Thèmes

Loto tag

SHIFT Avocats

Pour vos oreilles !

Découvrez la playlist Good Rock avec Saez

Enfin la nouvelle Agence Nationale de la Sécurité des Systèmes d’Information

© Nabil BIYAHMADINE - Fotolia.com
© Nabil BIYAHMADINE – Fotolia.com

Voilà un sujet qui m’intéresse car il s’agit de mon sujet de thèse. J’y soulignais d’ailleurs l’importance d’une prise de conscience des pouvoirs publics et la nécessité de considérer que la sécurité informatique est plus que jamais une question de protection de l’ordre public sous toutes ses formes. Depuis les choses avancent peu à peu en ce sens. Ainsi, avons nous  vu naître l’ENISA, Agence européenne chargée de la sécurité des réseaux et de l’information il y a déjà environ 5 ans.

En France, historiquement c’est la DCSSI, Direction centrale de la sécurité des systèmes d’information qui avait en charge les questions de sécurité informatique au niveau national et principalement tout ce qui touchait à la cryptographie. La DCSSI, par un décret du 7 juillet 2009, devient l’ « Agence nationale de la sécurité des systèmes d’information » ou ANSSI (c’est beau Annecy :) ) qui se veut investie d’une mission plus large de protection des systèmes d’informations. J’espère que c’est là le signe d’une vraie prise de conscience de la situation de vulnérabilité qui est la nôtre, particuliers comme professionnels. En 2008 un rapport sur la défense nationale avait déjà clairement énnoncé les actions à mettre en oeuvre :

« Face à une menace croissante d’origine étatique ou non étatique, la France doit se doter à court terme d’une capacité réactive de défense de ses systèmes d’information.
Seront développés, à cette fin, nos moyens de détection précoce des attaques informatiques en mettant sur pied un centre de détection chargé de la surveillance permanente des réseaux sensibles et de la mise en œuvre de mécanismes de défense adaptés. Afin de prévenir la menace, le recours à des produits de sécurité et à des réseaux de confiance sera généralisé. Ce besoin implique de disposer de capacités industrielles nationales suffisantes, développant une offre de produits de très haute sécurité totalement maîtrisés pour la protection des secrets de l’État, ainsi qu’une offre de produits et de services de confiance labellisés à laquelle recourront les administrations et qui seront largement accessibles au secteur économique. Des dispositions réglementaires seront également prises pour que les opérateurs de communications électroniques mettent en oeuvre les mesures techniques et d’organisation nécessaires à la protection de leurs réseaux contre les pannes et les attaques les plus graves. À ce titre, le réseau Internet devra être considéré comme une infrastructure vitale et un effort important devra être mené pour améliorer sa résilience
. »

Je croirais presque me relire, mais cela est normal car il s’agit de mesures évidentes. Je préfère néanmoins présenter la situation autrement : Internet constitue une infrastructure essentielle qui doit être protégée par l’État. Dès lors, il convient de favoriser la sécurisation des éléments qui composent ce réseau et sa richesse. Cela implique de sécuriser à un niveau minimum tous les systèmes informatiques qui sont connectés à internet ou qui sont des éléments de son infrastructure de fonctionnement. Cette sécurisation minimum ne doit pas être une question d’argent ou de compétence. Chacun doit pouvoir mettre en place des solutions gratuites et indépendantes, car il n’en va pas seulement de l’intérêt des utilisateurs du réseau mais bien de l’intérêt général et de la protection de l’ordre public économique. Oui, je suis bien en train de dire que je trouve essentiel que l’État propose ses propres solutions logicielles de sécurité informatique (antivirus et pare-feu essentiellement). Imaginez vous le niveau de sécurité et la capacité de réaction que nous pourrions obtenir avec une telle solution.

Certains me diront, faut-il faire plus confiance à l’État qu’à une entreprise privée notamment en matière de respect de la vie privée ?  En fait, avons nous bien le choix ? Je trouve d’ailleurs beaucoup plus logique d’ imposer de tels systèmes de sécurité informatique, que d’imposer le port de la ceinture de sécurité… Bref, je n’ai pas envie de mettre dans les plateaux d’une même balance, un intérêt national stratégique et la protection des petits secrets des personnes qui vont étaler leur photos personnelles sur fessebook.

De toute manière, il est évident que l’Etat devrait être lui-même contrôlé dans la mise en oeuvre et l’utilisation d’un tel outil. La CNIL ne pourrait-elle pas servir alors de contrôleur ? Les programmes en question ne devraient-ils pas être des programmes Open-source, autorisant le contrôle des fonctions et de leur fiabilité. Pourquoi ne pas d’ailleurs penser grand, en s’apuyant sur la puissance de la communauté open-source mondiale pour faire appel aux contributions de tous les programmeurs ? Une offre logicielle open-source officielle labelisée par l’Etat, l’UE ? Ne serait-ce pas la plus belle des solutions ? L’Etat français à l’initiative d’un projet encourageant tout un chacun, en toute transparence, à participer à la sécurité de tous et au bien être général.

Je me dis soudain que c’est peut-être la vocation naturelle de l’Etat, que de susciter, d’initier des mouvements qui ne peuvent se concrétiser que par la mobilisation de chacun afin que le résultat ne puisse qu’apparaître légitime aux yeux de tous. Le pire est que tout utopique que soit ce dessin, j’y crois à l’instant où je l’écris, car désormais, tous les éléments sont en place. La nouvelle agence aura à se prononcer sur ces questions qui rentre dans le champ de ses prérogatives mais qui doivent certainement encore être rendues efficientes par l’allocation d’un budget à la hauteur du travail à accomplir.

Gérald SADDE – Avocat (qui réfléchit sans doute trop)

  • LinkedIn
  • Viadeo
  • Facebook
  • Twitter
  • Furl
  • Google Reader
  • Share/Bookmark

Leave a Reply

 

 

 

You can use these HTML tags

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Get Adobe Flash playerPlugin by wpburn.com wordpress themes