Les ministres peinent à respecter les règles élémentaires de sécurité informatique

C’est un rappel à l’ordre et en même temps un aveu de faiblesse. Hier, l’Express a révélé le contenu d’une note rédigée par Christophe Chantepuy, directeur du cabinet du Premier ministre, dans laquelle il demande aux différents ministres l’application de quelques « règles élémentaires » en matière de sécurité informatique. Cette demande n’est pas anodine : elle fait suite à la « survenance ces derniers mois de plusieurs atteintes à la sécurité des systèmes d’information ». En d’autres termes, un ou plusieurs membres des cabinets ministériels se sont fait pirater.

Dans cette note gouvernementale, il n’y a rien de foncièrement nouveau. Le document rappelle des règles de bon sens : ne pas utiliser de clé USB dont on ne connait pas l’origine, ne pas installer d’application informatique sans autorisation du service informatique, ne pas se connecter à un hotspot wifi publique, etc. En particulier, la note proscrit l’utilisation de smartphones du commerce pour diffuser des informations sensibles, en rappelant que « toute information sensible même non classifiée doit être échangée par les terminaux équipés de systèmes agréés par l’ANSSI ». Là encore, il n’y a rien de bien surprenant.

Des appareils complexes et vulnérables

Contrairement aux téléphones GSM des années 90, les smartphones d’aujourd’hui sont des appareils très complexes, faisant interagir un grand nombre de systèmes et de composants différents. Ce qui démultiplie les possibilités d’intrusion pour les pirates. « Toutes les couches des smartphones sont aujourd’hui la cible d’attaques : applications, système d’exploitation, cartes SIM, liaison radio, etc. Par ailleurs, les terminaux du marché de type Android, Windows ou iOS sont totalement sous le contrôle des éditeurs et ils sont connectés en permanence à des serveurs situés aux Etats-Unis », nous a expliqué Nicolas Ruff, ingénieur-chercheur chez EADS.

Si le risque lié aux smartphones est tellement connu, pourquoi le gouvernement a-t-il tant de mal à l’éliminer ? C’est avant tout une question de comportement. Au fond, les personnes dans les équipes gouvernementales sont des individus comme les autres : elles veulent des terminaux pratiques et faciles à utiliser, et ne font pas vraiment la différence entre les services professionnels et personnels. Dans les grandes entreprises, le problème est identique. Les salariés préfèrent parfois utiliser leur propre matériel informatique, sans imaginer que cela puisse compromettre la sécurité de leur organisation.

Il faut dire que les solutions alternatives, qui sont « agréées par l’ANSSI », sont loin d’être aussi sexy que les « smartphones du commerce ». Le fameux Teorem de Thales, avec son clapet et son écran à cristaux liquide, ressemble à un téléphone des années 2000. Le SPhone de Bull a certes une allure plus moderne, mais de quoi s’exalter.

Trois questions à…

Nicolas Arpagian, directeur scientifique du cycle “Sécurité numérique” à l’Institut National des Hautes Études de la Sécurité et de la Justice (INHESJ). Et auteur de “La Cybersécurité” (Presses Universitaires de France).

1) Que pensez-vous des recommandations diffusées par le cabinet du Premier ministre dans la note révélée par l’Express ?
Ces directives sont les bienvenues. Car elles montrent l’implication des autorités dans l’application des règles essentielles de cybersécurité. La consigne vient du haut de la hiérarchie et témoigne de la prise de conscience de l’ampleur de la menace. L’information est bien un actif stratégique qu’il convient de protéger. Qui constitue un élément différenciateur dans la compétition économique ou les négociations diplomatiques. Pris dans le flot d’un travail de cabinet ministériel qui jongle avec les horaires, les déplacements et les urgences, certains collaborateurs ont sans doute par le passé fait preuve de légèreté quant au respect des règles de sécurité numérique : recours à des clés USB, transferts de fichiers sur des comptes personnels de messagerie…

2) Ces directives sont-elles suffisantes? Au regard des révélations d’Edward Snowden, on a l’impression que toutes ces actions sont vaines…
En tous les cas, cette note identifie les menaces. Ce qui signifie que toute personne qui y contreviendrait ne peut plus évoquer l’ignorance. L’erreur dans ce domaine devient désormais une faute. Les responsables ministériels ne peuvent pas se reposer sur les seuls experts de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) pour assurer l’intégrité de leur communication numérique, il leur faut adopter un comportement individuel responsable. L’ANSSI est là pour leur fournir les outils et les procédures ad hoc. Cette expertise est vaine si on persiste à avoir son application Facebook sur son ordinateur de service ou si on se connecte à l’intranet d’un ministère à partir d’un point d’accès wi-fi gratuit d’une chaîne de restauration rapide. Cela suppose donc de savoir être déconnecté si les conditions d’accès au réseau ne sont pas suffisamment sécurisées.

3) Selon vous, que faudrait-il faire pour assurer la sécurité des échanges au niveau gouvernemental ?
Il est plus que jamais nécessaire de préserver les investissements en Recherche & Développement permettant d’élaborer ou de consolider des solutions ou des prestataires de confiance. Dont les solutions assurent une protection la plus maîtrisée possible. La révélation de l’affaire Prism a montré que la nationalité d’un prestataire pouvait avoir un impact sur le droit qui lui était applicable. La France et l’Europe doivent ménager leur souveraineté technologique en permettant l’épanouissement en leur sein de fournisseurs de solutions de confiance. Il s’agit de ne plus être de simples utilisateurs de technologies, mais bien d’être en mesure d’effectuer nos choix techniques avec des équipements dont on connaîtra le mode d’élaboration et de pilotage.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Gilbert Kallenborn