Professional Documents
Culture Documents
7 9 13 13
Laugmentation des menaces et des vulnrabilits pse fortement sur la scurit des systmes dinformation 23 Rappel des objectifs et de la politique de scurit des systmes dinformation La sensibilit de linformation prendre en compte Des attaques sophistiques, portant atteintes aux enjeux conomiques et dintelligence conomique Les vulnrabilits inhrentes aux systmes dinformation crent un environnement propice aux attaques Des enjeux futurs en matire de SSI
Chapitre II
24 26 27 41 44
Les rponses organisationnelles et techniques Comment ltat est-il organis pour assurer la SSI ? Comparaison de la mise en uvre de la SSI de cinq ministres auditionns Les infrastructures vitales comportent une dimension de scurit des systmes dinformation Comment sont organiss nos principaux partenaires trangers ? Le monde de lentreprise au cur de la menace et de la problmatique SSI Une sensibilisation des citoyens insuffisante et une protection faible de leurs ordinateurs personnels Conclusion partielle, une prise de conscience insuffisante et des organisations non-matures
49 49 61 62 63 74 89 90
Chapitre III
Une base industrielle et technologique spcialise en SSI autonome pour rpondre aux enjeux conomiques et de souverainet 93 Un march de la SSI en forte croissance mais dont les volumes sont limits La base industrielle et technologique nationale de SSI, notamment les PME-PMI : un effritement en cours qui risque dtre irrversible sans politique volontariste La certification de produits et les normes de scurit sont insuffisamment prises en compte en France : un frein au dveloppement de loffre nationale de SSI
94
103
115
Recommandations
125
ANNEXES
Annexe I
135 137
Bibliographie
Annexe II
141
Glossaire
Annexe IV
149
157
159
161
Exemples de menaces
Annexe VIII
163
Exemples de vulnrabilits
171
Annexe IX
175
179
181
183
185
189
Remerciements
Je tiens remercier particulirement le Comit des sages que javais constitu, compos dminentes personnalits (dont les noms suivent), expertes sur ce thme, et qui ma apport comptence et exprience. M. Roger Baleras, ancien directeur des applications militaires du CEA. M. Jean-Paul Gillybuf, IGA, charg de mission pour la mise en place dune direction gnrale des systmes dinformation et de communication au ministre de la Dfense. M. Michel Lacarrire, directeur de ladministration centrale honoraire. M. Jean Rannou, gnral. M. Dominique Roux, professeur luniversit de Paris Dauphine. M. Jacques Stern, professeur lcole normale suprieure ULM, directeur du dpartement informatique. M. Jean-Pierre Vuillerme, directeur des services environnement et prvention du groupe Michelin. Je voudrais galement remercier les membres du groupe de travail qui ont particip activement la ralisation de ce rapport. Leur disponibilit, leur comptence technique et leur dtermination ont t un atout prcieux. Enfin, je tiens remercier les personnalits, les administrations, les entreprises et les organisations qui ont bien voulu apporter leur contribution lors des auditions ou des changes nombreux et fructueux.
Avertissement Les noms des socits cites, en particulier dans le chapitre III du prsent rapport, le sont titre exclusivement indicatif et ne sont en aucune manire une recommandation de lauteur.
Introduction
Les systmes dinformation font dsormais partie intgrante du fonctionnement des administrations publiques, de lactivit des entreprises et du mode de vie des citoyens. Les services quils assurent nous sont tout aussi indispensables que lapprovisionnement en eau ou en lectricit. La communication, qui occupe une place de choix dans nos socits contemporaines la recherche dune productivit sans cesse croissante, ncessite la matrise de linformation conomique, sociale et culturelle. Lexplosion mondiale dInternet a considrablement modifi la donne et confr aux systmes dinformation une dimension incontournable au dveloppement mme de lconomie et de la socit. Cest dire si la scurit des systmes dinformation (SSI) est un enjeu lchelle de la Nation tout entire. Les tats-Unis ont parfaitement saisi, et ce depuis longtemps, tout lintrt stratgique et politique dun contrle absolu de linformation. Lobjectif de l information dominance est sans quivoque. Laptitude prendre connaissance des communications secrtes de nos adversaires tout en protgeant nos propres communications, capacit dans laquelle les tats-Unis dominent le monde, donne notre nation un avantage unique 1. Pour ltat il sagit dun enjeu de souverainet nationale. Il a, en effet, la responsabilit de garantir la scurit de ses propres systmes dinformation, la continuit de fonctionnement des institutions et des infrastructures vitales pour les activits socio-conomiques du pays et la protection des entreprises et des citoyens. De leur ct, les entreprises doivent protger de la concurrence et de la malveillance leur systme dinformation qui irrigue lensemble de
1. Lexecutive order 12333 du 4 dcembre 1981. The ability to understand the secret communications of our foreign adversaries while protecting our own communications, a capability in which the United States leads the world, gives our nation a unique advantage . Traduction de courtoisie.
Introduction
leur patrimoine (proprit intellectuelle et savoir-faire) et porte leur stratgie de dveloppement. Lenvironnement li aux technologies de linformation et de la communication est la cible de nombreuses menaces. Louverture des rseaux et leur complexit croissante associant des acteurs aux multiples profils, ont renforc la vulnrabilit des systmes dinformation. Dtruire, altrer, accder des donnes sensibles dans le but de les modifier ou de nuire au bon fonctionnement des rseaux : les motivations sont diverses et fonction de la nature des informations recherches et de lorganisme vis. Quelles formes prennent les attaques ? De qui manent-elles ? Quelle est leur finalit ? Tous les utilisateurs identifient au quotidien la menace constante des virus et des vers qui submergent Internet. Leur nombre a explos au cours de ces dernires annes et ceux-ci deviennent de plus en plus sophistiqus. Les outils ncessaires aux pirates sont aisment accessibles en ligne et il existe un change constant dinformation et de savoir-faire au sein de la communaut des pirates pour rendre ces attaques de plus en plus efficaces. Cependant, leur dsir de performance cde de plus en plus le pas au dveloppement dentreprises criminelles dont les activits en ligne se sont accrues paralllement la dimension conomique dInternet. Le nombre de fraudes se traduit chaque anne par des cots slevant des milliards deuros, en particulier pour les banques et les entreprises. En tant quoutil de propagande et de communication, les rseaux terroristes utilisent dj largement Internet. Plus la lutte contre le terrorisme verrouille les lignes traditionnelles de communication, plus ces rseaux trouvent laccessibilit et lanonymat dInternet attrayants. Sil ny a jamais eu officiellement de cyber-attaque majeure motive par des considrations politiques ou terroristes contre des systmes dinformation, rien ne permet dexclure pour autant quune telle attaque ne se produira pas. Susceptibles daffecter un systme dinformation critique, les attaques ou les incidents majeurs pourraient avoir de graves rpercussions, notamment sur les infrastructures qui fournissent des services lensemble de la socit. Lespionnage dtat ou industriel visant intercepter des informations dadversaires ou de concurrents constitue une autre pratique. Au-del de la dimension offensive propre aux agences de scurit gouvernementales, les atteintes au secret industriel sont de plus en plus systmatises. Le vol des secrets commerciaux est, lui aussi, en constante augmentation. Il reprsentait aux tats-Unis, en 2001, un prjudice de 59 milliards de dollars aux mille premires entreprises amricaines. Lexemple le plus spectaculaire porte sur la rvlation 1, en juin 2005, des agissements dune entreprise isralienne qui louait
1. http://solutions.journaldunet.com/0506/050603_espionnage_industriel_israel.shtml
10
un cheval de Troie 1 ses clients ; une affaire qui a conduit larrestation de plusieurs dirigeants dentreprises travers le monde. En sadressant cette socit, un client demandait tout simplement ce que le produit soit install dans le systme dinformation de la cible, pour en extraire en toute impunit toutes les informations quil dsirait. Lanalyse des menaces constitue la premire partie du rapport. Le caractre fortement volutif de lobjet de ltude appellerait une actualisation permanente. La deuxime partie prsente les dispositions prises aujourdhui par les diffrents acteurs afin dassurer la scurit de leur systme dinformation, et apporte des indications sur leur niveau de protection et leur sensibilit aux enjeux de scurit. Un examen sans dtour est fait de lorganisation et du pilotage de ces questions sensibles au niveau gouvernemental, des diffrents ministres et des grandes entreprises. Le champ dtude a t largi dautres pays et des organisations internationales. Cette tape de lanalyse a permis didentifier certains points sensibles sur lesquels le prsent rapport attire lattention et qui permettent de tracer des pistes daction destines amliorer la SSI dans notre pays. Elle montre en effet, au-del dune trs forte disparit et dun manque de coordination ente les acteurs publics et privs, la ncessit pour ltat dune adaptation nouvelle et urgente, dans la logique de ltat stratge. Les proccupations de souverainet nationale et de performance conomique de la France ont conduit enfin sinterroger sur la matrise des moyens informatiques ncessaires la mise en uvre dune SSI efficace et, partant, sintresser au secteur conomique qui les produit. Le rapport value le positionnement de la France sur le march mondial de la SSI et esquisse des orientations pour renforcer notre tissu dentreprises dans un domaine forte valeur ajoute pourvoyeur demplois hautement qualifis. La scurit des systmes dinformation est un vritable dfi, la fois technologique et conomique. Si leffort pour amliorer la scurit des systmes dinformation reprsente incontestablement un cot, il est sans commune mesure avec des investissements traditionnels de dfense consentis par le pays. La prservation de notre indpendance est ce prix. Cest un exercice rel dun patriotisme conomique retrouv, ncessaire pour crer les conditions favorables linstauration dune conomie de confiance dans la socit de linformation.
1. Cheval de Troie : programme qui excute des instructions sans lautorisation de lutilisateur, instructions qui lui sont gnralement nuisibles en communiquant par exemple lextrieur. Il prend lapparence dun programme valide mais il contient en ralit une fonction illicite cache, grce laquelle il contourne les scurits informatiques. Il pntre ainsi par effraction dans les fichiers de lutilisateur pour les modifier, les consulter ou mme les dtruire. Le cheval de Troie, contrairement au ver, ne se rplique pas et il peut rester inoffensif pendant quelques jours, semaines ou mois et se mettre en action la date programme.
Synthse
11
Enfin, au moment o lensemble des forces vives de la Nation se mobilise pour lemploi, la protection du patrimoine et de la comptitivit de nos entreprises par la SSI concourt directement la prservation et au dveloppement de nos emplois.
12
Synthse
Synthse
13
source derreurs difficiles dtecter, ou les composants matriels, sont autant de sources de vulnrabilits. Le risque peut tre quantifi : il est fonction de la valeur attache aux informations manipules, de limportance des vulnrabilits et de la probabilit dexploitation de ces vulnrabilits par un attaquant. Pour un systme donn, le risque peut tre rduit en limitant la sensibilit des informations quil manipule, en rduisant la vulnrabilit de chaque entit du systme et en multipliant les lments de dfense convenablement architecturs pour compliquer la tche des attaquants potentiels. Il est galement ncessaire de mettre en uvre une politique de scurit applicable lensemble des entits dun domaine gographique ou fonctionnel, qui regroupe lensemble des rgles et des recommandations appliquer pour protger les ressources informationnelles. Les citoyens, les entreprises, le monde acadmique, les infrastructures vitales et ltat lui-mme sont des cibles. Compte tenu de linterconnexion entre les rseaux, ces cibles sont de plus en plus interdpendantes. Il importe donc de se proccuper de la scurit de tous les acteurs.
14
Leffectif de la DCSSI est dune centaine de personnes, en majorit de formation scientifique et technique. Les auditions menes ont montr en particulier que : la faiblesse de leffectif conduit limiter la capacit dinspection de la DCSSI seulement une vingtaine de dplacements par an sur site, ce qui est insuffisant ; son rle de conseil aux entreprises est insuffisamment dvelopp et se rvle peu en phase avec les attentes du monde conomique ; les formations du CFSSI 1, considres comme de trs grande qualit, sont malheureusement rserves aux personnels de ladministration exerant directement dans le domaine de linformatique ou de la SSI et souffrent dun manque de notorit. Le ministre de la Dfense est un acteur important pour les produits gouvernementaux de haut niveau de scurit. Il est matre duvre des quipements ou moyens destins protger les systmes dinformation gouvernementaux. Il a galement la capacit dapporter son concours aux contrles et mesures que peuvent ncessiter les systmes dinformation en service dans les dpartements civils. Enfin, il est charg de doter ltat des quipes et laboratoires de mesures propres satisfaire lensemble des besoins gouvernementaux. En outre la Direction gnrale de la scurit extrieure (DGSE), rattache au ministre de la Dfense, apporte sa connaissance des menaces trangres sur les systmes dinformation. La Direction de la protection et de la scurit de la dfense (DPSD) assure de son ct une veille sur la scurit des industries de dfense. Le ministre de lconomie, des Finances et de lIndustrie a pour mission lanimation du dveloppement industriel dquipements de scurit non-gouvernementaux. Le service des technologies et de la socit de linformation (STSI) de la direction gnrale des entreprises (DGE) du ministre a un bureau du multimdia et de la scurit qui suit le domaine SSI et finance des projets SSI au travers des appels projets Oppidum. Enfin, comme pour les autres domaines technologiques, le MinEFI contribue au financement de linnovation dans les PME par divers mcanismes daide, en particulier le crdit impt-recherche, et au travers dOSEO-ANVAR dont il assure la tutelle. LADAE 2 assure la matrise douvrage des services oprationnels dinterconnexion et de partage des ressources pour ladministration lectronique, dont le volet scurit regroupe toutes les activits ncessaires la mise en place de linfrastructure de confiance (outils, rfrentiels, guides mthodologiques et expertise). Alors que la SSI est une composante importante de ce type de projets, la DCSSI nest pas cite dans le dcret instituant lADAE. Le ministre de lIntrieur est charg de la lutte contre la cyber-criminalit. Dans le cadre de ses missions, la Direction de la surveil1. Centre de formation la scurit des systmes dinformation. 2. Agence pour le dveloppement de ladministration lectronique, rattache au ministre charg du Budget et de la rforme de ltat.
Synthse
15
lance du territoire (DST) assure des prestations techniques et informatiques autour de trois volets : la prvention, la rpression et la scurit informatique. LOCLCTIC 1 est une structure vocation interministrielle place au sein de la Direction de la police judiciaire (DCPJ). Elle lutte contre les auteurs dinfractions lies aux TIC, enqute la demande de lautorit judiciaire, centralise et diffuse linformation sur les infractions lensemble des services rpressifs. La Police parisienne dispose dun service similaire, le BEFTI. La CNIL, en matire de scurit des systmes dinformation, sintresse essentiellement la protection des donnes personnelles. La loi du le 6 aot 2004 lui donne une mission de labellisation de produits et de procdures. La CNIL a un pouvoir dimposer que na pas la DCSSI. La CNIL et la DCSSI ont commenc travailler ensemble. La multiplication des acteurs publics, dont les missions se chevauchent et dont les textes fondateurs sont peu prcis, donne une impression gnrale de confusion et dparpillement des moyens et des hommes. Dans cette nbuleuse, lacteur public ddi, le SGDN et plus prcisment la DCSSI, souffre dun manque dautorit et parfois de crdibilit auprs des publics concerns. Ces deux facteurs, lparpillement des moyens et le manque dautorit du SGDN, nuisent lefficacit de ltat dans la dfinition et la mise en uvre de la politique globale de SSI. De plus, les disparits dans la mise en uvre dune organisation type, au sein de ladministration, des difficults mobiliser les ressources ncessaires et labsence dautorit des acteurs de la SSI, peuvent rendre cette organisation inoprante. Face aux difficults de recrutement de personnels, des ministres sont conduits recourir lexternalisation. Il est frquent de constater que les services informatiques ne suivent pas les recommandations des HFD 2 lors de choix de solutions pour des applications sensibles, sous couvert dune stricte application du code des marchs publics. Toutefois certains ministres ont mieux intgr la problmatique SSI et sappuient sur des quipes comptentes et motives. Une analyse comparative de lorganisation, du budget consacr la SSI, de lexistence de schmas directeurs oprationnels, de la classification des donnes sensibles et de la mise en place de chartes utilisateurs, effectue dans cinq ministres, rvle une htrognit pour chacun de ces domaines. De plus, aucune politique produits globale nexiste dans le domaine de la SSI. Le rapport analyse la situation de plusieurs pays (tats-Unis, Royaume-Uni, Allemagne, Sude, Core du Sud et Isral) et aborde les initiatives multilatrales (Union europenne, OCDE, ONU, G8, rseaux de veille et dalerte). On ne retiendra dans cette synthse que le cas de lAllemagne.
1. Office central de lutte contre la criminalit lie aux technologies de linformation et de la communication. 2. Haut fonctionnaire de dfense.
16
LAllemagne a adopt en juillet dernier un plan national pour la protection des infrastructures dinformation (NPSI) qui sappuie notamment sur lhomologue de la DCSSl, le BSI. Le BSI mne des actions de sensibilisation destination des citoyens et des PME, analyse les tendances et les risques futurs ; il apporte une aide la scurisation des administrations mais aussi des entreprises (tenue jour dun standard professionnel de bonnes pratiques, conseils et support technique, tests dintrusion, protection des infrastructures critiques) ; il analyse les risques, value et certifie des produits et donne lautorisation des applications classifies. Il participe au dveloppement des produits et des technologies et joue un rle actif dans les comits nationaux et internationaux de normalisation et de standardisation relatifs la SSI. Pour assurer lensemble de ces missions, le BSI emploie 430 personnes (contre 100 la DCSSI) en croissance rgulire depuis 2001. Il dispose dun budget significatif de 51 millions deuros en augmentation rgulire depuis 2002. La part consacre aux dveloppements reprsente 19 % de ce budget (10 M) et celle consacre aux tudes 17 % (9 M). Ces ressources sont sans commune mesure avec celles de la DCSSI. Le systme dinformation de lentreprise est dsormais dploy dans un contexte dentreprise tendue permettant un travail en rseau avec ses clients ou usagers, ses fournisseurs, ses donneurs dordre, ses partenaires ou les reprsentants de ladministration. Ces interconnexions gnrent des vulnrabilits nouvelles pour les systmes dinformation de lentreprise. En outre, la gnralisation des outils nomades (tlphones mobiles, PDA, ordinateurs portables...) et le passage au tout numrique gomment la frontire entre espace professionnel et espace priv, accentuant trs significativement les risques. Les enqutes montrent que de nombreux sinistres ont t identifis, avec des incidences considrables sur la production, lquilibre financier ou limage des entreprises. De plus, des actions despionnage industriel peuvent se traduire par une perte de comptitivit avec une incidence ngative sur lemploi. Cependant, scuriser les systmes dinformation requiert de mobiliser des ressources financires et humaines dont le retour sur investissement est souvent difficile justifier. Les PME ont notamment du mal, du fait de leur faible taille, disposer des ressources ncessaires. Si lintgration de la SSI dans le modle culturel de lentreprise reste une exception, certaines grandes entreprises internationalises montrent une matrise remarquable de la SSI : politique de scurit impose au plus au haut niveau, organisation efficace, sensibilisation et responsabilisation des personnels, choix darchitectures et dquipements adapts la scurisation des informations stratgiques, etc. Les entreprises attendent de ltat des services de support efficaces et accessibles, comme un guichet unique pour les aider rsoudre leurs problmes de SSI, des prconisations de produits de scurit, un soutien spcifique lorsquelles sortent des frontires, etc. Divers organismes publics et privs ont labor lattention des entreprises dexcellents guides.
Synthse
17
18
teur nattire pas les investisseurs nationaux) ou par des crdits bancaires. Il faudrait dvelopper des fonds dinvestissement spcifiques, adapts des entreprises de croissance modre, mme dassurer un financement stable sur une dure suprieure 10 ans. Le financement public de la R&D est insuffisant dans les TIC en gnral. Si diffrentes sources de financement existent, plus ou mois accessibles aux PME : lAnvar, lANR (Agence nationale de la recherche), lA2I (Agence de linnovation industrielle), les ministres chargs de lIndustrie et de la Recherche et lUnion europenne, ces financements sont insuffisants et mal coordonns. Enfin, si lenvironnement juridique et fiscal des entrepreneurs est en amlioration, il demeure perfectible. Labellisation des produits de scurit. La France fait partie des pays fondateurs des critres communs et des accords de reconnaissance mutuelle. Il est toutefois regrettable de constater que sa comptence et son exprience particulire (en particulier de ses centres dvaluation) sont trop peu connues et reconnues ltranger. Une valuation est conduite par un laboratoire priv, CESTI, agr par la DCSSI. Le processus de certification est jug trop long et trop coteux par beaucoup dindustriels, a fortiori pour les PME. La qualification par la DCSSI est donne un produit qui a t valu et certifi partir dune cible de scurit quelle a approuve au pralable. 10 produits ont dj t qualifis et 7 sont en cours de qualification. La moiti de ces produits est dveloppe par des PME. Lagrment est lattestation dlivre par la DCSSI quun produit de chiffrement est apte protger des informations classifies de dfense, aprs valuation par le Celar et par la DCSSI. Cest un label national. La normalisation facilite les choix stratgiques de lentreprise, favorise la protection des consommateurs et lapplication de la rglementation. La prsence de la France dans la normalisation et la standardisation est notoirement insuffisante. Une des voies pour faciliter lacquisition des produits qualifis est de donner des profils de protection le statut de normes franaises homologues. Le projet de convention entre la DCSSI et lAFNOR pour mener terme une action de normalisation est toujours en discussion. Il y faudrait une nouvelle impulsion.
Six recommandations
Les six recommandations proposes correspondent une double ambition : renforcer la posture stratgique de ltat en matire de TIC et de SSI et assurer la mise en uvre oprationnelle des politiques et des dcisions de ltat en matire de SSI.
Synthse
19
Axe 3. Renforcer la politique de dveloppement de technologies et de produits de SSI et dfinir une politique dachat public en cohrence
Identifier les maillons des systmes dinformation qui exigent des produits qualifis. tablir et tenir jour un catalogue des produits de scurit nationaux qualifis et des produits europens adapts aux diffrents niveaux de scurit assurer. Dvelopper les financements publics de R&D. Favoriser le dveloppement des PME innovantes dans la SSI et renforcer les fonds dinvestissement en capital dveloppement. Dvelopper la politique de certification et de qualification par une augmentation des produits certifis et qualifis et une rduction des dlais et des cots de certification. Accrotre la prsence et linfluence franaise dans les groupes de standardisation et les comits de normalisation. Dfinir et mettre en uvre une politique dachat public, fonde sur le principe dautonomie comptitive. Inciter les grandes entreprises travers le pacte PME faire confiance aux PME SSI.
20
Synthse
21
Il est noter que certaines recommandations du rapport rejoignent les mesures proposes dans le Plan de renforcement de la scurit des systmes dinformation de ltat en 2004.
22
Chapitre 1
Laugmentation des menaces et des vulnrabilits pse fortement sur la scurit des systmes dinformation
Pour les besoins de ce document, on appelle systme dinformation un ensemble de machines connectes entre elles, de faon permanente ou temporaire et permettant une communaut de personnes physiques ou morales dchanger des donnes (sons, images, textes, etc.). Selon cette dfinition, des systmes aussi varis que le rseau dun oprateur de tlphonie fixe ou mobile, le site Internet dune entit (ministre, entreprise, institut de recherche, etc.), lordinateur individuel du particulier tout comme linfrastructure de son fournisseur daccs, le rseau de commandement des forces armes constituent des systmes dinformation. Ainsi, une segmentation des systmes dinformation en trois sous-systmes principaux permet de mieux apprhender les champs couverts et leur complexit (voir schma en annexe IV) et en corollaire les enjeux de scurit sous-jacents : Les rseaux informatiques : Internet et donc corrlativement toutes les applications ou services qui y sont associes (commerce lectronique, banques en ligne...) et les quipements ncessaires son fonctionnement (serveurs, routeurs...) ; les rseaux locaux dentreprises et intra-entreprises ; les rseaux de ltat et des organisations publiques ; les rseaux des infrastructures critiques ; les quipements individuels des particuliers. les les les les les Les rseaux de communication : rseaux de satellites de communication ; rseaux sans fil (Wimax, Wifi, Bluetooth...) ; rseaux de localisation GPS ou Galileo ; rseaux tlphoniques filaires ; rseaux doprateurs de tlphonie mobile (GSM, GPRS, UMTS).
Les rseaux de diffusion de tlvision (TNT, cble) et de radio. La disponibilit de nouveaux supports physiques de transmission ou loptimisation de la bande passante sur ceux qui existent (modulations radiolectriques, cbles sous-marins, cbles optiques, satellites, multiplexage sur
Laugmentation des menaces et des vulnrabilits pse fortement sur la scurit des systmes dinformation
23
la paire de cuivres, etc.) offrent de grandes possibilits techniques (amlioration des interconnexions, des dbits, etc.). Couples la standardisation et lutilisation tendue de certains protocoles de transmission (IP), ces possibilits font natre des offres de services qui rencontrent des opportunits dapplication ou des demandes issues de nos modes de vie. Assez frquemment, les opportunits ou les demandes sont motives par des considrations conomiques (rduction du cot de fonctionnement dun service existant) et pratiques (gain de rapidit, de commodit pour ce service). Ainsi : La dmatrialisation des relations entre une administration et ses administrs en donne un bon exemple. Lutilisation et lenvoi lectronique dimprims administratifs sur Internet permettent de rduire significativement les cots de traitement des procdures manuelles (allgement de la masse salariale des agents publics). Dans le mme temps, le traitement central et automatis dune procdure permet descompter un gain defficacit (statistiques et prvisions quasi-immdiate pour ladministration). Un programme darmement visant assurer un flux continu dinformation entre un tat-major de forces et des militaires uvrant sur un thtre doprations est mme de donner au commandement une visibilit totale et instantane des actions et des mouvements entrepris par le fantassin sur le champ de bataille. Quant lordinateur individuel connect Internet, il offre de nouveaux loisirs et un confort de vie : parcourir un supermarch virtuel, payer et se faire livrer domicile la commande. Les risques qui psent sur la scurit des systmes dinformation sont fonction de la combinaison des menaces qui psent sur les ressources protger, des vulnrabilits inhrentes ces ressources et de la sensibilit du flux dinformation qui passe dans ces ressources. valuer sa scurit demande de savoir vers quoi on veut tendre et contre quoi on cherche se protger. Il apparat que la scurit des systmes dinformation sapparente de la gestion de risques.
24
La scurit nest pas une fin en soi mais rsulte toujours dun compromis entre : un besoin de protection ; le besoin oprationnel qui prime sur la scurit (cooprations, interconnexions...) ; les fonctionnalits toujours plus tentantes offertes par les technologies (sans fil, VoIP...) ; un besoin de mobilit (technologies mobiles...) ; des ressources financires et des limitations techniques. La scurit na de sens que par rapport ce quon cherche protger. Ici, la cible principale des convoitises est linformation, quil sagisse de la manipuler ou de la dtruire, de lextraire ou den restreindre laccs, voire de la rendre inaccessible. On peut galement chercher protger des puissances de calcul, ou encore de la connectivit. La SSI a donc pour objet de proposer des solutions organisationnelles et/ou techniques susceptibles de protger les informations les plus sensibles en priorit mais galement les autres. La gestion du risque et la SSI participent dune mme dmarche globale, fonde sur lidentification des attaques potentielles, mais galement sur lide quaucun systme dinformation nest invulnrable car : il nest pas possible denvisager de se protger 100 % des codes malveillants (comme par exemple les virus ou les chevaux de Troie) ; les pare-feux protgent uniquement des attaques rsiduelles (i. e. qui ne correspondent pas aux services offerts) 2 ; les algorithmes cryptographiques secrets ne sont pas tous fiables ; les solutions de dtection dintrusion peuvent tre trompes ; la SSI repose sur des outils mais galement sur un facteur humain ; il nest pas possible de tester les systmes et les applications dans des dlais raisonnables au regard de leur dploiement auprs des utilisateurs. La scurit des systmes dinformation vise gnralement cinq objectifs : la confidentialit : il sagit de garantir que laccs aux donnes nest possible que pour les personnes dment autorises les connatre ; lintgrit : il sagit de garantir que les fonctions et donnes sensibles ne sont pas altres, et conservent toute leur pertinence ; la disponibilit : il sagit de garantir quune ressource sera accessible au moment prcis o quelquun souhaitera sen servir ; lauthentification a pour but de vrifier quune entit est bien celle quelle prtend tre ; la non-rpudiation vise interdire une entit de pouvoir nier avoir pris part une action (cela est fortement li la notion juridique dimputabilit).
1. Stanislas de Maupeou, in Revue Dfense nationale, novembre 2003 2. Lire ce propos la note du CERTA : Tunnel et pare feu : une cohabitation difficile (http://www.certa.ssi.gouv.fr/site/CERTA-2001-INF-003/) ;
Laugmentation des menaces et des vulnrabilits pse fortement sur la scurit des systmes dinformation
25
Afin datteindre ces objectifs de scurit, il est ncessaire de mettre en uvre une politique de scurit, applicable lensemble des entits lintrieur dun domaine gographique ou fonctionnel qui explicitera lensemble des rgles et des recommandations afin de protger les ressources et les informations contre tout prjudice et galement de prvoir le cas de la faillite de la protection. Pour tre mise en uvre sur un plan oprationnel, cette politique de scurit sappuie sur un certain nombre de fonctions de scurit, telles que : lidentification et lauthentification des entits, le contrle daccs, la traabilit des sujets et des oprations, laudit des systmes, la protection des contenus et la gestion de la scurit. Ces fonctions font lobjet de menaces particulires et peuvent prsenter des vulnrabilits susceptibles dtre exploites par des attaquants motivs ou non. Cette politique de scurit, associe la gestion des risques, permet de prononcer une homologation de scurit.
26
consquences qui rsulterait de leur divulgation, de leur altration, de leur indisponibilit ou de leur destruction. cette fin, une distinction est opre par deux mentions dsignant le niveau de protection quil faut assurer linformation : confidentiel et diffusion limite. Chacune de ces mentions de sensibilit peut tre assortie dune mention spcifique, caractristique du domaine protg : personnel (information nominative au sens de la loi no 78-17 du 6 janvier 1978 relative linformatique, aux fichiers et aux liberts) ; professionnel (protg par larticle 226-13 du code pnal) ; industriel ; commercial ; nom dune socit ou dun organisme ; nom de deux partenaires ; nom dun programme. La mention spcifique assure le cloisonnement de linformation, en rservant son accs aux seules personnes ayant besoin de les connatre pour laccomplissement de leur fonction ou de leur mission.
Des attaques sophistiques, portant atteintes aux enjeux conomiques et dintelligence conomique
Les principales menaces effectives pesant sur les systmes dinformation sont de nature distincte mais tout aussi prjudiciable la protection de linformation : lutilisateur : il nest pas gnralement une menace : il peut se retrouver face une gestion de la complexit laquelle il na pas t prpar (le particulier nest pas un administrateur informatique). Lexemple typique est la mauvaise utilisation de SSL ou encore le phishing ; les programmes malveillants : un logiciel destin nuire ou abuser des ressources du systme est install sur le systme (par mgarde ou par malveillance), ouvrant la porte des intrusions ou modifiant les donnes ; lintrusion : une personne parvient accder des donnes ou des programmes auxquels elle nest pas cense avoir accs ; un sinistre (vol, incendie, dgt des eaux...) gnre une perte de matriel et/ou de donnes ; La scurit des systmes dinformation est partie intgrante de la scurit globale visant se protger des attaques : physiques : ces attaques (vols ou destructions par exemple) visent les infrastructures physiques des systmes dinformation, tels les cbles ou les ordinateurs eux-mmes ; lectroniques : il sagit par exemple de linterception ou du brouillage des communications ;
Laugmentation des menaces et des vulnrabilits pse fortement sur la scurit des systmes dinformation
27
logicielles : ces attaques regroupent lintrusion, lexploration, laltration, la destruction et la saturation des systmes informatiques par des moyens logiques ; humaines : lhomme est un acteur clef dun systme dinformation. Il constitue ce titre une cible privilgie et peut faire lobjet de manipulation afin de lui soutirer de linformation via l ingnierie sociale 1 par exemple ; organisationnelles : un attaquant cherchera abuser des dfauts de lorganisation et de sa scurit pour accder ses ressources sensibles. Ces types dattaques sont des lments indissociables parfois utiliss simultanment pour une attaque sophistique quil convient dintgrer dans un plan de scurit globale. Ne traiter quun seul de ces points pourrait tre compar installer une porte blinde lentre dune maison, mais en laissant les fentres ouvertes.
Il est toujours difficile de connatre les motivations dun acte, mme si ces dernires, telles que le besoin de reconnaissance, ladmiration, la curiosit, le pouvoir, largent et la vengeance sont le plus souvent les moteurs de ces actes dlictueux. Il est cependant utile de chercher les comprendre pour mettre en place des stratgies et des tactiques de rponses adaptes.
1. Ingnierie sociale ou Social Engineering : lart de manipuler un humain pour lui soutirer des informations. En pratique, un pirate peut tenter, par exemple, de se faire passer pour un responsable et demander son mot de passe un utilisateur naf.
28
On distingue traditionnellement 4 types dattaques quils nous semble utile de rappeler ici un public non-averti : Ludique : les attaquants sont motivs par la recherche dune prouesse technique valorisante, cherchent dmontrer la fragilit dun systme et se recrutent souvent parmi de jeunes informaticiens.
Dfiguration ludique :
Le 16 juillet 2005, le site www.expatries.diplomatie.gouv.fr tait dfigur 1 : une de ses pages tait remplace a priori par une rfrence au groupe de pirates.
Cupide : des groupes ou des individus cherchent obtenir un gain financier important et rapide. Les victimes dtiennent de largent ou ont accs des flux financiers importants (banques, paris en ligne...). Le chantage est devenu une pratique courante, comme lillustre lexemple des virus Smitfraud. C et PGP coder qui demandent explicitement lutilisateur de payer pour rtablir le bon fonctionnement du systme. Terroriste : des groupes organiss, voire un tat, veulent frapper lopinion par un chantage ou par une action spectaculaire, amplifie par limpact des mdias, telle que le sabotage dinfrastructures vitales, mais il fait souligner que cela na encore jamais t rapport. Stratgique : un tat, des groupes organiss ou des entreprises, peuvent utiliser avec efficacit les faiblesses ventuelles des systmes dinformation afin de prendre connaissance dinformations sensibles ou confidentielles, notamment en accdant frauduleusement des banques de donnes. Lattaque massive de systmes vitaux dun pays ou dune entreprise afin de les neutraliser ou de les paralyser constitue une autre hypothse. La dsinformation et la dstabilisation sont des moyens trs puissants et faciles mettre en uvre avec un effet multiplicatif d notre dpendance vis--vis de linformation. Cette typologie prend en compte la fois les niveaux de comptence et les niveaux de dtermination des auteurs. Il est noter que les motivations peuvent tre croises et ou combines ; par exemple un intrt cupide et stratgique.
1. Archive de Zone-H : http://www.zone-h.org/en/defacements/mirror/id=2595669/
Laugmentation des menaces et des vulnrabilits pse fortement sur la scurit des systmes dinformation
29
Profils des attaquants Sans dtailler tous les profils (cf. Annexe VI), on retiendra le plus connu ; les hackers 1 qui interviennent individuellement ou via des organisations. Diffrentes catgories de hackers existent en fonction de leur champ dimplication (lgal ou illgal) ou de leur impact sur les rseaux informatiques : les chapeaux blancs, certains consultants en scurit, administrateurs rseaux ou cyber-policiers, ont un sens de lthique et de la dontologie ; les chapeaux gris pntrent les systmes sans y tre autoriss, pour faire la preuve de leur habilet mais ne connaissant pas la consquence de leurs actes ; les chapeaux noirs, diffuseurs volontaires de virus, cyber-espions, cyber-terroristes et cyber-escrocs, correspondent la dfinition du pirate. Ces catgories peuvent tre subdivises en fonction des spcialits. Ainsi, le craker, soccupe de casser la protection des logiciels, le carder, les systmes de protection des cartes puces, le phreaker, les protections des systmes tlphoniques.
Les infrastructures vitales, ltat, les entreprises, les entits acadmiques et les citoyens : des cibles interdpendantes
Compte tenu de linterconnexion entre les rseaux constituant les systmes dinformation les cibles sont devenues de plus en plus interdpendantes. Les infrastructures vitales, un enjeu de scurit nationale Le fonctionnement du pays est dpendant dinfrastructures informatises, cible de menaces cupides, stratgiques et terroristes. La Commission europenne, dans une communication en date doctobre 2004 ( Protection des infrastructures critiques 2 dans le cadre de la lutte contre le terrorisme 3), propose la dfinition suivante : Les infrastructures critiques sont des installations physiques et des technologies de linformation, les rseaux, les services et les actifs qui, en cas darrt ou de destruction, peuvent avoir de graves incidences sur la sant, la scurit ou le bien-tre conomique des citoyens ou encore le travail des gouvernements des tats membres. Les infrastructures critiques se trouvent dans de nombreux secteurs de lconomie, y compris le secteur bancaire et des finances, les transports et la distribution, lnergie, les services de base, la sant, lapprovisionnement en denres alimentaires et les communications, ainsi que certains services administratifs de base.
1. Un hacker est un expert technique/scientifique, sans connotation morale particulire, contrairement au langage usuel. Cest pourquoi, dans ce rapport, les termes de pirates ou dintrus pour dsigner une personne employant des moyens illgaux pour rentrer et/ou se maintenir dans un systme dinformation seront prfrs. 2. Il est opportun de prciser la distinction faite entre la terminologie franaise infrastructures vitales et son homologue anglo-saxonne critical infrastructures . 3. http://europa.eu.int/eur-lex/lex/LexUriServ/site/fr/com/2004/com2004_0702fr01.pdf
30
Indispensables au bon fonctionnement du pays, elles constituent des cibles privilgies : il sagit de la distribution dnergie lectrique (auprs dautres infrastructures : hpitaux, etc.) ; la production dnergie lectrique en particulier nuclaire ; les rseaux dalimentation et de production des raffineries ; la distribution et production deau douce ; les rseaux de transport (rservations billets davions, contrle arien, rseaux de signalisation des voies ferres, etc.) ; les rseaux de communication (tlphone filaire, cellulaires, rseau Internet, etc.) y compris ceux des forces de police et de la dfense. Linterdpendance entre certaines de ces infrastructures gnre galement des facteurs de risques en terme de raction en chane qui doivent conduire ltat en accord avec les oprateurs dinfrastructures vitales dfinir des politiques de scurit qui envisagent la scurit de manire globale et solidaire. Ces attaques, si elles aboutissaient, pourraient avoir des consquences particulirement graves, quelles soient conomiques, sociales, cologiques voire humaines.
Il sagissait, selon le NISCC, dun type dattaque de haut niveau, combinant une large varit de techniques connues mais difficiles dtecter et qui visait certaines infrastructures critiques. En amont de lattaque se pose le problme de la dcision de connecter imprudemment et sans analyse de risque pralable, des rseaux sensibles. Des travaux sur la rsilience de tels systmes devraient tre engags. Dans ce domaine comme dans dautres, le CERTA (Centre dexpertise gouvernemental de rponse et de traitement des attaques informatiques) rappelle trs rgulirement que, selon le principe de dfense en profondeur, la scurit des systmes dinformation ne saurait reposer sur les seuls outils de scurit comme les antivirus ou les pare-feux mais que la vigilance de lutilisateur est galement primordiale ainsi quune vritable politique de mise jour des applications.
Laugmentation des menaces et des vulnrabilits pse fortement sur la scurit des systmes dinformation
31
Ltat : une cible de choix titre dexemple, le ministre de la Dfense amricain (Department of defense) est le plus attaqu au monde, avant Microsoft 1. Preuve en est aussi le succs des sites gouvernementaux (extension .gov aux tats-Unis, .gouv.fr en France) sur les pages rfrenant les dfigurations, considres spciales 2. Si la dfiguration dun site peut sembler banale et sans consquence autre que celle touchant son image de marque, le CERTA observe que la dfiguration en elle-mme est souvent larbre qui cache la fort. La plupart du temps les attaquants cachent leur attaque principale sous le couvert de la dfiguration. Ainsi, se contenter de rendre au site son aspect originel revient sous-estimer la porte de lattaque et ne rgle rien sur le fond. Les entreprises : des cibles de plus en plus attractives Les entreprises sont confrontes des menaces finalit ludique, cupide ou stratgique.
Ainsi, en juin 2005, des rvlations 3 sur une entreprise isralienne qui louait un cheval de Troie ses clients ont conduit larrestation de plusieurs dirigeants dentreprises travers le monde. En sadressant cette socit, un client demandait tout simplement ce que le produit soit install dans le systme dinformation de la cible, et pouvait ensuite en extraire en toute impunit les informations quil dsirait. Si les entreprises ont davantage de moyens pour se protger, la complexit croissante des systmes dinformation et les contraintes de cots rendent dautant plus difficile la scurisation des systmes. Les entits acadmiques, universits, centres de recherche, coles dingnieurs Moins sensibiliss la scurit des systmes dinformation, les organismes de formation de recherche sont victimes de nombreuses attaques, comme laffirment certains tmoignages recueillis au cours de la mission. Les citoyens, des cibles vulnrables Les donnes protger pour un citoyen sont de deux types : dune part celles quil produit lui-mme : e-mail, blogs, forums, et dautre part celles quil ne matrise pas, comme ses connexions Web chez son fournisseur daccs Internet ou travers une borne Wifi, la localisation de son mobile travers les relais tlphoniques, son passage devant des camras de vidosurveillance sur IP ou non. De plus, les machines des citoyens peuvent servir de relais pour conduire des attaques.
1. Source : auditions 2. Dfigurations spciales : http : //www.zone-h.com/en/defacements/special 3. http://solutions.journaldunet.com/0506/050603_espionnage_industriel_israel.shtml
32
Liaisons transatlantiques
Le rseau TAT-14 , assure une partie du transit Internet entre lEurope et les tats-Unis. Toute rupture des fibres optiques entrane des perturbations importantes des communications transatlantiques. Ce fut accidentellement le cas en novembre 2003, cause dun chalutier.
Serveurs : ils assurent des services dune extrme importance au bon fonctionnement de toute structure utilisant les rseaux tels que le service de messagerie lectronique devenu indispensable en tant quoutil de communication, service Web portail de communication et emblme de lorganisme vis--vis de lextrieur, service de fichiers aux contenus sensibles ou pas. Il est noter le danger de rendre le service de messagerie indispensable quand on songe quil ny a pas de garantie structurelle que le courrier est bien dlivr.
Laugmentation des menaces et des vulnrabilits pse fortement sur la scurit des systmes dinformation
33
Postes clients : utiliss tout niveau de la hirarchie, ils permettent tous de sacquitter de ses tches quotidiennes et stockent des informations potentiellement prcieuses. Ils sont surtout en premire ligne face aux maladresses ou malveillances des employs sur leur lieu de travail ou des utilisateurs domestiques. Ils sont considrs, ltat actuel de lart, comme trs difficiles scuriser. quipements mobiles : dune utilisation croissante au sein de lentreprise et de la vie quotidienne, les quipements mobiles constituent des lments du systme dinformation, et surtout des cibles en puissance : ordinateur portable, PDA, tlphone portable sont de plus en plus vulnrables cause de technologies dangereuses (wifi, bluetooth, etc.) et donc de plus en plus attaquables.
Les vecteurs dattaque sont multiples et tmoignent dune complexit croissante Les attaques physiques sont traiter en priorit
Cette dnomination recouvre les menaces pouvant aboutir la compromission matrielle du systme de traitement de donnes ou du rseau de communication. Les consquences identifies sont la paralysie du systme dinformation, par exemple en empchant laccs certaines zones ou ressources nvralgiques ou la destruction. Parer les menaces physiques peut ncessiter des dpenses dinfrastructure importantes (construction denclaves de scurit, de zones protges, mise en place de systmes de surveillance et dalerte, etc.), mais le contrle de laccs physique aux ressources du systme dinformation est aujourdhui indispensable parce quil serait vain de se lancer dans le dploiement de systmes dauthentification et dautorisation complexes (par exemple base de certificats) si lon est incapable de contrler laccs physique un serveur. Dans le mme temps, il est inutile et illusoire de faire leffort sur la scurit physique quand il y a un accs rseau dont le primtre nest pas contrl ou matris. La miniaturisation des moyens de stockage, comme les cls USB 1, et leur facilit demploi plaident galement en faveur du renforcement de ce contrle. Il est possible, partir dune cl USB modifie, de prendre le contrle dun poste et dy insrer un programme indsirable ou den extraire des donnes. Aucun ordinateur ayant accs des donnes sensibles, et a fortiori relevant du secret de dfense, ne devrait tre laiss sans surveillance, en particulier lorsque des tiers (agents dentretien, visiteurs, concurrents potentiels, etc.) ont accs aux locaux.
1. Une faille de scurit concernant lutilisation des clefs USB a t mise en vidence en aot 2005. Cette faille permet douvrir une session sur une machine protge par mot de passe partir dune simple clef USB spcifiquement programme dans ce but. Un oprateur malveillant serait ainsi en mesure dobtenir un accs illimit la machine et dy consulter toutes les donnes quelle contient. Cette faille est propre la technologie USB et non au systme dexploitation, ce qui signifie que tous les systmes sont potentiellement vulnrables.
34
Laugmentation des menaces et des vulnrabilits pse fortement sur la scurit des systmes dinformation
35
Avec des moyens de dtection un peu sophistiqus, la distance daccs effective aux tiquettes RFID peut atteindre jusqu quelques dizaines de mtres). La plupart des dispositifs ne chiffrant pas (ou mal) les donnes transmises, les informations peuvent donc tre interceptes cette distance. Considrant, par exemple, lintrt que pourrait trouver un concurrent lire distance lensemble du flux logistique de distribution dun industriel et, dans la mesure o ce type de technologie est envisag pour transmettre des donnes personnelles (sur des passeports par exemple) lemploi de la technologie RFID pour des donnes caractre personnel ou dans des systmes de haute scurit ncessite une analyse pousse des risques.
36
tats-Unis
(Inconnu)
Au mois doctobre 2005, 104 219 sources distinctes ont sond des machines sur le rseau RENATER 1. Il peut sagir de tentatives de propagations virales, ou de phases de reconnaissance pr-attaque de pirates ou encore de mauvaises configurations systme.
Royaume-Uni
France
Chine
Allemagne
Taiwan
Brsil
Japon
Core du Sud
Laugmentation des menaces et des vulnrabilits pse fortement sur la scurit des systmes dinformation
37
Si vous avez dj vu cette fentre, sans doute faites-vous partie des quelques millions dinternautes travers le monde avoir t infects par le ver Sasser 1. Se propageant entre PC sous Windows sans firewall grce aux connexions rseau, il a longuement fait parler de lui en mai 2004. Un virus est un logiciel malveillant, gnralement de petite taille, qui se transmet par les rseaux ou les supports dinformation amovibles, simplante au sein des programmes en les parasitant, se duplique linsu des utilisateurs et produit ses effets dommageables quand le programme infect est excut ou quand survient un vnement donn. titre dexemple, dans un grand groupe 2, 5 % des courriels changs en 2004 ont t intercepts et radiqus. Mais il faut aussi et surtout tenir compte de tout ce qui ne se dtecte pas cause de mises jour non-effectues ou de vulnrabilit encore inconnue. Les antivirus agissent par dfinition a posteriori. Cest prcisment pour cela que la protection contre les virus ne peut et ne doit pas se limiter un antivirus mais que lutilisateur doit tre form et rester vigilant. 2004 a vu lexplosion du nombre de variantes virales, avec plus de 10 000 nouveaux virus identifis 3 comme MyDoom, ciblant les systmes dexploitation Windows, avec pour objectif de lancer des attaques comme par exemple des dnis de service. Le phishing consiste duper linternaute (page factice dun site bancaire ou de e-commerce) pour quil communique des informations confidentielles (nom, mot de passe, numro PIN...). Ces donnes sont utilises pour obtenir de largent. Cette menace est un frein au dveloppement de la banque et de ladministration en ligne. Les rseaux de robots visent donner la possibilit un pirate de contrler des machines, en vue dune exploitation malveillante.
1. http://www.sophos.fr/virusinfo/analyses/w32sassera.html 2. Source : auditions. 3. Source : Sophos et Clusif.
38
Ils peuvent provoquer des redmarrages intempestifs ou empcher le tlchargement de correctifs tout en bloquant laccs certains sites Internet. Pour ne pas tre dtects et prserver leur anonymat, les attaquants dont la motivation est souvent financire ont de plus en plus tendance mettre en place un rseau de machines devant rester invisible et leur permettant, le moment venu, de relayer de manire massive partir des machines infectes lattaque dsire : des spams, des virus, ou des attaques en dni de service. Les rseaux de robots (botnets) peuvent mettre en uvre entre 3 000 et 10 000 ordinateurs zombies. Au premier semestre 2005, en moyenne 10 352 ordinateurs de rseaux de bots ont t actifs, par jour, soit une augmentation de 140 % par rapport au semestre prcdent 1.
En 2002, pendant une heure, les treize serveurs de noms racine (dont 10 aux tats-Unis), qui permettent directement ou indirectement, tous les navigateurs de trouver les pages Web demandes, tous les e-mails darriver destination, ont t la cible dune attaque de dni de service coordonne. Le problme nest pas tant la gographie physique mais qui concrtement contrle ces serveurs (contenu, mise jour, etc.). Ces serveurs sont le centre nerveux dInternet et en mme temps son talon dAchille.
Pour les contrer, il est ncessaire dagir au niveau prventif, en vitant, dans toute la mesure du possible, la contamination des machines.
1. Rapport Internet Security Threat Report de la socit Symantec.
Laugmentation des menaces et des vulnrabilits pse fortement sur la scurit des systmes dinformation
39
Un spam est un courrier lectronique dexemplaires identiques, envoy en nombre, de faon automatique et non-sollicit 1. En 2004, il y a eu une inondation graduelle du Net par les spams. De ce fait, nombre de responsables scurit ont d mobiliser leurs quipes sur le sujet des spam pour rpondre la pression de leur direction et des utilisateurs face la saturation de leurs messageries. titre dexemple un grand groupe franais 2 dans lequel 500 000 mails sont changs chaque jour, en rejette 60 000, dont 31 000 spams et 29 000 virus. Au premier semestre 2005 le spam a reprsent 61 % de la totalit du trafic de courriers lectroniques (51 % de tous les spams diffuss travers le monde provenaient des tats-Unis) 3. Cependant, le spam occasionne plus de dsagrments que de dgts, et sil est parfois qualifi dennemi logique numro un, ce nest pas du fait de sa dangerosit. Un spyware est un code qui permet de transmettre les habitudes dun internaute, que lon peut qualifier de logiciel espion avec des objectifs de commerce et de renseignement (tudes marketing, etc.). Il peut intgrer des programmes malveillants de toutes sortes mais galement affecter la confidentialit des donnes de linternaute. En 2004, 50 % des remontes Dr Watson (remonte des problmes informatiques Microsoft) taient dues des spywares ! Les logiciels espions et publicitaires adware sont en expansion.
1. Le CERTA a mis en 2005 une recommandation complte ce sujet (limiter limpact du Spam : http://www.certa.ssi.gouv.fr/site/CERTA-2005-INF-004.pdf). 2. Source : auditions. 3. Rapport Internet Security Threat Report de la socit Symantec.
40
Les vulnrabilits inhrentes aux systmes dinformation crent un environnement propice aux attaques
La conjonction de phnomnes tels que louverture vers lextrieur, linterconnexion des rseaux, la possibilit offerte un utilisateur de se connecter, par voie filaire ou hertzienne, distance, la mobilit des liaisons, la miniaturisation des ordinateurs et des supports dinformation cre un environnement plus propice encore aux attaques. Toutes ces vulnrabilits doivent tre vues sous langle de la gestion des risques et de lhomologation de scurit.
Laugmentation des menaces et des vulnrabilits pse fortement sur la scurit des systmes dinformation
41
Les risques lis lutilisation dinfrastructures spontanes 1 Les risques de ces infrastructures spontanes sont lis au fait quelles sappuient le plus souvent sur des standards propritaires ou sur des modles ou des architectures de scurit non-valides qui peuvent amener contourner la politique de scurit. Cest la raison pour laquelle les responsables de scurit de plusieurs organisations, conscients des risques sous-jacents, limitent ou interdisent lemploi de ces systmes 2, le plus souvent sans succs. Dautres imposent pour lemploi de tels outils dutiliser des courriels scuriss, le contenu confidentiel est dans un fichier attach crypt 3. La menace des priphriques externes La prolifration de priphriques de stockage externes de grande capacit constitue une menace. On retiendra en particulier : les cls USB, les assistants numriques personnels (PDA), les lecteurs et graveurs de CD et de DVD amovibles, les tlphones mobiles dots dune capacit de stockage de donnes. Il y a deux grandes catgories de risques, lintroduction de codes malveillants sur le rseau et la perte ou le vol de donnes de lentreprise alors que des mesures simples concernant lutilisation de ces priphriques et leur traabilit permettront de rduire sensiblement le niveau de risque. Daprs une enqute IDC 4, 71 % des sonds jugent trs proccupante lutilisation en priv dquipements mobiles en particulier par les dirigeants.
42
Une organisation trop permissive et insuffisamment structure, risque de ne pouvoir identifier linformation critique pour son fonctionnement ; ni cerner sa vraie valeur ; ni optimiser les changes dinformations entre ses entits. Par construction, elle restera donc plus vulnrable. Lexternalisation favorise les vulnrabilits Lentreprise qui recourt lexternalisation doit sassurer quelle dispose, vis--vis de son prestataire, des moyens et garanties permettant dassurer la scurit de son systme dinformation, notamment travers lventuelle chane de sous-traitance... Les principaux risques identifis sont de nature : informationnelle : des donnes peuvent tre drobes ou manipules et les systmes dinformation peuvent tre neutraliss ; juridique : les socits utilisant des entreprises dinfogrance trangre doivent prendre garde la lgislation en vigueur dans le pays qui hberge leur informatique ainsi qu sa stabilit ; conomique : un cot de transfert sous-valu et une baisse de la qualit de services. Une perte dfinitive de savoir-faire en matire dadministration de systmes ; organisationnelle : la rversibilit ventuelle du transfert doit tre clairement prvue contractuellement et organise. Les organisations qui externalisent leurs infrastructures informatiques et leur SSI doivent bien intgrer que lensemble des donnes de leur systme dinformation sera accessible un tiers, dans le cadre dun march pour lequel il ny a, ce jour, aucune contrainte rglementaire spcifique.
Laugmentation des menaces et des vulnrabilits pse fortement sur la scurit des systmes dinformation
43
une ergonomie inadapte : elle peut avoir des consquences dramatiques (perte de donnes, diffusion dinformations secrtes, dcouragement des utilisateurs). Dune faon gnrale, linformatique actuelle est beaucoup plus complexe que lide gnralement rpandue et diffuse : la formation doit tre dveloppe.
44
Lexpression du besoin en matire de scurit pour un systme nouveau devra faire apparatre les menaces dont il doit se protger, les intentions de ladversaire quil sagit de prvenir et les formes que ses agressions peuvent prendre. En outre, avant dentreprendre le dveloppement du systme, les spcifications fonctionnelles devront traiter des fonctionnalits du systme mettre en uvre, de sa disponibilit, de la fiabilit attendue des informations et des consquences dune divulgation dinformations. Une fois le dveloppement termin, avant de mettre en service le systme, il faut soumettre toutes ses fonctions de scurit lexamen dun organisme diffrent de lorganisme qui la dvelopp pour viter que les mmes soient juges et parties dans la qualification du dveloppement et pour sassurer de la clart et de la lisibilit de la conception. Un grand groupe auditionn a insist sur la sparation ncessaire entre lquipe qui ralise et celle qui prconise. Autrement dit, le matre duvre de la SSI ne peut pas tre le donneur dordre 1. Lors de la mise en service oprationnelle, il faut enfin grer la configuration du systme avec soin. Il va sans dire quil faut apporter une attention particulire la maintenance pour viter quelle ne soit loccasion douverture de failles dans la scurit.
Laugmentation des menaces et des vulnrabilits pse fortement sur la scurit des systmes dinformation
45
Par exemple, dans le domaine militaire, le besoin dinteroprabilit entre allis conduit adopter des normes qui, jusqu prsent, sont fortement influences par les tats-Unis. Si la matrise de la ralisation des produits nest pas quitablement partage, il convient de sinterroger sur les consquences induites sur la souverainet de notre pays en particulier. Il en va de mme des systmes dinformation utiliss par les forces de police et les services de renseignement. Un enjeu conomique : un environnement scuris est ncessaire afin daccompagner le rattrapage franais dans lusage des TIC, indispensable pour la croissance franaise, par les citoyens et les entreprises franaises. Selon le tableau de bord du commerce lectronique de dcembre 2004 1, malgr un taux dquipements comparable pour les entreprises, des retards persistants demeurent par rapport aux concurrents en matire dusage. Retenons quelques donnes de cette tude de 2002 qui reste cependant dactualit. En juillet 2002, on comptait en moyenne 31,4 sites Web pour 1000 habitants contre 17,2 sites en juillet 2000. Des carts importants entre pays peuvent tre constats.
90 80 70 60 50 40 30 20 10
Royaume-Uni tats-Unis Pays-Bas Sude Allemagne Australie Danemark Canada
45 33 28 15 13 13 11 84,7 72 64 64
Pour accomplir des transactions dachat et de vente sur lInternet, le commerce lectronique a besoin de moyens scuriss. Le nombre de serveurs scuriss pour 100 000 habitants permet ainsi de mettre en vidence les pays les plus avancs dans lutilisation du commerce lectronique.
1. Mission pour lconomie numrique tableau de bord du commerce lectronique de dcembre 2004 6e dition Services des tudes et des statistiques industrielles (SESSI) Ministre dlgu lIndustrie.
46
Finlande
Espagne
Italie
France
40 35 30 25 20 15 10 5 0
37,5
12,3
9,7
8,3
5,6
4,2
tats-Unis
Royaume- Uni
Pays Bas
Irelande
Sude
Allemagne
Finlande
Canada
Dautres statistiques, dans cette tude relative aux citoyens, montrent certes une progression franaise sur les quipements et les usages, mais toujours des retards importants par rapport aux pays concurrents y compris en Asie. Or, la contribution en points de croissance de lusage des TIC est avre, en particulier avec lexemple des tats-Unis o la contribution des TIC la croissance tait de 1,3 1,5 pt contre 0,7 pt pour la France entre 1995 et 2000. La contribution des industries productrices de TIC nexplique pas tout. En effet, dautres pays qui ne disposent pas dindustries productrices de TIC plus importantes que la France sont en avance. Dans un contexte de mondialisation croissante de lconomie et de concurrence soutenue, les entreprises franaises, mais aussi ltat, ont lobligation de poursuivre et dacclrer leurs investissements en TIC notamment pour amliorer leur productivit et favoriser leur dveloppement commercial pour les premiers. Cette politique volontariste pourra dautant plus tre mise en uvre que lenvironnement de ces acteurs aura t scuris, permettant ainsi de prserver la disponibilit, lintgrit et la confidentialit de leurs activits.
Danemark
France
Suisse
Japon
Laugmentation des menaces et des vulnrabilits pse fortement sur la scurit des systmes dinformation
47
Chapitre II
49
Une dispersion des moyens, des comptences et des politiques au niveau national
Premier Ministre
SGDN / DCSSI Veille alerte rponse Labellisation / certification Formation Soutien la R&D Conseil en SSI Audit / Inspection
Minefi
DGE Soutien la R&D
ADAE Labellisation
Ministre de la Dfense
EMA DGA Financement Expression des besoins de produits Financement de produits Soutien la R&D Dveloppement OPVAR des technologies Veille alerte rponse Protection des entreprises darmement DGSE Analyse de la menace venant de lextrieur
Ministre de lIntrieur
OCLCTIC DST Lutte contre Lutte contre la cybercriminalit la cybercriminalit sensibilisation
50
Premier ministre
353 personnes
SGDN
PSE
AIS
SP-CIR
DCSSI
IE
TTS
DAG
Le dcret n 96-67 1 prvoit que le Secrtaire gnral de la Dfense nationale veille la cohrence des actions entreprises en matire de scurit des systmes dinformation (article 1). Il suit lexcution des directives et instructions du Premier ministre et propose les mesures que lintrt national rend souhaitables. Il coordonne lactivit de tous les organismes concerns et assure que les relations entre ceux-ci rpondent aux objectifs dfinis par le Premier ministre. Il veille au respect des procdures applicables des utilisateurs privs en matire de scurit des systmes dinformation. Il participe lorientation des tudes confies aux industriels et suit leur financement (article 2). Il est tenu inform des besoins et des programmes dquipement des dpartements ministriels et veille ce que ceux-ci soient harmoniss. Plus prcisment, la DCSSI 2 (Direction centrale de la scurit des systmes dinformation) assiste le Secrtaire gnral de la dfense nationale dans ses missions de scurit des systmes dinformation qui rpondent deux objectifs principaux : 1 Assurer la scurit des systmes dinformation de ltat (administrations et infrastructures vitales). 2 Crer les conditions dun environnement de confiance et de scurit propice au dveloppement de la socit de linformation en France et en Europe.
1. Dcret n 96-67 du 29 janvier 1996 relatif aux comptences du secrtaire gnral de la dfense nationale dans le domaine de la scurit des systmes dinformation (NOR : PRMX 9600002D). 2. Le dcret 2001-693 prcise les missions de la DCSSI.
110 personnes
51
Le budget 2005 du SGDN est de 56,7 M avec un effectif de 353 personnes, parmi lesquelles 110, en majorit de formation scientifique et technique, sont affectes la DCSSI. La DCSSI : Contribue la dfinition et lexpression de la politique gouvernementale dans le domaine de la SSI. au sein de la Commission interministrielle pour la scurit des systmes dinformation (CISSI) 1, prside par le SGDN. Assure la fonction dautorit nationale de rgulation dans le domaine de la SSI. Dans ce cadre, la DCSSI : organise les travaux interministriels et prpare les mesures que le Secrtaire gnral de la Dfense nationale propose au Premier ministre ; prpare les dossiers en vue des autorisations, agrments, cautions ou homologations dlivrs par le Premier ministre, notamment pour lapplication de la rglementation de la cryptologie, et en suit lexcution ; met en uvre les procdures dvaluation et de certification du dcret 2002-535 (certifications ITSEC et Critres communs) ; participe aux ngociations internationales ; entretient des relations avec le tissu des entreprises de SSI. Assiste les services publics dans le domaine de la SSI : audit, veille et alerte dincidents, conseil. Audit et inspection : chaque ministre et chaque grande entreprise a sa propre politique daudit et dinspection, effectue par des ressources internes ou sous-traite aux nombreuses socits prives commercialisant une telle offre. La DCSSI dispose dune quipe charge dinspecter systmatiquement la scurit des systmes dinformation des ministres sur un cycle de trois ans. 8 personnes sont affectes ces missions. La faiblesse de leffectif conduit limiter le nombre de ces inspections seulement une vingtaine de dplacements par an sur les sites locaux et les organismes sous tutelles. Ces relevs ponctuels et les inspections de ladministration centrale aboutissent des recommandations adresses au Directeur de cabinet du ministre concern et du Premier ministre qui ont la responsabilit dy donner suites. Veille, alerte, rponse : la DCSSI dispose dun centre oprationnel de la scurit des systmes dinformation, le COSSI, activ 24 heures/24 -7 jours/7, et cr dans le cadre de llaboration des plans de vigilance (VIGIPIRATE) volet SSI et (PIRANET). Le COSSI est charg dassurer la coordination interministrielle des actions de prvention et de protection face aux attaques sur les systmes dinformation. Il est compos dune unit de Conduite & Synthse (CEVECS) et dune unit technique, le CERTA 2 (centre dexpertise gouvernemental de rponse et de traitement des attaques informatiques). Chacune de ces units regroupe une dizaine
1. Le dcret no 2001-694 prcise le rle de la CISSI. 2. Il existe dautres Computer Emergency Response Teams (CERTs) franais (CERT IST financ par des grands groupes industriels, CERT Renater pour les rseaux de recherche).
52
de personnes. Les ministres et les oprateurs dinfrastructures vitales sont invits signaler au COSSI les attaques dont ils sont victimes. Conseil : la DCSSI conseille les ministres qui en font la demande dans lanalyse de risque, la prparation dappels doffres ou le suivi de grands projets. Le caractre facultatif du recours la DCSSI est particulirement prjudiciable une prise en compte systmatique de la SSI dans les grands projets. Elle peut galement conseiller ponctuellement des groupes industriels. Cependant, il ressort des auditions que loffre de conseil aux entreprises est insuffisamment dveloppe et se rvle peu en phase avec les attentes du monde conomique. Dveloppe une expertise scientifique et technique. La DCSSI procde lvaluation des dispositifs de protection des services de ltat, analyse les besoins et propose des solutions propres les satisfaire ; elle participe lorientation des tudes et du dveloppement des produits ; elle formule une apprciation sur les produits qui lui sont soumis. Cette mission est mene par une quipe de spcialistes rpartis dans trois laboratoires : cryptologie, signaux compromettants et architecture de systmes. Organise la formation dans le domaine de la SSI Sensibilisation et formation : la formation des personnels de lAdministration incombe principalement au Centre de formation la scurit des systmes dinformation (CFSSI) 1, mme si des initiatives de contractualisation dans le domaine de la formation ont t entreprises en partenariat avec des grandes coles sur le modle de celle, trs complte, de sensibilisation, dlivre lattention des cadres du secteur priv par les coles du GET regroupant lENST, lENST Bretagne et lINT. Lobjectif du CFSSI est double : dispenser une formation adapte aux diffrents acteurs publics de la SSI et crer un rseau informel dchanges avec les tablissements denseignement suprieur et les centres de formations continues. titre dexemples le CFSSI propose plusieurs degrs de stages 2, allant de la simple sensibilisation au haut niveau de spcialisation, dune dure dune journe jusqu deux annes de formation (cest le cas pour le Brevet dtudes suprieures de la scurit des systmes dinformation (BESSSI) par exemple). En 2004, pas moins de 898 stagiaires avaient suivi lune ou lautre des formations 3. De trs grande qualit, daprs un grand groupe dinfrastructures vitales, celles-ci sont malheureusement restreintes aux personnels exerant directement dans le domaine de linformatique ou de la SSI. De plus, un dficit de notorit de loffre du CFSSI limite le recours cette opportunit.
53
54
moyens sont susceptibles de satisfaire un besoin commun plusieurs dpartements ministriels ou, lorsque le besoin est particulier, sur demande du dpartement intress ; a la capacit dapporter son concours aux contrles et mesures que peuvent ncessiter les systmes dinformation en service dans les dpartements civils ; est charg de doter ltat des quipes et laboratoires de mesures propres satisfaire lensemble des besoins gouvernementaux. Au sein de la DGA, ces responsabilits particulires sont confies au SPOTI, service de programmes de la DGA ddi la conduite des programmes spatiaux, aux systmes dinformation et de commandement. Pour les travaux de ralisation des mcanismes cryptographiques, de ralisation des circuits, dexpertise technique sur la ralisation de produits et systmes et dvaluation, la DGA dispose dune division du CELAR. Au total, la voie technique SSI reprsente plus de 120 personnes, majoritairement ingnieurs et techniciens. Leur activit porte en priorit sur les solutions de scurit destines protger des informations classifies de dfense. La DGSE (Direction gnrale de la scurit extrieure) a pour mission dvaluer la menace provenant de ltranger qui pse sur les systmes dinformation.
55
Enfin, la scurit informatique est assure au sein de la DST par le Bureau de scurit des systmes dinformation. Celui-ci est charg de lapplication de la politique de SSI dfinie la DST. En concertation avec les quipes rseaux, systmes et dveloppement applicatifs, il met en place les outils et procdures ncessaires pour sassurer de la disponibilit, de la confidentialit et de lintgrit des systmes dinformation. LOCLCTIC : lOffice central de lutte contre la criminalit lie aux technologies de linformation et de la communication. En matire de lutte contre la cybercriminalit, lOffice central de lutte contre la criminalit lie aux technologies de linformation et de la communication (OCLCTIC), structure nationale vocation interministrielle et oprationnelle, a t cr en 2000 au sein de la Direction de la police judiciaire (DCPJ). LOCLCTIC est principalement charg : danimer et coordonner la mise en uvre oprationnelle de la lutte contre les auteurs dinfractions lis aux TIC ; de procder, la demande de lautorit judiciaire, tous actes denqutes et travaux techniques dinvestigation ; de centraliser et diffuser linformation sur les infractions technologiques lensemble des services rpressifs (DCPJ, Douanes, Gendarmerie). Le centre national de signalement sur Internet, compos parit de gendarmes et de policiers, destin au recueil et au traitement des signalements portant sur des messages et comportements inacceptables sur Internet, est plac au sein de lOCLCTIC. Le ministre de lconomie, des Finances et de lIndustrie Comme pour les autres domaines technologiques, le Minefi contribue au financement de linnovation en matire de SSI dans les entreprises par divers mcanismes daide, en particulier le crdit impt recherche, et au travers dOSEO-ANVAR dont il a la tutelle. La DGE (Direction gnrale des entreprises) Laction en matire de SSI du service des technologies et de la socit de linformation (STSI) de la direction gnrale des entreprises (DGE) est double : il assure le suivi dune partie de la rglementation en SSI, notamment sur laccrditation des acteurs lis la signature lectronique et dans le cadre de sa mission de subvention la R&D collaborative finance des actions de soutien la R&D en matire de SSI de toutes les actions du ministre : clusters EUREKA qui rassemblent des partenaires europens dans le domaine des tlcommunications, du logiciel et des composants, ples de comptitivit (en le-de-France, en Provence Alpes Cte dAzur et en Basse Normandie) et le programme spcifique Oppidum. Mis en place en 1998, le programme Oppidum ddi la scurit a permis le dveloppement de solutions commerciales accompagnant la libralisation de la cryptologie et la mise en place de la signature lectronique. Mme si la crise des technologies de linformation a ralenti la valorisation commerciale de certains projets, des avances importantes ont t obtenues notamment en matire de signature lectronique (mise en place de tl procdures et du schma de qualification des prestataires), de protection
56
des rseaux dentreprise (firewall, administration de rseaux privs virtuels, systme dinfrastructure de gestion de cls en logiciel libre install dans la plupart des ministres) et de scurit des cartes puce. Pour ce qui est dOppidum : le dernier appel proposition en 2004, dot dun budget limit 4 millions deuros, a rencontr un vif succs puisque 45 dossiers ont t dposs pour un total de 22 millions deuros environ. LADAE : LAgence pour le dveloppement de ladministration lectronique, cre par le dcret du 21 fvrier 2003, publi au JO du 22 fvrier, un service interministriel rattach au ministre charg du Budget et de la rforme de ltat. Lagence pour le dveloppement de ladministration lectronique favorise le dveloppement de systmes dinformation et de communication permettant de moderniser le fonctionnement de ladministration et de mieux rpondre aux besoins du public. Dans ce domaine : Elle contribue la promotion et la coordination des initiatives, assure leur suivi et procde leur valuation et apporte son appui aux administrations pour lidentification des besoins, la connaissance de loffre et la conception des projets. Elle propose au Premier ministre les mesures tendant la dmatrialisation des procdures administratives, linteroprabilit des systmes dinformation, ainsi quau dveloppement de standards et de rfrentiels communs. Elle assure, pour le compte du Premier ministre, la matrise douvrage des services oprationnels dinterconnexion et de partage des ressources, notamment en matire de transport, de gestion des noms de domaine, de messagerie, dannuaire, daccs des applications informatiques et de registres des ressources numriques. Parmi ses missions, le volet scurit regroupe toutes les activits ncessaires la mise en place, en liaison avec la DCSSI, de linfrastructure de confiance avec les outils, les rfrentiels, les guides mthodologiques (FEROS) et lexpertise (EBIOS). La coordination des autorits certifiantes et llaboration des rfrentiels sont menes avec la DCSSI. La dfinition dune carte puce gnrique est conduite en lien avec les partenaires europens. Dans le cadre de cette mission, lADAE dveloppe des projets tels que la carte agent , offrant des services de chiffrement et de signature, dont lappel doffres, en vue de son dploiement destination des ministres, est prvu en novembre 2006. LADAE travaille la mise en place dune offre de services de confiance mutualiss (mission de certificats, validation, gestion de la preuve...), dont la mise en production est prvue en 2006. Cette description des tches montre la difficult apprhender les responsabilits respectives de lADAE et de la DCSSI en matire de scurit des systmes dinformation.
57
La CNIL : Commission nationale informatique et liberts En matire de scurit des systmes dinformation, la CNIL, autorit indpendante qui a pour mission essentielle de protger la vie prive et les liberts individuelles ou publiques, sintresse essentiellement la confidentialit des donnes. La loi du le 6 aot 2004 donne la CNIL une mission de labellisation de produits et de procdures. Mme si la rflexion engage sur la problmatique complexe du label ne permet pas encore de dfinir aujourdhui la porte et le contenu de ce dernier, il semble probable que les aspects relatifs la scurit (sous langle de la confidentialit des donnes personnelles) seront essentiels. Quelle distinction peut-on faire entre un produit labellis par la CNIL ou certifi par la DCSSI ? Quelles sont les ressources techniques dont dispose la CNIL pour accomplir cette mission ? Cette mme loi permet, mais noblige pas, aux entreprises de se doter dun correspondant informatique et libert. L encore, il est difficile aujourdhui dvaluer lattrait (et donc le succs futur) de cette possibilit, ni mme le profil de ces correspondants. Cependant, il est admis que ces derniers devront possder une excellente connaissance des problmatiques de scurit. Ainsi, nous pouvons lgitimement attendre de ces correspondants une meilleure diffusion de cette culture de la scurit informatique au sein des entreprises qui se doteront dun correspondant. La CNIL et la DCSSI ont commenc travailler ensemble de manire quasi-informelle. Mais si la CNIL a, selon les termes de la loi, un pouvoir dimposer que la DCSSI na pas, la DCSSI, en revanche, dispose, du fait de ses origines, de comptences techniques incontestables. Dans le cadre des exprimentations menes suite au rapport Babusiaux (transmission dinformation de sant vers les assureurs complmentaires) le systme de transmission scurise envisag par la FNMF (fdration nationale de la mutualit franaise) a t audit par la DCSSI la demande de la CNIL. Il devrait en tre de mme pour le dispositif transitoire envisag par AXA (avant les dploiements de Ssame Vitale 1.40 chez les pharmaciens). Cette non-formulation peut-tre trs prjudiciable au bon fonctionnement de ltat.
58
Comment stonner ds lors, que lavis dun haut fonctionnaire de Dfense ne soit pas suivi deffet, ou quune note du SGDN sur un appareil PDA reste lettre morte ? Quelle crdibilit apporter la labellisation de produit par la DCSSI dans son secteur alors que la CNIL le fait dans le respect de ses prrogatives ? Quand lADAE conduit des missions parallles qui sembleraient devoir ressortir de la comptence de la DCSSI ?
Chaque ministre est responsable de la scurit de son propre systme dinformation : de fortes disparits dans lorganisation
Chaque ministre est libre dappliquer les mesures de scurit qui lui semblent pertinentes et adaptes ses besoins. Cette libert est cependant encadre par des instructions gnrales interministrielles qui prcisent la responsabilit des ministres, par exemple : La scurit des systmes dinformation relve de la responsabilit de chaque ministre, pour le dpartement dont il a la charge. ce titre, chaque ministre prend, dans les conditions fixes par le Premier ministre et sous son contrle, des dispositions en vue de : dvelopper tous les chelons le souci de la scurit ; apprcier en permanence le niveau de scurit des installations ; recenser les besoins en matire de protection des systmes dinformation et veiller ce quils soient satisfaits. Dans les dpartements autres que celui de la Dfense, ces attributions sont exerces par les Hauts fonctionnaires de dfense. Organigramme type propos : sation : Les directives IGI 900 et 901, proposent un modle dorgani-
Le haut fonctionnaire de dfense (HFD) Dans chaque dpartement ministriel, lexception de celui de la dfense, le ministre est assist pour lexercice de ses responsabilits de dfense par un ou, exceptionnellement, plusieurs hauts fonctionnaires de dfense. Le haut fonctionnaire de dfense est responsable de lapplication des dispositions relatives la scurit de dfense, la protection du secret et la scurit des systmes dinformation. Il contrle en particulier les programmes dquipement de son dpartement. Il fait appel aux comptences du service central de la scurit des systmes dinformation pour la spcification et lhomologation des produits et des installations. Le fonctionnaire de scurit des systmes dinformation (FSSI) Dans les dpartements ministriels qui utilisent des systmes dinformation justifiant une protection ou qui assurent la tutelle dorganismes ou dentreprises utilisant de tels systmes, le ministre dsigne un fonctionnaire de scurit des systmes dinformation (FSSI), plac sous lautorit du haut fonctionnaire de dfense. Lorsque la charge de travail nest pas suffisante, le ministre peut charger le haut fonctionnaire de dfense dassurer lui-mme les fonctions de FSSI.
59
Une quipe de scurit des systmes dinformation, la disposition du haut fonctionnaire de dfense et du fonctionnaire de scurit des systmes dinformation, peut tre constitue si les besoins du dpartement ministriel lexigent. Lautorit qualifie (AQSSI) Les autorits qualifies sont les autorits responsables de la scurit des systmes dinformation dans les administrations centrales et les services dconcentrs de ltat, ainsi que dans des tablissements publics et dans des organismes et entreprises ayant conclu avec ladministration des marchs ou des contrats. Leur responsabilit ne peut pas se dlguer. Lagent de scurit des systmes dinformation (ASSI) tous les niveaux, les autorits hirarchiques sont personnellement responsables de lapplication des mesures, dfinies par les autorits qualifies, destines assurer la scurit des systmes dinformation. Elles peuvent, cet effet, se faire assister par un ou plusieurs agents de scurit des systmes dinformation (ASSI), chargs de la gestion et du suivi des ACSSI se trouvant sur le ou les sites o sexercent leurs responsabilits, notamment lorsque la gestion et le suivi de ces articles ncessitent une comptabilit individuelle. Les disparits dans la mise en uvre de ce dispositif, ainsi que des difficults mobiliser les ressources ncessaires en particulier des ressources humaines comptentes et ddies , et labsence de pouvoir rel de ces acteurs de la SSI, rendent cette organisation inoprante. Il est frquent de constater que les services informatiques ne suivent pas les fortes recommandations des HFD lors de choix de solutions pour des applications sensibles, sous couvert dune stricte application du code des marchs publics.
60
Ce constat ne doit pas occulter le fait que certains ministres aient mieux intgr la problmatique SSI et sappuient sur des quipes comptentes et motives. Approche technique des ministres : des faiblesses et un manque de cohrence Les ministres squipent de manire autonome. Lhtrognit des matriels et logiciels utiliss, rend difficile une approche globale de la scurit des systmes dinformation des administrations, par exemple : pour ce qui est de larchitecture de scurit, si on peut regretter que la DCSSI nait pas un rle plus directif dans ses missions de conseil, on constate cependant que des progrs ont t accomplis pour faire face la menace externe. En revanche, la menace interne est insuffisamment prise en considration, en particulier lorsque des ministres disposent dorganes ou de services sous tutelle, le niveau de scurit nest pas toujours maintenu et garanti 1 ; pour ce qui est de ladministration et de lexploitation qui reposent avant tout sur des mthodes et sur le personnel, le manque deffectif form et des faiblesses de mthodologies peuvent par exemple conduire une gestion alatoire des mises jour de produits, ouvrant des vulnrabilits sur les systmes ; de plus, aucune politique produits globale nexiste dans le domaine de la SSI, et notamment en matire de logiciels libres. Cest pourquoi, la solution consistant mettre en place une organisation conjointe de dveloppement de produits de scurit , prsente par le PRSSI, est recommander.
61
corollairement cette indiffrenciation, il nexiste aucun chiffre prcis du budget consacr la SSI par ministre ; des schmas directeurs existent, la plupart sont en cours dimplmentation ; la classification des donnes sensibles (hors confidentiel dfense et secret dfense) ne semble pas obir une rgle uniforme entre tous les ministres ; il nexiste pas, par ministre, une liste des logiciels associs aux applications traitant de ces donnes sensibles, dmontrant une carence de lattention porte aux solutions de confiance pour ce type dapplication ; les chartes utilisateurs existent parfois, en cours dlaboration pour certaines ou de mise en place pour dautres ; en tout tat de cause, il ny a pas de rgle prcise concernant le descriptif prcis de ces chartes, la manire de les appliquer, qui doit les signer, et quel type de document les apposer. Tout laisse penser que cette analyse comparative de cinq ministres, est a priori gnralisable lensemble des ministres.
Les infrastructures vitales comportent une dimension de scurit des systmes dinformation
Ltat a la responsabilit, en relation avec les reprsentants des secteurs stratgiques conomiques, de la protection des infrastructures vitales. Les secteurs dactivits dimportance vitale sont les activits ayant trait la production et la distribution de biens ou de services indispensables la satisfaction des besoins essentiels pour la vie des populations, lexercice de lautorit de ltat, au fonctionnement de lconomie, au maintien du potentiel de dfense et la scurit de la Nation, ds lors que ces activits sont difficilement substituables ou remplaables, ou peuvent causer un danger grave pour la population. En France, le pilotage gnral de la protection des infrastructures vitales est confi au Secrtariat gnral de la Dfense nationale, avec un rle particulier pour le COSSI (centre oprationnel en SSI qui englobe le CERTA). La politique de protection comprend des inspections pratiques rgulirement sur un ensemble de points et rseaux sensibles rpartis sur le territoire, des plans de vigilance et dintervention qui sont dclenchs lorsque les menaces augmentent significativement, et des exercices impliquant tout ou partie de lappareil dtat et des infrastructures critiques. De plus en plus, ces activits nationales slargissent des actions coordonnes au plan international (Table top exercice impliquant
62
les pays du G8 en mai 2005) et europen avec notamment la prparation dun Programme europen de protection des infrastructures critiques (EPCIP). Un nouveau dispositif, en cours dlaboration, formalisera la liste des secteurs, des oprateurs et des points dimportance vitale. Un des objectifs de ce nouveau dispositif est darriver un nombre de points dimportance vitale sensiblement infrieur celui des actuelles installations et points sensibles, afin de mieux les protger.
63
LInformation Assurance a pour missions de : fournir des solutions, des produits et des services ; de mener des oprations de protection des systmes dinformation ; dassurer la protection des infrastructures critiques au profit des intrts de la scurit nationale des tats-Unis. LInformation Assurance Directorate (IAD), est lhomologue de la DCSSI du SGDN. La NSA mne des travaux sur linstauration de mcanismes dalerte face aux menaces sur les systmes dinformation et sur le renforcement de la protection des infrastructures vitales fond sur la mise en uvre dun partenariat troit avec lindustrie. Le Directeur de la NSA est un gnral de corps darme. Aprs les attentats du 11 septembre 2001, qui ont branl limage de marque de la NSA, la cyberscurit est devenue un enjeu de scurit nationale fond sur la dfinition de la stratgie nationale de scurisation du cyberspace (National Strategy to Secure Cyberspace) du Critical Infrastructure Protection Board. LUSA PATRIOT ACT, promulgu en octobre 2001, invite la mise en uvre dactions ncessaires la protection des infrastructures critiques, actions dveloppes sous la responsabilit de partenariats public-priv. LOffice of Homeland Security (OHS) est tabli par lexecutive order 13 228 et est charg de coordonner les efforts de protection des infrastructures critiques. Prise en compte de la menace : veille, alerte, rponse : la cration du Department of Homeland Security par regroupement dagences auparavant disperses est un premier pas. Les responsabilits du DHS en matire de scurit du cyberespace concernent la direction Information Analysis and Infrastructure Protection and Directorate (IAIP) charge de : dvelopper un plan national de scurisation des infrastructures critiques ; mettre en place un dispositif de rponses aux attaques sur la scurit les systmes dinformation critiques ; assurer une assistance technique au secteur priv et aux administrations dans le cadre dincidents sur les systmes dinformation critiques et coordonner la diffusion dinformations dalerte et de protection ; encourager la recherche dans ces domaines techniques. LIAIP sarticule autour du National Infrastructure Protection Center (NIPC) qui couvre lensemble des menaces sur les infrastructures critiques et de la National Cyber Security division (NCSD) dont les missions sont lidentification des risques et laide la rduction des vulnrabilits des systmes dinformation gouvernementaux et le dveloppement de linformation sur la cyberscurit de lensemble de la socit (universits, consommateurs, entreprises et communaut internationale) En mars 2003, le CERT Fdral du FBI (FedCIRC) a t rattach au DHS. Il a vocation traiter prioritairement les administrations civiles.
64
65
pour une dlivrance des premiers passeports lautomne 2006. Par ailleurs, un nouveau programme de recherche (IADP 1) a t mis en place afin doptimiser les efforts dans le domaine SSI, en partenariat avec lindustrie.
Allemagne : une politique produit forte trs tourne vers les utilisateurs
LAllemagne a adopt en juillet dernier, un plan national pour la protection des infrastructures dinformation (NPSI) 2 qui comporte trois objectifs principaux : la prvention afin de protger convenablement les infrastructures ; la prparation afin de rpondre efficacement en cas dincidents de scurit informatique ; le maintien et le renforcement des comptences allemandes dans le domaine SSI. Ce plan doit tre maintenant dclin sous la forme de plans dactions plus dtaills permettant sa mise en place dans le secteur public et dans le secteur priv qui est trs concern car il dtient une grande partie des rseaux de communication. La mise en uvre de ce plan sappuiera notamment sur le BSI, rattach au ministre de lIntrieur, qui est responsable de la SSI en Allemagne, homologue de la DCSSI. Il compte un effectif de 430 personnes (contre 100 la DCSSI) en croissance rgulire depuis 2001.
volution du nombre de salaris du BSI
460 440 420 400 380 360 340 320 300 280 260 240 220 200
1991
1992
1993
1994
1995
1996
1997
1998
1999
2000
2001
2002
2003
2004
Les objectifs du BSI sont de scuriser les systmes dinformation allemands. Pour les atteindre, le BSI assure, auprs des utilisateurs quels quils soient (administration, entreprises, citoyens) et des fabricants de technologies de linformation les missions suivantes :
1. Information Assurance Development Programme. 2. http://www.bmi.bund.de/nn_148134/Internet/Content/Nachrichten/Pressemittteilungen/2005/08/Information__Infrastructure__en.html .
66
2005
Informer le pays : en sensibilisant le public aux enjeux de la SSI par exemple par une information trimestrielle sur leur site Web et la production de CD-rom conus pour les citoyens. Lindustrie supporte cette initiative du BSI et fournit gratuitement des dmonstrateurs ; en participant des campagnes de sensibilisation des PME en 2004 (Scurit de lInternet pour les PME) ; le BSI ralise galement des analyses de tendance et des futurs risques qui psent sur les systmes dinformation.
Fournir des conseils et des supports techniques dans le cadre dun partenariat avec le priv trs fort : ainsi le BSI a cr un standard professionnel en 1993, une IT Baseline Protection (les bases de la protection dun systme dinformation) remise jour constamment qui est devenu un standard pour lindustrie. Cest un ensemble de bonnes pratiques qui permettent de scuriser un systme (CD-ROM ou 3 classeurs papier). Au dpart, des grandes entreprises allemandes (SIEMENS, DAIMLER, VW, des banques...) se sont associes cette initiative. La baseline protection est utilise par le gouvernement et par les entreprises ; il assure du conseil et un support technique en scurit des SI vers les agences gouvernementales par exemple linitiative 2005 BundOnline ou la justice et la police ; il ralise des tests dintrusion et apporte lexpertise sur la protection contre les bogues et les missions radios. Ainsi, le BSI a une quipe spcialise qui ralise des tests dintrusion pour les ministres et les entreprises des secteurs sensibles ; la protection des infrastructures critiques est confie au BSI qui a entrepris un travail didentification de ces infrastructures, grce des exercices impliquant ladministration (ministres de lIntrieur, de la Dfense, des Transports, des Tlcommunications) et des industriels. Dans ce cadre, il entretient des relations avec dautres pays comme les tats-Unis, la Suisse, la Sude et la Finlande ; le BSI conseille galement les Lnder sur le plan technique. Analyser les risques, valuer et tester : le BSI assure la certification des produits et services de SSI (38 en 2004) ainsi que lattribution de licences pour des applications classifies ; il a une action particulire sur les procdures biomtriques et des applications mobiles ; il conduit une analyse permanente de la scurit Internet et de ses volutions. Par exemple le BSI a une quipe spcialise sur le projet de lalliance TCG (Trusted Computing Group cf. infra 3.1) qui a des relations avec TCG mais qui recherche aussi des alternatives.
Dvelopper des produits et des technologies SSI : Le BSI value et dveloppe des quipements cryptographiques ainsi que des outils de scurit et de modles de scurit formelle. Ainsi, le BSI participe des projets forte implication technologique : la carte sant (18 millions de cartes) la CNI-e avec 80 millions de cartes (carte didentit) ou encore le passeport biomtrique.
67
Assurer des fonctions oprationnelles : assurer la fonction de CERT allemand (Computer Emergency Response Team) ; coordination technique du rseau dinformation Berlin-Bonn ; administration de la PKI du gouvernement ; production de cls pour les quipements cryptographiques.
Jouer un rle actif dans la normalisation et la standardisation : Le BSI joue un rle actif dans les comits nationaux et internationaux de normalisation et de standardisation relatifs la SSI. Pour assurer lensemble de ces missions, le BSI dispose dun budget significatif de 51 millions deuros en augmentation rgulire depuis 2002.
Budget en millions d'euros du BSI
60 50 40 30 20 10 0 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 29 32 31 31 33 33 34 30 35 36 36 45 51
29
La rpartition de ce budget, montre une action forte sur les dveloppements, 10 M, soit 19 % du budget et les tudes pour 9 M soit 17 % du budget que lon ne retrouve pas en France.
Rpartition des dpenses du BSI en 2004
Autres investissements 12 % Divers 2%
Etudes 17 %
Personnels 36 %
Dveloppements 19 %
Investissements 14 %
68
Enfin, lenqute de satisfaction ralise par TNS-Emnid auprs de 500 experts de SSI afin de juger la qualit de cette politique volontariste du BSI, indique que 86 % des sonds sont satisfaits de son travail. La rputation trs forte du BSI en Allemagne est une ralit.
Taux de satisfaction de laction du BSI
Pas de rponses 11 % Assez insatisfait 3%
Trs satisfait 15 %
Assez satisfait 22 %
Satisfait 49%
La Sude, dont nous nexposons pas ici lorganisation, mrite une attention particulire car le gouvernement met en place des mesures visant renforcer la SSI
Un projet de loi a t prsent lt 2005 afin de mieux scuriser les fonctions critiques de linfrastructure Internet. La commission parlementaire sur la scurit de linformation a publi son rapport final en septembre dernier et prne la mise en place dune nouvelle politique de scurit de linformation en Sude ainsi quune rorganisation des services comptents en matire de SSI. Il est ainsi propos de sappuyer sur les comptences existantes en matire de renseignement lectronique pour renforcer les capacits dans le domaine SSI et partager ainsi les responsabilits entre deux agences : la SEMA 1 pour les aspects organisationnels et lIST 2 (appel remplacer le FRA 3) pour les aspects techniques. Un projet de loi pourrait tre prsent prochainement pour mettre en place lensemble de ces propositions. Deux pays mritent une attention particulire. Lun tmoigne de la monte en puissance rapide et efficace de lAsie, la Core du Sud, et lautre la complmentarit entre la SSI et le ministre de la Dfense, Isral.
1. Swedish Emergency Management Agency. 2. Institute for Signals Intelligence and Technical Infosec. 3. National Defence Radio Establishment.
69
Core du Sud : une monte en puissance rapide des structures de lutte contre la menace informatique
la suite de la journe noire du 25 janvier 2003 au cours de laquelle les rseaux dinformation et lconomie corenne ont t paralyss pendant plusieurs heures cause dun virus, le ministre de lInformation et de la Communication sud-coren a cr une nouvelle organisation rassemblant les procureurs, la police et les services de renseignement en vue de prvenir lattaque des infrastructures et des systmes dinformation et les perturbations qui en rsultent. Le 20 juin 2003, le prsident sud-coren Roh Moo-Hyeon a ordonn au National Intelligence Service (NIS) que des mesures soient prises pour faire face ce type de situation. Le National Security Council (NSC), structure de la prsidence sud-corenne, est charg de dfinir la politique de lutte contre la criminalit informatique, de la mettre en pratique et dassurer la coordination entre les diffrentes agences. Le National Intelligence Service (NIS), agence nationale de renseignement place sous les ordres de linstance prsidentielle, a dcid la cration en dcembre 2003 du National Cyber Security Center (NCSC) devenu oprationnel en fvrier 2004. Ce centre a pour mission dintgrer les capacits et de regrouper les expertises des diffrents services et forces de scurit, ncessaires et disponibles pour prvenir et lutter contre la criminalit informatique, principalement contre les sites officiels du pays. De fait, le NCSC traite de cyberterrorisme en gnral, sachant quil nest pas fait de relle diffrence entre la criminalit informatique et le terrorisme. Son directeur est issu du secteur priv. Le NCSC dispose de capacits offensives mais dclare ne pas se livrer ce type dactivit. Auparavant, au mois de juillet 2002, le 6e Bureau (domestic affairs) stait vu adjoindre le Cyber Crime Group dont le personnel pourrait rejoindre le NCSC.
70
Les autorits israliennes, qui ont pourtant dans le pass montr leur clmence envers les pirates informatiques nationaux (cas du hacker Ehud Tenenbaum alias Analyzer par exemple), travaillent au renforcement de larsenal juridique du pays en matire de lutte contre la cybercriminalit. Les socits israliennes dveloppent des capacits en matire de tests dintrusion. Ainsi, Beyond Security a men, au cours du premier trimestre 2004, un exercice de pntration de sites Internet dorganisations sensibles. Cet exercice, qui a vis notamment la bourse du commerce de Tel-Aviv, la compagnie nationale de leau, la police isralienne, des municipalits ou encore un vendeur de livres par Internet, tait limit des actions de dfiguration de sites Internet (modifications du contenu mis en ligne).
Cadre multilatral : Union europenne, OCDE, ONU, G8, les rseaux de veille et dalerte
Lmergence de la problmatique de la protection des infrastructures vitales (ou critiques), dans un cadre multilatral est rcente. Elle rsulte de la prise de conscience que les nouvelles menaces, attaques, virus, peuvent avoir des incidences directes et graves sur le fonctionnement des rseaux de ltat, des services publics et des entreprises, non seulement dans un cadre national mais galement international. Activits europennes La Commission europenne a publi en juin dernier une communication sur un nouveau programme dans le domaine de la socit de linformation, faisant suite au programme e-Europe 2005 : i2010 Une socit de linformation pour la croissance et lemploi . Dans son volet consacr la mise en place dun espace europen unique de linformation, la Commission annonce la publication dune stratgie pour une socit de linformation sre, au cours de lanne 2006. Cette stratgie traitera entre autres de la sensibilisation en SSI, de la raction rapide aux attaques et dfaillances des systmes, des moyens didentification et dauthentification lectroniques. Agence europenne charge de la scurit des rseaux et de linformation (ENISA) Limportance croissante accorde dans lUnion europenne aux questions de scurit et la ncessit damliorer le partage de linformation et la coopration entre les initiatives nationales en la matire ont amen le Conseil et le Parlement de lUnion europenne approuver, au dbut de 2004, la cration dune agence europenne charge de la scurit des rseaux et de linformation (ENISA) 1. Son principal objectif est de promouvoir le dveloppement dune culture de la scurit des rseaux et de linformation au sein de lUnion europenne. ENISA a vocation tre un centre dexpertise capable de prter son assistance la Commission et aux tats membres, et de cooprer de ce fait
1. Rglement 460/2004 du Parlement europen et du Conseil du 10 mars 2004 instituant lENISA : European Networks and Information Security Agency.
71
avec le secteur des entreprises, en vue de les aider satisfaire aux exigences en matire de scurit des rseaux et de linformation, [...] garantissant ainsi le bon fonctionnement du march intrieur . Elle doit en particulier renforcer la coopration entre les diffrents acteurs dans le domaine de la scurit des rseaux et de linformation, [...] en crant des rseaux de contacts lusage des organismes communautaires, des organismes du secteur public dsigns par les tats membres, des organismes du secteur priv et des organisations de consommateurs . Lune de ses premires tches est dtablir un catalogue de comptences lchelle de lUnion europenne pour toutes les professions et tous les acteurs concerns par la scurit des systmes dinformation. Outre ses fonctions de sensibilisation parmi les acteurs et la promotion des changes des meilleures pratiques actuelles, y compris les mthodes dalerte des utilisateurs , lENISA doit fournir la Commission des conseils sur la recherche en matire de scurit des rseaux et de linformation et suivre llaboration des normes pour les produits et services en matire de scurit des rseaux et de linformation . Dautre part, son domaine de comptence ne sapplique nullement des activits lies la scurit publique, la dfense, la scurit de ltat [...] ou aux activits de ltat dans le domaine du droit pnal . Il ninclut pas dactivits oprationnelles ou de participation directe la lutte contre la criminalit informatique. Enfin, lENISA devrait lancer une analyse moyen ou long terme sur les risques actuels et mergents, amliorant ainsi la comprhension des questions de scurit des rseaux et de linformation, mais elle nest pas cense agir comme un CERT dans le rglement des incidents au jour le jour. Le directeur de lagence est un Italien, M. Pirotti, qui vient du secteur priv. ONU Les Nations unies ont peru trs tt les nouveaux enjeux, lis la scurit des systmes dinformation, dans leurs diffrentes composantes : juridiques, conomiques et de scurit nationale. Ainsi, depuis 1998, lAssemble gnrale a adopt plusieurs rsolutions relevant de la 1re commission sur les consquences de lutilisation des technologies de linformation et des communications (TIC) 1, de la deuxime commission sur le dveloppement dune culture globale de la cyberscurit 2 et de la troisime commission sur la lutte contre lutilisation criminelle des technologies de linformation 3. Ces rsolutions ont permis entre autres dlever au niveau international des travaux mens par des organisations plus rgionales telles que lOCDE, le G8 ou le Conseil de lEurope. Elles ont galement mis en place un groupe dexperts gouvernementaux charg dexaminer les menaces potentielles et existantes dans le domaine de la scurit de linformation et les mesures possibles de coopration mettre en place afin de mieux les contrer. En raison de fortes oppositions entre les tats-Unis et la Russie sur la prise en compte de lutilisation des TIC des
1. Rsolutions no 53/70 of 4 dcembre 1998, 54/49 du 1er dcembre 1999, 55/28 du 20 novembre 2000, 56/19 du 29 novembre 2001, 57/53 du 22 novembre 2002, 58/32 du 8 dcembre 2003 et 59/61 du 3 dcembre 2004. 2. Rsolutions no 57/239 du 20 dcembre 2002 et 58/199 du 23 dcembre 2003. 3. Rsolutions no 55/63 du 4 dcembre 2000 et 56/121 du 19 dcembre 2001.
72
fins militaires, ces travaux nont pas abouti ce jour mais pourraient donner lieu moyen ou long terme une nouvelle convention rgissant lutilisation des TIC aux dpens de la scurit nationale et internationale et compltant le droit international dans ce domaine. SMSI (Sommet mondial sur la socit de linformation) LUIT 1 et lassemble gnrale des Nations Unies ont dcid dorganiser un sommet mondial sur la socit de linformation. La premire phase du sommet, tenue Genve du 10 au 12 dcembre 2003, a permis ladoption dune dclaration de principes et dun plan daction, dont une section est ddie la scurit de linformation et des rseaux. La deuxime phase du sommet, a eu lieu du 16 au 18 novembre 2005, et a consacr ses travaux au problme pineux de la gouvernance de lInternet ; elle a notamment examin la possibilit dune internationalisation de la gestion des ressources de lInternet. OCDE Le groupe de travail sur la scurit de linformation et la protection de la vie prive (WPISP 2), qui dpend du comit PIIC (Comit de la politique de linformation, de linformatique et des communications), se runit deux fois par an Paris au sige de lOCDE. Il runit des experts des 30 tats membres de lOCDE ainsi que des reprsentants du secteur priv et de la socit civile. Il favorise le rapprochement des politiques publiques dans ce domaine par lchange dinformation et la promotion de bonnes pratiques. LOCDE a mis en juillet 2002 des lignes directrices sur la scurit des systmes dinformation et des rseaux 3 qui ont donn naissance un nouveau concept : la promotion de la culture de la scurit. Depuis cette date, le WPISP sefforce de mieux comprendre les stratgies nationales mises en place pour rpondre ces lignes directrices et de cerner les nouveaux enjeux dans ce domaine, lis lvolution des technologies. G8 Sous limpulsion de la prsidence franaise du G8 en 2003, le thme de la protection des infrastructures critiques dinformation, considr jusqualors comme un sujet sensible, enjeu de la souverainet nationale, a fait lobjet de travaux dans un cadre multilatral. En mars 2003, une confrence ad hoc, co-parraine par la France et les tats-Unis, rassemblait pour la premire fois des experts gouvernementaux et des grands oprateurs responsables des infrastructures dinformation. Ladoption de 11 principes directeurs lors de la runion ministrielle Justice-Affaires intrieures le 5 mai 2003 marquait cette premire tape dans lmergence dune culture de scurit face aux menaces informatiques. Les 11 Principes directeurs encouragent les pays du G8 mieux protger leurs infrastructures vitales en favorisant notamment la coordination internationale, la promotion dun vritable partenariat entre le secteur public et priv ; le renforcement de la coopration bi et multilatrale ; la mise en uvre des bonnes pratiques dans le domaine de lalerte et de la veille informatique (CERT) ; la
1. Union internationale des tlcommunications. 2. Working party in information security and privacy. 3. www.oecd.org/sti/cultureofsecurity .
73
conduite dexercices communs pour tester les capacits de ractions en cas dincidents ; la sensibilisation des autres pays ces questions. En mai dernier, le G8 a organis un Table Top Exercice , premier exercice sur les infrastructures critiques dinformation impliquant les Administrations et lindustrie. Cet exercice a permis didentifier des points de contacts au sein des CERTs, des services de police. La DCSSI, lOCLCTIC ainsi que des reprsentants dEDF et de RTE y ont particip. Coopration internationale entre les CERTs La mise en place de dispositifs dalerte tels que les CERTs (Computer Emergency Response Teams) afin de pouvoir faire face des attaques de virus ou toutes sortes de nouvelles vulnrabilits ncessite de nombreux changes entre les quipes aux niveaux national, rgional et international. Pour la France, ces changes ont lieu lchelle internationale au sein du FIRST 1 et lchelle europenne au sein de la TF-CSIRT 2 qui contribue galement la formation des nouvelles quipes. Enfin, la coopration troite entre les CERTs gouvernementaux de six pays europens est trs fructueuse. La constitution de rseaux dans le domaine de la veille et de lalerte est une nouvelle tape de la coopration internationale. Ainsi, la constitution actuelle du rseau IWWN (International Watch and Warning Networks) qui rassemble 15 pays, (tats-Unis, Canada, Australie, Nouvelle Zlande, Royaume-Uni, Japon, Finlande, France, Allemagne, Hongrie, Italie, Pays-Bas, Norvge, Sude, Suisse) tmoigne de lobjectif prioritaire pour les tats dune coopration renforce en matire de cyber-scurit. Les CERTs constitueront la colonne vertbrale de ce rseau pour lequel des outils de mise en uvre sont identifis (infrastructures de communication reposant sur un portail unique et un dispositif de secours).
74
pour les systmes dinformation de lentreprise vis--vis dattaques potentielles contre lesquelles elle doit se protger. En outre, la gnralisation des outils nomades (tlphones mobiles, PDA, ordinateurs portables...) et le passage au tout numrique gomment la frontire entre espace professionnel et espace priv, accentuent trs significativement les risques. De nombreux sinistres identifis dans les entreprises Dans ltude Clusif 2003 1 qui met en vidence les principaux sinistres chez les grandes et moyennes entreprises on notera que : 41 % des sonds dclarent avoir subi un sinistre dont 76 % nont procd aucune valuation de limpact financier ; les facteurs dclenchant se rpartissent comme suit : infection par virus (35 %), panne interne (18 %), vol (15 %), perte de services essentiels (10 %), erreurs dutilisation (8 %), vnement naturel (3 %). Il est noter que la menace stratgique, par exemple despionnage industriel, napparat jamais dans les enqutes, sans doute pour des questions de confidentialit et dimage. Des incidences conomiques considrables Les incidents dus une dfaillance de la SSI peuvent affecter lensemble des activits et du patrimoine de lentreprise et peuvent conduire : des perturbations ou des interruptions des processus cls de production de lentreprise ; des pertes de parts de marchs (vol de technologies, de bases clients/fournisseurs...) ; des pertes financires directes : cots dimmobilisation des installations de production ; cot du temps pass la restauration des systmes ; cots techniques de remplacement de matriels ou de logiciels... ; une perte dimage et/ou de confiance des clients, partenaires et employs ; des actions contentieuses ou de mise en responsabilit lies la fraude informatique ; une remise en cause des assurances de perte dactivit. De manire moins visible mais plus lourde de consquences, les actions despionnage industriel relayes parfois par des moyens tatiques vont se traduire pour les entreprises franaises par une perte de substance ou de comptitivit et au final par des incidences ngatives sur lemploi. Un parallle simpose avec les dommages causs par la contrefaon qui reprsente un cot en France valu 6 milliards deuros et le nombre demplois perdus 30 000 par an 2.
1. Enqute intersectorielle auprs de 608 entreprises et 111 collectivits publiques (de 10 199 salaris : 54 %, 200 499 : 27 % ; 500 999 : 12 % ; + d e 1000 : 7 %). 2. Source : Minefi.
75
Des consquences financires et sur lemploi sousvalues Daprs une tude de linstitut amricain en scurit informatique CSI 1, mene en 2004 en partenariat avec le FBI ( Federal Bureau of Investigation ), une socit perdrait en moyenne 204 000 dollars par an conscutivement aux incidents de scurit informatique. Le US CERT amricain quant lui value 506 670 dollars par an les consquences financires des incidents de scurit en entreprise. La fiabilit de ces chiffres est trs relative. Dune part, de nombreux responsables scurit des systmes dinformation (28 % des participants) ne connaissaient pas le nombre dattaques russies survenues dans leur entreprise. Dautre part, mme concrtises, les consquences de ces incidents et leurs cots demeurent difficiles valuer. Ainsi lors de ltude scurit 2005 du CERT, 62 % des personnes interroges nont pu chiffrer prcisment la perte annuelle engendre par les incidents de scurit informatique. Sagissant des pertes demplois, il ny a pas de donnes statistiques prcises qui permettent davoir une vision prcise du phnomne. Des protections insuffisantes, en particulier dans les PME (tude Clusif 2003) : 10 % des entreprises navaient pas dantivirus ; 64 % avaient une frquence de mise jour des antivirus insuffisante (une fois par semaine ou moins) ; 51 % seulement des rpondants avaient install des correctifs pour leur systme dexploitation ; 54 % des entreprises de plus de 1000 personnes avaient un plan de continuit, contre 16 % des PME de 10 199 personnes ; 44 % seulement des PME de 10 199 personnes disposaient dun pare-feu contre plus de 90 % pour les plus grandes entreprises. Or, plus de 70 % des entreprises, sont fortement dpendantes des systmes dinformation pour leur activit conomique. Ces premiers lments chiffrs montrent bien une perception des menaces qui sexercent sur les systmes dinformation dans les entreprises qui reste malheureusement encore insuffisante sur de nombreux points.
76
rflexion globale sur la matrise de ces risques impliquant lensemble de ses personnels ainsi que ses partenaires sur le primtre de ses activits. Le dploiement de solutions de scurit (produits ou services) et des procdures associes doit sinscrire dans une dmarche prventive, les investissements ncessaires pour couvrir raisonnablement et efficacement les menaces potentielles tant en gnral sans commune mesure avec les consquences dune attaque majeure qui pourrait se traduire par des pertes conomiques ou dimage considrables voire une perte dindpendance ou une cessation dactivit. Vers un rfrentiel commun de bonnes pratiques Les pouvoirs publics, des cabinets de conseil spcialiss en SSI, des SSII, des diteurs de logiciels, des fournisseurs de matriels de scurit, des organisations patronales, notamment le Medef 1, et des organismes privs et publics divers ont formalis des recommandations convergentes pour une dmarche de scurisation des grandes entreprises et des PME/PMI : btir une politique de scurit ; connatre les lgislations en vigueur, les jurisprudences et les usages en vigueur dans chaque pays o les activits sexercent ; alerter et activer les services comptents ; mettre en uvre des moyens appropris la confidentialit des donnes ; sensibiliser et mobiliser les personnels par une charte dutilisation, des campagnes rgulires de formation et de sensibilisation ; mettre en uvre un plan de sauvegarde ; grer et maintenir les politiques de scurit. chaque entreprise sa propre dmarche dimplmentation Si les entreprises et les organisations sont toutes menaces, elles ne sont pas exposes au mme niveau de risque. Il y a en effet des jeux de facteurs aggravants tels que : la taille et la complexit des activits ; le dploiement mondial des implantations et des systmes dinformation ; la nature des activits (nuclaire, dfense, agro-alimentaire, rseaux dinfrastructures...) qui peuvent crer une attractivit en tant que cibles privilgies pour des pirates, des terroristes, des concurrents ou des tats ; la culture ou lexprience en matire de scurit et de protection acquises par lentreprise et lorganisation. Elles doivent donc adopter leur dmarche leur situation particulire.
1. Medef : Guide de sensibilisation la scurisation du systmes dinformation et du patrimoine informationnel de lentreprise mai 2005.
77
Mais des freins et un manque de maturit sopposent encore la mise en uvre dune politique SSI efficace dans les entreprises selon leur taille et exprience
Selon une tude rcente de Ernst&Young 1, les obstacles principaux la mise en uvre dune scurit efficace des SSI sont les suivants :
Principaux obstacles la mise en uvre dune SSI efficace Faible prise de conscience des utilisateurs Rythme des volutions informatiques Limites ou contraintes budgtaires Absence dun processus formel de gestion de la SSI Engagement et sensibilisation insuffisant ou inexistant des cadres dirigeants Communication inefficace avec les utilisateurs Problme de cohrence entre les besoins en SSI et les objectifs mtiers Difficult justifier limportance de la SSI
Source : tude Ernst & Young 2005
Monde 45 % 31 % 42 % 31 % 30 % 27 % 26 % 35 %
France 51 % 51 % 49 % 45 % 43 % 40 % 37 % 35 %
Cette mme enqute souligne aussi les proccupations majeures des grandes et moyennes entreprises et met en vidence lattitude particulire des entreprises franaises dans de nombreux domaines par rapport leurs homologues trangres : Un manque dimplication des directions gnrales La perception de limportance de la scurit par les directions gnrales reste faible. 90 % des responsables de la SSI (DSI ou RSSI) considrent que la SSI est directement lie latteinte des objectifs gnraux de lentreprise et seuls 20 % considrent que la SSI est rellement une priorit de leur direction gnrale. Une prise en compte insuffisante des facteurs humains Seulement 49 % des entreprises franaises ont conscience des risques de complicit interne, contre 60 % au niveau mondial. Or, 35 % des incidents ayant provoqu un arrt du systme dinformation, ont pour origine la faute dun salari ou dun ex-salari. Ds lors, toute dmarche efficace en matire de SSI doit saccompagner dun volet ressources humaines (sensibilisation, procdures, audits et contrles). Seulement 20 % des entreprises franaises assurent leurs salaris une formation rgulire sur la scurit et la matrise des risques, contre 47 % des entreprises dans le monde.
1. La scurit des systmes dinformation dans les entreprises franaises en 2004, vision compare de la France et du monde, Ernst&Young, dcembre 2004, Etude ralise auprs de 1230 entreprises dans le monde dont 50 en France.
78
Des freins organisationnels Peu dentreprises, mme parmi les plus importantes, ont une approche de scurit globale dont la SSI serait un volet parmi dautres. Dans ltude Ernst&Young dj cite, si au plan mondial, 85 % des responsables de la SSI jugent lorganisation de cette dernire efficace par rapport aux besoins des mtiers, ils ne sont que 65 % avoir cette opinion au plan franais et peine un quart des responsables mtiers sont capables dapprcier la valeur ajoute de la SSI leurs activits. Contrairement leurs homologues trangers, les RSSI franais portent une attention accrue sur les aspects technologiques et organisationnels qui lemporte sur lefficacit oprationnelle. Lintgration de la SSI dans le modle culturel de lentreprise demeure une exception Trs peu dentreprises ont intgr dans leur modle culturel et dans leurs processus oprationnels la SSI comme une priorit stratgique, une fonction vitale pouvant simposer dans la prvention, la raction ou le temps de crise toutes autres considrations conomiques, commerciales ou financires majeures. Le RSSI dun grand groupe manufacturier 1 est ainsi rattach directement au PDG. Il anime et contrle une structure transversale scurit qui croise et simpose la responsabilit SSI de chaque grande unit oprationnelle (cette structure matricielle est double dune structure daudit indpendante qui couvre galement le domaine SSI). Il a tout pouvoir darrter un dispositif oprationnel sil juge que la politique de scurit nest pas respecte, mme si cette dcision est susceptible de gnrer des pertes financires significatives. Il faut noter galement la faible collaboration entre RSSI et audits internes (en France 40 % des RSSI avouent navoir aucune coopration avec laudit interne et seuls 29 % dclarent plus dune coopration par an). Lidentification des donnes sensibles est insuffisante Certaines entreprises, par leurs activits notamment lies la Dfense nationale, ont une pratique des donnes classifies ou des donnes sensibles 2. Dautres entreprises se sont appuyes sur ces mthodologies afin didentifier, de classifier et de protger de manire spcifique certaines informations sensibles. Une rflexion pralable sur la nature des donnes sensibles de lentreprise au regard des menaces qui sexercent sur elle est indispensable. Or, dans la mme tude, seuls 51 % des rpondants franais (contre 71 % au niveau mondial), ont rpertori les informations sensibles ou confidentielles. Comment bien protger quelque chose que lon na pas identifi ? Le retour sur investissement en matire de scurit informatique est difficile justifier Si pour de nombreux acteurs audits elle nest pas essentielle et surtout na pas ncessairement de sens, la question du retour sur investissement se pose. Cependant, les pertes financires conscutives des attaques informatiques tant souvent difficiles cerner, peut-on et doit-on promettre aux directions
1. Source : auditions. 2. Source : auditions.
79
gnrales un retour sur investissement concernant les dpenses en scurit informatique ? Daprs une tude du Clusif ralise en 2004, 21,4 % des responsables en scurit des P.M.E. de 200 499 salaris estiment que cette justification est effectivement ncessaire, mais dans les entreprises de plus de 2 000 salaris, ils ne sont plus que 7,5 %. Plus les dirigeants sont informs de leur responsabilit civile ou pnale, moins ils exigent de justifier une dpense en scurit informatique par un rendement particulier. Ainsi, pour plus de 26 % des responsables scurit, la premire justification des investissements en scurit est dsormais de se conformer aux rglementations. Ce taux atteint 37,5 % dans les grandes entreprises. Ltude CSI/FBI 2005, prcise en outre que seules 25 % des entreprises prennent une assurance extrieure contre les risques de menaces informatiques. La menace reste sous-estime. Le budget SSI souvent insuffisant Les responsables SSI considrent que lun des principaux obstacles leur mission est la limitation des budgets notamment dans les PME/PMI (29,7 % contre 21,8 % dans les grandes entreprises). Selon ltude CSI/FBI 2005 : 27 % des sonds dpensent plus de 6 % de leur budget informatique en SSI, prs dun quart de 3 5 %, autant de 1 3 % et 25 % moins de 1 % ou ne savent pas. Les grandes entreprises franaises sensibilises dpensent quant elles en moyenne 6 % de leur budget informatique en SSI 1. La motivation investir dans la SSI varie de manire considrable selon la taille de lentreprise.
Des modles organisationnels diversifis pour parer aux menaces et risques informatiques Quelques exemples dorganisations
2
Les organisations mises en place par les entreprises, en particulier les plus grandes, mritent lattention. Quelques points cls se dgagent : Gouvernance : prsence de comits des systmes dinformation qui rendent compte devant le comit excutif des groupes. Loprationnel est assur par des directions gnrales des systmes dinformation qui assurent la coordination et la matrise duvre des systmes dinformation dans le groupe. Politiques de scurit : en complment dune politique de scurit gnrale, qui intgre des rgles, des instructions et des recommandations, mise en uvre de politiques complmentaires SSI ddies : en cas de crises ;
1. Source : auditions. 2. Source : auditions.
80
pour les filiales ; pour les rseaux sans fil ; pour les fournisseurs ; pour les personnels (internes, administrateurs systmes, missionnaires, expatris...).
Budgets : des budgets SSI correspondant 6 % du budget informatique. Organisation : la prsence de RSSI rattach une direction en charge de la scurit des systmes dinformation au niveau groupe et des RSSI par branches ou filiales ; un suivi rgulier des plans dactions valids par la Direction Gnrale ; des cellules de veille et de crise actives en 24 heures, 7 jours /7 ; une externalisation croissante dun certain nombre de fonctions mais pas dexternalisation globale ; la ralisation en interne ou sous-traite de tests dintrusion ; la ralisation daudits sur les diffrentes entits des groupes.
Personnels : des formations/sensibilisations pour tous les personnels ; la signature de chartes (cf. annexe XI pour des exemples) dutilisation des systmes dinformation par tous les salaris. Celles-ci peuvent tre annexes au contrat de travail ou faire partie du rglement intrieur des entreprises.
Aspects techniques : existence de solutions redondantes pour les systmes critiques et des volutions en cours pour disposer de solutions de secours gnral ; scurisation des postes individuels et des nomades ; scurisation de laccs aux rseaux privs des entreprises et Internet ; la scurisation des donnes sensibles devient une priorit conduisant lutilisation croissante du chiffrement de tous les flux changs pour laccs aux donnes techniques, financires... stockes dans des banques de donnes ; renforcement croissant des contrles daccs (scurisation de lauthentification, gestion et contrle des habilitations, authentification forte...) ; logique de hirarchisation : laccs aux systmes dinformation est possible de lintrieur ou de lextrieur selon des droits affects la personne, sa fonction et au niveau de scurit de son poste au moment de la connexion ; scurisation en cours des donnes et des accs des partenaires ; approches spcifiques pour les dirigeants.
Moyens spcifiques : lutilisation de cartes puces pour les salaris dans leur accs au systme dinformation se gnralise ; la fonction PKI (Public Key Infrastructure) simplante de manire croissante dans les organisations.
81
82
de procder un inventaire des processus de qualification des mtiers de la SSI en concertation entre le secteur priv et public et sous lgide de lAFNOR ; de dfinir les procdures de qualification des prestataires ; de faire en sorte que cette qualification soit requise pour la passation de marchs publics. Ainsi, le besoin de disposer dun corpus rglementaire encadrant ces activits est ncessaire pour rellement rassurer les entreprises et notamment les PME sur la qualit des prestations en particulier sagissant de la confidentialit et des comptences mises en uvre. cet effet, les rcents travaux conduits par lAFNOR, le CIGREF et le SYNTEC sur ce thme sont signaler.
83
de la Security and Exchange Commission (SEC), lorganisme de rgulation des marchs financiers US. Cette loi est guide par 3 grands principes : lexactitude et laccessibilit des informations, la responsabilit des gestionnaires et lindpendance des vrificateurs/auditeurs. Selon ltude CSI/FBI 2005, cette loi a eu comme consquences pour prs de 50 % des entreprises daugmenter le niveau dintrt pour la scurit des informations. En outre, linstar des dirigeants dentreprises, la responsabilit civile et pnale des DSI et RSSI est aussi de plus en plus invoque devant les tribunaux qui peuvent infliger des peines de prison. Si le dispositif lgislatif et rglementaire qui encadre la SSI sur le primtre du territoire national est globalement satisfaisant, un effort significatif doit tre engag pour le porter de manire pdagogique la connaissance des entreprises. En effet, la conformit la rglementation constitue un levier significatif de progrs pour convaincre les dirigeants de mettre en uvre des plans daction SSI. Cependant, il existe une disproportion de jugement chez les magistrats, pour qui une intrusion physique au sein dun tablissement bancaire sera considre comme plus grave quune intrusion par mode informatique, alors que les prjudices financiers consquences de ce dernier peuvent tre plus significatifs 1. Enfin la France ne dispose pas, comme par exemple les tats-Unis, des moyens juridiques permettant des poursuites efficaces contre des attaques exerces partir de territoires trangers notamment contre de grandes entreprises.
Les besoins des entreprises : des outils et des architectures certifis, des produits cls dorigine nationale ou europenne et une industrialisation de la maintenance
Le besoin impratif doutils et darchitectures certifis En matire de produits, les entreprises expriment une forte demande de produits certifis tels que : techniques et protocoles cryptographiques (chiffrement de messages, signature lectronique, scurit des transactions commerciales...) ; fabrication de rseaux virtuels privs ; pare-feu matriel et/ou logiciel ; systmes de dtection dintrusion et de surveillance rseaux, systmes antivirus ; filtrage de contenus, antispams... ; tatouage lectronique ; cartes puces et infrastructures associes ; identification biomtrique...
1. Source : auditions.
84
Cette attente nimpose pas pour autant que lensemble des lments de la SSI soit produit par une filire franaise et certifie par une autorit tatique franaise. Le premier niveau dexigence pour lensemble des entreprises concerne la qualit des produits du march destins faire face des menaces gnriques (spams, virus, tentatives dintrusion standards ...). Le souhait des RSSI est de disposer de produits labelliss par une autorit (publique ou prive, nationale ou internationale) qui a pu vrifier quils taient globalement bien construits et rpondaient aux fonctionnalits avances par le fournisseur. Le deuxime niveau dexigence couvre le cercle des grandes entreprises internationales et des PME/PMI sensibles. Dans ce dernier cas, le souhait des RSSI est de pouvoir disposer, dfaut dune offre complte, de briques conues par des entreprises franaises ou europennes permettant, associes des architectures de systmes spcifiques SSI, daccder une scurit plus efficace et certifie par une entit digne de confiance, la DCSSI. Le troisime niveau est de pouvoir disposer moyen terme : doutils permettant didentifier clairement la personne lorigine dun fichier donn ; doutils offrant en temps rel une protection complte dun rseau ; doutils permettant un suivi et un contrle efficace du niveau de scurit du rseau ; de moteurs de recherche indpendants des solutions anglo-saxonnes type Google ou Yahoo. La ncessit dindustrialiser la maintenance de la SSI et la diffusion des correctifs logiciels La maintenance au fil de leau 24 heures/24 et 7 jours /7 et la garantie de dploiement des mises jour sur lensemble du parc dans des dlais gnralement de lordre de lheure ou de la demi-heure constituent un enjeu majeur pour la majorit des responsables de SSI des grandes entreprises. Cela exige des solutions techniques fiables et certifies, un processus rgulier de dploiement des correctifs de scurit et une quipe de supervision en alerte permanente prte intervenir larrive de nouvelles failles de scurit des systmes dexploitation et ragir aux dploiements de nouvelles menaces.
85
Elles souhaiteraient pouvoir disposer dun guichet unique permettant : daccder aisment des expertises pour qualifier rapidement la menace laquelle elles sont confrontes et de disposer de plans daction ou de moyens mthodologiques ou techniques susceptibles de la contrer, didentifier ses auteurs et de rassembler les preuves du dlit pour la justice et les assurances ; de les assister dans les dpts de plaintes auprs des services les plus comptents en fonction de linfraction (financire, espionnage, murs, terrorisme...). Du point de vue des entreprises, plus dune vingtaine dorganismes ou programmes ddis SSI ont t mis en place par ltat ou par des initiatives prives suscitant de facto une grande perplexit lorsque des problmes apparaissent. Cette organisation gnre un chevauchement des comptences et une absence doptimisation des ressources qui rend la coordination des actions dfensives ou dinvestigations extrmement complexes et se traduit gnralement par un manque defficacit et de ractivit alors que les attaques se font plus prcises, rapides et violentes. Les entreprises franaises sont confrontes des contraintes particulires dans leurs activits internationales Les grands groupes franais dploys linternational conjuguent par nature toutes les contraintes : dune organisation complexe ; dune organisation sexerant dans des environnements varis, parfois hostiles ou pouvant cooprer avec des concurrents ; de cadres lgislatifs ou rglementaires ltranger insuffisamment connus et mal matriss. Les entreprises intervenant linternational souhaitent disposer dun support efficace des services de ltat pour les accompagner face aux risques spcifiques de linternational : veille, alertes, informations sur les menaces, conseils (juridiques, procdures, mthodologie, outils et solutions, architecture, informations des personnels), capitalisation dexprience, identification de prestataires de confiance, appui auprs des autorits locales (trangres et franaises), gestion de crise via le Quai dOrsay (vacuation des expatris, etc.)... En outre, linterdiction ou la limitation du chiffrement dans certains tats devient problmatique pour la politique de scurit de grands groupes 1.
1. Source : auditions.
86
Les problmatiques spcifiques des PME face la SSI Un retard des PME dans lusage des TIC explique en partie leur manque de maturit face la SSI
Ce retard des PME franaises et de la France en gnral, dans lusage des TIC, qui a t prsent au 1.5.3 est galement attest par les lments chiffrs ci-aprs issus de ltude de la mission pour lconomie numrique 2004 1, relatifs la proportion des entreprises disposant dun site sur Internet fin 2002. La France, lItalie et lEspagne affichent des taux dquipements nettement infrieurs aux autres pays. Les PME franaises sont elles-mmes de taille plus rduites. Les entreprises franaises sont, en moyenne, plus petites que les entreprises europennes, qui sont elles-mmes plus petites que les entreprises amricaines. Lapptence des entreprises pour les investissements TIC va croissant avec leur taille compte tenu des cots financiers pour de tels investissements.
Proportion des entreprises disposant dun site sur la Toile en pourcentage des entreprises
88 80 72 64 56 48 40 32 24 16 8 0
Royaume-Uni
Allemagne
Pays-Bas
UE-15
Sude
Finlande
Ces donnes sont confirmes par cette mme tude de la Mission pour lconomie Numrique, selon laquelle la proportion des entreprises franaises disposant dun site Internet est de 65 % pour une taille suprieure 250 salaris et de 38 % pour les PME de 10 250 salaris.
1. Mission pour lconomie numrique tableau de bord du commerce lectronique de dcembre 2004 6e dition Services des tudes et des statistiques industrielles (SESSI) Ministre dlgu lIndustrie.
Danemark
Espagne
France
Italie
87
Le tissu industriel est encore trs manufacturier La part manufacturire est plus importante quaux tats-Unis alors que ce sont les industries de services qui sont les plus consommatrices de TIC : cette seconde explication du retard des PME franaises est confirme par la Mission conomie Numrique.
88
Ainsi, lAFNOR 1 constate un intrt croissant port la politique de scurit induit par la norme ISO 17799 (issue de la norme BS 7799). Le dveloppement de linfogrance de scurit Les tendances du march et surtout les positionnements pris par de nombreux acteurs informatiques le dmontrent, les PME apparaissent comme un futur march en croissance en matire dinfogrance et de services de scurit informatique afin de compenser leurs dficiences internes qui les obligent externaliser cette fonction. Ainsi des oprateurs industriels, filiales de groupes trangers asiatiques, sont en train de prparer des offres orientes sur les entreprises disposant de 50 500 postes principalement des PME, laissant les entreprises de plus de 1 000 postes aux SSII 2. Les PME confiant des tiers le cur de leur socit, sont dans une situation de faiblesse par rapport loffre de socits de services bien plus importantes.
Une sensibilisation des citoyens insuffisante et une protection faible de leurs ordinateurs personnels
Laugmentation rgulire du nombre dinternautes franais, 24 millions en juin 2004 en hausse de 10 % par rapport 2003, et le dveloppement du commerce lectronique, 38 % environ des internautes ont effectu des achats en ligne en France en 2003, doivent saccompagner dune meilleure sensibilisation des citoyens en matire de scurit des systmes dinformation. En effet, malgr la perception des menaces, le sentiment dvoluer dans un univers libre, o lon fait ce que lon veut, prdomine. lexception de lantivirus, pas toujours mis jour, la maturit des usagers nest pas suffisante pour faire face aux menaces qui psent sur ses quipements individuels. Pourtant ces menaces peuvent porter atteinte la protection de la vie prive. Elles demeurent galement un frein au dveloppement des nouveaux usages des TIC (commerce lectronique, e-administration...) qui ncessitent une confiance des citoyens dans loutil quils mettent en uvre.
89
Internautes ayant effectu des achats en ligne en France en % des internautes estimations en valeurs minimum et maximum
50 45 40 35 30 25 20 15 10 5 0
Rappelons galement quune chane de scurit repose sur son maillon le plus faible. Lordinateur personnel du citoyen peut notamment tre utilis comme une passerelle pour des attaques sur des systmes plus importants (ordinateurs zombis ). Il est donc particulirement ncessaire damliorer la sensibilisation du citoyen en matire de SSI. La campagne lance rcemment pour prvenir les internautes de ne jamais divulguer de donnes personnelles, en particulier sur les Chats , va dans le sens dune meilleure prise de conscience des risques. Il est noter galement la premire semaine nationale de la scurit informatique du 3 au 10 juin 2005 1. Ce type daction est amplifier.
90
dans ce domaine ntant pas pleinement conscientes des consquences conomiques dune atteinte lintgrit de leurs systmes. Pourtant la scurit des systmes dinformation est un enjeu national caractre stratgique, politique et conomique. Dans une logique de souverainet, la France et lEurope peuvent-elles aujourdhui se doter des moyens dassurer de manire autonome la protection de leurs infrastructures et de leurs systmes ?
91
Chapitre III
Une base industrielle et technologique spcialise en SSI autonome pour rpondre aux enjeux conomiques et de souverainet
Conduire la France un niveau de scurit et dautonomie acceptable face aux menaces qui sexercent contre les systmes dinformation franais, privs ou publics, ncessite dagir sur loffre nationale et europenne. La plupart des segments du march SSI sont couverts par une offre trangre. Aussi, pour atteindre une autonomie ncessaire lindpendance de notre pays, la mise en uvre dune politique spcifique prenne est indispensable. Il importera de favoriser lexistence et le dveloppement dun tissu industriel et technologique de confiance, autonome et spcialis sur certains points critiques des systmes dinformation, dune taille minimale mais suffisante pour tre viable, comptitif et crateur demplois, compos non seulement de centres de recherche, de grandes entreprises mais galement de PME. Le secteur des TIC, dont fait partie la SSI, peut se caractriser de manire synthtique par : son caractre totalement mondialis avec des fournisseurs performants et des utilisateurs rpartis travers le monde ; une vitesse trs rapide des volutions technologiques et des usages ; une complexit croissante consquence dune explosion des usages qui orientent les marchs, avec la prolifration des terminaux et produits de toutes sortes. Pour pouvoir survivre et ventuellement se dvelopper dans cet environnement conomique spcifique, la taille et les financements ne sont pas suffisants ; la qualit, ladaptabilit, la ractivit et la crativit sont indispensables. Ainsi, au ct des grands groupes, la prsence de PME innovantes performantes est une condition ncessaire latteinte des objectifs recherchs en matire de SSI.
Une base industrielle et technologique spcialise en SSI autonome pour rpondre aux enjeux conomiques et de souverainet
93
Un march de la SSI en forte croissance mais dont les volumes sont limits
Le march en matire de produits, logiciels et services en scurit des systmes dinformation est intrinsquement difficile dlimiter tant techniquement que financirement. Quelques exemples illustrent cette difficult : la ralisation dun systme dinformation est susceptible dinclure des prestations pour la scurit de ce systme qui ne sont pas identifies ; les systmes dexploitation sont rarement inclus par les tudes de march dans les logiciels de scurit. Pourtant un systme dexploitation volu inclut pourtant toujours de nombreux mcanismes de scurit et ces mcanismes sont souvent le socle de la SSI ; les prochaines gnrations de microprocesseurs doivent intgrer de nombreuses fonctions de scurit chiffrement, vrification de lintgrit et lauthenticit de codes excutables, vrification de DRM 1. Ils ne sont pas habituellement inclus dans le march de la SSI ; certains logiciels permettant la virtualisation de matriels ne sont devenus des logiciels de scurit que depuis que leur utilisation est envisage pour raliser des fonctionnements multiniveaux. Le march de la scurit des systmes dinformation concerne les seuls matriels, produits logiciels et services principalement destins la protection de la confidentialit, de lintgrit, de la disponibilit ou lauthenticit dinformation ou dun systme dinformation.
94
Pour rpondre ces besoins, les attentes concernent des produits logiciels (antivirus, pare-feux...), des matriels (cartes puces, systmes biomtriques...) et des services (architectures scurises, infogrance de scurit...). Des clients aux exigences diversifies La demande en scurit des systmes dinformation vient du secteur institutionnel et gouvernemental, des entreprises et du grand public. Le secteur institutionnel et gouvernemental se distingue par des exigences rglementaires voire lgales, la ncessit pour certains ministres de prendre en compte la menace stratgique, des conditions de contractualisation complexes et lentes et des budgets contraints. Les entreprises se distinguent par une sensibilit la scurit et des moyens extrmement variables, des politiques dachat sous contraintes de prix et de prennit, de standardisation des produits achets, et des exigences rglementaires de source nationale ou europenne (notamment les banques). Le grand public se distingue par un systme dinformation souvent limit une ou quelques machines, un niveau technique trs variable et une connaissance de la scurit souvent limite aux virus et aux spams. Les technologies de scurit Elles sont le fondement du dveloppement des produits et conditionnent ainsi directement la qualit de la SSI. Les technologies essentielles de la scurit des systmes dinformation sont par exemple : les systmes dexploitation ; la conception darchitectures de scurit, lingnierie logicielle sre, la preuve logicielle, la preuve de protocoles et les mthodes dvaluation associes ; la cryptographie, pour fournir des mcanismes de confidentialit, intgrit, preuve et authentification ; les dispositifs lectroniques de protection de secrets (cartes puces...) ; les mthodes applicatives de filtrage (antispam, antivirus...), de modlisation du comportement et de dtection dintention (intrusions...) ; le matriel avec des composants et circuits intgrs scuriss. Il existe une gamme de produits et technologies pour rpondre aux diffrents besoins de scurit. Ils ne constituent pas des alternatives, mais doivent tre utiliss de faon combine pour assurer la protection requise. Les technologies de base sont : identification/authentification par mot de passe ( usage unique ou pas), biomtrie, carte puce ou cl USB, combinaison de ces technologies ; signature lectronique ; chiffrement ; effacement sr. Ces solutions sont mises en uvre dans diffrents types de produits de scurit : scurit des rseaux : VPN (Virtual Private Networks, en franais Rseaux Privs Virtuels), matriel/logiciel de chiffrement de liaison (standardis ou non) ;
Une base industrielle et technologique spcialise en SSI autonome pour rpondre aux enjeux conomiques et de souverainet
95
scurit du poste de travail : Firewall logiciels et/ou matriels, antispam, antivirus, Contrle parental ; scurit des contenus : logiciel de chiffrement de fichier (standardis ou non), Digital Right Management (DRM) pour le multimdia ; contrle daccs : cartes puce et terminal associ, capteur biomtrique ; Trusted Platform Module (TPM). En complment des produits, il est ncessaire de prendre en compte les services de scurit qui accompagnent la mise en uvre de ces produits. Aux services traditionnels (gestion des cls et autres services de certification) se sont ajouts des services plus commerciaux (conseil, audit, exploitation de la scurit des rseaux). Comme dans le reste des TIC, ils constituent une activit en croissance plus forte que celle des quipements et plus difficilement dlocalisable : infrastructure de gestion de cls (IGC) ; services de certification lectronique (horodatage...) ; processus dvaluation et de certification ; single Sign On et Fdration didentit ; conseil en SSI (audit, recommandation, formation) ; management et surveillance des rseaux. Parmi ces technologies et produits certains sont critiques pour la garantie dun haut niveau de scurit et devraient tre de source franaise ou europenne, par exemple : des composants cryptologiques, des systmes dexploitation multi-niveaux, des processeurs de confiance, des dispositifs de gestion de cls, les PKI... En outre, il conviendrait dinitier des tudes complmentaires visant largir les possibilits offertes par les logiciels libres (par exemple les systmes dexploitation).
96
les appliances (botiers physiques intgrant de une plusieurs fonctionnalits : pare-feu/VPN, antivirus, antispam, prvention et dtection dintrusion... (Cf. Annexe XII pour les dfinitions) reprsentent 96 M (8,6 %) en hausse de 37,1 %. Un taux de croissance moyen de 17,2 % est attendu pour le march de la SSI sur la priode 2005-2009 pour atteindre 2 100 M (administrations et entreprises) : pour les services, le taux de croissance annuel devrait atteindre 19 % en 2009 ; pour les logiciels, il est prvu une baisse du taux de croissance partir de 2007 qui ne serait plus que de 12,3 % en 2009. En Europe, les marchs des produits logiciels de scurit les plus attractifs en 2003 taient : le Royaume-Uni avec 600 M$ de CA en croissance de plus de 20 % ; lAllemagne avec 560 M$ en croissance de plus de 20 % ; la France avec 353 M$ en croissance denviron 5 %. La faible croissance du march franais pourrait sexpliquer par un retard dans lusage des TIC et dune prise de conscience tardive des enjeux de la SSI. Concernant les matriels, la croissance est relle sur certains produits : les cartes puce, dont le taux de croissance en volume 1 attendu sur 2005 est de 18 % avec 1 727 millions dunit aprs une croissance de 12 % en 2004 ; les systmes biomtriques, qui devraient reprsenter environ 1 M$ au niveau mondial en 2007.
Une base industrielle et technologique spcialise en SSI autonome pour rpondre aux enjeux conomiques et de souverainet
97
Produit logiciel libre public Oui, ClamAV Oui, netfilter, IP filter Oui, Snort
Logiciels : Antivirus, Antispam et Spyware (segment SCM (2)) Pare feux/VPN (appliances) Pare-feux (logiciels) Prvention et dtection dintrusion (appliances) Administration sre (3A) (3)
(1)
16 % 2% 5% 22 % 13 %
157 47 44 11 88
Symantec, Network Associates (MC Afee), Trend, Sophos... Check Point, Cisco...
Non PME
Symantec et Internet PME Security Services (50 % du march 2) IBM, Computer GE (4) Associates, Verisign... et PME
Enqute IDC Scurit 2005 -103 entretiens auprs dun panel de grandes entreprises et administrations en France composes 45 % de plus de 2000 salaris et 55 % de 1000 1999 salaris novembre 2005 (2) Secure Content Management Cf. annexe 12 (3) 3A pour Authentification, Autorisation et Administration ou management des identits et de laccs Cf. annexe 12 (4) GE : Grande Entreprise
98
Principaux acteurs
Prsence franaise
Segment
EU), Network Associates (EU), IBM (EU), Trend micro (EU), Sophos (RU 1), Verisign (EU), Panda (EU), Microsoft (EU). Cette situation globale de faiblesse europenne dans le domaine des logiciels par rapport loffre amricaine est un fait tabli qui voluera difficilement dans les annes venir et qui impose de facto de concentrer leffort public et priv sur des segments cls en matire de scurit permettant datteindre un niveau dautonomie acceptable. Concernant les matriels, par exemple les systmes biomtriques et cartes puces, la France dispose encore datouts faire valoir au niveau mondial quil convient daccompagner de manire volontariste.
Gouvernement/Sant
Transport
Tlcoms
Banque/ Finance
1 220 + 16 %
330 + 18 %
65 + 18 %
60 + 33 %
25 + 67 %
15 + 25 %
Dun volume relativement faible, les marchs gouvernementaux (cartes didentit, cartes vitales) et de la scurit (application dauthentification forte, accs aux systmes dinformation) affichent des taux de croissance importants. Les programmes venir de passeports et de cartes didentit qui devraient gnrer un march de plusieurs centaines de millions dunits seront un moteur de la croissance de ce secteur. En outre, le dveloppement des cartes sans contacts, dj utilises pour les pages dautoroutes, devrait tre significatif dans les annes venir avec, par exemple, des applications de paiement sans contact avec un tlphone mobile. Selon Gartner Dataquest, ce march devrait atteindre 500 millions dunits en 2008. Lindustrie franaise, qui fait partie des leaders mondiaux, doit profiter de ces opportunits de croissance.
Scurit 99
Une base industrielle et technologique spcialise en SSI autonome pour rpondre aux enjeux conomiques et de souverainet
TV
Segment
Croissance du March March march/an national (M) national (M) (2004-2009) en 2004 en 2009 18,8 % 17,8 % 17 % 16,7 % 113 152 211 55 267 345 463 119
Criticit
Parmi ces diffrents segments du march des services de scurit, le conseil et linfogrance mritent des prcisions complmentaires compte tenu de leur criticit. Le conseil en scurit dun systme dinformation est directement li son architecture. Les principales socits en informatique ont donc dvelopp une activit forte en conception darchitecture de scurit et quelques PME se sont spcialises dans le conseil en scurit des systmes dinformation. Infogrance de la scurit Les services infogrs dans ce domaine se sont dvelopps, en particulier aux tats-Unis, car ils permettent de mutualiser lexpertise, de valoriser des centres de recherche et de veille permanentes, afin doffrir une capacit danalyse et de raction 24 heures sur 24, 7 jours sur 7. Les niveaux de service sont diffrencis, depuis un simple support aux quipes internes jusquau management global de la scurit. Le dveloppement de ces services est cependant frein par labsence de critres objectifs de confiance indispensables puisque linfogrance de scurit ouvre des tiers laccs au cur des entreprises. Le dveloppement de cette activit, qui contribuerait largement amliorer la protection des entreprises et des organisations en la confiant des professionnels comptents, passe donc par une labellisation des socits de confiance. Lexemple de la monte en puissance des oprateurs dInfrastructures cls publiques (ICP) Les ICP sont lensemble des moyens techniques, humains, documentaires et contractuels mis la disposition dutilisateurs pour assurer avec des systmes cryptographiques asymtriques (cf. Annexe III glossaire pour les dfinitions) un environnement scuris aux changes. Certaines entreprises ou organisations choisissent de se doter de leur propre infrastructure ICP (en anglais PKI 1) et de lexploiter en interne. Mais beaucoup prfrent recourir des services externes dlivrs par des socits spcialises. Ainsi sont apparus des Oprateurs de Services de Confiance qui oprent une ICP multiclients et peuvent fournir une multitude de services associs : gestion du cycle de vie des certificats, horodatage, coffrefort lectronique, personnalisation de cartes puces pour porter les certificats. Des offres nationales de qualit existent.
1. Public Key Infrastructure ; on utilise en franais la terminologie de IGC pour Infrastructure de Gestion de Cls.
100
Le dveloppement de ce march en croissance compte tenu du dveloppement de la dmatrialisation des changes est cependant contraint par le cot et les processus mettre en place.
Les consquences des volutions actuelles du march de la SSI avec lmergence de linformatique dite de confiance : initiatives TCG et NGCSB Les objectifs de ces initiatives
Linitiative TCG (Trusted Computing Group). a t lance en 2003 par AMD, Hewlett-Packard, IBM, Intel Corporation et Microsoft. Elle est la suite du projet TCPA (Trusted Computer Platform Alliance) lanc en 1999, mais aussi dautres initiatives qui visaient gnralement contrler lutilisation des uvres ou des logiciels et limiter les copies illicites. Elle a pour objectif damliorer la scurit des ordinateurs via linsertion dans chaque outil informatique dun composant permettant doffrir des services de cryptologie et davoir une assurance sur ltat logique de lordinateur, afin de pouvoir dtecter tout changement de configuration ayant un impact potentiel sur la scurit. Linitiative Palladium, complmentaire de TCG, lance par Microsoft en juillet 2002, est devenue Next Generation Secure Computing Base (NGSCB) en janvier 2003. Elle repose sur lutilisation dun composant scuris et a pour objectif de contrler que les ordinateurs utilisent bien des ressources de confiance (trusted) : codes, priphriques disques durs... Ce composant vrifiera ainsi lintgrit du logiciel de lordinateur, les autorisations de fonctionnement de priphriques ainsi que la lgalit des oprations que ralisent ces ressources. En pratique, elles devront obtenir un certificat numrique dlivr par Microsoft. Lenvironnement de confiance cre par NGSCB vise protger Microsoft contre le piratage mais galement amliorer la scurit des ordinateurs en particulier en offrant une meilleure rsistance aux attaques de virus et de chevaux de Troie. Enfin, en mai 2005, linitiative TCG a t complte par Trusted Network Connect (TNC). Cette dernire initiative a pour objet dtendre la confiance que peut apporter TCG sur un poste un rseau. Pour ce faire, la plupart des protocoles de scurit classiques SSL, TLS, SSH... ont t complts par une phase prliminaire destine tablir une preuve rciproque dintgrit et dauthenticit pour des ordinateurs entrant en communication. Les menaces possibles Pour certains, ces limitations dusage sont justifies par le dveloppement du commerce lectronique et la gestion sre des droits de proprit intellectuelle des uvres numriques. Lindustrie des mdias et des services la rclame. Mais en restreignant les droits de lutilisateur,
Une base industrielle et technologique spcialise en SSI autonome pour rpondre aux enjeux conomiques et de souverainet
101
NGSCB donne un droit de regard aux constructeurs de matriels et de logiciels, de lusage fait des ordinateurs personnels. Il permet de contrler laccs des logiciels aux ressources matrielles. Cette mergence dune informatique de confiance conduirait un nombre trs limit de socits imposer leur modle de scurit la plante, en autorisant ou non, par la dlivrance de certificats numriques, des applications sexcuter sur des PC donns. Il en rsulterait une mise en cause de lautonomie des individus et des organisations (restriction des droits dun utilisateur sur sa propre machine). Cela constitue une menace vidente la souverainet des tats. Il est noter que le BSI allemand dispose dune quipe travaillant sur le sujet.
Compte tenu du lien fort entre architecture de systme et scurit, tout segment du march de la scurit, ds quil est mature, a vocation tre intgr dans le march des technologies de linformation. Les fonctions de scurit qui ont du succs finissent par tre offertes en standard dans les systmes dexploitation, surtout propritaires. Rares sont les fonctions de scurit qui connaissent pendant plusieurs annes une persistance de leur demande. Cet tat de fait contraint les pionniers du segment, souvent des PME, une mobilit stratgique permanente pour ne pas disparatre. Elles doivent innover, dvelopper des services autour des produits, ou accepter dtre absorbes par des diteurs de logiciels ou des industriels. Le march ragit en fonction de la menace dont les symptmes sont clairement apparents. La ralit des dgts des virus explique le succs des logiciels antivirus. De mme des actes de piraterie sur les systmes dinformation expliquent le succs des coupe-feux. linverse, les menaces sans douleur apparente sont rarement prises en compte. la menace dinterception passive de communication, bien que relle, est trs rarement prise en compte. Tous les produits de chiffrement, logiciels ou matriels, ds lors quils ne sont pas offerts avec un systme dexploitation, un quipement de tlcommunications ou une autre fonction de scurit ne constituent pas ce jour un march viable en dehors du secteur public et du secteur bancaire. Les tentatives de diffrencier les produits de meilleure scurit, par lvaluation, la certification ou la qualification, nont pas encore eu leffet dentranement que lon en attendait. Lvaluation ne constitue pas aujourdhui un lment de choix primordial pour les acqureurs de solutions de scurit.
102
Sans une intervention volontaire de ltat, par le biais principal de la commande publique, une offre strictement nationale ne pourra se dvelopper en attendant que les segments du march deviennent suffisamment importants. Les principaux moteurs de cette transformation seront : la meilleure dfinition des objectifs et des politiques de scurit ; la volont de recourir des produits de confiance ; lacceptation de standards et normes de protection ; le recours aux services, type infogrance, pour confier la scurit des spcialistes habilits et comptents dans le cadre dun march rglement.
La base industrielle et technologique nationale de SSI, notamment les PME-PMI : un effritement en cours qui risque dtre irrversible sans politique volontariste
Les grandes entreprises fournisseurs de produits et services de SSI sont dans un contexte peu favorable et nont pas la taille critique
En France, les grandes entreprises voluent dans un march de la scurit des systmes dinformation dispers, faible en volume et peu mature. De plus, un niveau de sensibilisation infrieur devant nos partenaires europens et une certaine rsignation face aux Amricains, voire aux Asiatiques, suite notre incapacit fdrer une industrie informatique europenne font que les grands acteurs sont peu nombreux. En fait, deux marchs le monde de la finance, et plus spcifiquement les moyens de paiement et les rseaux interbancaires, et la dfense nationale et la scurit intrieure ont favoris lclosion de ples industriels diffrents, les uns tourns vers le march concurrentiel, les autres ancrs dans lindustrie de dfense. Ce nest que trs rcemment, avec la rduction de la croissance de ces marchs, que les industriels ont cherch se diversifier. Nos grandes entreprises doivent affronter la concurrence des entreprises anglo-saxonnes, mais le march qui leur est accessible est rduit.
Une base industrielle et technologique spcialise en SSI autonome pour rpondre aux enjeux conomiques et de souverainet
103
Le march amricain de la scurit est marqu par une politique protectionniste forte sur le march intrieur et un contrle strict lexportation. Cette stratgie de domination technologique prsente le double avantage de servir la fois les intrts des industriels et ceux de ladministration. Comment viter en France que, sous couvert dun appel la concurrence impos par le code des Marchs Publics, les quipes techniques de certaines administrations marquent leur indpendance en choisissant un produit de PKI ou une carte cryptographique amricains quand des produits franais quivalents existent ? Une vritable politique dachat des administrations pour consolider une industrie nationale serait ncessaire. En outre, il nexiste pas actuellement assez dincitation pour constituer une offre de confiance pilote par de grandes entreprises ayant une capacit dintgration de systmes, et valorisant les produits innovants des PME. Le Pacte PME pourrait favoriser cette approche, sous rserve dtre accompagn par une politique dachat des administrations, voire des grandes entreprises. La France possde de grandes entreprises de services informatiques capables dintervenir sur le domaine de la SSI. Pour des raisons videntes attenantes la prservation de leur intgrit , il conviendrait dattribuer un label de confiance sous certains critres. Loffre nationale et europenne clate : de ncessaires rapprochements La dispersion des forces est patente aussi bien en France quau niveau europen. On retrouve ainsi des activits SSI disperses dans plusieurs groupes qui nont pas individuellement la taille critique pour tre rellement performantes au niveau mondial et qui sont isoles au sein de ces groupes. En outre, les grands industriels leaders privilgient dsormais de plus en plus le mtier dintgrateur. Si cette situation se poursuit, les risques deffritement de la qualit et de la comptitivit de loffre de ces groupes deviendront de plus en plus dlicats grer pour ltat. Cest pourquoi, des actions visant au rapprochement de ces activits, en sinspirant de ce qui a t fait dans la Dfense et lAronautique, apparaissent ncessaires. Un financement public de la R&D dispers et insuffisant devant les enjeux de la SSI Diffrentes sources de financement existent, plus ou mois accessibles aux PME galement : lANR (Agence nationale de la Recherche), lA2I (Agence de linnovation industrielle), le Minefi et lUnion europenne. En ce qui concerne ltat : ANR : la scurit est un des thmes des RRIT (Rseaux de recherche et dinnovation en technologie) communs aux ministres de lIndustrie et de la Recherche, notamment ceux sur les tlcommunications
104
(RNRT) et le logiciel (RNTL). Dans les appels projets 2005 de lANR, la scurit a t traite dans le RNRT, mais fait galement lobjet avec les mmoires de masse, dune thmatique additionnelle dote de 10M. Entre 5 et 10 projets devraient tre retenus pour un montant de 4 8 M. Entre lensemble des dispositifs du ministre de la Recherche, environ 23 M entre 2001 et 2004 ont t consacrs au thme SSI 1. A2I : lAgence cre le 26 aot 2005, est dote dun budget de 1 Md et contribuera au financement dune dizaine de projets dentreprises ou de laboratoires de recherche en technologie dune dure de cinq dix ans. Parmi ceux-ci il est souhaitable quun ou des projets soient orients SSI. MINEFI Oppidum : le ministre de lIndustrie a mis en place en 1998 le programme Oppidum ddi la scurit. Les deux premiers appels projets en 1998 et 2001, chacun dot dun budget de 6 M, ont permis le dveloppement de solutions commerciales accompagnant la libralisation de la cryptologie et la mise en place de la signature lectronique. Mme si la crise des technologies de linformation a ralenti la valorisation commerciale de certains projets, des avances importantes ont t obtenues : en signature lectronique, en protection des rseaux dentreprise et en scurit des cartes puce. Le troisime appel projets lanc en 2004, dot dun budget de 4 millions deuros, a rencontr un vif succs puisque 45 dossiers ont t dposs pour un total de 22 millions deuros environ. 18 projets portant sur les cartes puce, notamment sans contact, les outils biomtriques, les produits de signature numrique, de scurisation des PC et des produits de surveillance des rseaux, ont t labelliss. Des programmes de R&D dans le domaine des tlcommunications (CELTIC), du logiciel (ITEA) ou des composants (MEDEA) peuvent aussi contenir des projets concernant plus ou moins la scurit. titre indicatif, le montant des crdits allous par le ministre de lIndustrie aux projets sur la scurit dans la priode 2001-2003 a t :
Programme en M Medea (composants) Itea (logiciel) RNRT (tlcoms) Oppidum (applications) Total 2001 2,7 4,9 2,1 1,4 11,2 1,6 4,7 10,0 2002 3,7 2003 4,2 2,9 2,3 3,4 12,7 Total 10,7 7,8 6 9,5 34
De plus, il est signaler quenviron 20 thses consacres la SSI sont soutenues chaque anne. Enfin, on peut noter la monte en puissance des ples de comptitivit dont certains intgrent les questions de SSI notamment en le-de-France (System@tic), en PACA (solutions de communications scu1. Source : ministre de la Recherche.
Une base industrielle et technologique spcialise en SSI autonome pour rpondre aux enjeux conomiques et de souverainet
105
rises) et Rhne-Alpes (Minatec) ou de transactions lectroniques scurises en Basse-Normandie. En ce qui concerne la Commission europenne : Le 6 e PCRD comporte des programmes dans le thme technologies de la socit de linformation qui est dot dun budget de 4 milliards deuros environ 1. De plus la Commission a lanc une action prparatoire, en vue du 7e PCRD, dote dun budget prvisionnel de 65 millions deuros pour la priode 2004-2006, concernant la recherche de scurit : 6e PCRD : la SSI est au cur de diffrentes actions (environnement scuris, sret des rseaux lectroniques pour les transports ariens et automobiles, management des risques...) pour un montant valu environ 140 millions deuros sur la priode 2 ; action prparatoire : couvrant les domaines de la scurit globale (protection des frontires, bioterrorisme, SSI...), les projets SSI ont concern par exemple les communications scurises ou la protection des infrastructures critiques. Les montants affects la SSI nont pas t prciss ; 7e PCRD : le thme de la scurit apparat comme une priorit de ce plan qui dpendra cependant des rsultats de laction prparatoire sur les actions lancer. Le budget envisag est de 1 milliard deuros. La multiplicit de ces sources de financements et labsence de coordination ne favorisent pas des actions concentres sur les thmes critiques de souverainet nationale. Il existe des rflexions en cours chez des industriels et organismes de recherche qui mritent une attention de la part des pouvoirs publics Des industriels et des centres de recherche franais 3 ont engag des rflexions sur la mise au point de produits de confiance, par exemple : aujourdhui, la matrise de la partie logicielle des produits ne permet pas de garantir la scurit si le hardware sur lequel elle sexcute nest pas matris. Il est donc ncessaire de lancer des programmes technologiques pour mettre au point des circuits intgrs scuriss ; le lancement dun projet structurant dans les usages et la gestion scurise de lidentit, avec comme enjeu lintgration du citoyen et la prservation de ses droits (individu numrique). Limplication de ltat dans de telles actions est ncessaire ; mais la volont et les financements semblent encore incertains.
106
La situation des PME fournisseurs de produits et services SSI est trs critique
Le dveloppement des PME franaises et europennes innovantes, parmi lesquelles celles spcialises dans la SSI, se heurte de nombreuses difficults qui ont fait lobjet de multiples rapports ces dernires annes. Des propositions, certaines effectivement mises en uvre par les pouvoirs publics, tendent amliorer la situation mais demeurent insuffisantes sagissant du secteur particulier de la SSI.
rgulation.
En se plaant du point de vue de la PME, lanalyse synthtique de lintensit concurrentielle qui prend en compte six forces donne les caractristiques suivantes : Pouvoir de ngociation des fournisseurs Les PME prestataires de services en SSI, sont amenes parfois intgrer des produits provenant dacteurs de taille plus importante, en situation de quasi-monopole, ce qui les place en situation de faiblesse lachat. Ces entreprises se trouvent de facto fortement dpendantes. Le problme disparat pour des PME qui dveloppent des produits. Ltat doit favoriser lexistence et le dveloppement doffres alternatives pour contrebalancer ce dsquilibre en particulier par une politique incitative de financement de dveloppement de produits et de technologies, et une politique dachat approprie.
Une base industrielle et technologique spcialise en SSI autonome pour rpondre aux enjeux conomiques et de souverainet
107
Pouvoir de ngociation des clients Les PME franaises sont en situation de faiblesse face des clients importants tels que ltat et les grands comptes. Leur marge de ngociation est assez limite alors quil existe une concurrence internationale importante et que le critre fournisseur de confiance ne semble pas exister dans les politiques dachat de ces clients. Sans une prise de conscience des pouvoirs publics, mais galement des grands donneurs dordres, suivie dactes concrets et prennes, en particulier une politique dachat approprie, loffre europenne seffritera progressivement. Rivalit entre les concurrents La croissance du march de 15 % en moyenne par an attise les ambitions de nombreux acteurs en place, attire de nouveaux concurrents et provoque aussi une concentration des diffrents segments. La petite taille des acteurs europens et europens ne les favorise pas. Aussi, lorsque les marchs sont peu protgs par la puissance publique, il est difficile pour une PME de trouver la voie de la survie et du dveloppement dans cet environnement trs mondialis, face des leaders puissants. Prs de 900 1 entreprises technologiques dans le monde interviennent dans la SSI, dont 70 % sont dorigine amricaine. Leur chiffre daffaires ne dpasse pas en gnral 30 M$. Le march est donc surtout compos de nombreuses petites socits et de quelques grandes entreprises. Ds lors, la concentration du secteur apparat inluctable et lobjectif des PME franaises, si elles veulent viter la marginalisation ou le rachat, est daccrotre fortement leur chiffre daffaires hauteur de 30-50 M, par exemple en se regroupant. ce niveau dactivit, elles devraient pouvoir gnrer suffisamment de cash flow pour continuer innover et financer leur R&D. Ltat peut jouer un rle dans le regroupement europen, limage de ce qui est en cours dans lindustrie de dfense. Difficults pour les nouveaux entrants Les barrires lentre pour les PME sont fortes sur ce secteur en raison : de lexprience forte des teneurs du march ; des besoins importants en capitaux pour un secteur o les stratgies sont mondiales ; de laccs compliqu aux circuits de distribution pour les PME ; des avantages spcifiques (brevets...) dtenus par les leaders prsents ; de linsuffisance de lappui par les pouvoirs publics de loffre europenne. Les pouvoirs publics, sans sopposer naturellement aux nouveaux entrants, se doivent de contribuer activement au dveloppement des acteurs existants. Ainsi, avoir une politique en matire de capital-risque, notamment damorage, est sans doute essentiel, mais disposer sur le territoire de financement plus substantiel en capital dveloppement lest sans doute davantage et doit tre encourag et accompagn.
1. Source : auditions.
108
La menace des produits substituables Elle est soutenue sur ces secteurs compte tenu dune volution permanente des technologies conscutives lvolution des besoins. Par exemple, lavance de lIpv6 et de la post 3G aura des consquences fortes sur le tissu national spcialis dans les TIC et donc sur celui spcialis en SSI. Pour y rpondre, un effort intense et continu de R&D est ncessaire, en particulier au sein des PME innovantes. Un effet de levier important par le financement public national et europen est naturellement indispensable et doit tre accentu. Mais sans un accroissement significatif des financements privs, notamment des grands donneurs dordres, les montants consacrs seront insuffisants pour rester au meilleur niveau. Le rle des pouvoirs publics et des autorits de rgulation Les pouvoirs publics et les autorits de rgulation influent directement sur le march. Ainsi, peuvent-ils faire jouer leur influence sur les pouvoirs de ngociation des fournisseurs et des clients (rglementations en matire de dlai de paiements, ou de sous-traitance obligatoire des PME dans le cadre de contrats publics...), sur les menaces des nouveaux entrants (autorisations dexercer notamment dans la SSI, existence de normes spcifiques...). LUnion europenne peut galement intervenir, en particulier dans le financement de la R&D et en matire rglementaire (textes pro-PME, normalisation favorable loffre issue de lUnion europenne...) pour favoriser lenvironnement de ces PME SSI. Ltat doit prendre conscience de son rle moteur indispensable dans ce domaine particulier quest la SSI. Son rle ne doit pas se limiter une politique de financement et dincitations fiscales.
Une base industrielle et technologique spcialise en SSI autonome pour rpondre aux enjeux conomiques et de souverainet
109
de ses volutions venir. Ils auront de ce fait un temps de retard par rapport des PME et laboratoires installs proximit des grands donneurs dordres amricains. Monte en puissance de lAsie La croissance de lAsie sur ces diffrents segments de march est forte et sappuie dsormais sur sa propre expertise technique. La volont de la Chine de verrouiller ses systmes dinformation privs et publics et de contrler lensemble de la chane laisse augurer dans le futur la monte en puissance dune offre indpendante asiatique qui cherchera simplanter en Europe, comme cest le cas pour lautomobile. Prises en tenaille entre les tats-Unis et lAsie, les PME europennes devront faire preuve dune grande agilit et dun appui sans failles de la puissance publique et de quelques donneurs dordres privs pour exister et se dvelopper.
Les politiques dachat de ltat et des grands donneurs dordres sont peu orientes sur les PME SSI et les fragilisent
Une politique dachat public marque par la complexit du processus et la culture des acheteurs Les pouvoirs publics interviennent sur ce march en tant quacheteur important. Or, ce jour, la centralisation et la rationalisation des achats, un code des marchs publics plus adapt aux grandes entreprises quaux PME innovantes, la culture des acheteurs qui privilgient, pour des raisons de prudence et de prix immdiat les grandes entreprises installes dont la prennit semble mieux assure, a pour consquence une politique dachat de ltat, qui ne favorise pas le chiffre daffaires des PME innovantes sur ce secteur, ce qui nest pas le cas dautres pays. Le gouvernement a certes pris quelques mesures : action auprs des partenaires europens pour une rengociation du trait OMC et de la lgislation europenne ; installation dun observatoire de la commande publique le 15 novembre 2005 ; lancement dune concertation pour optimiser la passation des appels doffres des PME ; pacte PME propos par le Comit Richelieu en association avec OSEO-Anvar, dont lobjectif est de faciliter les relations entre les grands comptes et les PME innovantes. Ces mesures ont naturellement le mrite dexister et contribueront, peut-tre, une volution culturelle indispensable chez les acheteurs et donc de la mise en place dune politique dachat plus adapte aux PME innovantes, mais elles mettront du temps produire leurs effets. Les ministres devraient mener une politique dachat en cohrence avec leurs axes stratgiques, notamment en matire de scurit nationale. Il est intressant de citer la politique dacquisition du ministre de la
110
Dfense, fonde sur un principe dautonomie comptitive qui sarticule autour de deux objectifs complmentaires : garantir la meilleure efficacit conomique des investissements raliss pour satisfaire les besoins des forces armes ; assurer un accs aux capacits industrielles et technologiques qui conditionnent la satisfaction long terme des besoins des forces armes. En outre, du fait de la complexit croissante des produits informatiques et des services associs, leur conception et leur ralisation impliquent de multiples acteurs avec une part croissante de sous-traitance et dexternalisation. Pour lacheteur public final, la scurit du systme install savre de plus en plus complexe en labsence dune volont forte de contrler lensemble de la chane de fournisseurs de SSI de confiance. Il est noter cet effet que le PRSSI 1 recommandait dans sa mesure I1 : de garantir une diversit dapprovisionnement en produits de scurit en stimulant le dveloppement de produits industriels innovants et rpondant des besoins identifis, en sadressant un tissu dindustriels de confiance notamment de PME. Ainsi, le ministre de la Dfense a pris linitiative de lancer en 2004 le dveloppement dun systme dexploitation durci et fiable. Ce projet, Sinapse, sappuie sur des PME franaises du secteur de la SSI. Cette dmarche pourrait inspirer dautres dveloppements. Ds lors, une dfinition interministrielle de principes communs en matire dacquisition de produits et services de SSI, sans remettre en cause lautonomie dcisionnelle de chaque ministre permettrait dassurer ltat une meilleure cohrence et une meilleure matrise de lintgration de produits et services de SSI dans ses diffrents systmes dinformation, en phase avec ses objectifs rgaliens. ce jour, la politique dachat des ministres ne semble pas prendre suffisamment en considration les enjeux de lexistence dune offre de confiance au niveau national et europen. Une politique dachat des grandes entreprises qui manque de souplesse et ne favorise pas linnovation Les critres de slection des grandes entreprises nintgrent pas suffisamment le caractre innovant des PME, facteur dinnovation pour leurs propres produits, et les enjeux de scurit que reprsente une offre europenne viable sur le long terme. La rsistance des acheteurs linnovation semble relle et presque de nature culturelle. cela sajoutent les grandes entreprises qui cherchent diminuer fortement le nombre de leurs interlocuteurs et faire partager les risques de dveloppement leurs sous-traitants. Ces objectifs sont des freins de plus en plus importantes pour les PME. lexception du Pacte PME, il ny a pas de relles dynamiques de la part des grands donneurs dordres. Une politique dachat des entreprises franaises ou europennes de confiance peut tre effective sans ncessairement
1. Plan de Renforcement de la Scurit des Systmes dInformation de ltat (2004-2007) du 10 mars 2004.
Une base industrielle et technologique spcialise en SSI autonome pour rpondre aux enjeux conomiques et de souverainet
111
entraner un surcot mais sous rserve dune volont forte de changement des grands donneurs dordres.
Les PME SSI franaises ne disposent pas des ressources suffisantes pour se dvelopper
Le financement Laccs aux ressources financires est naturellement un point essentiel et recouvre : les fonds propres, les crdits bancaires, le financement de projet ou lexportation 1 et la transmission/cession 2. Certes, les mesures gouvernementales ont t nombreuses ces dernires annes : dveloppement des FCPI 3 et dAlternext ; incitation auprs des assureurs franais investir 6 G dans les PME ; politique en matire damorage et dincubation qui a le mrite dexister mme si, pour linstant, les rsultats ne sont pas toujours trs positifs ; concours cration dentreprises du ministre de la Recherche, renforcement dOso. Mais des amliorations sont souhaitables, en particulier en matire de conditions de sortie vers les marchs cots et de garanties par Oso Sofaris qui restent insuffisantes. Cependant, un point plus critique est laffectation effective de ces ressources aux PME innovantes notamment SSI. En effet, la tendance du march du capital dinvestissement se caractrise par : une prdominance des oprations de LBO 4 ; une faiblesse structurelle des fonds de capital-risque lever des fonds ; une orientation croissante des FCPI vers le march cot. En outre, pour les fonds damorage, les difficults de sortie sont croissantes en labsence de fonds de capital dveloppement prts prendre le relais et payer le prix. Pour les participations fort potentiel de dveloppement, seuls les Anglo-Saxons sont en mesure de le faire. De plus, le temps de maturation des technologies est souvent plus long que sur les autres secteurs des TIC, compte tenu dun environnement normatif et rglementaire contraignant affectant la dure dinvestissement qui peut tre plus longue que la norme du march.
1. Financement projet : difficile compte tenu de la pression des donneurs dordres pour partager le risque avec les sous-traitants. Un effet de levier serait ncessaire. Le financement de lexportation : il nexiste pas ce jour de rponse efficace en termes de cautions bancaires. 2. Ncessite une attention particulire afin de favoriser des solutions europennes permettant progressivement lmergence de PME de plus grande taille, aptes intervenir au niveau mondial. 3. Fonds Communs de Placement dans lInnovation. 4. Leveraged By Out : opration dacquisition dune entreprises finance par un fort recours lendettement.
112
Enfin, les dcrets rcents relatifs au contrle des investissements trangers sur des secteurs sensibles, risquent de gner les volonts de certains fonds qui peuvent voir dans cette rglementation une nouvelle contrainte forte la sortie et ce, dans un contexte difficile. La situation aux tats-Unis est diffrente : la taille du march intrieur et les sources de financement disponibles leur permettent de se dispenser de financements trangers. Un march restreint et plus contraignant en dure, une commande publique et prive insuffisamment oriente, une rglementation qui contrle les investissements trangers, un manque en capital dveloppement et la difficult daller en bourse en Europe continentale, rendent ce march de la SSI peu attractif pour des investisseurs europens. Des fonds dinvestissement spcifiques adapts aux profils de ces entreprises spcifiques, dune dure de vie de 12 15 ans, seraient un complment ncessaire aux fonds de capital investissement actuels. On peut noter lexistence en 2005 dun dispositif de fonds dinvestissement stratgiques sur linitiative du Haut Responsable lIntelligence conomique orient vers les PME sensibles franaises qui traduit la mise en place dun systme de suivi interministriel des secteurs stratgiques, par la mise en place de fonds ddis aux entreprises relevant de ces secteurs, dsormais oprationnel. Un financement public et priv de la R&D insuffisant Les PME des secteurs technologiques et notamment des TIC, sont confrontes une volution en ciseau avec, dune part, une trs forte croissance des besoins de financement de la R&D et, dautre part, un plafonnement des ressources traditionnelles que sont les financements gouvernementaux et des grandes entreprises europennes continentales. En effet, pour tre en mesure de suivre lvolution technologique permanente de ces marchs, les entreprises doivent consacrer en moyenne jusqu 15 % de leur CA en R&D. Or, la France et ses entreprises ne sont pas suffisamment actives dans le domaine des TIC 1 : en 2003, le financement de la R&D en TIC tait de 90 $ par habitant en France, contre 220-240 $ aux tats-Unis ou au Japon ; la mme anne, leffort de R&D global en TIC ramen au PIB tait de 0,31 % en France, contre 0,65 % aux tats-Unis et 0,76 % au Japon. Pour leffort de R&D des entreprises, les ratios sont similaires ; leffet de levier de la dpense publique en TIC sur les entreprises, cest--dire le ratio entre la R&D excute par les entreprises et les fonds publics qui y sont consacrs, est trs nettement infrieur en Europe (5,2) quaux tats-Unis (7,1), la France tant encore en retrait avec 4,3, loin derrire des pays o le ratio se situe entre 10 et 12 (Canada, Core, Finlande et Sude notamment).
1. Source : Futuris et Conseil Stratgique des Technologies de lInformation Groupement Franais de lIndustrie de lInformation octobre 2003.
Une base industrielle et technologique spcialise en SSI autonome pour rpondre aux enjeux conomiques et de souverainet
113
Ainsi, le financement de la R&D par les grandes entreprises franaises et europennes tant proportionnellement plus faible que celui des entreprises concurrentes aux tats-Unis ou en Asie, la part sous-traite des PME notamment SSI nen sera que plus limite. Des mesures gouvernementales de nature gnrale ou sectorielle ont ainsi t prises : renforcement du crdit impt recherche 1 ; augmentation des moyens financiers dOso annonce en juillet 2005 ; accs des PME aux projets financs par lAgence de lInnovation Industrielle (mais il ny a pas de part rserve aux PME), ainsi qu ceux de la Commission (les PME nont pas toujours les moyens et le temps consacrer aux rponses aux appels projets) ; accs aux programmes de dveloppement de la DGA (PEA 2...) ; programmes sectoriels avec : oppidum (Minefi) ; abondement par la DCSSI ou la DGA davances remboursables accordes par Oso Anvar des projets les intressant (SSI, technologies duales...) pour des montants trop faibles. Cependant, lensemble nest pas pour linstant la hauteur des moyens consacrs par les pays concurrents notamment aux tats-Unis, en Allemagne et en Asie. Des ressources humaines qualifies insuffisantes Les PME franaises ne disposent pas toujours des comptences ncessaires pour attirer des investisseurs et rassurer les clients, alors quil sagit dun critre essentiel. Aujourdhui la question nest pas tant de savoir si de bons projets sont dvelopps ou non, en France, mais plutt, si de bonnes quipes existent pour les excuter. lexception dOseo Anvar qui propose un dispositif spcifique de prise en charge dune partie des charges lies lemploi de chercheurs, il ny a pas ce jour de mesures particulires pour favoriser le recrutement de comptences par des PME, notamment en marketing des technologies 3, alors que les freins au recrutement sont dj forts. En outre, le vieillissement gnral des dirigeants en France entranera des consquences qui ne peuvent tre ignores. En labsence de solutions facilitant les transmissions, les solutions de reprise par des fonds dinvestissement simposeront. Aussi, progressivement, le capital des PME franaises sera-t-il de plus en plus matris par des fonds disposant des capitaux ncessaires, aujourdhui principalement anglo-saxons. Un environnement juridique et fiscal perfectible Lenvironnement franais est peu attractif. Certaines mesures fiscales rcentes vont toutefois dans le bon sens : volutions favorables en matire dISF ;
1. Doublement de 5 10 % de la part en volume des dpenses de recherche prises en compte. 2. Programme dEtudes Amont. 3. Source : auditions.
114
cration du statut de JEI (Jeune Entreprise Innovante) intgrant des exonrations de charges sociales et dimpts (mme si le rachat dune JEI par une JEI a pu aboutir des redressements fiscaux) 1 ; cration du statut de SUIR (Socit Unipersonnelle dInvestissement Risque). Quant la simplification des processus administratifs pour faciliter laccs des marchs publics aux PME, elle relve pour linstant encore des intentions...
La certification de produits et les normes de scurit sont insuffisamment prises en compte en France : un frein au dveloppement de loffre nationale de SSI
Le dveloppement de loffre nationale fournisseur de produits de SSI se ralisera de manire plus efficace si, en parallle dune politique dachat approprie, les produits pourront tre certifis et quils seront pris en compte en amont dans le cadre des processus qui aboutissent la mise au point de normes.
1. Source : auditions.
Une base industrielle et technologique spcialise en SSI autonome pour rpondre aux enjeux conomiques et de souverainet
115
1. Enqute IDC Scurit 2005 march professionnel -103 entretiens auprs dun panel de grandes entreprises et administrations en France composes 45 % de plus de 2000 salaris et 55 % de 1000 1999 salaris novembre 2005. 2. La National Information Assurance Acquisition Policy promulgue en janvier 2000, impose qu partir du 1er juillet 2002 les agences amricains nachtent que des produits certifis (critres communs pour le produits et FIPS 140 pour les modules cryptographiques).
116
Le cot des valuations la charge des entreprises est important pour les PME La certification dlivre par la DCSSI est gratuite. Par contre, lvaluation ralise par le centre dvaluation (CESTI) est payante : carte puce, niveau EAL4 : 120 000 150 000 HT ; produit informatique (firewall...), niveau EAL2+ : 50 000 60 000 . Ces prix peuvent tre plus ou moins levs selon la nature exacte du produit valuer et selon le nombre de reprises dvaluation. Ce cot de la certification dune version dun produit, puis des versions successives, est un obstacle pour les PME 1.
1. Source : auditions.
Une base industrielle et technologique spcialise en SSI autonome pour rpondre aux enjeux conomiques et de souverainet
117
Un positionnement actif de la France vis--vis de ses homologues en terme de certificats dlivrs mais trs orient sur les cartes puce
La France fait partie des pays fondateurs des critres et des accords de reconnaissance mutuelle (autres pays : tats-Unis, Royaume-Uni, Allemagne, Pays-Bas, Canada). Lactivit de certification franaise, mesure en nombre de certificats, est assez soutenue compare celle dautres pays mais leffectif du centre de certification de la DCSSI semble trop limit devant la croissance des certificats dlivrs :
Pays France Allemagne Royaume-Uni tats-Unis Canada Core
(1) (1)
Certificats 2004 36 38 12 27 9 20 45 40
Nombre de CESTI 5 13 5 10 3 1
8 fin octobre 35 dbut octobre, 154 en cours 9 dbut aot. 16 fin octobre
Le grand nombre de certifications en cours aux tats-Unis sexplique en partie par une politique volontariste du gouvernement fdral
En 2004, 25 des 36 certificats dlivrs concernaient les cartes puces, 8, les profils de protection, et 3, les logiciels. Il est signaler nanmoins, quil ny a pas ce jour de profil de certification concernant la biomtrie 1.
volution du nombre de certificats en France
40 35 30 25 20 15 10 5 0 ITSEC CC
118
Il est regrettable de constater qu part dans un cercle restreint dinitis, la comptence et lexprience particulire de la France (et en particulier de ses centres dvaluation) sont peu connues et reconnues ltranger. La faible participation franaise 1 aux journes ICCC (International Common Criteria Conference) qui ont suivi le CCRA doctobre 2005 au Japon ne contribue pas amliorer cet tat de fait. On notera par exemple qu travers le BSI, les centres dvaluation allemands se positionnent pour aider la formation de centres dvaluation en Core du Sud, Singapour ou Taiwan. Depuis dbut 2005, le service de certification franais de la DCSSI sest rinvesti dans certaines instances internationales (Union europenne pour la scurit des moyens de paiement, groupements professionnels tels que lISCI et Eurosmart) pour promouvoir son savoir-faire, ses mthodes et ses comptences. Toutefois, la taille modeste de son effectif empche la France de prtendre se positionner sur tous les fronts et doit gnralement suivre ce qui est prconis par dautres. Labsence de Franais au sein des instances en charge de faire valuer les critres et les interprtations de ces critres est prjudiciable la prservation de notre savoir-faire et ne nous permet pas dviter que des mthodes nous soient imposes par dautres.
Une base industrielle et technologique spcialise en SSI autonome pour rpondre aux enjeux conomiques et de souverainet
119
Le processus dagrment est trait par le bureau rglementation de la sous-direction rgulation de la DCSSI. Les valuations sont ralises par le CELAR. Il est de comptence national, et nest pas soumis aux accords internationaux de reconnaissance mutuelle.
La normalisation La normalisation : une source denjeux pour les standards des marchs
La normalisation est un outil douverture des marchs, damlioration de la transparence, ainsi quun mode de preuve de conformit au service des conomies mondiales. Elle facilite les choix stratgiques de lentreprise. Elle favorise la protection des consommateurs et lapplication de la rglementation. Le terme de normalisation conserve souvent limage de rgles dorganisation imposes par lextrieur qui brident la capacit dadaptation des entreprises et leur ractivit lvolution de lenvironnement. Elles sont donc souvent perues comme contraignantes. Pourtant, les normes sont reconnues dans le monde des produits industriels o elles gouvernent les changes entre partenaires, crent la confiance et font vivre les contrats. La norme propose ainsi les conditions dans lesquelles une opration sera effectue, un objet excut, un produit labor ou un service rendu et prend la forme dun document de rfrence sur un sujet donn dont il reflte ltat de lart, de la technique et du savoir-faire.
La reconnaissance des documents et profils de protection DCSSI : une amorce de coopration avec les instances de normalisation dynamiser
loccasion dun colloque lcole militaire en 2002, la DCSSI avait act le principe de donner certains de ses documents, notamment des profils de protection, le statut de norme franaise pour une prise en compte systmatique dans les appels doffres publics, et surtout dans le but de les tendre au niveau europen voire international. Aprs une premire phase de prparation en groupe de travail, une srie de documents ont t raliss mais le projet de convention qui encadre cette action prvue en 2005 est toujours en discussion. Une nouvelle impulsion ce stade serait imprative pour donner ses chances ce projet, et assurer en mme temps la continuit du travail de la DCSSI avec AFNOR.
120
Linfluence de la France est insuffisante dans le processus dadoption des normes de scurit
Le processus pralable ladoption des normes : des enjeux de pouvoir mais une prsence insuffisante de reprsentants franais Le processus dadoption des normes est trs formel et la base des dcisions est la recherche du consensus. Cependant, avant dadopter des normes, un processus technique souvent informel se droule dans des groupes de travail dindustriels et dexperts ou dassociations des secteurs considrs
1. Institut of Electrical and Electronics Engineers (USA).
Une base industrielle et technologique spcialise en SSI autonome pour rpondre aux enjeux conomiques et de souverainet
121
dans lesquels la logique de lobby est trs forte et o chacun dfend ses intrts pouvant aller jusqu sopposer au processus de normalisation. tre absent de cette phase amont revient ne pas pouvoir rellement peser sur les orientations prises par les futures normes. Standarmedia 1 un outil de veille collaborative, cr par lAFNOR avec le soutien du ministre charg de lIndustrie et avec des partenaires industriels a identifi 63 instances actives en matire de scurit, dont 38 compltement ddies la scurit, lauthentification, la biomtrie et les cartes puce. 17 sont des groupes de travail consacrs la scurit au sein dorganisations gnralistes comme OASIS 2 ou IETF 3 qui regroupent des industriels. Les questions de scurit se retrouvent galement dans des thmes voisins comme la traabilit, notamment sous langle des tiquettes radiofrquence (RFID). La monte en puissance de la Chine ou la force du march : le cas de la scurit des rseaux sans fil Wifi Les systmes de rseaux de donnes sans fil illustrent les difficults rencontres avec la Chine. Sa tentation de crer des standards divergents est impute aux brevets occidentaux, jugs exorbitants, qui portent sur des technologies essentielles pour la mise en uvre. Les tats-Unis ont tabli une srie de spcifications travers lorganisme IEEE qui couvre les aspects de scurit qui ont t proposs lISO. Dans le mme temps, la Chine a cr un autre standard WAPI pour la scurit des rseaux Wifi, et le propose galement lISO qui doit donc prendre une dcision sur le standard qui aura valeur de rfrence mondiale. Cela apparatrait comme un mauvais signe pour le march si deux standards taient dvelopps en parallle, comme ce fut le cas sur la tlphonie mobile de seconde gnration avec le CDMA et le GSM. Cependant le march intrieur chinois reprsentant lui seul un potentiel norme, lISO ne peut prendre une position excluant a priori lun des deux standards. En cas de coupure en deux du march, ce qui semble assez vraisemblable vu la situation lISO 4 aujourdhui, les perdants seraient probablement les Europens du fait dun march intrieur assez troit qui les obligeraient choisir lune ou lautre technologie, sans doute le Wifi IEEE. Le management de la scurit des systmes dinformation, ISO 17 799 : la russite dune rfrence britannique La premire partie de la norme britannique BS7799 constitue de recommandations est devenue norme internationale sous le numro ISO17799. La seconde, fixant des exigences, est reste quelques annes dans les limbes, sous linfluence de grandes compagnies internationales opposes la certification en gnral. La seule certification qui existe aujourdhui est lattestation de conformit la norme britannique BS7799-2 qui na donc pas le caractre dune norme internationale.
1. www.standarmedia.com 2. OASIS : Organisation for the Advancement of Structural Information Standards localisation USA diffrents thmes traits dont PKI, biomtrie et signature lectronique. 3. IETF : Internet Engineering Task Force localisation USA groupe spcialis dans larchitecture et le fonctionnement de lInternet. 4. Source : auditions.
122
Selon cette source, plus de 1 700 certificats auraient t attribus dont plus de 1 000 des entreprises japonaises, 200 au Royaume-Uni et, semble-t-il un seul en France.
Normes nationales et internationales de scurit des systmes dinformation Situation jusquen 2005 Situation partir de 2006
Exigences
Peut faire lobjet dune certification BS 7799-2 ISO 27 001
Recommandations
Non-certifiable Peut faire lobjet dune valuation BS 7799-1 ISO 17 799 ISO 27 002
Une base industrielle et technologique spcialise en SSI autonome pour rpondre aux enjeux conomiques et de souverainet
123
Recommandations
protger.
La protection de cette information est une condition essentielle la prservation de nos entreprises et donc de lemploi. Ltat, au moment o se gnralise la dmatrialisation des procdures, se doit galement dtre exemplaire sur ce sujet. Il en va de la confiance des citoyens. La logique qui soutient le projet de rorganisation du dispositif SSI de ltat sinscrit dans la rflexion sur ltat stratge. Ltat stratge est un architecte de la comptitivit nationale et des nouveaux consensus sociaux induits par la mondialisation. Compte tenu de cette posture, il pilote des stratgies bases sur une meilleure cohrence des institutions publiques et destines produire leurs effets sur le systme dinnovation et lassimilation des mutations permanentes caractristiques du monde contemporain. Les recommandations proposes correspondent une double ambition : renforcer la posture stratgique de ltat en matire de TIC et de SSI ; assurer la mise en uvre oprationnelle des politiques et des dcisions de ltat en matire de SSI.
Six recommandations
La scurit des systmes dinformation, sans laquelle la souverainet nationale seffrite, doit tre considre comme une priorit nationale par les plus hautes autorits de ltat. Pour traduire cette priorit, le prsent rapport prconise 6 axes stratgiques mettre en uvre et une proposition dorganisation.
Recommandations
125
126
daccs Internet, socits de services, oprateurs tlcoms, utilisateurs) doivent tre impliqus et responsabiliss. En relation notamment avec les organisations professionnelles et syndicales ainsi que les ministres concerns, cela passera en particulier par : ltablissement obligatoire de chartes lusage des utilisateurs (en particulier lorsquils se dplacent ltranger), annexes au contrat de travail des salaris, y compris de la fonction publique, ou aux rglements intrieurs des entreprises ; la labellisation des entreprises fournisseurs de produits ou services de SSI (infogrance de scurit, fournisseurs de logiciels ou de matriels...) qui respectent un cahier des charges tablir.
Axe 3 : Renforcer la politique de dveloppement de technologies et de produits de SSI et dfinir une politique dachat public en cohrence
La scurisation de ladministration et des entreprises sensibles impose de disposer de produits de scurit matriss, au moins pour des fonctions sensibles. Loffre disponible se rvle notoirement insuffisante. Ltat doit concentrer des investissements sur les technologies et les produits de scurit cls en misant sur quelques acteurs. Cette politique de dveloppement de technologies et de produits de SSI doit contribuer ainsi : au maintien et au dveloppement dune industrie nationale et europenne spcialise, autonome et comptitive capable de dvelopper des produits de scurit au rythme de lvolution des besoins et des menaces ; lexportation auprs de clients soucieux de diversifier leurs fournisseurs ; la cration demplois haute valeur ajoute. Pour ce faire, les actions suivantes seront raliser, notamment en relation avec les entreprises : identifier priodiquement les maillons des systmes dinformation qui exigent des produits qualifis au sens de la DCSSI pour garantir la souverainet de ltat et des entreprises ; tablir et tenir jour un catalogue des produits de scurit nationaux qualifis et des produits europens adapts aux diffrents niveaux de scurit assurer ; enrichir ce catalogue par une politique volontariste de financements publics de R&D, nationale ou en coopration avec nos partenaires europens ; mobiliser les diffrents intervenants (ANR, A2I, fonds europens et les entreprises) pour accrotre leffort de recherche en SSI ; recentrer, mieux coordonner et intensifier les mcanismes daides au dveloppement des PME innovantes dans la SSI ; inciter les grands groupes faire confiance aux PME de SSI, travers notamment le pacte PME ;
Recommandations
127
renforcer la politique de certification et de qualification de produits et services de SSI par une augmentation des produits certifis et qualifis et une rduction des dlais et des cots de certification. accrotre la prsence et linfluence franaise dans les groupes de standardisation et les comits de normalisation ; renforcer les fonds dinvestissement en capital dveloppement. Le dveloppement de technologies et de produits doit saccompagner de la mise en uvre dune politique dachat public de produits et services de SSI, en conformit avec les rgles des marchs publics et les directives europennes, fonde sur le principe dautonomie comptitive, qui sarticulerait autour de trois objectifs complmentaires : garantir la meilleure efficacit conomique des investissements raliss par les ministres pour satisfaire leurs besoins de scurit ; assurer un accs des capacits industrielles et technologiques qui conditionnent la satisfaction long terme de ces besoins ; recourir des acteurs de confiance. Six actions devront tre engages : initier une action interministrielle visant dfinir et organiser une politique dachat commune (dfinition des processus, des critres de choix...) ; former les acheteurs lachat de produits et services de SSI ; identifier et suivre la chane de fournisseurs intervenant sur la SSI : sous-traitants, laboratoires... ; inciter au regroupement de loffre nationale puis europenne via la commande publique, pour faciliter une meilleure structuration du tissu industriel et permettre des PME datteindre la taille critique ; faciliter laccs des PME innovantes de SSI la commande publique ; informer les fournisseurs des programmes venir.
128
diffuser aux PME sous une forme adapte, les informations de veille, dalerte et de rponse disponibles au niveau des CERT nationaux ; initier et animer des forums thmatiques public priv favorisant la circulation dinformations, les retours dexpriences, le partage des bonnes pratiques...
par une sensibilisation accrue des magistrats et des forces de scurit (douanes, police et gendarmerie) en formation initiale et continue ; par la constitution dun ple judiciaire spcialis et centralis de comptence nationale ; par un renforcement des cooprations internationales visant amliorer la ralisation des enqutes judiciaires hors des frontires.
Recommandations
129
identifier les lments constitutifs des systmes dinformation qui doivent imprativement faire appel, pour leur ralisation, des produits qualifis ou des prestataires labelliss ; faire contrler par une autorit centrale lapplication de ces prescriptions par des inspections sur site et des tests dintrusion sans pravis ; pour disposer de spcialistes, mettre en place puis animer une filire SSI transverse dans laquelle la mobilit sera organise, tant lintrieur de la fonction publique quau travers de passerelles avec les entreprises et les centres de recherche ; dfinir les profils de poste des responsables (HFD 1, FSSI, AQSSI...) intgrant des formations spcialises et renforcer leur autorit et leur responsabilit au sein de leur ministre pour dcliner leur niveau la politique gouvernementale ; ils devront tre indpendants des directions des systmes dinformation. Pour ce qui est des oprateurs dinfrastructures vitales : valider la politique de scurit par lautorit centrale ; conduire des inspections et des tests dintrusion. Pour les entreprises sensibles, faire la demande des audits et des tests dintrusion. * * * Il est noter que certaines recommandations du rapport rejoignent les mesures proposes dans le Plan de Renforcement de la Scurit des Systmes dInformation de ltat en 2004. Ces recommandations ont t formules partir des lments recueillis lors des nombreuses auditions qui ont t conduites.
130
Le renforcement significatif des missions actuelles de la DCSSI qui en dcoulent, en particulier les plus oprationnelles, amne galement remettre en cause lorganisation mise en place en 1995. Rappel du dispositif principal actuel : SGDN : veiller la cohrence des actions gouvernementales en matire de SSI pour rpondre aux objectifs dfinis par le Premier ministre ; DCSSI : assurer la scurit des systmes dinformation de ltat et crer les conditions dun environnement de confiance ; CISSI : assurer la concertation entre les dpartements ministriels ; ministre de la Dfense : assurer la matrise duvre des produits gouvernementaux de haute scurit ; ministre de lconomie, des Finances et de lIndustrie : assurer lanimation du dveloppement des produits de scurit non-gouvernementaux. Cette organisation ne semble plus adapte aux enjeux actuels. Le nouveau dispositif prsent ne prend pas en compte les directions spcialises comme la DST et la DGSE dont les missions sur la SSI nont pas tre changes. Nanmoins, il sagira de clarifier les rles respectifs des nouvelles structures prsentes ci-aprs avec notamment lADAE et la CNIL. Pour ce qui est de la DGA, partie CELAR, sa spcificit, participer aux grands programmes industriels (porte-avions...), lamne tre moins prsente sur le secteur R&D en SSI. Les engagements budgtaires de ces dernires annes lont montr. Aussi sera-t-il ncessaire de revoir son implication sur ce thme dans la future organisation. Il est propos : de recentrer le dispositif tatique sous lautorit du Premier ministre afin de garantir la mise en uvre des axes stratgiques et dassurer la dimension interministrielle du dispositif (dcider, arbitrer, sanctionner) ; de sparer les fonctions oprationnelles des fonctions dautorit ; de mettre en place, partir des fonctions oprationnelles de la DCSSI renforces, une structure oprationnelle ddie, centralise et rattache au Premier ministre ayant une culture de rsultats pour assurer la mise en uvre dune partie importante des 6 axes. Dans ce schma, les fonctions dautorit resteraient au sein du SGDN et comprendraient titre dexemple les missions suivantes : laborer la politique nationale de SSI pour le compte et sous lautorit du Premier ministre et ses volutions futures ; valider les politiques de SSI de chaque ministre et des organismes sous tutelle ; valuer les rsultats de la structure oprationnelle ; assurer une veille stratgique sur lvolution des risques, des menaces, de la rglementation... ; initier le renforcement de la dimension judiciaire et des actions interministrielles en matire de politique dachat.
Recommandations
131
Les missions de la structure oprationnelle rattache au Premier ministre pourraient tre notamment les suivantes : Informer, sensibiliser, communiquer, veiller linformation et les actions de sensibilisation et de formation de tous les publics (administrations, entreprises, monde acadmique, citoyens...) ; la veille technique et mthodologique : animation dun rseau de veille SSI... la capitalisation et la diffusion des informations technologiques et mthodologiques (fiches techniques, guides, recommandations...) ; les changes dinformation entre les domaines SSI et IE ; la communication (portail, brochures, guides mthodologiques...) ; la promotion de la SSI (sminaires, colloques, prix...). Conseiller, supporter, auditer, inspecter le conseil et le support aux organisations gouvernementales, aux tablissements publics, aux grands rseaux dinfrastructure vitale et aux entreprises sensibles (au sens de lIE) ; lanimation, le conseil, le support et le suivi de lactivit des HFD en ce qui concerne le volet SSI de leurs activits ; le support technique et mthodologique aux services de scurit et de justice ; le premier niveau daccueil PME/PMI (guichet unique daiguillage) ; la promotion de dmarches mthodologiques, darchitectures solides et de plans de raction en cas dincident ; audits et inspections (organisation, continuit dactivit...) et tests dintrusion. Certifier, standardiser et normaliser la responsabilit des plans dactions de standardisation et de normalisation avec un rle actif dans les comits nationaux et internationaux ; la responsabilit de la certification et des actions de labellisation (fournisseurs, produits et services). Alerter et ragir la gestion de crise SSI (supervision et coordination des services, ressources ddies...) en liaison avec les cellules de crise tatiques (COSSI) ; la consolidation des diffrents rseaux dalerte (CERTs) ; la supervision de dispositifs rgionaux dalerte PME/PMI crer et qui pourraient tre hbergs par exemple par les CRCI. Mettre en uvre la politique industrielle et dachats publics la responsabilit des plans dactions didentification, dvaluation et de dveloppement des technologies et de produits sensibles (cryptologie, biomtrie, cls publiques, carte puces...) ; la responsabilit des plans daction de renforcement (financement...) du tissu industriel et des laboratoires de recherche spcialiss en SSI (matriels et services) ; le suivi du respect des impratifs des politiques SSI dans la commande publique (sensibilisation des instances rglementaires la dmarche SSI).
132
Participer aux relations institutionnelles internationales SSI la gestion des partenariats et des cooprations institutionnelles internationales : coopration europenne, autres agences SSI ltranger, relations SSI avec les entits intervenant dans les domaines de la scurit et de la dfense (OCDE, OTAN...). Assurer la gestion des ressources humaines la gestion de la filire de personnels spcialiss en SSI (FSSI, AQSSI, ASSI), avec notamment la dfinition des profils de postes ; la formation initiale et continue des personnels spcialiss. Enfin, la structure oprationnelle constitue un centre dexpertises et de moyens au service des fonctions dautorit. Constitues autour des quipes de lactuelle DCSSI (environ 110 personnes), les ressources de la structure oprationnelle seraient renforces par des complments de ressources pluridisciplinaires permanentes et des apports dexpertises ponctuelles externes publiques ou prives en fonction des programmes quelle sera amene conduire. titre de rfrence, le BSI allemand disposait en 2004 dun budget de 51 millions deuros (dont 19 millions de budget dtudes et de dveloppement) et de 410 collaborateurs. Afin de pouvoir : grer une relation client/fournisseur base sur la comptence et la qualit, les clients tant les administrations publiques, les collectivits territoriales, les entreprises, les rseaux dinfrastructures, les organismes de recherche et denseignement, et enfin les utilisateurs, attirer des comptences pointues dans des cadres de coopration et de rmunration souples, laborer des contrats de partenariat dans des conditions analogues ceux des entreprises prives ou publiques, type EPIC. la structure oprationnelle pourrait bnficier dun statut de
Enfin, la structure oprationnelle serait, comme le BSI allemand : dote de principe de gouvernance garantissant la confiance, limplication des personnels, la transparence et la neutralit ; mesure sur ses activits, notamment de support, de communication et de formation, selon des critres de performance et de qualit.
Recommandations
133
Annexes
Annexe I
Bibliographie
Sites Web
Franais
Gouvernementaux www.certa.ssi.gouv.fr : site du centre dexpertise gouvernemental de rponse et de traitement des attaques informatiques (CERTA). www.adae.gouv.fr : site de lagence de dveloppement de ladministration lectronique. cfssi@sgdn.pm.gouv.fr et www.formations.ssi.gouv.fr www.club.senat.fr : laboratoire dides du Snat en amont des processus lgislatifs. www.internet.gouv.fr : site ddi laction de ltat et socit de linformation. www.interieur.gouv.fr/rubriques/c/c3_police_nationale/c3312_oclctic : site de la Police nationale (OCLCTIC). www.legifrance.gouv.fr : service public de la diffusion du droit. www.ssi.gouv.fr : site gouvernemental dinformation sur la SSI. www.telecom.gouv.fr : site de la direction gnrale de lindustrie, des technologies de linformation et des postes au ministre en charge de lconomie, des Finances et de lIndustrie (DIGITIP). Autres sites www.adit.fr : site de lagence pour la diffusion de linformation technologique (ADIT). www.afnor.fr : site de lassociation franaise de normalisation (AFNOR). www.clusif.asso.fr : site du club de la scurit des systmes dinformation franais (CSSIF), association qui sest fix lanalyse de la sinistralit dans le monde informatique. www.cnil.fr : site de la commission nationale de linformatique et des liberts (CNIL). www.cigref.fr : site du club informatique des grandes entreprises franaises (CIGEF). www.fing.org : site de la fondation Internet nouvelle gnration (FING). www.foruminternet.org : site du forum des droits sur Internet. www.idc.com ou www.idc.com/france/index.html : sites dIDC, spcialiste du conseil dans le domaine des technologies de linformation. www.journaldunet.com : site du Journal du Net, journal en ligne comportant de nombreuses rubriques ddies la scurit notamment sur Internet et des tmoignages dentreprises et de prestataires.
Annexes
137
www.ladocumentationfrancaise.fr : site de la Documentation franaise. www.osir.org : site de lobservatoire de la scurit des systmes dinformation et des rseaux (OSSIR). www.sg.cnrs.fr : site du Centre national de la recherche scientifique (CNRS) ddi la scurit et la protection du patrimoine scientifique. www.urec.cnrs.fr : site de lUREC/CNRS.
trangers
www.bsi.bund.de : site du Bundesamt fr Sicherheit der Informationstechnik du Gouvernement allemand. www.cert.org : site du Cert Coordination Center, organisation mondiale animant lensemble des CERT nationaux. www.cesg.gov.uk : site du Communications Electronics Security Group, the National Technical Authority for Information Assurance du RoyaumeUni. www.cse.dnd.ca : site du centre de la scurit des tlcommunications du Canada. www.dsd.gov.au : site du Defence Signals Directorate Australian Government Department of Defence. www.enisa.eu.int : site de lEuropean Network and Information Security Agency (ENISA). www.issaireland.org : site de lIrish Information Security Organisation. www.nist.gov : site de lagence amricaine National Institute of Standards and Technology. www.nsa.gov : site de la National Security Agency/Central Security Service des tats-Unis. www.raingod.com/angus/Computing/Internet/spam/index.html : site de spammers Live in Vain, association anglophone ddie la lutte contre les spams. www.securitystats.com : site anglophone cr en avril 2000 afin de disposer de statistiques mondiales sur la scurit informatique. www.sophos.fr/virusinfo/analyses/w32sassera.html http://Webdomino1.oecd.org/COMNET/STI/IccpSecu.nsf?OpenDatabase site de lOCDE ddi la scurit des systmes dinformation. www.xesic.com : certification, normes.
Bibliographie
01 Informatique -01 DSI. Cybersecurity Curricula in European Universities, Gabriel Clairet, Observatoire des sciences et des techniques Fondazione Rosselli, janvier 2003. Politique de scurit des systmes dinformation et sinistralit en France, enqute intersectorielle, Clusif, 2003. Plan Safer Internet Plus , Commission europenne, 2005. Computer Crime and Security Survey, CSI/FBI, 2005. Dynamique de la relation entre direction gnrale et direction des systmes dinformation dans les grandes entreprises franaises, Livre blanc CIGREF/MacKinsey&Company, novembre 2002.
138
Dynamique des relations autour des systmes dinformation dans les quipes de direction des grandes entreprises franaises, Livre blanc CIGREF/MacKinsey&Company, septembre 2004. Futuris et conseil stratgique des technologies de linformation, Groupement franais de lindustrie de linformation, octobre 2003. Guide de larchivage lectronique scuris, juillet 2000. Guide de sensibilisation la scurisation des systmes dinformation et du patrimoine informationnel de lentreprise, Medef, mai 2005. Direction de linnovation et de la recherche, Medef, mai 2005. Guide de la scurit des systmes dinformation lusage des directeurs, CNRS, 2e trimestre 1999. Western European security software forecast and competitive vendors shares, 2003-2008, IDC, 2003. March franais de la scurit des systmes dinformation (entreprises) tat de loffre et de la demande, IDC, 2005. Intelligence conomique et stratgique. Les systmes dinformation au cur de la dmarche, CIREF, mars 2003. Intelligence conomique applique la direction des systmes dinformation, CIGREF, mars 2005. Intelligence juridique et systmes dinformation, CIGREF, septembre 2004. Intimit et scurit, les clefs de la confiance dans lconomie numrique, club Snat.fr, juin 2004. Lagence conomique et financire (AGEFI). La scurit lheure dInternet, Rapport du CIGREF, octobre 2000. La scurit des systmes dinformation dans les entreprises franaises en 2004, vision compare de la France et du monde, Ernst&Young, dcembre 2004. Le Monde Informatique. Ltat stratge les organes, les outils et les pratiques au sein de la sphre publique : de la gestion la gouvernance, CEPS, octobre 2005. Les priorits des responsables scurit en 2005, Cahier thmatique, CSO, avril 2005. Les chos. Internet Secutiy System (ISS) sur la scurit des systmes dinformation, Livre blanc, IDC France, avril 2005. Mission pour lconomie numrique tableau de bord du commerce lectronique de dcembre 2004, 6e dition, Services des tudes et des statistiques industrielles (SESSI), Ministre dlgu lIndustrie. Plan de renforcement de la scurit des systmes dinformation de ltat (2004-2007), 10 mars 2004. Politique industrielle : les outils dune nouvelle stratgie, Bernard Carayon Dput, Assemble nationale, mai 2005. Politique de rfrencement intersectorielle de scurit (PRIS) ADAE et SGDN-DCSSI version 2.0 du 1er juin 2005. Pour une stratgie de scurit conomique nationale, Bernard Carayon Dput, Assemble nationale, juin 2004. Pour un management stratgique des cyber-risques, Herv Schauer, Livre blanc des assises de la scurit, octobre 2004. Quelle scurit aprs le 11 mars ?, SERENDIP, septembre 2004.
Annexes
139
Rapport sur la scurit des rseaux, Club Snat.fr, 2005. Internet Security Threat Report, socit Symantec, septembre 2006. Thierry Dassault, Les espaces de confiance in Dfense Nationale, no 11, novembre 2005. Scurit des rseaux et de linformation : proposition pour une approche politique europenne, Communication de la commission au Conseil, au Parlement europen, au comit conomique et social et au comit des rgions, 2001. Scurit des systmes dinformation. Quelle politique globale de gestion des risques ?, CIGREF, septembre 2002. Veille stratgique. Organiser la veille sur les nouvelles technologies de linformation, CIGREF, septembre 1998. Synthse des besoins de scurit et analyse des risques, tude OPPIDA pour le compte du Minefi/DIGITIP, septembre 2002.
140
Annexe II
Annexes
141
Sous-direction des services techniques et des moyens informatiques Monsieur Michel Guerin, contrleur gnral, sous-directeur Monsieur Stphane Tijardovic, commissaire divisionnaire, chef de division
Ministre de la Dfense
tat-major des Armes Monsieur Le gnral darme Henri Bentegeat, chef dtat-major Direction gnrale de la scurit extrieure Monsieur Pierre Brochand, directeur Monsieur le gnral Mathian, directeur technique Gendarmerie nationale Direction gnrale de la Gendarmerie nationale Monsieur le gnral Christian Brachet, sous-directeur des tlcommunications et informatique
142
Service des technologies et de la socit de linformation Sous-direction rseaux, multimdia et communication en ligne Madame Mireille Campana, ingnieur gnral des tlcommunications, sous-directrice
Autorits administratives
AMF Direction gestion interne et ressources humaines Madame Florence Roussel, secrtaire gnrale adjointe Service des systmes dinformation Monsieur Franois Paysant, chef du service CNIL Monsieur Christophe Pallez, secrtaire gnral Direction de lexpertise informatique et des contrles Monsieur Jean-Luc Bernard, expert informaticien Forum des droits sur Internet Madame Isabelle Falque-Pierrotin, prsidente
Grandes entreprises
Aroports de Paris Direction de la Sret Monsieur Jean-Louis Blanchou, prfet, directeur Direction de linformatique et tlcommunications Monsieur Jean Verdier, directeur Monsieur Guy-Pierre Rodriguez, responsable ple infrastructures et architectures techniques Direction de la Stratgie Monsieur Jean-Pierre Roche, manager des risques Monsieur Jacques Demeuzoy, responsable scurit systmes informatiques
Annexes
143
Air France Direction gnrale des systmes dinformation Monsieur Jean-Christophe Lalanne, directeur stratgie, architecture, technologie, scurit Monsieur Bruno Chambrelent, responsable de la scurit des systmes dinformation AFNOR Monsieur Pascal Poupet, chef du dpartement transports, nergies et communications AXA Monsieur Pascal Buffard, directeur AXA France services AXALTO Monsieur Laurent Vieille, VP Business dveloppement Monsieur Philippe Bouchet, responsable scurit Monsieur Pierre Franois, business manager governement Banque de France Monsieur George Peiffer, adjoint au secrtaire gnral, directeur de lorganisation informatique Direction de la prvention des risques Monsieur Jean-Pierre Delmas, responsable de la scurit de linformation CDC Monsieur Jean-Jacques Delaporte, directeur gnral informatique Monsieur Serge Bergamelli, responsable du dpartement des quipements numriques des territoires et du programme FAST CISCO Monsieur Alain Fiocco, directeur Europe stratgie technologique Monsieur Olivier Esper, responsable affaires publiques Crdit Agricole Monsieur Robert Zeitouni, responsable du ple scurit et continuit dactivit EADS Monsieur J.P. Quemard, directeur de la scurit DCS/EADS Monsieur I. Lahoud, directeur scientifique CCR/EADS Monsieur Jean-Pierre Philippe, secrtaire gnral marketing/international/stratgie EDF Madame Dominique Spinosi, directrice de la scurit Monsieur Renaud de Barbuat, directeur des systmes dinformation France Tlcom Monsieur Philippe Duluc, directeur de la scurit, direction de la scurit de linformation Groupement des cartes bancaires Monsieur Yves Randoux, administrateur
144
IBM Monsieur Jean Grevet, IGS/Responsable scurit et Risk management KEYNECTIS Monsieur Thierry Dassault, prsident Monsieur Pascal Colin, directeur gnral La Poste Direction de la qualit et de la scurit du groupe Service de la sret du groupe Monsieur Eric Le Grand, directeur scurit du groupe Monsieur Herv Molina, superviseur de laudit informatique Michelin Monsieur Jean-Pierre Vuillerme, directeur des services environnement et prvention du groupe Microsoft Monsieur Bernard Ourghanlian, directeur technique et scurit Monsieur Stphane Senacq, responsable affaires publiques et relations institutionnelles OSEO BDPME Monsieur Xavier de Broca, directeur de lorganisation et des systmes dinformation FIEEC Monsieur Pierre Gattaz, vice-prsident, prsident de Radiall RIM Monsieur Don Morrison, directeur gnral des oprations de RIM Monsieur Pierre Bury, directeur des relations avec le secteur public en Europe Madame Valrie Wang, ingnieur Sagem Dfense Scurit Groupe Safran Division scurit Monsieur Jean-Paul Jainsky, directeur gnral adjoint, directeur de la division scurit Dpartement systmes dinformation et de commandement aroterrestre Division optronique et systmes aroterrestres Monsieur Laurent Dupas, directeur Monsieur le gnral Patrice Sartre, conseiller militaire Terre SNCF Direction des finances, des achats et des systmes dinformation et de tlcommunication Monsieur Michel Baudy, directeur des systmes dinformation et tlcommunication
Annexes
145
Suez Monsieur Jean-Michel Binard, directeur des systmes dinformation Monsieur Henry Masson, directeur central risques, organisation et services centraux Monsieur Rgis Poincelet, directeur dpartement scurit groupe Thales Monsieur Dominique Vernay, directeur de la recherche Monsieur Jacques Bidaut, direction scurit groupe, scurit des systmes dinformation Monsieur Marko Erman, directeur de la recherche et de la technologie, systme terre et interarmes Monsieur Jacques Delphis, directeur des relations extrieures et institutionnelles Total Monsieur Philippe Chalon, directeur des systmes dinformation et tlcommunication Monsieur Christophe Cevasco, charg des relations avec le Parlement et les lus
PME
Arkoon Monsieur Thierry Rouquet, prsident Ercom Monsieur Jean Lacroix, prsident Everbee Networks Monsieur Patrick de Roquemaurel, prsident Ideal X Monsieur Olivier Guilbert, prsident-directeur gnral NETASQ Monsieur Jean-Pierre Tomaszek, directeur gnral LSTI Madame Armelle Trotin, prsidente OPPIDA Monsieur Olivier Mary, directeur technique SISTECH Monsieur Roger Simon, prsident-directeur gnral Monsieur Jrme Chappe, directeur gnral
Fonds dinvestissement
ACE Management Monsieur Thierry Letailleur, managing partner Alven Capital Monsieur Charles Letourneur, partner
146
Ventech Monsieur Eric Huet, general partner Iris Capital Monsieur Pierre de Fouquet, managing partner
coles/instituts
cole Polytechnique Monsieur Maurice Robin, directeur de la recherche ENST Bretagne Monsieur Gilles Martineau, directeur dtudes, dlgu du directeur, responsable du campus ENST Bretagne Rennes EPITECH Monsieur Sbastien Benot, professeur, responsable Intranet/site Web EPITECH INRIA Monsieur Claude Kirchner, directeur de recherche, responsable du projet Protho Monsieur Laurent Kott, executive advisor INRIA Transfert INT Monsieur Jean-Louis Ermine, professeur, directeur du dpartement des systmes dinformation SUPELEC Monsieur Alain Bravo, directeur gnral
Associations/organisations professionnelles
Comit richelieu Monsieur Buselli, prsident Monsieur Emmanuel Leprince, dlgu gnral CIGREF Monsieur Jean-Franois Pepin, dlgu gnral Monsieur Ludovic tienne, charg de mission Monsieur Stphane Rouhier, charg de mission Madame Sophie Bouteiller, charge de mission Monsieur Janick Taillandier, RATP, dpartement ses systmes dinformation et de tlcommunication, directeur du dpartement Monsieur Franois Blanc, VALEO, directeur des systmes dinformation Monsieur Zbigniew Kotur, NEXANS, responsable de la scurit CLUSIF Monsieur Pascal Lointier, dlgu gnral FEDERATION SYNTEC Monsieur Bruno Carrias, dlgu gnral
Annexes
147
Droit
Monsieur David Benichou, magistrat Monsieur Jean-Louis Bruguire, magistrat Monsieur Alain Bensoussan, avocat la Cour
tranger
Responsables/BSI
148
Annexe III
Glossaire
Technique (source DCSSI)
Agent de scurit : Il a pour mission dappliquer les mesures de scurit aux documents classifis trs secret et den assurer la gestion. Il est dsign par le chef de lorganisme o est implante lantenne ; ses missions ne doivent pas tre confondues avec celles qui sont dvolues lagent de scurit dans une entreprise titulaire dun march class de Dfense qui est dsign par le responsable de lentreprise aprs agrment de lAdministration ayant contract le march. Agrment : Reconnaissance formelle que le produit ou systme valu peut protger des informations jusqu un niveau spcifi dans les conditions demploi dfinies. Agrment dun laboratoire : Reconnaissance formelle quun laboratoire possde la comptence pour effectuer des valuations dun produit ou dun systme par rapport des critres dvaluation dfinis. Analyse cryptologique : tude des moyens de chiffrement pour en dceler et mettre en vidence les faiblesses de conception ou les fautes ventuelles dutilisation. Architecture fonctionnelle : Dcrit les objets du systme essentiel : traitements, donnes, contrles. Larchitecture fonctionnelle constitue le premier niveau niveau conceptuel dans le cycle dabstraction de la conception. Architecture technique : Dcrit les ressources ncessaires au systme de traitement de linformation : transformation, mmorisation/acquisition/visualisation, communication. Larchitecture technique constitue le deuxime niveau niveau logique dans le cycle dabstraction de la conception. Archivage : Ds quils ne font plus lobjet dune utilisation habituelle, les documents classifis prsentant un intrt administratif et historique doivent tre verss aux dpts darchives suivants : soit les services historiques des armes pour le dpartement ministriel de la Dfense et les services rattachs, soit les archives du ministre des Relations extrieures, pour ce qui les concerne, soit la direction des Archives de France Archives Nationales pour toutes les administrations et organismes civils grant des archives publiques, ces services tant seuls quips, en effet, pour recevoir des documents classifis, jusquau niveau Secret Dfense inclus...
Annexes
149
Assurance : Proprit dune cible dvaluation permettant de sassurer que ses fonctions de scurit respectent la politique de scurit de lvaluation. Attributs de scurit : Informations (telles que lidentit, le niveau dhabilitation, le besoin den connatre, etc.) relatives un utilisateur autoris, permettant dtablir ses droits et privilges. Attestation de reconnaissance de responsabilit : Elle a pour objet de faire prendre conscience au titulaire dune dcision dadmission ou dagrment des responsabilits particulires qui viennent sajouter ses responsabilits administratives du fait de lautorisation daccs aux informations classifies. Il est ncessaire, en raison de la gravit des infractions en matire de protection des informations classifies, sanctionnes par les dispositions du code pnal, que le titulaire de la dcision dadmission en soit inform au pralable. Audit : Examen mthodique dune situation relative un produit, un processus, une organisation, ralis en coopration avec les intresss en vue de vrifier la conformit de cette situation aux dispositions prtablies, et ladquation de ces dernires lobjectif recherch. [dfinition ISO, daprs la norme AFNOR Z61-102] Audit dagrment : Examen mthodique et indpendant en vue de dterminer si les activits et rsultats relatifs lagrment satisfont aux dispositions prtablies, si ces dispositions sont mises en uvre de faon efficace et si elles sont aptes atteindre les objectifs. Auditabilit : Garantir une matrise complte et permanente sur le systme et en particulier pouvoir retracer tous les vnements au cours dune certaine priode. Audit : Il sagit dune personne physique ou dun groupe de personnes ayant en charge le systme soumis audit. Il assure les deux fonctions suivantes : responsable du systme, responsable de la scurit du systme. Il est linterlocuteur privilgi de lauditeur. Auditeur : Cest lintervenant (personne seule ou groupe dindividus) responsable de la mission daudit. Authenticit : Fait de ne pas permettre, par la voie de modifications autorises, une perte du caractre complet et juste de linformation. Authentification/identification : Lauthentification a pour but de vrifier lidentit dont une entit se rclame. Gnralement lauthentification est prcde dune identification qui permet cette entit de se faire reconnatre du systme par un lment dont on la dot. En rsum, sidentifier cest communiquer son identit, sauthentifier cest apporter la preuve de son identit. Autorit de certification (AC) : Tierce partie de confiance pour la gnration, la signature et la publication des certificats de cls publiques. Autorit fonctionnelle : Autorit responsable du point ou du rseau sensible et habilite traiter sur le plan territorial avec les pouvoirs publics, de tous les problmes concernant la prparation et la mise en uvre des mesures de scurit.
150
Autorit de scurit (AS) : Entit responsable de la dfinition, de limplmentation et de la mise en uvre dune politique de scurit. Besoin de scurit : Expression a priori des niveaux requis de disponibilit, dintgrit et de confidentialit associs aux informations, fonctions ou sous-fonctions tudies. Besoins de scurit : Dfinition prcise et non-ambigu des niveaux de confidentialit, dintgrit et de disponibilit quil convient dassurer une information. Biens sensibles : lments du systme quil est indispensable de protger pour satisfaire les objectifs de scurit. Ils sont identifis par une analyse propre chaque systme, qui prend en compte en particulier les conditions denvironnement et les menaces auxquelles celui-ci est soumis. Les rsultats de cette analyse sont consigns dans le dossier de scurit et doivent prciser si les biens sensibles font lobjet dune classification. Dans le cas prsent, les biens sensibles incluent au minimum les donnes denregistrement. Bi-cl : Couple cl publique, cl prive (utilises dans des algorithmes de cryptographie asymtriques). Certificat : Dclaration formelle confirmant les rsultats dune valuation, et le fait que les critres dvaluation ont t correctement utiliss. Chiffrement : Transformation cryptographique de donnes produisant un cryptogramme. [ISO 7498-2] Chiffrement de bout en bout : Chiffrement de donnes lintrieur ou au niveau du systme extrmit source, le dchiffrement correspondant ne se produisant qu lintrieur, ou au niveau du systme extrmit de destination. [ISO 7498-2] Chiffrement de liaison : Application particulire du chiffrement chaque liaison du systme. Le chiffrement de liaison implique que les donnes soient du texte en clair dans les entits relais. [ISO 7498-2] Cible dtude : Systme dinformation ou partie de celui-ci qui est soumis ltude de scurit EBIOS. Cible de scurit : Spcification de la scurit qui est exige dune cible dvaluation et qui sert de base pour lvaluation. La cible de scurit doit spcifier les fonctions ddies la scurit de la cible dvaluation. Elle spcifiera aussi les objectifs de scurit, les menaces qui psent sur ces objectifs ainsi que les mcanismes de scurit particuliers qui seront employs. [ITSEC] Cible dvaluation : Systme dinformation ou produit qui est soumis une valuation de la scurit. [ITSEC] Cl de base : Cl utilise pour chiffrer/dchiffrer les cls de trafic transmises sur le rseau ou mmorises dans les moyens de cryptophonie. Cl de chiffrement : Srie de symboles commandant les oprations de chiffrement et de dchiffrement. [ISO 7498-2]
Annexes
151
Cl de session : Cl dont la validit dure le temps dune session. Cl publique : Cl librement publiable et ncessaire la mise en uvre dun moyen ou dune prestation de cryptologie pour des oprations de chiffrement ou de vrification de signature. Ainsi, une cl publique est une cl mathmatique qui peut tre rendue publique et dont lusage est de vrifier les signatures lectroniques ralises par la cl prive associe. Cl publique : Un systme cl publique (ou asymtrique) utilise deux cls, une cl secrte et une cl publique ayant la proprit suivante : la cl publique tant dvoile, il est impossible de retrouver par calcul la cl secrte. Cl prive : Une cl prive est associe une cl publique pour former une bi-cl. Elle est garde secrte par son dtenteur. Son usage est de signer lectroniquement des donnes et de dchiffrer celles chiffres par la cl publique associe. Cl secrte : Cl volontairement non-publie ncessaire la mise en uvre dun moyen ou dune prestation de cryptologie pour des oprations de chiffrement ou de dchiffrement. Client : Entit demandant un service. Client-Serveur : Communication mettant en relation un client et un serveur. Client Scuris ou Serveur Scuris : Client ou serveur ayant besoin des services de scurit. Condensat : Chane de caractres produite par une fonction de hachage [ISO 10118-1]. Confidentialit : Proprit dune information qui nest ni disponible, ni divulgue aux personnes, entits ou processus non-autoriss. [ISO 7498-2] Confidentiel Dfense : Cette mention est rserve aux informations qui ne prsentent pas en elles-mmes un caractre secret mais dont la connaissance, la runion ou lexploitation peuvent conduire la divulgation dun secret intressant la Dfense nationale et la sret de ltat. [article 5 du dcret no 81-514 du 12 mai 1981 relatif lorganisation de la protection des secrets et des informations concernant la Dfense Nationale et la sret de ltat]. Contexte de scurit : Ensemble des lments ncessaires pour assurer les services de scurit. Cryptogramme : Donnes obtenues par lutilisation du chiffrement. Le contenu smantique des donnes rsultantes nest pas comprhensible. [ISO 7498-2] Cryptographie : Discipline incluant les principes, moyens et mthodes de transformation des donnes, dans le but de cacher leur contenu, dempcher que leur contenu ne passe inaperu et/ou dempcher leur utilisation non-autorise [ISO 7498-2]. Il existe deux types de cryptographie : la cryptographie symtrique dite cl secrte et la cryptographie asymtrique dite cl publique
152
Cryptopriode : Priode de temps pendant laquelle les cls dun systme restent inchanges. Dchiffrement : Opration inverse dun chiffrement rversible. [ISO 7498-2] Dcryptement : Vise rtablir, en utilisant les rsultats de lanalyse cryptologique, le libell clair des informations chiffres, sans en possder la cl. Distribution : Dlivrance par une autorit de distribution aux parties communicantes des cls mettre en uvre pour chiffrer ou dchiffrer des informations, y compris, le cas chant, des lments propres dautres abonns. Domaine : Ensemble des ressources et entits sur lesquelles sapplique une mme politique de scurit, cet ensemble tant administr par une autorit unique. Donne : Reprsentation dune information sous une forme conventionnelle destine faciliter son traitement. Entit : Individu utilisateur, processus ou serveur scuris. Entit sujet : lment du modle fonctionnel dun service de scurit qui dsigne lacteur ou le bnficiaire principal de ce service (par exemple un individu vis--vis du service dauthentification ou de contrle daccs). Entit objet : lment du modle fonctionnel dun service de scurit qui dsigne la cible ou le bnficiaire de ce service (par exemple une ressource ou une information vis--vis du service de contrle daccs). Entit fonctionnelle : lment du modle fonctionnel dun service de scurit qui dsigne une entit considre du point de vue de son comportement, indpendamment de sa ralit physique ou technique. valuation : Estimation de la scurit dun produit ou dun systme par rapport des critres dvaluation dfinis. Fonction de hachage : Fonction qui transforme une chane de caractres en une chane de caractres de taille infrieure et fixe. Cette fonction satisfait deux proprits : il est difficile pour une image de la fonction de calculer lantcdent associ ; il est difficile pour un antcdent de la fonction de calculer un antcdent diffrent ayant la mme image. Fonction de scurit : Mesure technique, susceptible de satisfaire un objectif de scurit. Fonction de service : Action attendue dun produit (ou ralise par lui) pour rpondre un lment du besoin dun utilisateur donn (source NF X 50-150). Le terme utilisateur dsigne ici des personnes ou des entits fonctionnelles du systme. Homologation : Autorisation dutiliser, dans un but prcis ou dans des conditions prvues, un produit ou un systme (en anglais : accreditation). Cest lautorit responsable de la mise en uvre du produit ou du systme qui dlivre cette autorisation, conformment la rglementation en vigueur.
Annexes
153
Infrastructure cls publiques (ICP) : galement appele PKI (Public Key Infrastructure) en anglais. Ensemble de moyens techniques, humains, documentaires et contractuels mis la disposition dutilisateurs pour assurer, avec des systmes de cryptographie asymtrique, un environnement scuris aux changes lectroniques. Identification : Procd permettant de reconnatre un utilisateur de manire sre par la rcupration de donnes qui lui sont propres. Information : lment de connaissance susceptible dtre reprsent laide de conventions pour tre conserv, trait ou communiqu. Renseignement ou lment de connaissance susceptible dtre reprsent sous une forme adapte une communication, un enregistrement ou un traitement. Intgrit : Garantie que le systme et linformation traite ne sont modifis que par une action volontaire et lgitime. Lorsque linformation est change, lintgrit stend lauthentification du message, cest--dire la garantie de son origine et de sa destination. [ISO 7498-2] Mcanisme de scurit : Logique ou algorithme qui implmente par matriel ou logiciel une fonction particulire ddie la scurit ou contribuant la scurit. [ITSEC] Politique de scurit : Ensemble des critres permettant de fournir des services de scurit. [ISO 7498-2] Politique de scurit technique : Ensemble des lois, rgles et pratiques qui rgissent le traitement des informations sensibles et lutilisation des ressources par le matriel et le logiciel dun systme dinformation ou dun produit. [ITSEC] Rpudiation : Fait de nier avoir particip des changes, totalement ou en partie. Rvocation : Annonce quune cl prive a perdu son intgrit. Le certificat de la cl publique correspondante ne doit plus tre utilis. Service : Regroupement cohrent de fonctions de service visant rpondre un lment du besoin dun utilisateur ou dentits fonctionnelles du systme. Sauf prcision contraire, dans le prsent document, le terme service dsigne un regroupement de fonctions de scurit ou de fonctions assurant le support de celles-ci. Session : Une session reprsente lintervalle de temps entre le dbut dun change ou dune communication et sa fin. Systme dinformation : Tout moyen dont le fonctionnement fait appel llectricit et qui est destin laborer, traiter, stocker, acheminer, prsenter ou dtruire linformation. Systme informatique : Ensemble form par un ordinateur et les diffrents lments qui lui sont rattachs. Ceci concerne les matriels et les logiciels.
154
Organismes
ADAE : Agence pour le dveloppement de ladministration lectronique. BRCI : Brigade centrale de la rpression de la criminalit informatique. CCSDN : Commission consultative du secret de la Dfense nationale. CEMA : Chef dtat-Major des Armes. CEMAA : Chef dtat-Major de larme de lair. CEMAT : Chef dtat-Major de larme de terre. CMM : Chef dtat-Major de la marine. CERT-RENATER : centre dalerte et de rponse aux attaques informatiques ddi aux membres de la communaut GIP-RENATER Rseau national de tlcommunication pour la Technologie, lEnseignement et la Recherche. CERTA : Centre dexpertise gouvernemental de rponse et de traitement des attaques informatises reli au DCSSI. CESTI : Centres dvaluation de la scurit des technologies de linformation reconnus par la DCSSI. CFSSI : Centre de formation la scurit des systmes dinformation. CIGREF : Club informatique des grandes entreprises franaises. CIRT-IST : CERT priv ralis par Alcatel, le CNES, Total et France Tlcom. CISI : Comit interministriel pour la socit de linformation. CISSI : Commission interministrielle pour la scurit des systmes dinformation. CLUSIF : Club de la scurit informatique des systmes dinformation franais. CNIL : Commission nationale informatique et liberts. CNIS : Commission nationale de contrle des interceptions de scurit. COSSI : Centre oprationnel de la scurit des systmes dinformation. DCSSI : Direction centrale de la scurit des systmes dinformation. DGA : Dlgation gnrale pour larmement. DGGN : Direction gnrale de la gendarmerie nationale. DGSE : Direction gnrale de la scurit extrieure. DPSD : Direction de la protection et de la scurit de la dfense. DST : Direction de la surveillance du territoire. DSTI : Direction des systmes terrestres et dinformation. INHES : Institut national des hautes tudes de scurit (ex IHESI).
Annexes
155
INPS : Institut national de police scientifique. OCLCTIC : Office central de lutte contre la criminalit lie aux technologies de linformation et de la communication. OPVAR : Organisation permanente de veille alerte rponse. OSSIR : Observatoire de la scurit des systmes dinformation & des rseaux. PAGSI : Programme daction gouvernemental pour lentre de la France dans la socit de linformation. RECIF : Recherches et tudes sur la criminalit informatique franaise. STSI : Service des technologies et de la socit de linformation (Minefi/ DGE). SEFTI : Service denqute des fraudes aux technologies de linformation. SGA : Secrtariat gnral pour ladministration. SGDN : Secrtariat gnral de la Dfense nationale.
156
Annexes
Annexe IV
Le WEP et le WPA sont deux des mthodes de cryptage du trafic sans fil entre clients et point daccs sans fil.
DMZ ou zone dmilitaris est un espace intermdiaire scuris entre le rseau extrieur et intrieur.
Serveur LDAP : annuaire dentreprise scuris permettant de grer les autorisations daccs
SSO : permet un utilisateur daccder des services en ne devant sidentifier quune seule et unique fois via LDAP
IDS : systme combinant logiciel et matriel, qui permet de dtecter en temps rel les tentatives dintrusion sur un rseau interne
157
Intranet : rseau strictement local et priv qui utilise les technologies de lInternet : web, e-mail, non ouvert aux connexions publiques
Serveur : ordinateur grant laccs aux ressources et aux priphriques et les connexions des diffrents utilisateurs : un serveur de fichiers prpare la place mmoire pour des fichiers ; un serveur dimpression gre et excute les sorties sur imprimantes du rseau un serveur dapllications rend disponible sur son disque dur des programmes partags .
DNS : permet deffectuer la corrlation ebntre les adresses IP (82.64.52.31) et le nom de domaine associ (xxx.gouv.fr)
Annexe V
Annexes
159
savoir-faire de lentreprise, etc., sont dautant dindications qui constituent des informations. Aussi, une dmarche de protection de linformation commencera par lidentification des informations, quelles que soient leur forme, dont la confidentialit doit tre protge, en raison : des avantages que leur divulgation procurerait la concurrence ou aux partenaires ; des exigences lgales et rglementaires encadrant ces informations. Cest aussi lanalyse de risques qui permet de dterminer le nombre de niveaux de protection ncessaire chaque structure.
Squelles compromet- Perturbations ponctant laction court et tuelles moyen terme Des risques sont pris en connaissance de cause La frquence et le cot du prjudice potentiel dterminent les mesures prises
Aucun risque mme r- Des risques trs limisiduel nest acceptable ts peuvent tre pris Recherche dune protection maximale Prise en compte de la notion de probabilit doccurrence
Recommandations
Une attente particulire est apporte aux possibilits de compilation ou de croisement des donnes. En effet, la consolidation de donnes, a priori peu sensibles lorsquelles sont prises sparment, peut constituer une information confidentielle. Afin dassurer un niveau de protection homogne et juste ncessaire ni trop, ni pas assez il est recommand de dsigner explicitement les personnes responsables de la classification des informations 1, de leur fournir un vade-mecum pour les aider dans cette mission et dactualiser rgulirement ce document.
1. Lattribution de cette responsabilit variera suivant la taille de lentreprise, son organisation, lorigine, la forme ou la finalit des informations, etc. Par exemple, dans des structures de taille importante, un responsable dans chaque secteur dactivit peut tre en charge de la classification et de lapplication des mesures de protection, dans dautres, chaque personne lorigine dune information est responsable de sa protection.
160
Annexe VI
Les hacktivistes
Lhacktivisme est une contraction de hacker et activisme. Ici lon retrouve deux concepts rassembls. Le hacktiviste infiltre les rseaux en mettant son talent au service de ses convictions politiques, thiques ou religieuses et pratique des piratages, dtournements de serveurs, remplacement de pages daccueil par des tracts, spamming... Chacune de ces catgories peut rpondre une ou plusieurs motivations comme par exemple la cration dun cheval de Troie commandit par une entreprise qui correspond une motivation stratgique (accs frauduleux aux informations) et une menace cupide (gagner des parts de march). Si loutil est mis en libre disposition sur Internet il pourra par la suite rpondre galement une menace ludique ou une menace terroriste.
Les hackers
Le jargon informatique dfinit diffrentes catgories de hackers en fonction de leur champ dimplication (lgal ou illgal) ou de leur impact sur les rseaux informatiques :
Annexes
161
les chapeaux blancs ou white hats : consultants en scurit, administrateurs rseaux ou cyber-policiers ; ils ont un sens de lthique et de la dontologie ; les chapeaux gris ou grey hats : sils nhsitent pas pntrer dans les systmes sans y tre autoriss, ils nont pas pour but de nuire. Cest souvent lexploit informatique qui les motive, une faon de faire la preuve de leur habilet ; les chapeaux noirs ou black hats : crateurs de virus, cyber-espions, cyber-terroristes et cyber-escrocs, sont, eux, dangereux et nont aucun sens de lthique. Ils correspondent alors la dfinition du pirate telle que conue par les journaux. Ces catgories peuvent elles-mmes tre divises en sous-catgories en fonction de leur spcialit : le cracker soccupe de casser la protection des logiciels ; le carder soccupe de casser les systmes de protections des cartes puces comme les cartes bancaires, mais aussi les cartes de dcodeur de chane payante ; le phreaker soccupe de casser les protections des systmes tlphoniques. On peut enfin, dans cette typologie, tenir compte dun phnomne dinterpntration : ainsi, le pirate au dbut joueur, acquiert un savoir-faire en matire dattaque de systmes dinformation, dont il peut ensuite chercher tirer un profit financier (menace cupide). Du par la socit, il peut ensuite accepter des propositions de recruteurs de rseaux terroristes ou dagents de renseignement (menace ludique devenant terroriste ou stratgique).
162
Annexe VII
Exemples de menaces
Menaces lectroniques
La menace Tempest
Ladversaire peut chercher tirer parti des signaux compromettants qumet tout systme lectronique. Il faut savoir que ce rayonnement peut tre perceptible jusqu plus dune centaine de mtres. De plus, par conduction, soit sur les conducteurs dalimentation de lappareil cible, soit sur des conducteurs passant proximit, des tensions lectriques rvlatrices peuvent aussi rvler des informations intressantes. Lanalyse des signaux parasites compromettants classiques sest enrichie, en 2004, dune nouvelle technique de cryptanalyse acoustique des curs dunits centrales (Core Process Units). Cette menace Tempest, bien connue des services de renseignement et de protection, lest moins du grand public. La parer est difficile et coteux : on peut, bien sr, mettre tous les quipements sensibles dans des cages de Faraday..., ou acqurir des matriels conus et raliss pour mettre un minimum de signaux compromettants, gnralement vendus prix dor...
Les tiquettes didentification radio (ou RFID) sont des puces sans contact transmettant des donnes distance par moyens radiolectriques. On les appelle aussi tiquettes intelligentes, ou encore parfois tiquettes-transpondeurs. Cest, par exemple, ce type de puces qui est utilis dans le systme Navigo dans les transports en le-de-France ou pour le marquage des animaux. Les utilisations potentielles de ce genre de technologie sont nombreuses : gestion de stocks, grands magasins, tlpages dautoroutes, jusquaux nouveaux passeports... Avec des moyens de dtection un peu sophistiqus, la distance daccs effective aux tiquettes RFID peut atteindre plusieurs dizaines, voire centaines de mtres. La plupart des dispositifs ne chiffrant pas (ou mal) les donnes transmises, les informations peuvent donc tre interceptes cette distance.
Annexes
163
Considrant, par exemple, lintrt que pourrait trouver un concurrent lire distance lensemble du flux logistique de distribution dun industriel, et dans la mesure o ce type de technologie est envisag pour transmettre des donnes personnelles (sur des passeports par exemple) lemploi de la technologie RFID pour des donnes caractre personnel ou dans des systmes de haute scurit ncessite une analyse pousse des risques.
Un rootkit est un outil qui fournit des services destins masquer la prsence dun intrus sur un systme (dissimulation de processus, de fichiers par exemple) et certains outils daide ladministration ont fait leur apparition dans des rootkits. Ces outils touchent donc des tches critiques, proximit du noyau des systmes dexploitation. Lutilisation de rootkits, combine avec des codes malveillants (virus, chevaux de Troie...) sappuyant sur des failles de scurit pour sintroduire dans une machine, devient une solution idale pour les attaques informatiques en permettant laccs des commandes bas niveau. Mais cette menace est dautant plus srieuse quelle se situe au niveau du systme dexploitation, soit avant la couche de scurit traditionnelle offerte par les antivirus. Ainsi, un pirate peut-il empcher le lancement dun logiciel antivirus, ou au contraire forcer lexcution dun programme pralablement install sur le disque dur. Cest ainsi quune machine infecte peut tre, linsu de son utilisateur lgitime, entirement corrompue : on parle alors de zombie. De fait, elle devient une plate-forme privilgie pour le pirate pour lancer, relayer ou contribuer une large varit dattaques. Cest en 2003 que sont apparus les premiers chevaux de Troie oprant en mode noyau en environnement Windows (Slanret, IERK, Backdoor Ali...). En 2005, les attaques combines, associant diverses techniques malveillantes, sont devenues un sujet majeur de proccupation en matire de scurit informatique. Microsoft lui-mme, en mars 2005 lors de la confrence RSA, sen est inquit, compte tenu de la multiplication dattaques base de rootkits Windows.
164
Les vers
Utilisant une technique dingnierie sociale (tromper les internautes par un message damour), le ver I love you subtilisait les codes daccs, et, une fois install, lanait des attaques par dni de services sur des serveurs Web distants. En 2001, les vers se sont multiplis. Code Rouge (Red Code), la diffrence de ces prdcesseurs, sappuyait, pour se dplacer, sur une faille dans les serveurs IIS (Internet Information Server) de Microsoft. Il engendrait une modification de la page daccueil des sites tournant sous plate-forme Windows.
Des menaces de plus en plus polymorphes
Pour mieux djouer les tentatives de blocage et les contremesures, les menaces sont dsormais conues polymorphes. Ce sont des blended threats, cest--dire capables de se transformer dun type lautre, en utilisant diffrents modes de transport et en exploitant plusieurs vulnrabilits la fois. Ce fut par exemple le cas du ver Nimda, qui se propagea via le protocole HTTP (pages Web) en exploitant une faille sur les serveurs IIS, via la messagerie SMTP et aussi via le systme de partage de fichiers de Microsoft. En 2002, cest au tour de Slammer et Blaster de faire leur apparition. Des dizaines de milliers de serveurs ont t touchs en 10 minutes. Quant Blaster, il utilisait comme moyen de transport, le module DCOM RPC dappel distance de Windows (2000 et XP). Les attaques passaient notamment par le dispositif de mise jour distance de Microsoft (Windows Update). Lexemple du ver Sapphire 1 montre galement laugmentation croissante de la vitesse de propagation de ce type de ver corrlative au dveloppement des systmes dinformation dans le monde entre 2001 et 2003.
1. Source : www.caida.org
Annexes
165
Virus
Selon Sophos et Clusif, les meilleurs scores de propagation des virus ont t les suivants en 2004 :
Clt 1 2 4 4 5 6 Nom Netsky-P Zafi-B Netsky-B Netsky-D Netsky-Z MyDoom Type Mass Mailer Mass Mailer Mass Mailer Mass Mailer Mass Mailer Mass Mailer Dni de service + Ouvre un accs distant Dsactive certaines scurits Type dattaque
166
Les antivirus
La quasi-totalit des diteurs dantivirus mettent disposition de leurs clients de nouvelles dfinitions virales dans les heures qui suivent lidentification dun virus. Autrement dit, ils proposent les fichiers de mise jour grce auxquels le logiciel pourra rsister une attaque et, le cas chant, traiter un ordinateur infect. Certains diteurs proposent dsormais en outre un scan distance de votre disque dur, et parfois mme sa dsinfection. La mise jour dun antivirus se fait de faon transparente par tlchargement des dfinitions virales, du moins dans les mois qui suivent son achat. Mais par la suite, ou si par exemple lutilisateur ne se connecte lInternet que rarement, il lui faudra procder manuellement au tlchargement des mises jour en allant sur le site de lditeur. Il existe aussi des patchs gratuitement tlchargeables. Les diteurs dantivirus ne sont pas labri de la dcouverte de failles de scurit dans leurs produits. Ils le sont mme plutt moins que dautres, puisque les antivirus doivent analyser les pices jointes, passer en revue une trs grande varit de fichiers, et possdent donc plus de risques potentiels davoir des failles que dautres types de logiciels. Il existe principalement 2 sortes de vulnrabilit : lattaque par dni de service (DoS), pouvant saturer lespace disque de lantivirus et lempcher de fonctionner, et celle du dbordement de mmoire tampon, ou buffer overflow, qui permet dexcuter des commandes arbitraires. De faon gnrale, quand ils ont t touchs, les principaux acteurs du march de la scurit ont pris le parti de la transparence, cest--dire dinformer systmatiquement leurs clients quand une faille est dcouverte. Il faut alors la patcher et le client doit mettre jour son antivirus. Si le patch nest pas immdiatement disponible, il faut diter des rgles pour limiter les effets dventuelles attaques. Cest l la situation aujourdhui ; mais lvolution du march (avec lintrusion de gants comme Microsoft) et lvolution du risque dattaques Zero Day pourraient les amener changer dtat desprit.
Lactualit de la scurit informatique en 2005 aura t notamment marque par la rapparition des attaques sur les serveurs de noms de domaines (ou DNS). Alors que la majorit des attaques de fraude en ligne actuelles ncessite une action de la part de lutilisateur, lavantage dune attaque des serveurs de noms de domaines pour le pirate est de supprimer toute ncessit dinteraction avec lutilisateur. Le pirate
Annexes
167
sassure que tous les utilisateurs souhaitant accder un serveur donn (qui peut tre un serveur de messagerie, un serveur Web...) sont automatiquement redirigs vers une adresse IP pralablement choisie. Il peut aussi choisir de ne le faire que pour une partie seulement du trafic, ce qui rend la dtection plus difficile. Ce dtournement des flux permet, par analyse des courriels ou grce un site contrefait, de recueillir des informations confidentielles, ou encore, quand plusieurs serveurs DNS ont t attaqus, de monter une attaque en dni de services distribu (DDoS) en surchargeant de requtes la cible.
Les bots font partie de la nouvelle vague des menaces de scurit, silencieuse et propagation rapide. Les bots, nom driv de robots, dsignent une catgorie de programmes malveillants sinstallant sans laccord de linternaute se connectant un serveur de commande et contrle . Les menaces ne sont plus dsormais physiques et perceptibles court terme, mais elles donnent accs aux pirates de nouvelles ressources informatiques pour, le moment venu, relayer partir des machines infectes du spam, ou dautres virus, ou des attaques en dni de service, pour se livrer de lcoute rseau ou de lcoute clavier (keylogging). Le but est de faire de largent, en louant des rseaux de bots pour relayer du spam par exemple. Pour rentabiliser son programme, lauteur doit donc sarranger pour limiter au maximum la visibilit externe de son bot. En outre, les machines infectes peuvent contenir aussi des donnes personnelles, qui peuvent intresser, donc se vendre. Fragiles, car rapidement dtruits par les antivirus du march, ces rseaux de bots ne survivent quen contaminant sans cesse de nouvelles victimes. Aujourdhui, la forme la plus simple et la plus exploite pour mettre les machines en rseau passe par les canaux IRC (Internet Relay Chat). Lavantage dun tel mode daccs est que les serveurs IRC sont librement disponibles et aisment configurables. Pour sinstaller et se rpandre, les bots utilisent le plus souvent des vulnrabilits qui touchent les serveurs Web (IIS et Apache), les procdures dappel distance de Windows (RPC), le serveur SQL Microsoft, MySQL, WINS et les portes drobes laisses pralablement ouvertes par certains virus.
168
Dans la mesure o, une fois runis, ces rseaux de PC zombies ne peuvent presque plus tre arrts, il est important de prvenir la contamination. Pour faciliter leur radication, les spcialistes de la scurit multiplient les analyses de ces rseaux. Souvent, il leur suffit de sniffer le trafic des serveurs IRC pour remonter la piste. Mais, pour certains dentre eux, placs dans des pays juridiquement difficiles daccs, ce nest pas toujours possible. La mthode alors utilise par les professionnels de la scurit se calque sur celles de dtection des virus : elle consiste sinfiltrer dans ces rseaux, en plaant des machines cibles appeles pots de miel (honeypots). Elle consiste placer un rseau de machines volontairement vulnrables sur Internet et se laisser infecter pour mettre la main sur lexcutable du drone.
Annexes
169
Annexe VIII
Exemples de vulnrabilits
Vulnrabilits organisationnelles
Comment btir un plan de continuit de lactivit ?
Le processus dlaboration de ce plan est le suivant : aprs avoir dfini, sans se proccuper des moyens associs et du systme dinformation, les activits quelle considre comme essentielles, une entreprise identifiera toutes les composantes qui y contribuent : ressources humaines, produits, ressources informatiques, etc. Puis, elle dfinira des modes opratoires permettant de contourner la difficult rencontre. Cest sur la base des modes opratoires et des moyens ncessaires pour la continuit des oprations mtier que lon va construire , progressivement, pas pas, un plan de continuit des oprations . On reviendra ensuite sur les diffrents cas de figure, pour identifier les fonctions support qui y contribuent, au premier rang desquelles il y a, bien entendu, le systme dinformation de lentreprise. Ce terme doit ici tre pris dans son acception la plus large, il ne faut surtout pas le limiter au systme informatique. (Ainsi, on pourrait imaginer une situation de crise o un brouillage temporaire du systme de contrle daccs, suppos non-reli et distinct du systme informatique central, (par exemple, capteurs et dispositifs de lecture badigeonns avec de la peinture mtallique) empcherait laccs du personnel lusine. Cela bien entendu dsorganiserait la production, mais ne peut tre considr ni comme un incident, ni comme une agression informatique). On sintressera aux conditions minimales de fonctionnement des diffrentes ressources informatiques impactes (l aussi, bien des surprises nous attendent...). Puis, on tentera dimaginer un mode opratoire, et les moyens de la continuit du systme dinformation. On construit ainsi, pas pas, un plan de continuit informatique . Cest lensemble de ces deux plans (plan de continuit des oprations et son alter ego technique, le plan de continuit informatique), qui constitue le plan de continuit de lactivit.
Annexes
171
Vulnrabilits techniques
Celles qui sont publies peuvent ltre de manire officielle et donner alors lieu des alertes, via des CERT (Computer Emergency Response Team) ou des CSIRT (Computer Security Incident Response Team), qui les caractrisent et les valident travers 3 ou 4 niveaux de gravit ( critique , leve , moyenne et faible ). Elles peuvent aussi ltre de manire non-officielle, au sein de communauts de hackers. partir du moment o une vulnrabilit est publie, le facteur temps joue de faon cruciale pour viter des exploitations malveillantes.
La publication ou non des vulnrabilits logicielles a constitu de tout temps un sujet difficile. Lenjeu, pour les chercheurs indpendants, consiste voir leur travail reconnu ainsi qu sensibiliser clients et diteurs sur les risques des diffrents produits. Au contraire, les diteurs cherchent avant tout protger leurs produits et leurs clients dune attaque ventuelle qui pourrait tre la consquence fcheuse dune publication htive, ou non-matrise, dune vulnrabilit. Dans ce jeu, les grands diteurs de logiciels craignent les failles dcouvertes mais non-divulgues, dont peuvent tirer parti les crateurs de vers ou de virus bien informs. Tout diteur doit donc sarranger pour tre, en priorit et avant tout autre, mis au courant de toute faille dans ses produits. Ce sujet a pris, lors de la confrence Black Hat 2005 qui sest tenue Las Vegas du 23 au 28 juillet 2005, une tournure intressante. Michael Lynn, chercheur en scurit chez Internet Security System (ISS), avait prvu de dvoiler, loccasion du discours officiel planifi pour la confrence par ISS, les grandes lignes dune faille majeure affectant les routeurs Cisco. Compte tenu de linterdiction de son employeur de sexprimer, il a alors dmissionn pour pouvoir communiquer librement sur cette vulnrabilit en public. Aprs une double procdure en justice engage dune part, par Cisco pour violation des droits dauteurs sur le logiciel Cisco, dautre part, par ISS pour non-respect du secret professionnel, laffaire sest finalement rsolue lamiable. Le chercheur a accept de remettre lensemble des documents relatifs la faille Cisco, mais aussi de ne plus en parler. Jusqu prsent, les diteurs comptaient avant tout sur la bonne volont des chercheurs indpendants pour leur transmettre leurs dcouvertes. Mais, de plus en plus, ils mettent en uvre une stratgie deux volets : dune part, ils cherchent racheter des socits spcialises dans la recherche de vulnrabilits, dautre part, ils proposent aux chercheurs indpendants des primes, de manire les inciter leur communiquer leurs travaux au plus tt.
172
Ainsi, la socit 3Com a-t-elle rachet lacteur TippingPoint, spcialis dans la recherche de vulnrabilits logicielles, pour 430 millions de dollars, et vient-elle dannoncer son projet Zero Day Initiative : selon le niveau de dangerosit de la vulnrabilit dcouverte, 3Com offrira jusqu 20 000 dollars de prime aux chercheurs indpendants. Mme modle conomique pour VeriSign, qui vient de racheter mi-2005 pour 40 millions de dollars iDefense, autre acteur connu dans le milieu, qui proposait en moyenne 2 000 dollars par faille dcouverte aux acteurs indpendants. Mme schma enfin pour la fondation Mozilla, responsable du navigateur Web Firefox, pour lui permettre dtre informe en priorit sur les bugs affectant ses logiciels, mais cette fois pour 500 dollars seulement (lordre de grandeur nest pas le mme, on est dans le monde des logiciels libres). Cette stratgie denchres a le double avantage dpauler le manque de comptences internes et de stimuler, en thorie au moins, la recherche de failles sur un produit donn. Mais la contrepartie est quelle risque dengendrer une inflation des cours , qui, une fois encore, devrait plutt profiter aux riches.
Annexes
173
Annexe IX
Annexes
175
Dans le domaine du classifi , il convient de rappeler que la rglementation du Conseil de lUE (dcision du Conseil 2001/264/CE) en matire de protection des informations classifies de lUE sapplique aux tats membres lorsquils traitent ces informations dans leurs systmes dinformation. Il en va de mme avec la rglementation de lOTAN (politique de scurit CM (2002) 49) pour les informations classifies de lOTAN confies aux tats Membres. Les informations sensibles non-classifies ne sont pas dfinies en tant que telles par une loi. En revanche, de nombreuses lois dfinissent des catgories dinformation qui doivent tre protges car relevant de diffrents secrets. titre dexemple, citons le secret professionnel (article 226-13 du code pnal), le secret des correspondances (article 226-15 du code pnal), les intrts fondamentaux de la nation (articles 410 et 411 du code pnal), le secret de la vie prive (loi 78-17, article 226-16 226-24 du code pnal), etc. Les informations sensibles ne constituent pas un ensemble homogne et ne bnficient pas dun corpus rglementaire fixant des mesures de scurit pour ces informations comme il en existe dans le domaine des informations classifies de dfense. En revanche, les sanctions prvues par la loi sont ici encore susceptibles de sappliquer en cas de compromission dinformation rsultant de la mauvaise application de mesures de scurit.
176
Certains produits de cryptologie sont soumis au rgime des matriels de guerre (dcret du 18 avril 1939) lorsquils sont intgrs dans des armes ou permettent la mise en uvre des forces armes (article 39 de la loi 2004-575).
Annexes
177
Annexe X
Annexes
179
Principe dautoprotection, ou tout ce qui est extrieur ne peut tre considr comme sr . Le rseau dorganisme traitera initialement les autres rseaux auxquels il est connect comme non-fiables, et appliquera des mesures de protection lors des changes dinformations. Principe de confinement, ou il faut toujours pouvoir isoler un membre infect . Ceci est particulirement utile en cas dattaque par de ver ou de virus. Une application de ces deux principes est, par exemple, la mise en place de DMZ : une passerelle, ou pare-feu, place en coupure entre un rseau non-protg (par exemple lInternet) et les rseaux quil protge, fait passer les informations qui transitent par une sorte de sas de dcontamination . Ce sas peut lui-mme constituer un sous-rseau, o une politique de scurit particulire, moins stricte que celle du rseau interne, est mise en uvre, et sur lequel on peut placer des machines ddies (serveurs Web, antivirus, de messagerie), mais aussi des outils de dtection dintrusion... Mise en place dune dfense en profondeur, ou plusieurs lignes de dfense valent mieux quune . Partant du constat que, dans les systmes complexes, il faut toujours prvoir plusieurs lignes de dfense, des mesures de protections bien distinctes, en particulier fonctionnellement, seront appliques sur diffrentes composantes, de manire ce quil ny ait pas une ligne de dfense unique. Principe de responsabilisation des utilisateurs ou grer le besoin den connatre de chaque utilisateur, interne ou externe. Vrification rgulire de la mise en uvre de la scurit, ou mieux vaut prvenir que gurir . Lapplication de ces principes et la mise en uvre des mesures de protection qui en rsultent seront vrifies au dpart, puis priodiquement, pour viter des drives, peut-tre non-intentionnelles, mais bien relles.
180
Annexe XI
Annexes
181
12 valuer et grer le dispositif, anticiper les volutions (techniques, concurrentielles...) et adapter la protection en consquence en se conformant aux textes lgislatifs et rglementaires en vigueur.
182
Annexe XII
Annexes
183
lutilisateur fait de la scurit une priorit et met en uvre les rgles pratiques de scurit comme : la protection de laccs son poste de travail et ses donnes (mots de passe, mise en veille avec mot de passe...) ; se protger contre le vol ; viter les doubles connexions Intranet/Internet ; une protection spcifique lors des dplacements notamment ltranger ; les ressources informatiques et de communication sont destines un usage professionnel. Lusage priv peut tre tolr, sil naffecte pas la circulation normale de linformation ; les utilisateurs sengagent respecter la configuration de leur poste de travail et ne pas installer leurs propres logiciels ou matriels ; les utilisateurs ont une obligation de confidentialit sur les informations stockes ou transmises au moyen des ressources informatiques qui lui sont affectes ; lutilisateur doit faire preuve de vigilance vis--vis des informations recueillies sur Internet ou reues par messagerie (possibilit de dsinformation, sassurer de lmetteur...) ; chaque utilisateur doit tre conscient que certains changes avec des tiers peuvent engager lentreprise (contractuellement ventuellement) ou porter atteinte son image. Le respect des dlgations de pouvoirs tablies doit sappliquer galement. ...
184
Annexe XIII
Antispam
Comme les logiciels antivirus, des versions pour les serveurs dorganisation et des versions pour les particuliers ont t dveloppes. Ce segment de march, qui appartient au segment SCM, compte tenu de la baisse du volume du spam, pourrait entrer en dflation.
Scurit de messagerie
Le chiffrement applicatif des messages est la mesure de scurit ncessaire pour protger des mails dune interception durant leur transfert. ct des logiciels gratuits ou intgrs, les solutions spcifiques nont pas encore trouv un segment de march viable. Ce segment fait partie du segment SCM. En dehors de solutions haut niveau de confiance dveloppes pour le ministre de la Dfense, sans doute faute de besoins, aucune offre nationale ne subsiste dans le domaine.
Annexes
185
Il est noter que les dernires versions du logiciel dexploitation de Microsoft incluent en standard un coupe-feu susceptible de convenir aux particuliers, ce qui pourrait conduire une contraction de ce segment de march pour les autres acteurs de ce march. Le coupe-feu tant un point naturel daccroche dautres services de scurit : VPN, antivirus, etc., les fournisseurs disposent dune plate-forme idale pour tendre les services offerts.
Administration sre
Les logiciels dadministration srs doivent permettre en centralisant la gestion des identits, des droits, des secrets, de la configuration dquipements de scurit doffrir une version synthtique de la scurit dun systme dinformation. Ces logiciels sont souvent dsigns en anglais sous le vocable Security 3A Software (3A pour Authentification, Autorisation et Administration) que lon peut rsumer en management des identits et de laccs. Ces produits sont plus destins des organisations qu des particuliers.
Authentification renforce
Une amlioration notable de la scurit dun systme dinformation vient aussi de la mise en place de moyens dauthentification des utilisateurs plus sophistiqus que le mot de passe. Ce segment est li au segment prcdent. Parmi les types de solutions qui existent on retiendra : les cartes puces, les tokens stockant des cls secrtes ou cls USB ; la biomtrie. Ce march devrait connatre une croissance soutenue, lidentification et lauthentification restant un pralable toute tentative de scurisation.
VPN/chiffrement IP
Pour relier en toute scurit deux parties dun mme systme dinformation, en complment dun coupe-feu, afin de parer aux risques
186
dinterception passive, il est ncessaire de chiffrer les flux changs et de crer ainsi un tunnel de communication protg dit VPN 1. Loffre nationale provient principalement de groupes importants.
Chiffrement de fichiers Le segment de march du chiffrement de fichiers avant leur envoi comme pice jointe par messagerie ou simplement pour leur stockage souffre des mmes maux que le march de la messagerie scurise, des fonctions de chiffrement de fichiers sont soit incluses dans les principaux systmes dexploitation, soit disponibles assez largement en logiciel libre. Il existe toutefois une offre franaise manant de PME. Loffre insuffisante a conduit ladministration dvelopper des solutions en interne. Mmoires de masse chiffrante Le chiffrement dun disque dur est indiscutablement la meilleure solution aux risques de pertes ou de vol dordinateurs portables par exemple. Sans appui de la commande publique, le risque est rel cependant quaucune socit franaise noffre ce type de produits avec un haut niveau dassurance. Ce segment devrait rester confidentiel en labsence de prise de conscience par les grands comptes. Tlphones chiffrants Le tlphone, soit fixe, soit mobile, sera bientt le dernier vestige de lanctre du systme dinformation, le rseau de tlcommunications. Les rseaux de tlcommunications sont principalement menacs du point de vue de lutilisateur par linterception. Bien que cette menace soit relle, sa perception nest pas suffisante pour inciter les organisations sen proccuper. Il en rsulte un segment de march restreint aux applications gouvernementales principalement.
Annexes
187
Annexe XIV
Annexes
189
De plus, il existe dans diffrents pays des schmas dvaluation et de certification par rapport la norme ISO 17 799, selon une dmarche similaire aux schmas portant sur les systmes de management de la qualit (ISO 9000). Dans le cas de lISO 17 799, la certification porte sur le systme de management de la scurit de linformation mis en place par lentreprise. De manire gnrale, un systme de management correspond lensemble des moyens, ressources, procdures, etc., quil faut dfinir, organiser, mettre en uvre et maintenir dans le temps, afin dassurer une activit rpondant aux besoins de lentreprise, des clients et des partenaires ainsi quaux exigences rglementaires. La norme ISO 17 799 ( guide de bonnes pratiques pour le management de la scurit de linformation ) fournit les lments permettant la conception, la documentation et la mise en place dun systme de management de la scurit de linformation.
190
Annexes
191
commission des communauts europenne. Ils visent satisfaire les besoins des marchs civils et gouvernementaux et sintressent aux aspects confidentialit, intgrit et disponibilit. Une valuation ITSEC porte sur une cible dvaluation (lobjet valuer) qui peut tre un produit ou un systme : un systme est utilis dans un environnement rel parfaitement connu alors quun produit est utilis dans un environnement suppos dcrit sous la forme dhypothses. La description prcise des caractristiques de scurit de la cible dvaluation est fournie par un document nomm cible de scurit (la spcification de besoin en scurit). Ce document doit contenir une description de la politique de scurit du systme ou largumentaire du produit. Elle fournit galement une description des objectifs de scurit, les menaces qui sont pares par le produit, la spcification des fonctions de scurit qui parent les menaces (avec ventuellement, une description des mcanismes de scurit qui implmentent ces fonctions). Enfin, la cible doit prciser le niveau de confiance vis et la rsistance des mcanismes, ces deux notions tant expliques plus loin. Le but dune valuation ITSEC consiste vrifier deux aspects de la scurit de la cible dvaluation : la conformit (assurance conformit) et lefficacit (assurance efficacit). Pour lassurance conformit, lvaluation porte sur les points suivants : le processus de dveloppement (spcification de besoin, conception gnrale et dtaille, ralisation) ; lenvironnement de dveloppement (mthodes de travail, contrle de configuration, choix des langages et des outils, mesures de scurit dans le dveloppement) ; le fonctionnement oprationnel (documentation utilisateur et administrateur, livraison, configuration, dmarrage et utilisation). Pour lassurance efficacit, lvaluation porte sur les aspects suivants : la pertinence de la fonctionnalit : les fonctions de scurit doivent contrer efficacement les menaces identifies ; la cohsion de la fonctionnalit : les fonctions et mcanismes de scurit doivent former un tout cohrent ; la rsistance des mcanismes : la cible doit rsister des attaques directes selon le niveau de rsistance des mcanismes annoncs dans la cible de scurit ; les vulnrabilits de constructions : les ventuelles faiblesses connues de ralisation de la cible ne doivent pas compromettre la scurit de la cible dvaluation ; les vulnrabilits dexploitation : les ventuelles faiblesses connues en exploitation ne doivent pas compromettre la scurit de la cible dvaluation ; la facilit demploi : la cible ne doit pas tre configurable ou utilisable de manire non-sre mais quun utilisateur ou un administrateur pourrait croire sre.
192
Dans les ITSEC, le niveau de confiance vis est not E1 E6. Plus il est lev, plus la confiance est leve (si le niveau est atteint). Plus il est lev, plus les lments de preuve fournis lvaluateur au titre de lassurance conformit doivent tre importants et plus lvaluateur doit raliser des travaux de vrification au titre de la conformit. E0 : le produit ne rpond pas sa cible de scurit. Ce nest pas un niveau vis ! E1 : vrification de la conception gnrale, tests fonctionnels... E2 : E1 + vrification de la conception dtaille, gestion de configuration, processus de diffusion... E3 : E2 + vrification de la ralisation (ce qui implique le code source et/ou les schmas matriels)... E4 : E3 + modle formel de la politique de scurit, spcification semi-formelle des fonctions de scurit, de la conception gnrale... E5 : E4 + correspondance troite entre conception dtaille et code source... E6 : E5 + spcification formelle des fonctions ddies la scurit, source des bibliothques... La seconde chelle dassurance concerne la rsistance des mcanismes. La rsistance vise peut tre qualifie dlmentaire (mis en chec par des utilisateurs comptents), de moyenne (protection contre des agresseurs dont les opportunits et les ressources sont limites) ou dleve (mise en chec par des agresseurs disposant dun haut degr dexpertise, dopportunit et de ressources avec le succs dune attaque jug exceptionnel).
Annexes
193
194
Annexes
195
sujet de se faire accompagner par un conseil comptent lors de sa premire valuation afin dviter bien des dboires.
Conclusions
Lvaluation de la scurit selon des critres normaliss est aujourdhui loutil le plus labor pour certifier le niveau de confiance dun produit ou dun systme, en particulier, dans le cas o lon a besoin de faire partager cette confiance. Son cot le rserve aujourdhui des produits de diffusion telle quun retour sur investissement est possible ou des organisations qui ont les moyens de leurs ambitions en matire de scurit. Lvaluation nest pas antinomique avec lexpertise. En particulier, une organisation qui veut se convaincre de la scurit dun produit sans avoir besoin de faire partager cette confiance dautres utilisera ce moyen pour obtenir cette conviction moindre cot. Dautant plus que certaines officines proposant ce type de prestation ont elles-mmes fait voluer leur pratique en intgrant les critres communs dans leur dmarche danalyse. Les CC, ITSEC et autres documents dapplication des critres sont tlchargeables sur le site www.ssi.gouv.fr. On y trouve galement la liste des CESTI agrs, la liste des produits certifis en France et des liens sur des sites dorganismes homologues la DCSSI ltranger.
196
On pourra consulter galement le dcret no 2002-535 du 18 avril 2002 relatif lvaluation et la certification de la scurit offerte par les produits et les systmes des technologies de linformation.
La qualification
Les administrations souhaitent disposer de produits de scurit dans lesquels elles peuvent avoir confiance et qui rpondent leurs besoins de scurit. La certification offre un lment de rponse au premier point mais pas au second. Il faut en effet se rappeler quun produit est valu selon sa cible de scurit (sa spcification de besoin de scurit). Cette cible est ralise sous la responsabilit du dveloppeur qui y met ce quil veut. Ainsi, deux pare-feux peuvent tre valus au mme niveau de confiance mais sur des spcifications de besoins diffrentes. Et peut-tre quaucune des deux ne rpondra aux besoins dune certaine catgorie de client. Ce quintroduit le processus de qualification cr par la DCSSI est de sassurer que les cibles de scurit des produits (en terme notamment de primtre et de profondeur de lvaluation) rpondent aux besoins des administrations. On distingue trois niveaux de qualification : standard, renforc et lev. Les deux premiers niveaux ont t dfinis et leurs processus sont rendus publics. Ils correspondent respectivement, en matire de niveau dassurance des critres communs, une certification EAL2+ pour le niveau standard et EAL4+ pour le niveau renforc. La qualification fait aussi appel la cotation des mcanismes cryptographiques par la DCSSI et lvaluation des signaux compromettants ( partir de niveau renforc). Ce qui est galement primordial, cest de dfinir les usages de la qualification : ainsi, la DCSSI et lADAE rfrencent la qualification dans le rfrentiel scurit de ladministration lectronique (Politique de rfrencement intersectorielle de scurit, PRIS), et la DCSSI exploite la qualification en vue de la dlivrance des cautions et agrments.
La caution et lagrment
La caution est lattestation dlivre par la DCSSI quun produit offrant des services de chiffrement est apte, dans certaines conditions, protger de linformation sensible non-classifie de dfense au sens de la rglementation (recommandation 901). Cette caution sappuie directement, pour la protection des informations sensibles de niveau diffusion limite, sur la qualification de niveau standard, les conditions correspondant aux restrictions dusage du produit figurant dans le rapport de certification. Lagrment est lattestation dlivre par la DCSSI quun produit de chiffrement est apte dans certaines conditions, protger des informations sensibles classifies de dfense au sens de la rglementation (instruction interministrielle 900). Lexploitation de la qualification pour un agrment fait lobjet de procdures spcifiques.
Annexes
197