Publication du "rapport Lasbordes" sur les enjeux de la Sécurité des Systèmes d’Information en France

Un rapport d'enquête intitulé "la sécurité des systèmes d’information, un enjeu majeur pour la France", résultat d'une mission d'enquête et de six mois d’auditions et de réflexions au sein des structures publiques et privées en France impliquées dans la SSI a été remis à Dominique de Villepin, Premier ministre par le Député Pierre Labordes. 

Rapport du député Lasbordes (site officiel) : http://www.lasbordes.fr/article.php3?id_article=165

Une analyse en profondeur de l’environnement et des enjeux de la Sécurité des Systèmes d’Information en France (que nous détaillerons plus loin) précède la proposition de 6 recommandations :

1. Sensibiliser et former à la sécurité des systèmes d’information,
2. Responsabiliser les acteurs,
3. Renforcer la politique de développement de technologies et de produits de SSI et définir une politique d’achat public en cohérence,
4. Rendre accessible la SSI à toutes les entreprises,
5. Accroître la mobilisation des moyens judiciaires,
6. Assurer la sécurité de l’Etat et des infrastructures vitales.

Les deux points relevés le plus souvent par la presse spécialisée concernent l’effort à prévoir en direction des PME (recommandations 1 et 4) et la nécessaire actualisation de l'organisation -actuelle...- des services de l'Etat en charge de la SSI (SGDN, DCSSI, ADAE, DGA etc ...) pour mieux satisfaire à la recommandation 6.

Le rapport présente tout d’abord une analyse classique, mais bien à jour et extrêmement pédagogique des menaces en terme de sécurité des systèmes d’information.

Le Cert-IST, qui a lui-même mis à jour ses définitions des virus et autres codes malveillants (http://www.cert-ist.com/fra/ressources/Publications_ArticlesBulletins/VersVirusetAntivirus/vocabulairevirus/) souligne la qualité et la pertinence de cette  analyse. Elle couvre aussi bien les définitions techniques que les enjeux d’impact (déni de service, intelligence économique). 

Dans un deuxième temps, le rapport présente l’organisation actuelle des structures de l’état en charge de "la sécurité de ses propres systèmes  d’information, la continuité de fonctionnement des institutions et des infrastructures vitales pour les activités socioéconomiques du pays et la protection des entreprises et des citoyens". 

La presse spécialisée a beaucoup mis en avant cette partie du rapport, considérée comme peu amène, et qui concluait il est vrai à "une très forte disparité et [d’] un manque de coordination entre les acteurs publics et privés, la nécessité pour l’Etat d’une adaptation nouvelle et urgente, dans la logique de l’Etat stratège".

A noter que cette partie est extrêmement intéressante de par la présentation, puis la comparaison avec les organisations similaires dans des pays tels que Etats-Unis, Allemagne, Royaume-Uni, mais également Suède, Israël et Corée du Sud.

Cette partie se conclut par un tour d’horizons des principales organisations internationales impliquées.

Après une transition portant sur l’insuffisante prise de conscience du secteur privé et en particulier des PME face aux enjeux, l’auteur analyse ensuite la filière industrielle et technologique de la SSI en France, son marché, ses atouts et ses faiblesses.

Ainsi, on rappelle que les dépenses de sécurité informatique, des entreprises et des administrations en France en 2005 auraient atteint 1 113 M€, en hausse de 17,4%  (2,5 % des 41009 M€ de dépenses informatiques globales, en croissance de 3,5%.)

 Parmi ces dépenses de sécurité informatiques en 2005 :

• les services représentent 612 M€ (55%) en hausse de 15,5% ;
• les logiciels représentent 405 M€ (36,4%) en hausse de 16,4% ;
• les appliances (boîtiers physiques FW, VPN, IPS ...) représentent 96 M€ (8,6%) en hausse de 37,1%.

Un taux de croissance moyen de 17,2% est attendu pour le marché de la SSI sur la période 2005 – 2009 pour atteindre 2 100 M€ (administrations et entreprises).

Le rapport conclut sur 6 recommandations majeures, qui si elles étaient validées et appliquées par la puissance publique, auraient un impact important sur la filière SSI en général et sur l’environnement du Cert-IST en particulier :

1/ Sensibiliser et former à la sécurité des systèmes d’information

Il est question de sensibilisation des PME et du grand public par la mise en place d’un portail d’information, d’une campagne de communication et une meilleure coordination avec la filière éducative.

2/ Responsabiliser les acteurs

Il s’agit là de formaliser l’usage de chartes et des processus de labellisation .

3/ Renforcer la politique de développement de technologies et de produits de SSI et définir une politique d’achat public en cohérence

L’auteur remarque que les autres pays, sans aller jusqu’au fameux "patriotisme économique", ont des politiques d’achat public et de soutien à la R&D plus efficaces que la France, souhaite un effort de la puissance publique, ne serait-ce que par une participation plus active aux groupes de standardisation.

4/ Rendre accessible la SSI à toutes les entreprises

Du petit bout de notre lorgnette, et à l’instar de 01 Net, nous ne retiendrons ici que :

"Diffuser aux PME sous une forme adaptée les informations de veille, d'alerte et de réponse disponibles au niveau des CERT nationaux"

Ce qui devrait rappeler des souvenirs à nos lecteurs qui ont entendu parler du projet Européen EISPP, conduit par le Cert-IST entre 2002 et 2003.

http://www.eispp.org/fr.htm  et/ou http://www.toulouse.cci.fr/dossiers/tic/avertic/workshop_s%E9curit%E9_des_syst%E8mes.htm

5/ Accroître la mobilisation des moyens judiciaires

Reconnaître la spécificité des contentieux liés aux systèmes d’information ;[…] · Assurer la sensibilisation des magistrats et des forces de sécurité par la formation initiale et continue ; […] · Renforcer les coopérations internationales.

(cf. le projet CTOSE : http://www.ctose.org/)

6/ Assurer la sécurité de l’Etat et des infrastructures vitales

Le rapport conseille ici de renforcer une autorité centrale chargée de conseiller en amont les maîtrises d'ouvrage de l'Etat pour des projets

sensibles et d’en contrôler l’application par des inspections sur site et des tests d’intrusion sans préavis, de renforcer la formation (et l’autorité) des experts et responsables grâce à une filière SSI transverse dans laquelle la mobilité sera organisée, tant à l'intérieur de la fonction publique qu'au travers de passerelles avec les entreprises et les centres de recherche, ces mesures pouvant s’appliquer par extension aux  opérateurs d’infrastructures vitales et aux entreprises sensibles.

Pour conclure l'analyse de l'impact de cette publication sur notre activité, rappelons que le Cert-IST est nommément cité deux fois dans ce rapport, que plusieurs des recommandations pourraient impacter son activité (actions de sensibilisation, Certs régionaux, exploitation de pôles de compétitivité ...), et qu’en tout état de cause, la qualité de l’analyse effectuée fait que la lecture attentive de ce rapport est une obligation pour tout professionnel qui s’intéresse suffisamment à la SSI pour avoir lu notre article jusqu’au bout … 

S’il était encore besoin de témoigner de l’importance de l’enjeu, citons M le Député Lasbordes lors d’une interview à "La Lettre de la Sécurité Informatique" :

"je pense qu'en réalité, le moment est venu de créer une sorte de projet Galileo autour de la sécurité informatique dans lequel seraient associés pouvoirs publics, acteurs économiques, professionnels et particuliers. C'est en tout cas la direction vers laquelle nous devons évoluer, à l'échelon national et bien sûr européen."

Pour plus d'information : 

• http://www.zdnet.fr/actualites/informatique/0,39040745,39303920,00.htm
• http://www.01net.com/editorial/301891/securite/l-etat-veut-remettre-de-l-ordre-dans-la-securite-informatique/
• http://www.mag-securs.com/article.php3?id_article=3914
• http://www.silicon.fr/getarticle.asp?ID=13385