Sécurité

Anssi : « Les SI en France sont aujourd’hui en danger »

Relativement discrète depuis sa création en 2009, l’Agence nationale de la sécurité des systèmes d’information ( Anssi ) s’efforce depuis 2011 de changer la donne et de mobiliser les entreprises et les administrations sur les questions de SSI.

Selon le directeur général de l’ Anssi, Patrick Pailloux, qui clôturait le 7 octobre les Assises 2011 de la sécurité, devant un parterre de DSI et de RSSI, la situation « ne peut pas continuer ainsi. »

Un nombre « très important d’attaques à des fins d’espionnage » 

« Les SI en France, comme de par le monde, sont aujourd’hui en danger, et d’une certaine façon, j’ai l’impression qu’on les a abandonnés à leur pauvre sort. » ajoute-t-il, en guise d’électrochoc.

L’ Anssi appelle donc à un sursaut, d’autant plus nécessaire selon elle que l’état de la menace a changé, caractérisé par un nombre très important d’attaques, aussi bien contre les administrations que les entreprises privées.

Vis-à-vis des administrations (centrales et des collectivités locales), l’Etat et l’ Anssi revendiquent déjà des actions : la certification de premier niveau, qui selon Patrick Pailloux « fonctionne vraiment bien », et le RGS (référentiel général de sécurité), en vigueur depuis mai 2011.

En 2009, le directeur général de l’ Anssi exprimait son souhait de voir la labellisation des produits de sécurité être prise en compte par les collectivités dans leurs appels d’offres. Dans ce domaine, du chemin reste à parcourir.

« Je n’irais pas vous dire que le bilan est idyllique » reconnaît Patrick Pailloux. « Au niveau de l’administration centrale, le référentiel général de sécurité s’applique. Or celui-ci impose pratiquement l’emploi de produits labellisés. S’agissant des collectivités locales, nous avons fait beaucoup de communication autour du RGS, qui s’applique aussi. Nous sommes donc plutôt optimistes » précise-t-il.

Des sondes sur les réseaux et une collaboration Anssi – Disic 

Sur un plan opérationnel, l’Anssi annonce avoir par ailleurs déployé des sondes aux frontières des réseaux de l’administration et accru ses capacités d’audit et de conseil. Des capacités qui seront donc mises au service de l’administration, mais aussi des entreprises.

Fondée avec une centaine de personnes (les effectifs de la DCSSI principalement, à laquelle elle s’est substituée), l’ Anssi a pratiquement doublé son personnel depuis. En 2013, elle devrait employer près de 360 personnes, dont de nombreux opérationnels de la sécurité.

La création des groupes d’intervention rapide est ainsi une des mesures annoncées en Conseil des ministres le 25 mai, soit « le développement urgentissime de nos capacités d’intervention sur les attaques informatiques » d’après Patrick Pailloux.

« Les équipes existent pratiquement déjà, mais doivent être structurées. Ce seront des gens qu’on projette lorsqu’il sera par exemple nécessaire d’aller traiter une attaque détectée, ou bien de vérifier sur les réseaux lorsque des signaux faibles sont relevés » précise-t-il.

Pour renforcer la sécurité au sein de l’administration, l’ Anssi mise également sur la fonction de DSI de l’Etat, la Disic (rattachée au premier ministre comme l’ Anssi). Créé en 2011, ce poste de DSI est occupé par Jérôme Filippini.

« L’ Anssi a plaidé pour la création de cette fonction, pour une raison très simple : une action coordonnée de l’Etat en matière de système d’information sera évidement favorable à une plus grande prise en compte de la sécurité » confie Patrick Pailloux à ZDNet.fr.

L’hygiène informatique : maillon faible de la SSI

L’ Anssi serait ainsi, d’une certaine façon, amenée à jouer le rôle RSSI de l’Etat. Premier chantier sur lequel cette collaboration doit s’exprimer : le futur réseau interministériel (nativement IPv6), dans la construction duquel l’ Anssi interviendra sur la dimension sécuritaire.

Mais pour l’Agence, son action doit aussi se porter sur le secteur privé, et en particulier les infrastructures critiques. Mais entre l’Etat et les entreprises, les relations n’ont pas toujours été simples en matière de sécurité informatique. Principale illustration : le nombre réduit de plaintes déposées suite à des cyberattaques.

La tendance pourrait toutefois être en passe de s’inverser. C’est en tout cas le constat établi par Patrick Pailloux, décrivant l’attaque contre Bercy, et la communication assumée de l’ Anssi sur le sujet, comme un déclencheur.

« Les entreprises ont pris conscience qu’elles étaient confrontées à une situation parfois difficile à gérer directement, et qu’elles avaient besoin de conseil, d’aide, soit en amont sur des projets, soit parce qu’elles sont confrontées à une véritable attaque et demandent de l’aide » assure-t-il.

L’Anssi espère à présent mettre à profit ce dialogue pour faire passer des messages de sécurité. « Ce qu’il nous manque encore, c’est que nous puissions passer à l’échelle et que les principes de base de la sécurité soient appliqués. Car malheureusement, dans de multiples cas, ces règles élémentaires ne sont pas respectées. »

Attention à la sécurité « cache-sexe » 

Un message que Patrick Pailloux a martelé devant les DSI et RSSI rassemblés aux Assises 2011, dénonçant ainsi de la sécurité parfois « cache-sexe », trop technique, voire de papier, et négligeant les règles basiques d’hygiène informatique.

« Toutes ces règles élémentaires sont souvent oubliées et la sécurité s’apparente à une ligne Maginot. Or, si ces principes de base ne sont pas respectés, tout le reste risque de ne servir à rien. Nous allons donc beaucoup travailler sur ces sujets-là, au travers notamment de la publication de guides, mais aussi avec les écoles et universités afin qu’elles intègrent l’hygiène informatique dans leurs cursus, ce qui n’est pas le cas aujourd’hui » fait savoir le patron de l’ Anssi.

Mais Patrick Pailloux reconnaît, malgré 100 recrutements prévus en 2012, que « L’Etat ne peut pas tout non plus. Nous ne serons pas en mesure d’assurer la sécurité de toutes les entreprises de France […] Il faut aussi que les entreprises se saisissent du sujet, et que les prestataires soient capables de les accompagner. »

A ce titre, l’ Anssi devrait compléter son dispositif de labellisation des produits de sécurité par une certification des prestataires de services de confiance. Les premières devraient être délivrées en fin d’année, ou début 2012. Elles porteront sur les fournisseurs de services d’audit de sécurité et de tests de pénétration.

Enfin, depuis février, l’ Anssi est l’autorité nationale de défense des systèmes d’information, c’est-à-dire le centre de réaction en cas d’attaque informatique. Une fois sa mise en œuvre achevée, il reviendra donc à cette autorité de prendre les décisions en cas de crise majeure, comme de donner des consignes aux opérateurs télécoms ou de couper des réseaux.

%d blogueurs aiment cette page :