Travail sur une tablette

Chacun est responsable de tous

Dossier : CybersécuritéMagazine N°711 Janvier 2016
Par Guillaume POUPARD (92)

Agence chargée de la cyber­sécu­rité, l’ANSSI insiste sur la respon­s­abil­ité de tous, les créa­teurs numériques, les admin­is­tra­teurs de la « ges­tion de la cité » et des util­isa­teurs. La sécu­rité infor­ma­tique doit devenir un avan­tage con­cur­ren­tiel pour la pro­duc­tion des entre­pris­es françaises.

Trois idées irriguent la stratégie nationale pour la sécu­rité du numérique. La pre­mière idée est com­mune dans son expres­sion mais prend ici une dimen­sion par­ti­c­ulière. Au sein d’un monde numérique en con­struc­tion, cha­cun d’entre nous a une part de respon­s­abil­ité effec­tive dans la sécu­rité et la défense nationale.

“ Le comportement d’un seul peut compromettre la sécurité de beaucoup, de tous ”

Il ne s’agit pas sim­ple­ment d’une sorte d’incarnation numérique de « l’esprit de défense » que cha­cun con­naît bien et qu’il faudrait dévelop­per dans les réseaux.

Comme le mon­trent les traite­ments de nom­breuses attaques infor­ma­tiques, les car­ac­téris­tiques pro­pres au cybere­space font que le com­porte­ment d’un seul peut com­pro­met­tre la sécu­rité de beau­coup, de tous.

REPÈRES

Le Premier ministre a présenté, le 16 octobre 2015, la « stratégie nationale pour la sécurité du numérique », en présence notamment de la secrétaire d’État chargée du numérique, du secrétaire général de la Défense et de la sécurité nationale, du président du Conseil national du numérique et de nombreux responsables d’entreprises.
Cette participation des plus hautes instances de l’État et d’acteurs économiques de premier plan montre que, transition numérique aidant, les questions liées à la cybersécurité, issues de la seule sphère technique, sont devenues de réels enjeux de société.

Trois communautés

Trois com­mu­nautés sont iden­ti­fiées. Il y a d’abord celle qui regroupe les inno­va­teurs, les créa­teurs des nou­veaux usages, ser­vices et pro­duits du numérique, les chercheurs, les opéra­teurs de réseaux de com­mu­ni­ca­tions élec­tron­iques, les entre­pris­es du domaine de la cyber­sécu­rité, les équipemen­tiers et les intégrateurs.

UN ENJEU À NOTRE PORTÉE

Les X sont nombreux parmi les bâtisseurs du numérique, dans les laboratoires ou à des postes clés d’opérateurs ou d’entreprises du domaine.
Moi-même, à la tête d’une agence en forte croissance, je constate combien est importante la compréhension par cette communauté du niveau de la menace à laquelle nous sommes confrontés. Il s’agit de construire un monde numérique durable – et il ne le sera que s’il est sûr.
C’est un enjeu à notre portée pour peu que soient prises suffisamment en amont les questions de sécurité.

Cette com­mu­nauté a le devoir de pro­pos­er des pro­duits et ser­vices dont le niveau de sécu­rité cor­re­spond aux besoins exprimés par la néces­saire analyse de risque qui doit accom­pa­g­n­er tout pro­jet numérique.

La deux­ième com­mu­nauté est con­sti­tuée de tous ceux qui pren­nent les déci­sions con­cer­nant la « ges­tion de la cité » : élus, gou­verne­ment, admin­is­tra­tions cen­trales et ter­ri­to­ri­ales et syndicats.

La mis­sion de cette com­mu­nauté est d’intégrer la sécu­rité et la défense du numérique dans leur vision poli­tique des entités dont ils ont la charge. Il appar­tient, par exem­ple, à l’élu d’une col­lec­tiv­ité ter­ri­to­ri­ale de deman­der à ses ser­vices que le site inter­net de sa col­lec­tiv­ité béné­fi­cie du niveau de sécu­rité néces­saire, comme il lui appar­tient de faire vot­er les bud­gets requis.

Beau­coup par­mi les poly­tech­ni­ciens appar­ti­en­nent à cette com­mu­nauté ou la ser­vent. La com­plex­ité du gou­verne­ment de sociétés avancées comme la nôtre fait que des ques­tions appa­rais­sant d’abord comme tech­niques sont rarement débattues au plus haut niveau.

Le décideur poli­tique et ceux qui le con­seil­lent doivent bien com­pren­dre l’étroitesse des liens entre la con­fi­ance que les admin­istrés atten­dent – et qui sera demain la con­di­tion de leur util­i­sa­tion des ser­vices publics numériques – et la sécu­rité informatique.

Ce point est essen­tiel. Cette con­fi­ance doit être visée et financée dès la con­struc­tion de pro­jets dont la robustesse aux attaques infor­ma­tiques doit être régulière­ment mesurée.

La troisième com­mu­nauté, la plus large, est con­sti­tuée de tous les util­isa­teurs du numérique, des chefs d’entreprises ou des respon­s­ables d’associations, de tous les citoyens. Il leur revient d’utiliser les ressources du numérique avec la pru­dence néces­saire pour ne pas se met­tre en dan­ger, met­tre en dan­ger leurs proches ou leur entre­prise, leurs clients ou leurs fournisseurs.

Dans les faits, cha­cun appar­tient au moins à deux com­mu­nautés. Dans le cybere­space, comme l’a écrit Antoine de Saint-Exupéry : « Cha­cun est respon­s­able de tous. Cha­cun est seul respon­s­able. Cha­cun est seul respon­s­able de tous. »

Données personnelles

La deux­ième idée con­tenue dans la stratégie nationale pour la sécu­rité du numérique est encore nais­sante même si, intu­itive­ment, cha­cun peut en com­pren­dre les fonde­ments. Elle a trait à la cap­ta­tion des don­nées per­son­nelles des Français.

Il revient à chaque util­isa­teur d’exploiter les ressources du numérique avec la pru­dence néces­saire pour ne pas se met­tre en dan­ger. © SYDA PRODUCTIONS / FOTOLIA

On peut l’illustrer par deux exem­ples. D’une part, une cap­ta­tion mas­sive de ces don­nées per­son­nelles à des fins d’exploitation économiques par des acteurs étrangers peut entraîn­er un déséquili­bre défa­vor­able sus­cep­ti­ble de met­tre en dan­ger une part de l’économie nationale voire européenne.

D’autre part, et dans cer­tains cas, une cap­ta­tion ciblée de don­nées per­son­nelles – par exem­ple celles disponibles sur les réseaux soci­aux con­cer­nant directe­ment ou indi­recte­ment tous les per­son­nels du min­istère de la Défense – et leur exploita­tion peu­vent con­stituer un prob­lème de sécu­rité nationale.

Si quelques cas d’exploitation de don­nées per­son­nelles obtenues par attaque infor­ma­tique ont mis en dan­ger les per­son­nes con­cernées ou les entre­pris­es vic­times, il n’y a pas, à ce jour, de démon­stra­tion cor­rob­o­rant cette men­ace, même si on en com­prend aisé­ment les mécanismes.

Inverser la charge de la preuve

La troisième idée est issue d’une antic­i­pa­tion fondée sur l’observation des faits : depuis plusieurs années, les attaques infor­ma­tiques sont en crois­sance forte en nom­bre et en sophis­ti­ca­tion. Plus la France avance dans sa tran­si­tion numérique, plus elle aug­mente sa « sur­face d’attaque » et plus grand est le risque d’être vic­time d’une attaque informatique.

“ Une captation ciblée de données personnelles peut constituer un problème de sécurité nationale ”

Ce raison­nement est applic­a­ble pour tout pays. Pour­tant, pour l’entreprise, pour l’administration et pour cha­cun d’entre nous, la sécu­rité est régulière­ment présen­tée et tou­jours vécue comme une con­trainte et un coût.

La stratégie nationale pour la sécu­rité du numérique pro­pose en quelque sorte d’inverser la charge de la preuve. La sécu­rité infor­ma­tique doit devenir un avan­tage con­cur­ren­tiel pour les pro­duits et ser­vices pro­posés par les entre­pris­es françaises.

Dans un marché mon­di­al con­cur­ren­tiel et face à des men­aces révélées quo­ti­di­en­nement, notam­ment con­tre la con­fi­den­tial­ité des don­nées ou la résilience de pro­duits con­nec­tés, les util­isa­teurs se tourneront demain vers les pro­duits et ser­vices qu’ils estimeront de confiance.

Ain­si, pen­sée et inté­grée en amont de la con­cep­tion, la sécu­rité numérique des pro­duits et ser­vices pro­posés par les entre­pris­es français­es sera, à per­for­mance égale, en posi­tion favor­able sur les marchés internationaux.

Cinq objectifs

Manipulation d'une tablette
Toute for­ma­tion ini­tiale supérieure doit inté­gr­er une sen­si­bil­i­sa­tion à
la cyber­sécu­rité. © SKYLINE / FOTOLIA

Le 16 octo­bre 2015, le Pre­mier min­istre a présen­té les grands axes et ori­en­ta­tions de la stratégie nationale pour le numérique. Issue d’un tra­vail inter­min­istériel engagé en juin 2014, cette stratégie présente cinq objec­tifs et pro­pose pour cha­cun d’entre eux des orientations.

Il appar­tient désor­mais aux min­istères, soutenus par l’Agence nationale de la sécu­rité des sys­tèmes d’information (ANSSI), de con­tribuer à l’atteinte de ces objec­tifs par des actions rel­e­vant de leurs champs de compétences.

Le pre­mier axe de la stratégie est dans la con­ti­nu­ité des ori­en­ta­tions don­nées par les Livres blancs sur la défense et la sécu­rité nationale de 2008 et 2013. Il vise à ren­forcer la pro­tec­tion des infra­struc­tures cri­tiques de la France par une crois­sance de la sécu­rité de leurs sys­tèmes d’information.

C’est le sens du tra­vail engagé entre l’ANSSI et les opéra­teurs d’importance vitale pour la mise en œuvre des dis­po­si­tions lég­isla­tives rel­a­tives à la sécu­rité des sys­tèmes d’information con­tenues dans la loi de pro­gram­ma­tion mil­i­taire de décem­bre 2013.

Protéger la vie numérique des français

Le deux­ième axe con­cerne plus par­ti­c­ulière­ment la pro­tec­tion de la vie numérique des Français. En com­plé­ment du pre­mier axe, il s’agit d’une part de pro­mou­voir et défendre dans le cybere­space les valeurs de la République, et d’autre part d’apporter une aide aux entre­pris­es et par­ti­c­uliers vic­times d’actes de cybermalveillance.

Sur ce dernier point, un groupe de tra­vail copi­loté par le préfet chargé de la lutte con­tre les cyber­me­n­aces du min­istère de l’Intérieur et l’ANSSI a per­mis de pos­er les bases de ce que sera le dis­posi­tif d’aide qui sera mis en place courant 2016.

“ Promouvoir et défendre dans le cyberespace les valeurs de la République ”

Le troisième axe abor­de les enjeux des for­ma­tions ini­tiales et con­tin­ues. La stratégie souligne que l’ensemble des Français doivent être sen­si­bil­isés et que toute for­ma­tion ini­tiale supérieure doit inté­gr­er un volet sen­si­bil­i­sa­tion ou for­ma­tion à la cyber­sécu­rité adap­té à la filière.

Le qua­trième axe vise à favoris­er le développe­ment d’un écosys­tème favor­able au développe­ment de pro­duits et ser­vices de sécu­rité per­for­mants et de confiance.

Il s’agit égale­ment de trans­former la con­trainte budgé­taire et humaine liée à l’intégration de la sécu­rité infor­ma­tique dans les pro­duits et ser­vices en avan­tage con­cur­ren­tiel pour l’entreprise et en valeur ajoutée pour le client.

Mobiliser l’Union européenne

Le cinquième axe, enfin, vise à mobilis­er les États mem­bres de l’Union européenne pour attein­dre une véri­ta­ble sou­veraineté numérique prop­ice au développe­ment d’acteurs européens de la cyber­sécu­rité. L’objectif est égale­ment de ren­forcer l’influence française dans les instances internationales.

Notre for­ma­tion et nos respon­s­abil­ités nous pla­cent en pre­mière ligne pour la mise en œuvre de l’effort qui per­me­t­tra à notre nation d’être résiliente à des attaques infor­ma­tiques qui aujourd’hui grèvent notre com­péti­tiv­ité, nous appau­vris­sent et détru­isent des emplois et demain vis­eront nos infra­struc­tures cri­tiques, au risque de pertes de vies humaines et de dom­mages économiques graves.

Poster un commentaire