d’in­for­ma­tion par l’in­ter­mé­diaire des réseaux locaux et éten­dus devraient se mul­ti­plier et l’u­ti­li­sa­tion des télé­pro­cé­dures entre les admi­nis­tra­tions, impli­quant donc l’in­ter­con­nexion de réseaux, devrait se géné­ra­li­ser, du fait d’une démarche volon­ta­riste de l’É­tat et de la recherche d’une meilleure pro­duc­ti­vi­té au sein des administrations.

La mise en place de l’ad­mi­nis­tra­tion élec­tro­nique et la géné­ra­li­sa­tion des télé­ser­vices publics d’i­ci 2005 néces­si­te­ront des dis­po­si­tions tech­niques, et notam­ment l’in­ter­con­nexion des réseaux minis­té­riels avec les réseaux publics et Internet.

Les vul­né­ra­bi­li­tés engen­drées par l’in­ter­con­nexion des réseaux internes avec des réseaux ouverts sont crois­santes et doivent être éva­luées et trai­tées au sein de chaque entre­prise et admi­nis­tra­tion avec la plus grande attention.

Quelques pistes de progression

Avec l’a­vè­ne­ment des TIC, l’en­vi­ron­ne­ment des entre­prises et des admi­nis­tra­tions évo­lue sans cesse. La sécu­ri­té devient alors une tâche de tous les ins­tants, qui requiert une atten­tion, une adap­ta­bi­li­té et une anti­ci­pa­tion per­ma­nentes. Si les pro­blèmes actuels trouvent une réponse, de nou­velles failles appa­raissent ; des pro­grès res­tent à accom­plir, d’autres voies à explorer :

  • ren­for­cer les capa­ci­tés de Recherche & Tech­no­lo­gie, et d’é­va­lua­tion en matière de sécu­ri­té des sys­tèmes d’in­for­ma­tion per­met­tant de cou­vrir le spectre des tech­no­lo­gies et de réduire à un niveau accep­table les risques liés à l’u­ti­li­sa­tion des tech­no­lo­gies de l’in­for­ma­tion et de la communication ;
  • dis­po­ser, pour la fonc­tion sécu­ri­té des sys­tèmes d’in­for­ma­tion, de res­sources humaines et de com­pé­tences suf­fi­santes en nombre et en qua­li­té : toutes les évo­lu­tions ana­ly­sées ci-des­sus convergent pour faire res­sor­tir cette impé­rieuse nécessité ;
  • accroître les actions de sen­si­bi­li­sa­tion à la sécu­ri­té des sys­tèmes d’in­for­ma­tion, au sein des admi­nis­tra­tions, auprès des entre­prises et des citoyens, de façon à per­mettre la dif­fu­sion pro­gres­sive d’une « culture SSI » au sein de la socié­té tout entière.

La com­mu­nau­té poly­tech­ni­cienne est par­ti­cu­liè­re­ment bien pla­cée sur ces dif­fé­rents aspects, par sa place émi­nente dans le monde de la recherche, publique ou pri­vée, par les capa­ci­tés tech­niques et déci­sion­nelles qu’elle porte dans le monde des uti­li­sa­teurs comme dans celui des concep­teurs et réa­li­sa­teurs de sys­tèmes d’information.

La réa­li­sa­tion de ce numé­ro excep­tion­nel de La Jaune et la Rouge contri­bue donc à l’a­mé­lio­ra­tion de la prise de conscience des risques, et fait res­sor­tir l’im­por­tance de l’en­ga­ge­ment de tous dans la recherche de solu­tions et de leur mise en pra­tique dans un monde où l’in­ter­dé­pen­dance néces­site une vigi­lance renforcée.

___________________________
1.
 http://www.ssi.gouv.fr
2. http://europa.eu.int/information_society/eeurope/action_plan/index_fr.htm
3. http://www.oecd.org/pdf/M00033000/M00033183.pdf

Commentaire

Ajouter un commentaire

Barou Toun­ka­rarépondre
27 novembre 2017 à 8 h 32 min

La pro­blé­ma­tique de sys­teme infor­ma­tique
je vous en remercie

Répondre