Ok

En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies. Ces derniers assurent le bon fonctionnement de nos services. En savoir plus.

La sécurité informatique des ministères ...

En juillet dernier bien avant les recentes attaques informatiques contre Bercy et l'Elysée j'ai interrogé tous les ministres, par le biais d'une Question Ecrite (QE), sur les mesures prises pour assurer la sécurité informatique de leur ministère.

La question était courte mais précise :

"M. Lionel Tardy demande à M. le ministre XXX de lui donner des indications sur les mesures de sécurité informatique prises dans son ministère, afin d'éviter les intrusions extérieures et les vols de données numériques. Il souhaite savoir s'il fait appel, pour ces missions, à des prestataires extérieurs, ainsi que le coût de ces prestations en 2009. Il souhaite enfin connaître les mesures qu'il entend prendre pour mettre en oeuvre les règles de sécurité du référentiel général de sécurité du 6 mai 2010".

J'ai eu un certain nombre de réponses, souvent longues et détaillées :

J'attend encore la réponse des ministères de l'Intérieur, de l'Education nationale et du cabinet du Premier Ministre.

Je ne peux pas m'empêcher de vous livrer, in extenso, la réponse de Bercy qui date du 12 octobre 2010 :

"Dans les ministères économique et financier, le haut fonctionnaire de défense et de sécurité « anime la politique de sécurité des systèmes d'information (SSI) et en contrôle l'application ».

Cette politique est mise en oeuvre par la délégation aux systèmes d'information du secrétaire général, chargée de coordonner l'action des directions en matière de systèmes d'information et qui mène également des actions transversales cohérentes et structurantes et par les directions des ministères, responsables de la sécurité de leurs systèmes d'information (SI). Pour la SSI, et conformément à la réglementation, chaque directeur est assisté d'une « autorité qualifiée pour la SSI (AQSSI) ».

Les AQSSI veillent à ce que : un réseau de personnes de confiance et compétentes en SSI soit déployé dans sa direction pour conseiller les autorités hiérarchiques (administration centrale et services déconcentrés) ; soient tenues à jour les listes des informations et des applications sensibles et que pour chacune soit désigné un « acteur responsable » chargé d'en déterminer la sensibilité, les niveaux de risque acceptables, les personnes (ou les fonctions) y ayant accès et avec quels droits.

En outre, les AQSSI élaborent et font approuver par leur hiérarchie la politique de SSI (PSSI) de leur direction, déclinaison de la PSSI ministérielle ; elles se prononcent sur les mesures de sécurité, non techniques et techniques, proposées par les maîtrises d'ouvrages des applications pour protéger les informations sensibles et sur les risques résiduels qu'elles laissent subsister ; elles organisent l'homologation des systèmes, qu'ils entrent ou non dans le champ du référentiel général de sécurité (RGS). Enfin elles organisent la sensibilisation des personnels de leur direction.

En tout état de cause, et comme le prescrivent aussi bien la réglementation et la PSSI ministérielle qui en découle, la SSI des ministères économique et financier est une préoccupation prise en compte dans les actions menées par les directions dans la construction et l'exploitation de leurs systèmes d'information.

Toutefois, le renforcement de la SSI de l'ensemble de nos ministères exige également des actions transversales cohérentes et structurantes afin qu'il n'y ait pas entre les directions des niveaux de sécurité trop hétérogènes. En outre, la mutualisation de certaines mesures permet d'obtenir des économies d'échelle non négligeables. Pour atteindre ces objectifs et pour assurer l'efficacité de la démarche prévue par l'Agence nationale pour le SSI (ANSSI), les axes de travail porteront sur ces principaux chantiers : la mise en oeuvre d'une procédure adaptée aux environnements des ministères économique et financier pour l'homologation des SI ; la mise en conformité des infrastructures de gestion de clés mise en oeuvre au sein de nos ministères.

Les mesures techniques de sécurité appliquées par les directions des ministères économique et financier sont à l'état de l'art : défense périmétrique (pare-feux et dispositifs de filtrage de contenu et de décontamination de la messagerie et des accès Internet), surveillance active des tentatives d'intrusion ; surveillance des interconnexions et des flux circulant sur les réseaux internes ; défense en profondeur, notamment sur les postes de travail (antivirus ...) sécurisation des applications (études amont et audits de sécurité, tests de vulnérabilité ...), les points d'attention portant notamment sur le niveau de sensibilité des données, le contrôle d'accès aux données, la sécurisation des accès logiques et la sécurisation des accès physiques ; sensibilisation et formation des personnels (à l'aide, notamment, de modules d'autoformation en ligne).

Le comportement de la plupart des agents est prudent et, comme le leur demande la PSSI, ils signalent assez spontanément, en général, les incidents qu'ils constatent. Des difficultés subsistent cependant, qui ne sont d'ailleurs pas propres aux ministères économique et financier, quand certaines catégories de personnels doivent être équipées de matériels ou de logiciels dont il n'a pas été possible de vérifier l'innocuité. Ce constat n'a pas échappé à I'ANSSI lors de l'inspection de la SSI des ministères qu'elle a conduite il y a quelques années, inspection dont les recommandations ont été appliquées.

Le montant du recours aux prestataires spécialisés en SSI peut être évalué s'agissant du ministère du budget, des comptes publics et de la réforme de l'État à 7,5 MEUR environ en 2009, ces prestations portant tant sur des études et audits de sécurité que sur la conception et la réalisation des infrastructures de sécurité du ministère.

Le référentiel général de sécurité (RGS) fixe les règles pour suivre une démarche globale de sécurisation de ces SI pour assurer la cohérence d'ensemble du dispositif de sécurité. Cette démarche rend obligatoires les bonnes pratiques et recommandations publiées de longue date par l'ANSSI et largement reprises dans la PSSI ministérielle ; elle prévoit : d'identifier les risques et de déterminer les besoins de SSI ; d'adapter la SSI selon les enjeux et les besoins de sécurité des ministères économique et financier afin d'y consacrer les moyens financiers et humains adaptés ; d'élaborer une politique de sécurité au niveau ministériel pour partager la vision stratégique de la SSI et la décliner pour une mise en oeuvre opérationnelle au niveau directionnel ; d'utiliser les produits et prestataires labellisés par l'ANSSI, attestant ainsi du respect des exigences du RGS ; viser une amélioration continue de la SSI permettant d'assurer l'efficacité du système de sécurité face à l'évolution des menaces.

La mise en place d'un processus d'homologation est rendue obligatoire par décret et précisé dans l'arrêté RGS pour l'ensemble des SI présents au sein de l'administration. L'organisation et la mise en oeuvre de ce processus reste limitée au niveau de l'autorité administrative. Pour apporter les éclaircissements nécessaires et ainsi favoriser l'application de ces exigences dans les délais prévus par le RGS, soit le 6 mai 2011 pour les nouveaux systèmes et le 6 mai 2013 pour les systèmes existants, une réflexion est en cours pour définir une procédure d'homologation générique qui puisse s'adapter aux étapes et acteurs de l'essentiel des projets réalisés au sein des ministères économique et financier, certains systèmes exceptionnels par leur taille et leur complexité, existants, déjà partiellement en service ou encore en développement nécessiteront probablement des réflexions spécifiques.

En tout état de cause, l'homologation sera systématiquement effectuée pour les nouveaux projets, à compter du 6 mai 2011. Pour le stock existant d'échanges électroniques entre administrations et avec les usagers, elle sera effectuée progressivement en respectant les contraintes calendaires fixées par le RGS pour obtenir une mise en conformité au plus tard pour le début du mois de mai 2013. La direction des SI (DSI) a mis en place dès 2001 une infrastructure de gestion de clés qui permet à toutes les directions des ministères économique et financier de pouvoir coexister dans un espace commun de confiance sans devoir définir des mesures de protection à l'égard les unes des autres. Dès aujourd'hui tous les serveurs de télé-procédures des ministères, indépendamment de leur appartenance directionnelle sont dotés de certificats qui les identifient sur Internet et qui assurent la confidentialité des transactions.

L'informatique de gestion et de communication (IGC) ministérielle organise en outre un service de filialisation proposé aux directions des ministères économique et financier qui souhaitent mettre en place I'IGC pour leurs propres besoins. Les règles fixées par le RGS relatives à la mise en oeuvre des infrastructures de gestion de clés doivent permettre, pour l'essentiel : l'établissement d'un ou plusieurs niveaux de sécurité des certificats électroniques adapté aux besoins des applications utilisatrices ; l'utilisation de produits de sécurité référencés pour l'authentification des agents dans les SI mis en oeuvre ; la validation des certificats par l'État.

La mise en oeuvre de la politique de référencement des produits de sécurité est d'ores et déjà engagée par la direction générale de la modernisation de l'État (DGME) en liaison avec les ministères les plus concernés, dont les ministères économique et financier, et en coordination avec l'ANSSI en charge des phases amont de qualification des produits de sécurité. Afin de répondre à l'exigence de validation des certificats par l'État, qui vise à garantir l'authenticité d'un certificat électronique issu de l'administration, l'IGC ministérielle a conduit, par anticipation, en 2008 une démarche vis-à-vis de I'IGC de l'administration (IGC-A) gérée par l'ANSSI afin d'être reconnue dans la chaîne de confiance de l'administration française, chaîne dont l'IGC-A est le point d'entrée. Néanmoins, la validation des certificats par l'État reste partielle pour l'existant des ministères économique et financier.

Certaines IGC directionnelles restant à filialiser pour être reconnues dans la chaîne de confiance de l'administration française. En amont de cette étape, et pour répondre à l'obligation de mise en oeuvre du RGS, d'autres travaux viseront à : valider les mises à jour, auprès des directions utilisatrices des certificats émis, des politiques de l'IGC ministérielle de façon à en limiter les impacts sur les applications ; programmer les évolutions des systèmes ; anticiper la qualification des IGC et le référencement des certificats d'authentification qu'elles émettent. Ces différentes tâches se poursuivront au cours des trois prochaines années.

... bref une réponse très technocratique ... que je vous laisse analyser en détail à la lumière des évènements récents.

Commentaires

  • "une réponse très technocratique". On ne peut être qu'en accord total avec votre conclusion.

    D'ailleurs ce constat est général!
    Nos politiciens hauts fonctionnaires sont vraiment nuls!
    De droite ou de gauche, ils n'arrêtent pas de nous enfumer avec leurs explications technocratiques!
    Il nous faut des personnes du monde réel comme vous!

    Mais maintenant qu'est-ce qu'on fait?
    Car « ce n’est pas avec ceux qui ont créés les problèmes qu’il faut espérer les régler » avait pour habitude de dire Einstein.

    Mais que peut-on espérer avec l’UMP?
    Les candidats aux cantonales, comme ceux des régionales de l’année dernière, sont quasi totalement issus de l’économie protégée!

    Faut-il attendre 2012 pour un grand ménage?

    En effet, de plus en plus de nos compatriotes semblent aspirer à un peu de ciel bleu...
    … bleu comme la mer !

  • Désolé, mais j'ai envie de vous demander: quel était le sens de votre question ? A quoi vouliez vous en venir ? Pourquoi focaliser sur la sécurité informatique ? Aujourd'hui l'approche est globale, d'où l'expression de "sécurité des systèmes d'information". Ce n'est pas une subtilité sémantique. Par exemple, vous parlez d'intrusion ou de vols de données. Ceci peut être fait (encore, j'ai envie de dire) de manière physique (intrusion dans un bureau, vol ou perte d'un PC portable...).

    Je trouve donc inévitable, compte tenu de la question, le caractère technocratique de la réponse. Ce qui me trouble, ce sont des imprécisions du genre : le HFD anime la PSSI... on pourrait penser qu'il la définit... et ces AQSSI qui assistent les directeurs... il me semblait que les directeurs (au moins centraux) se trouvent être autorités qualifiées (cad responsable de la SSI sur leur direction)...

    Cordialement

    Stanislas

  • La réponse de Bercy me fait penser à tout ce qu'ils mettent en place pour renforcer la protection financière du consommateur.

    Ce n'est pas parce qu'on met en place toute une série de contraintes qu'on accroit la sécurité.

    Il faudrait au contraire simplifier et responsabiliser les épargants.

    Un gestionnaire de patrimoine

  • Sur la forme, la réponse technocratique est malheureusement d'usage il me semble dans les échanges officiels, et j'imagine mal un haut fonctionnaire français valider un autre type de discours à l'attention d'un député.

    Les faits montrent d'ailleurs que beaucoup de députés s'en contentent, et ne sont de toute façon pas en mesure de recevoir autre chose dans les domaines technologiques.

    Sur le fond, il faut tout de même remarquer que le MINEFI est probablement l'un des ministères -voire le ministère- les plus avancés sur la SSI, et c'est bien heureux vu son rôle, même si ce constat peut inquiéter sur la question de la SSI en générale au sein de l'Etat (cf. également les réponses qui vous ont été retournées par certains ministères et dont la légèreté du contenu révèle plus probablement un fort manque de maîtrise qu'une paranoïa exacerbée, ou encore les informations sur les dispositifs techniques de sécurité en place publiées récemment par le ministère des affaires étrangères, en opposition avec les bonnes pratiques, dans le cadre d'un appel d'offre portant sur... la SSI !!! alors qu'il était justifié que ce type d'info sensible soit disponible dans un cadre maîtrisé uniquement ).

    La réponse du MINEFI évoque une prise en compte de points importants, mais traduit aussi une approche en partie dépassée, car essentiellement statique, alors que chaque mesure de sécurité peut être contournée, et qu'aujourd'hui seules des dispositions plus dynamiques -par exemple l'analyse de comportement ou la corrélation des traces, néanmoins bien plus complexes et coûteuses en mise en place comme en fonctionnement- peuvent véritablement renforcer le dispositif en place.
    Quand le budget de prestations SSI en 2009 est de 7,5MEur et qu'il inclut nécessairement les travaux énormes de SSI menés sur les projets ACCORD et COPERNIC, la part attribuée à l'expertise sur la gestion courante et l'amélioration générale de la SSI est loin d'apparaître clairement, et doit être loin du montant total.

    Concernant le vol d'infos à Bercy, il n'est pas étonnant (et c'est même normal, voire peut-être même rassurant si on oublie la SSI pour s'intéresser à l'humain) que sur les utilisateurs de 170 000 postes de travail, même sensibilisés, certains se laissent aller à ouvrir des pièces jointes d'origine plus ou moins douteuse, avec les effets en cascade que cela peut avoir.
    Au final, cet incident rappellent à ceux qui ont une vision simplifiée de la SSI qu'il est extrêmement difficile de se protéger contre des organisations disposant des moyens et ayant un objectif clair. Comme noté dans un des commentaires précédents, ce qui a pu être subtilisé par voie informatique aurait pu l'être "à l'ancienne", par voie humaine (et d'ailleurs, si ça avait été le cas en parallèle de l'intrusion informatique, qu'en saurait-on aujourd'hui...?)
    Il met en évidence que la capacité de détection et de réaction sont aussi essentielles que les protections. Peut-être le vieux concept de défense en profondeur, pourtant ravivé il y a quelques temps par feu la DCSSI, doit-il encore faire son chemin pour être adopté plus largement.

    Le fait que Bercy n'ait pas traité en secret ce problème, mais se soit coordonné avec l'ANSSI comme prévu par les textes, et qu’une communication officielle ait eu lieu, sont aussi de bonnes nouvelles en soi quant on regarde la tradition dans ces domaines.
    .

  • En plus d'être technocratique, la réponse contient un coquille que je trouve surprenante à ce niveau d'échange entre un ministre et un député.

    En effet il est question d'Informatique de Gestion et de Communication (IGC) alors que l'IGC est, dans la jargon administratif officiel, l'Infrastructure de Gestion de la Confiance.

    Ce terme IGC faisant l'objet de trois paragraphes complets de la réponse, je m'interroge sur la compréhension de cette réponse, tant par ceux qui l'on rédigée et validée que par ceux à qui elle était destinée.

    Sur le fond, partant du constat accepté par tous les professionnels du domaine qu'il est impossible de protéger totalement un système d'information (http://www.theinquirer.net/inquirer/news/1933395/agency-admits-networks-hackable), il est relativement facile de crier au loup tout le temps et de clamer: "vous avez vu je vous l'avais bien dit", le jour où un incident se produit.

    Que proposez-vous pour améliorer la situation?

    Pour ma part, je salue la transparence de l'état dans cette affaire, même si c'est l'occasion de prêter le flan à de faciles critiques...

Les commentaires sont fermés.