L’évolution des enjeux de la sécurité des systèmes d’information

Dossier : La confiance électroniqueMagazine N°582 Février 2003
Par Henri SERRES (69)

L’essor de la société de l’in­for­ma­tion, à l’o­rig­ine provo­qué par la dif­fu­sion des pro­grès des tech­nolo­gies de l’in­for­ma­tion et de la com­mu­ni­ca­tion, procède assuré­ment d’une démarche volon­tariste au niveau de l’É­tat, comme l’a réaf­fir­mé le Pre­mier min­istre devant l’Elec­tron­ic Busi­ness Group. En ce qui con­cerne la sphère publique, cet essor devrait se traduire par une amélio­ra­tion con­sid­érable de la pro­duc­tiv­ité et de la qual­ité du tra­vail des admin­is­tra­tions ain­si que des ser­vices ren­dus aux usagers. Ces con­séquences béné­fiques ne doivent cepen­dant pas occul­ter le revers de la médaille : l’ap­pari­tion de vul­néra­bil­ités nou­velles, l’ac­croisse­ment des risques pesant sur les sys­tèmes d’in­for­ma­tion et l’émer­gence de men­aces car­ac­térisées par leur ubiq­ui­té, leur soudaineté et une capac­ité de nui­sance par­ti­c­ulière­ment forte.

Ain­si, la néces­sité de pro­téger les sys­tèmes d’in­for­ma­tion de l’É­tat face à ces vul­néra­bil­ités, ces risques et ces men­aces est à l’o­rig­ine de la créa­tion, décidée en 2000 et offi­cial­isée à l’été 2001, de la Direc­tion cen­trale de la sécu­rité des sys­tèmes d’in­for­ma­tion (DCSSI)1.

Depuis, la médi­ati­sa­tion de la dif­fu­sion de cer­tains virus et surtout les événe­ments du 11 sep­tem­bre 2001 ont ren­for­cé la prise de con­science des risques et des attaques pos­si­bles ou prob­a­bles, et des pro­grès nota­bles en matière de pro­tec­tion des sys­tèmes d’in­for­ma­tion ont été accomplis.

Mais le cadre général dans lequel s’in­scrit aujour­d’hui l’ac­tion en matière de sécu­rité des sys­tèmes d’in­for­ma­tion (SSI) est en évo­lu­tion per­ma­nente : de nou­velles tech­nolo­gies appa­rais­sent et se dif­fusent mas­sive­ment sans que leur impact sur la sécu­rité ait été com­plète­ment pris en compte, les failles de sécu­rité se mul­ti­plient et engen­drent de nou­velles vul­néra­bil­ités à car­ac­tère sys­témique, des men­aces per­ni­cieuses et inédites se font jour, dont la moin­dre n’est pas la men­ace cyberterroriste.

S’adapter à cette évo­lu­tion et si pos­si­ble l’an­ticiper appa­raît donc comme un impératif majeur pour pou­voir assur­er con­ven­able­ment la sécu­rité des sys­tèmes d’in­for­ma­tion, notam­ment ceux de l’État.

Les tendances d’évolution du contexte de la sécurité des systèmes d’information

Une évolution technologique pernicieuse et périlleuse

Cer­taines des évo­lu­tions tech­nologiques en cours et de celles qui se dessi­nent ne vont pas dans le sens d’un ren­force­ment intrin­sèque de la sécu­rité. À titre d’ex­em­ple, on peut citer toutes les tech­nolo­gies sans fil qui émer­gent et devraient se dif­fuser rapi­de­ment et mas­sive­ment, ain­si que l’In­ter­net mobile dont la dif­fu­sion devrait être aus­si rapi­de qu’a été celle du télé­phone portable. La facil­ité avec laque­lle il est pos­si­ble de pénétr­er les sys­tèmes de sécu­rité des réseaux sans fil avec des équipements ordi­naires a récem­ment amené les hack­ers à pra­ti­quer un nou­veau “sport” : le “war dri­ving”, qui con­siste à se promen­er en voiture, muni d’un ordi­na­teur portable doté d’un sim­ple adap­ta­teur, et à repér­er puis atta­quer les réseaux sans fil rencontrés.

Le car­ac­tère dan­gereux de ces tech­nolo­gies au regard de la sécu­rité des sys­tèmes d’in­for­ma­tion est accen­tué du fait que bien sou­vent les équipements les inclu­ent native­ment sans que leurs util­isa­teurs en soient infor­més ou aient con­science des risques aux­quels ils s’exposent.

L’internationalisation du cadre d’action

En matière de sécu­rité des sys­tèmes d’in­for­ma­tion, une des évo­lu­tions récentes les plus mar­quantes est l’in­ter­na­tion­al­i­sa­tion du cadre d’ac­tion, con­comi­tante de l’ex­ten­sion des réseaux à l’échelle plané­taire et de l’ex­pan­sion de l’In­ter­net, et de leur corol­laire, l’ap­pari­tion d’une cyber­crim­i­nal­ité qui ignore les frontières.

C’est ain­si que de nom­breuses organ­i­sa­tions inter­na­tionales (Con­seil de l’Eu­rope, G8) s’at­tachent à définir des instru­ments poli­tiques et juridiques adap­tés à la lutte con­tre la cyber­crim­i­nal­ité. De son côté, l’U­nion européenne s’est saisie de la prob­lé­ma­tique de la sécu­rité des sys­tèmes d’in­for­ma­tion et le plan d’ac­tion “eEu­rope 2005“2 accorde une impor­tance toute par­ti­c­ulière à la sécu­rité du “monde en ligne”. De même, l’OCDE vient récem­ment d’adopter une recom­man­da­tion de son Con­seil inti­t­ulée : “Lignes direc­tri­ces régis­sant la sécu­rité des sys­tèmes et réseaux d’in­for­ma­tion : vers une cul­ture de la sécu­rité“3.

L’offre industrielle française en SSI

L’of­fre française de pro­duits de con­fi­ance en matière de sécu­rité des sys­tèmes d’in­for­ma­tion est encore insuff­isante par rap­port aux enjeux et aux efforts con­sen­tis par les autres grands pays indus­tri­al­isés. Les raisons en sont con­nues : étroitesse du marché, faib­lesse des retours sur investisse­ment, manque d’ac­tions inci­ta­tives en la matière.

Dans ces con­di­tions, le risque serait grand de devoir s’en remet­tre exclu­sive­ment, à rel­a­tive­ment court terme, à des pro­duits ou logi­ciels de sécu­rité d’o­rig­ine étrangère alors que de grands groupes français ou des PME inno­vantes ont les capac­ités de pro­pos­er des pro­duits ou des tech­nolo­gies intéressants.

Une coor­di­na­tion accrue des efforts de développe­ment et d’in­dus­tri­al­i­sa­tion des pro­duits européens est par­al­lèle­ment souhaitable.

Une cybercriminalité durable

La com­plex­ité crois­sante des sys­tèmes d’in­for­ma­tion, même si tout est fait pour ren­dre leur util­i­sa­tion trans­par­ente aux util­isa­teurs, est en elle-même une source de vul­néra­bil­ités. On sait que l’ingéniosité des attaquants est sans lim­ite pour détecter et exploiter ces vulnérabilités.

Par ailleurs, la dématéri­al­i­sa­tion des flux financiers et le développe­ment du com­merce élec­tron­ique mul­ti­plient les ten­ta­tions pour des mal­fai­teurs ver­sés dans la haute tech­nolo­gie, agis­sant seuls ou dans le cadre du crime organ­isé, de réalis­er des gains lucrat­ifs avec un sen­ti­ment de rel­a­tive impunité.

De nom­breuses études ou rap­ports sont pub­liés régulière­ment sur le sujet. Toutes ces études et ces rap­ports con­ver­gent pour soulign­er l’aug­men­ta­tion con­sid­érable et per­ma­nente de la cyber­crim­i­nal­ité et, plus générale­ment, des atteintes portées aux sys­tèmes d’in­for­ma­tion des entre­pris­es et des organ­i­sa­tions de toute nature. Ain­si le nom­bre total d’at­taques recen­sées dans le monde a aug­men­té de 160 % de 2000 à 2001 (source CERT). Autre exem­ple : si en 2000, un cour­ri­er élec­tron­ique sur 700 con­te­nait un virus, en 2001 un cour­ri­er élec­tron­ique sur 350 véhic­u­lait une forme d’at­taque malveil­lante (même source).

Vers une interconnexion généralisée des réseaux

La dif­fu­sion et l’u­til­i­sa­tion des TIC dans les entre­pris­es et les admin­is­tra­tions devraient se pour­suiv­re à un rythme au moins équiv­a­lent au rythme actuel. Si des évo­lu­tions nota­bles ne sont pas à atten­dre dans le domaine de la bureau­tique, sauf un usage sans doute plus répan­du des logi­ciels libres, en revanche les échanges d’in­for­ma­tion par l’in­ter­mé­di­aire des réseaux locaux et éten­dus devraient se mul­ti­pli­er et l’u­til­i­sa­tion des téléprocé­dures entre les admin­is­tra­tions, impli­quant donc l’in­ter­con­nex­ion de réseaux, devrait se généralis­er, du fait d’une démarche volon­tariste de l’É­tat et de la recherche d’une meilleure pro­duc­tiv­ité au sein des administrations.

La mise en place de l’ad­min­is­tra­tion élec­tron­ique et la général­i­sa­tion des téléser­vices publics d’i­ci 2005 néces­siteront des dis­po­si­tions tech­niques, et notam­ment l’in­ter­con­nex­ion des réseaux min­istériels avec les réseaux publics et Internet.

Les vul­néra­bil­ités engen­drées par l’in­ter­con­nex­ion des réseaux internes avec des réseaux ouverts sont crois­santes et doivent être éval­uées et traitées au sein de chaque entre­prise et admin­is­tra­tion avec la plus grande attention.

Quelques pistes de progression

Avec l’avène­ment des TIC, l’en­vi­ron­nement des entre­pris­es et des admin­is­tra­tions évolue sans cesse. La sécu­rité devient alors une tâche de tous les instants, qui requiert une atten­tion, une adapt­abil­ité et une antic­i­pa­tion per­ma­nentes. Si les prob­lèmes actuels trou­vent une réponse, de nou­velles failles appa­rais­sent ; des pro­grès restent à accom­plir, d’autres voies à explorer :

  • ren­forcer les capac­ités de Recherche & Tech­nolo­gie, et d’é­val­u­a­tion en matière de sécu­rité des sys­tèmes d’in­for­ma­tion per­me­t­tant de cou­vrir le spec­tre des tech­nolo­gies et de réduire à un niveau accept­able les risques liés à l’u­til­i­sa­tion des tech­nolo­gies de l’in­for­ma­tion et de la communication ;
  • dis­pos­er, pour la fonc­tion sécu­rité des sys­tèmes d’in­for­ma­tion, de ressources humaines et de com­pé­tences suff­isantes en nom­bre et en qual­ité : toutes les évo­lu­tions analysées ci-dessus con­ver­gent pour faire ressor­tir cette impérieuse nécessité ;
  • accroître les actions de sen­si­bil­i­sa­tion à la sécu­rité des sys­tèmes d’in­for­ma­tion, au sein des admin­is­tra­tions, auprès des entre­pris­es et des citoyens, de façon à per­me­t­tre la dif­fu­sion pro­gres­sive d’une “cul­ture SSI” au sein de la société tout entière.


La com­mu­nauté poly­tech­ni­ci­enne est par­ti­c­ulière­ment bien placée sur ces dif­férents aspects, par sa place émi­nente dans le monde de la recherche, publique ou privée, par les capac­ités tech­niques et déci­sion­nelles qu’elle porte dans le monde des util­isa­teurs comme dans celui des con­cep­teurs et réal­isa­teurs de sys­tèmes d’information.

La réal­i­sa­tion de ce numéro excep­tion­nel de La Jaune et la Rouge con­tribue donc à l’amélio­ra­tion de la prise de con­science des risques, et fait ressor­tir l’im­por­tance de l’en­gage­ment de tous dans la recherche de solu­tions et de leur mise en pra­tique dans un monde où l’in­ter­dépen­dance néces­site une vig­i­lance renforcée. 

___________________________
1.
 http://www.ssi.gouv.fr
2. http://europa.eu.int/information_society/eeurope/action_plan/index_fr.htm
3. http://www.oecd.org/pdf/M00033000/M00033183.pdf

Commentaire

Ajouter un commentaire

Barou Tounkararépondre
27 novembre 2017 à 8 h 32 min

La prob­lé­ma­tique de sys­teme infor­ma­tique
je vous en remercie

Répondre