Вы находитесь на странице: 1из 195

Sommaire

Remerciements Introduction Synthse


Scurit des systmes dinformation : un enjeu majeur pour la France
Chapitre 1

7 9 13 13

Laugmentation des menaces et des vulnrabilits pse fortement sur la scurit des systmes dinformation 23 Rappel des objectifs et de la politique de scurit des systmes dinformation La sensibilit de linformation prendre en compte Des attaques sophistiques, portant atteintes aux enjeux conomiques et dintelligence conomique Les vulnrabilits inhrentes aux systmes dinformation crent un environnement propice aux attaques Des enjeux futurs en matire de SSI
Chapitre II

24 26 27 41 44

Les rponses organisationnelles et techniques Comment ltat est-il organis pour assurer la SSI ? Comparaison de la mise en uvre de la SSI de cinq ministres auditionns Les infrastructures vitales comportent une dimension de scurit des systmes dinformation Comment sont organiss nos principaux partenaires trangers ? Le monde de lentreprise au cur de la menace et de la problmatique SSI Une sensibilisation des citoyens insuffisante et une protection faible de leurs ordinateurs personnels Conclusion partielle, une prise de conscience insuffisante et des organisations non-matures

49 49 61 62 63 74 89 90

Chapitre III

Une base industrielle et technologique spcialise en SSI autonome pour rpondre aux enjeux conomiques et de souverainet 93 Un march de la SSI en forte croissance mais dont les volumes sont limits La base industrielle et technologique nationale de SSI, notamment les PME-PMI : un effritement en cours qui risque dtre irrversible sans politique volontariste La certification de produits et les normes de scurit sont insuffisamment prises en compte en France : un frein au dveloppement de loffre nationale de SSI
94

103

115

Recommandations

125

ANNEXES
Annexe I

135 137

Bibliographie
Annexe II

Liste des entretiens


Annexe III

141

Glossaire
Annexe IV

149

Schma de principe des systmes dinformation


Annexe V

157

Sensibilit de linformation : exemples de la DCSSI et de lAFNOR


Annexe VI

159

Profils dtaills des attaquants de systmes dinformation


Annexe VII

161

Exemples de menaces
Annexe VIII

163

Exemples de vulnrabilits

171

La scurit des systmes dinformation

Annexe IX

Les principaux textes relatifs lorganisation institutionnelle


Annexe X

175

Quelques principes gnraux de scurit


Annexe XI

179

Les 12 cls de la scurit selon lAFNOR


Annexe XII

181

Exemples de chartes dutilisateurs dans les entreprises et ltat


Annexe XIII

183

Exemples de produits logiciels et matriels de SSI


Annexe XIV

185

Normalisation et principes de lvaluation/ certification, de la qualification et de lagrment

189

Remerciements

Je tiens remercier particulirement le Comit des sages que javais constitu, compos dminentes personnalits (dont les noms suivent), expertes sur ce thme, et qui ma apport comptence et exprience. M. Roger Baleras, ancien directeur des applications militaires du CEA. M. Jean-Paul Gillybuf, IGA, charg de mission pour la mise en place dune direction gnrale des systmes dinformation et de communication au ministre de la Dfense. M. Michel Lacarrire, directeur de ladministration centrale honoraire. M. Jean Rannou, gnral. M. Dominique Roux, professeur luniversit de Paris Dauphine. M. Jacques Stern, professeur lcole normale suprieure ULM, directeur du dpartement informatique. M. Jean-Pierre Vuillerme, directeur des services environnement et prvention du groupe Michelin. Je voudrais galement remercier les membres du groupe de travail qui ont particip activement la ralisation de ce rapport. Leur disponibilit, leur comptence technique et leur dtermination ont t un atout prcieux. Enfin, je tiens remercier les personnalits, les administrations, les entreprises et les organisations qui ont bien voulu apporter leur contribution lors des auditions ou des changes nombreux et fructueux.

Avertissement Les noms des socits cites, en particulier dans le chapitre III du prsent rapport, le sont titre exclusivement indicatif et ne sont en aucune manire une recommandation de lauteur.

Introduction

Les systmes dinformation font dsormais partie intgrante du fonctionnement des administrations publiques, de lactivit des entreprises et du mode de vie des citoyens. Les services quils assurent nous sont tout aussi indispensables que lapprovisionnement en eau ou en lectricit. La communication, qui occupe une place de choix dans nos socits contemporaines la recherche dune productivit sans cesse croissante, ncessite la matrise de linformation conomique, sociale et culturelle. Lexplosion mondiale dInternet a considrablement modifi la donne et confr aux systmes dinformation une dimension incontournable au dveloppement mme de lconomie et de la socit. Cest dire si la scurit des systmes dinformation (SSI) est un enjeu lchelle de la Nation tout entire. Les tats-Unis ont parfaitement saisi, et ce depuis longtemps, tout lintrt stratgique et politique dun contrle absolu de linformation. Lobjectif de l information dominance est sans quivoque. Laptitude prendre connaissance des communications secrtes de nos adversaires tout en protgeant nos propres communications, capacit dans laquelle les tats-Unis dominent le monde, donne notre nation un avantage unique 1. Pour ltat il sagit dun enjeu de souverainet nationale. Il a, en effet, la responsabilit de garantir la scurit de ses propres systmes dinformation, la continuit de fonctionnement des institutions et des infrastructures vitales pour les activits socio-conomiques du pays et la protection des entreprises et des citoyens. De leur ct, les entreprises doivent protger de la concurrence et de la malveillance leur systme dinformation qui irrigue lensemble de
1. Lexecutive order 12333 du 4 dcembre 1981. The ability to understand the secret communications of our foreign adversaries while protecting our own communications, a capability in which the United States leads the world, gives our nation a unique advantage . Traduction de courtoisie.

Introduction

leur patrimoine (proprit intellectuelle et savoir-faire) et porte leur stratgie de dveloppement. Lenvironnement li aux technologies de linformation et de la communication est la cible de nombreuses menaces. Louverture des rseaux et leur complexit croissante associant des acteurs aux multiples profils, ont renforc la vulnrabilit des systmes dinformation. Dtruire, altrer, accder des donnes sensibles dans le but de les modifier ou de nuire au bon fonctionnement des rseaux : les motivations sont diverses et fonction de la nature des informations recherches et de lorganisme vis. Quelles formes prennent les attaques ? De qui manent-elles ? Quelle est leur finalit ? Tous les utilisateurs identifient au quotidien la menace constante des virus et des vers qui submergent Internet. Leur nombre a explos au cours de ces dernires annes et ceux-ci deviennent de plus en plus sophistiqus. Les outils ncessaires aux pirates sont aisment accessibles en ligne et il existe un change constant dinformation et de savoir-faire au sein de la communaut des pirates pour rendre ces attaques de plus en plus efficaces. Cependant, leur dsir de performance cde de plus en plus le pas au dveloppement dentreprises criminelles dont les activits en ligne se sont accrues paralllement la dimension conomique dInternet. Le nombre de fraudes se traduit chaque anne par des cots slevant des milliards deuros, en particulier pour les banques et les entreprises. En tant quoutil de propagande et de communication, les rseaux terroristes utilisent dj largement Internet. Plus la lutte contre le terrorisme verrouille les lignes traditionnelles de communication, plus ces rseaux trouvent laccessibilit et lanonymat dInternet attrayants. Sil ny a jamais eu officiellement de cyber-attaque majeure motive par des considrations politiques ou terroristes contre des systmes dinformation, rien ne permet dexclure pour autant quune telle attaque ne se produira pas. Susceptibles daffecter un systme dinformation critique, les attaques ou les incidents majeurs pourraient avoir de graves rpercussions, notamment sur les infrastructures qui fournissent des services lensemble de la socit. Lespionnage dtat ou industriel visant intercepter des informations dadversaires ou de concurrents constitue une autre pratique. Au-del de la dimension offensive propre aux agences de scurit gouvernementales, les atteintes au secret industriel sont de plus en plus systmatises. Le vol des secrets commerciaux est, lui aussi, en constante augmentation. Il reprsentait aux tats-Unis, en 2001, un prjudice de 59 milliards de dollars aux mille premires entreprises amricaines. Lexemple le plus spectaculaire porte sur la rvlation 1, en juin 2005, des agissements dune entreprise isralienne qui louait
1. http://solutions.journaldunet.com/0506/050603_espionnage_industriel_israel.shtml

10

La scurit des systmes dinformation

un cheval de Troie 1 ses clients ; une affaire qui a conduit larrestation de plusieurs dirigeants dentreprises travers le monde. En sadressant cette socit, un client demandait tout simplement ce que le produit soit install dans le systme dinformation de la cible, pour en extraire en toute impunit toutes les informations quil dsirait. Lanalyse des menaces constitue la premire partie du rapport. Le caractre fortement volutif de lobjet de ltude appellerait une actualisation permanente. La deuxime partie prsente les dispositions prises aujourdhui par les diffrents acteurs afin dassurer la scurit de leur systme dinformation, et apporte des indications sur leur niveau de protection et leur sensibilit aux enjeux de scurit. Un examen sans dtour est fait de lorganisation et du pilotage de ces questions sensibles au niveau gouvernemental, des diffrents ministres et des grandes entreprises. Le champ dtude a t largi dautres pays et des organisations internationales. Cette tape de lanalyse a permis didentifier certains points sensibles sur lesquels le prsent rapport attire lattention et qui permettent de tracer des pistes daction destines amliorer la SSI dans notre pays. Elle montre en effet, au-del dune trs forte disparit et dun manque de coordination ente les acteurs publics et privs, la ncessit pour ltat dune adaptation nouvelle et urgente, dans la logique de ltat stratge. Les proccupations de souverainet nationale et de performance conomique de la France ont conduit enfin sinterroger sur la matrise des moyens informatiques ncessaires la mise en uvre dune SSI efficace et, partant, sintresser au secteur conomique qui les produit. Le rapport value le positionnement de la France sur le march mondial de la SSI et esquisse des orientations pour renforcer notre tissu dentreprises dans un domaine forte valeur ajoute pourvoyeur demplois hautement qualifis. La scurit des systmes dinformation est un vritable dfi, la fois technologique et conomique. Si leffort pour amliorer la scurit des systmes dinformation reprsente incontestablement un cot, il est sans commune mesure avec des investissements traditionnels de dfense consentis par le pays. La prservation de notre indpendance est ce prix. Cest un exercice rel dun patriotisme conomique retrouv, ncessaire pour crer les conditions favorables linstauration dune conomie de confiance dans la socit de linformation.
1. Cheval de Troie : programme qui excute des instructions sans lautorisation de lutilisateur, instructions qui lui sont gnralement nuisibles en communiquant par exemple lextrieur. Il prend lapparence dun programme valide mais il contient en ralit une fonction illicite cache, grce laquelle il contourne les scurits informatiques. Il pntre ainsi par effraction dans les fichiers de lutilisateur pour les modifier, les consulter ou mme les dtruire. Le cheval de Troie, contrairement au ver, ne se rplique pas et il peut rester inoffensif pendant quelques jours, semaines ou mois et se mettre en action la date programme.

Synthse

11

Enfin, au moment o lensemble des forces vives de la Nation se mobilise pour lemploi, la protection du patrimoine et de la comptitivit de nos entreprises par la SSI concourt directement la prservation et au dveloppement de nos emplois.

12

La scurit des systmes dinformation

Synthse

Scurit des systmes dinformation Un enjeu majeur pour la France


Pour les besoins de ce document, on appelle systme dinformation (SI) un ensemble de machines connectes entre elles de faon permanente ou temporaire permettant une communaut de personnes physiques ou morales dchanger des donnes (sons, images, textes, etc.). Selon cette dfinition, des systmes aussi varis que le rseau dun oprateur de tlphonie, le site Internet dun ministre, lordinateur individuel du particulier ou le rseau de commandement des forces armes sont des systmes dinformation.

Une menace qui doit tre prise au srieux


Linformation gre par les systmes dinformation fait lobjet de convoitises. Elle peut tre expose des attaques qui exploitent des lments vulnrables du systme dinformation. La scurit des systmes dinformation a pour objet de contrer ces menaces par des mesures proportionnes aux risques pouvant peser sur la confidentialit de linformation, son intgrit, sa disponibilit ou la possibilit den authentifier la source et de la signer. Les attaques sont une ralit. Les plus mdiatises sont les virus, vers, phising, spyware, ou les dfigurations de site Web. Autrefois imputables quelques agitateurs, elles sont dsormais le fait dorganisations criminelles organises avec des finalits notamment financires. Lorganisation (recours lexternalisation, absence de classification des informations...), la faiblesse des acteurs humains (inconscience, insouciance, navet), les rseaux de communication (risques de saturation, dinterception...), les logiciels dont la complexit croissante est

Synthse

13

source derreurs difficiles dtecter, ou les composants matriels, sont autant de sources de vulnrabilits. Le risque peut tre quantifi : il est fonction de la valeur attache aux informations manipules, de limportance des vulnrabilits et de la probabilit dexploitation de ces vulnrabilits par un attaquant. Pour un systme donn, le risque peut tre rduit en limitant la sensibilit des informations quil manipule, en rduisant la vulnrabilit de chaque entit du systme et en multipliant les lments de dfense convenablement architecturs pour compliquer la tche des attaquants potentiels. Il est galement ncessaire de mettre en uvre une politique de scurit applicable lensemble des entits dun domaine gographique ou fonctionnel, qui regroupe lensemble des rgles et des recommandations appliquer pour protger les ressources informationnelles. Les citoyens, les entreprises, le monde acadmique, les infrastructures vitales et ltat lui-mme sont des cibles. Compte tenu de linterconnexion entre les rseaux, ces cibles sont de plus en plus interdpendantes. Il importe donc de se proccuper de la scurit de tous les acteurs.

Les rponses organisationnelles et techniques


Aux cts dun acteur ddi, le SGDN, dautres acteurs publics interviennent dans le secteur de la SSI. Au sein du SGDN 1, la DCSSI 2 est charge dorganiser les travaux interministriels et de prparer les mesures que le Secrtaire gnral de la Dfense nationale propose au Premier ministre ; elle prpare les dossiers en vue des autorisations, agrments, cautions ou homologations, et en suit lexcution ; elle met en uvre les procdures dvaluation et de certification ; elle participe aux ngociations internationales ; elle assiste les services publics dans le domaine de la SSI (conseil, audit, veille et alerte sur les vulnrabilits et les attaques, rponse aux incidents) ; elle assure la formation des personnels qualifis dans son centre de formation (CFSSI). La DCSSI mne galement des inspections dans les systmes dinformation des ministres. Aux dessus du CERTA 3, elle a mis en place un centre oprationnel de la scurit des systmes dinformation (COSSI), activ en permanence et charg dassurer la coordination interministrielle des actions de prvention et de protection face aux attaques sur les systmes dinformation. Elle a galement mis en place un nouveau label ainsi quune cellule charge dentretenir des relations avec le tissu des entreprises de SSI.
1. Secrtariat gnral de la dfense nationale. 2. Direction centrale de la scurit des systmes dinformation. 3. Centre dexpertise gouvernemental de rponse et de traitement des attaques informatiques.

14

La scurit des systmes dinformation

Leffectif de la DCSSI est dune centaine de personnes, en majorit de formation scientifique et technique. Les auditions menes ont montr en particulier que : la faiblesse de leffectif conduit limiter la capacit dinspection de la DCSSI seulement une vingtaine de dplacements par an sur site, ce qui est insuffisant ; son rle de conseil aux entreprises est insuffisamment dvelopp et se rvle peu en phase avec les attentes du monde conomique ; les formations du CFSSI 1, considres comme de trs grande qualit, sont malheureusement rserves aux personnels de ladministration exerant directement dans le domaine de linformatique ou de la SSI et souffrent dun manque de notorit. Le ministre de la Dfense est un acteur important pour les produits gouvernementaux de haut niveau de scurit. Il est matre duvre des quipements ou moyens destins protger les systmes dinformation gouvernementaux. Il a galement la capacit dapporter son concours aux contrles et mesures que peuvent ncessiter les systmes dinformation en service dans les dpartements civils. Enfin, il est charg de doter ltat des quipes et laboratoires de mesures propres satisfaire lensemble des besoins gouvernementaux. En outre la Direction gnrale de la scurit extrieure (DGSE), rattache au ministre de la Dfense, apporte sa connaissance des menaces trangres sur les systmes dinformation. La Direction de la protection et de la scurit de la dfense (DPSD) assure de son ct une veille sur la scurit des industries de dfense. Le ministre de lconomie, des Finances et de lIndustrie a pour mission lanimation du dveloppement industriel dquipements de scurit non-gouvernementaux. Le service des technologies et de la socit de linformation (STSI) de la direction gnrale des entreprises (DGE) du ministre a un bureau du multimdia et de la scurit qui suit le domaine SSI et finance des projets SSI au travers des appels projets Oppidum. Enfin, comme pour les autres domaines technologiques, le MinEFI contribue au financement de linnovation dans les PME par divers mcanismes daide, en particulier le crdit impt-recherche, et au travers dOSEO-ANVAR dont il assure la tutelle. LADAE 2 assure la matrise douvrage des services oprationnels dinterconnexion et de partage des ressources pour ladministration lectronique, dont le volet scurit regroupe toutes les activits ncessaires la mise en place de linfrastructure de confiance (outils, rfrentiels, guides mthodologiques et expertise). Alors que la SSI est une composante importante de ce type de projets, la DCSSI nest pas cite dans le dcret instituant lADAE. Le ministre de lIntrieur est charg de la lutte contre la cyber-criminalit. Dans le cadre de ses missions, la Direction de la surveil1. Centre de formation la scurit des systmes dinformation. 2. Agence pour le dveloppement de ladministration lectronique, rattache au ministre charg du Budget et de la rforme de ltat.

Synthse

15

lance du territoire (DST) assure des prestations techniques et informatiques autour de trois volets : la prvention, la rpression et la scurit informatique. LOCLCTIC 1 est une structure vocation interministrielle place au sein de la Direction de la police judiciaire (DCPJ). Elle lutte contre les auteurs dinfractions lies aux TIC, enqute la demande de lautorit judiciaire, centralise et diffuse linformation sur les infractions lensemble des services rpressifs. La Police parisienne dispose dun service similaire, le BEFTI. La CNIL, en matire de scurit des systmes dinformation, sintresse essentiellement la protection des donnes personnelles. La loi du le 6 aot 2004 lui donne une mission de labellisation de produits et de procdures. La CNIL a un pouvoir dimposer que na pas la DCSSI. La CNIL et la DCSSI ont commenc travailler ensemble. La multiplication des acteurs publics, dont les missions se chevauchent et dont les textes fondateurs sont peu prcis, donne une impression gnrale de confusion et dparpillement des moyens et des hommes. Dans cette nbuleuse, lacteur public ddi, le SGDN et plus prcisment la DCSSI, souffre dun manque dautorit et parfois de crdibilit auprs des publics concerns. Ces deux facteurs, lparpillement des moyens et le manque dautorit du SGDN, nuisent lefficacit de ltat dans la dfinition et la mise en uvre de la politique globale de SSI. De plus, les disparits dans la mise en uvre dune organisation type, au sein de ladministration, des difficults mobiliser les ressources ncessaires et labsence dautorit des acteurs de la SSI, peuvent rendre cette organisation inoprante. Face aux difficults de recrutement de personnels, des ministres sont conduits recourir lexternalisation. Il est frquent de constater que les services informatiques ne suivent pas les recommandations des HFD 2 lors de choix de solutions pour des applications sensibles, sous couvert dune stricte application du code des marchs publics. Toutefois certains ministres ont mieux intgr la problmatique SSI et sappuient sur des quipes comptentes et motives. Une analyse comparative de lorganisation, du budget consacr la SSI, de lexistence de schmas directeurs oprationnels, de la classification des donnes sensibles et de la mise en place de chartes utilisateurs, effectue dans cinq ministres, rvle une htrognit pour chacun de ces domaines. De plus, aucune politique produits globale nexiste dans le domaine de la SSI. Le rapport analyse la situation de plusieurs pays (tats-Unis, Royaume-Uni, Allemagne, Sude, Core du Sud et Isral) et aborde les initiatives multilatrales (Union europenne, OCDE, ONU, G8, rseaux de veille et dalerte). On ne retiendra dans cette synthse que le cas de lAllemagne.
1. Office central de lutte contre la criminalit lie aux technologies de linformation et de la communication. 2. Haut fonctionnaire de dfense.

16

La scurit des systmes dinformation

LAllemagne a adopt en juillet dernier un plan national pour la protection des infrastructures dinformation (NPSI) qui sappuie notamment sur lhomologue de la DCSSl, le BSI. Le BSI mne des actions de sensibilisation destination des citoyens et des PME, analyse les tendances et les risques futurs ; il apporte une aide la scurisation des administrations mais aussi des entreprises (tenue jour dun standard professionnel de bonnes pratiques, conseils et support technique, tests dintrusion, protection des infrastructures critiques) ; il analyse les risques, value et certifie des produits et donne lautorisation des applications classifies. Il participe au dveloppement des produits et des technologies et joue un rle actif dans les comits nationaux et internationaux de normalisation et de standardisation relatifs la SSI. Pour assurer lensemble de ces missions, le BSI emploie 430 personnes (contre 100 la DCSSI) en croissance rgulire depuis 2001. Il dispose dun budget significatif de 51 millions deuros en augmentation rgulire depuis 2002. La part consacre aux dveloppements reprsente 19 % de ce budget (10 M) et celle consacre aux tudes 17 % (9 M). Ces ressources sont sans commune mesure avec celles de la DCSSI. Le systme dinformation de lentreprise est dsormais dploy dans un contexte dentreprise tendue permettant un travail en rseau avec ses clients ou usagers, ses fournisseurs, ses donneurs dordre, ses partenaires ou les reprsentants de ladministration. Ces interconnexions gnrent des vulnrabilits nouvelles pour les systmes dinformation de lentreprise. En outre, la gnralisation des outils nomades (tlphones mobiles, PDA, ordinateurs portables...) et le passage au tout numrique gomment la frontire entre espace professionnel et espace priv, accentuant trs significativement les risques. Les enqutes montrent que de nombreux sinistres ont t identifis, avec des incidences considrables sur la production, lquilibre financier ou limage des entreprises. De plus, des actions despionnage industriel peuvent se traduire par une perte de comptitivit avec une incidence ngative sur lemploi. Cependant, scuriser les systmes dinformation requiert de mobiliser des ressources financires et humaines dont le retour sur investissement est souvent difficile justifier. Les PME ont notamment du mal, du fait de leur faible taille, disposer des ressources ncessaires. Si lintgration de la SSI dans le modle culturel de lentreprise reste une exception, certaines grandes entreprises internationalises montrent une matrise remarquable de la SSI : politique de scurit impose au plus au haut niveau, organisation efficace, sensibilisation et responsabilisation des personnels, choix darchitectures et dquipements adapts la scurisation des informations stratgiques, etc. Les entreprises attendent de ltat des services de support efficaces et accessibles, comme un guichet unique pour les aider rsoudre leurs problmes de SSI, des prconisations de produits de scurit, un soutien spcifique lorsquelles sortent des frontires, etc. Divers organismes publics et privs ont labor lattention des entreprises dexcellents guides.

Synthse

17

Base industrielle et technologique


Les tats-Unis disposent dune domination sans partage sur la plupart des segments du march de la SSI. Pourtant, la scurit des systmes dinformation est un enjeu national caractre stratgique, politique et conomique. Dans une logique de souverainet, la France et lEurope peuvent-elles aujourdhui se doter des moyens dassurer de manire autonome la protection de leurs infrastructures et de leurs systmes ? Les technologies de scurit sont la base du dveloppement des produits et conditionnent ainsi directement la qualit de la SSI. La conception darchitectures de scurit, lingnierie logicielle, la preuve de programmes et de protocoles et les mthodes dvaluation, la cryptographie, les dispositifs lectroniques de protection de secrets (cartes puces...) et les mthodes applicatives de filtrage (antispam, antivirus...), de modlisation du comportement et de dtection dintrusions, sont globalement bien matrises au niveau national contrairement aux systmes dexploitation et aux circuits intgrs scuriss, technologies pourtant essentielles la scurit de la plupart des quipements. Cest sur elles que devrait porter un effort massif de recherche et de dveloppement. Quelques centres et instituts en France ont des activits orientes SSI, en logiciels ou matriels, pour certains de grande rputation. Toutefois labsence de grands leaders industriels en France, une insuffisance de fonds publics ddis et la contrainte des publications ne permettent pas la recherche nationale en SSI dtre au niveau des meilleurs mondiaux. Une coopration accrue avec des leaders trangers prsenterait des risques mais permettrait, dans le cadre de partenariats rellement quilibrs, de mettre les chercheurs franais au contact de ces leaders. Le march de la SSI est en forte croissance mais reste de faible volume. Le tissu industriel national en SSI est constitu de quelques grands groupes, souvent lis au march de larmement, dintgrateurs, de nombreuses SSII de toutes tailles, dune centaine de petites et moyennes entreprises, souvent forte valeur technologique, qui peinent pour la plupart survivre, et de leaders mondiaux dans le domaine de la carte microprocesseurs. Cependant, loffre nationale et europenne est clate. Des actions visant au rapprochement de ces activits, en sinspirant de ce qui a t fait dans la Dfense et lAronautique, deviennent impratives. Les politiques dachat de ltat et des grands donneurs dordres ne sont pas favorables aux PME innovantes. lexception du pacte PME propos par le Comit Richelieu en association avec OSEO-Anvar, il ny a pas de relle dynamique de la part des grands donneurs dordres. Les PME de la SSI ne disposent pas des ressources suffisantes pour affronter la concurrence des offres trangres. Elles ont des difficults financer leurs investissements, que ce soit en fonds propres (le sec-

18

La scurit des systmes dinformation

teur nattire pas les investisseurs nationaux) ou par des crdits bancaires. Il faudrait dvelopper des fonds dinvestissement spcifiques, adapts des entreprises de croissance modre, mme dassurer un financement stable sur une dure suprieure 10 ans. Le financement public de la R&D est insuffisant dans les TIC en gnral. Si diffrentes sources de financement existent, plus ou mois accessibles aux PME : lAnvar, lANR (Agence nationale de la recherche), lA2I (Agence de linnovation industrielle), les ministres chargs de lIndustrie et de la Recherche et lUnion europenne, ces financements sont insuffisants et mal coordonns. Enfin, si lenvironnement juridique et fiscal des entrepreneurs est en amlioration, il demeure perfectible. Labellisation des produits de scurit. La France fait partie des pays fondateurs des critres communs et des accords de reconnaissance mutuelle. Il est toutefois regrettable de constater que sa comptence et son exprience particulire (en particulier de ses centres dvaluation) sont trop peu connues et reconnues ltranger. Une valuation est conduite par un laboratoire priv, CESTI, agr par la DCSSI. Le processus de certification est jug trop long et trop coteux par beaucoup dindustriels, a fortiori pour les PME. La qualification par la DCSSI est donne un produit qui a t valu et certifi partir dune cible de scurit quelle a approuve au pralable. 10 produits ont dj t qualifis et 7 sont en cours de qualification. La moiti de ces produits est dveloppe par des PME. Lagrment est lattestation dlivre par la DCSSI quun produit de chiffrement est apte protger des informations classifies de dfense, aprs valuation par le Celar et par la DCSSI. Cest un label national. La normalisation facilite les choix stratgiques de lentreprise, favorise la protection des consommateurs et lapplication de la rglementation. La prsence de la France dans la normalisation et la standardisation est notoirement insuffisante. Une des voies pour faciliter lacquisition des produits qualifis est de donner des profils de protection le statut de normes franaises homologues. Le projet de convention entre la DCSSI et lAFNOR pour mener terme une action de normalisation est toujours en discussion. Il y faudrait une nouvelle impulsion.

Six recommandations
Les six recommandations proposes correspondent une double ambition : renforcer la posture stratgique de ltat en matire de TIC et de SSI et assurer la mise en uvre oprationnelle des politiques et des dcisions de ltat en matire de SSI.

Synthse

19

Axe 1. Sensibiliser et former la scurit des systmes dinformation


Organiser une grande campagne de communication sinscrivant dans la dure destination de tous. Mettre en place un portail Internet pour mettre la disposition des utilisateurs citoyens, administrations et entreprises des informations dactualit, des guides de bonnes pratiques, des contacts, des alertes sur les menaces... Proposer au systme ducatif du primaire lenseignement suprieur et au systme de formation continue, des canevas modulaires de formation en SSI. Informer lutilisateur : linstar du port de la ceinture pour lutilisation dun vhicule automobile, imposer que la documentation utilisateur qui accompagne les produits personnels de communication mentionne les risques principaux encourus vis--vis de la protection des informations, les points de vigilance pour lutilisateur et les recommandations types mettre en uvre (exemple : activer un pare-feu, protger et changer rgulirement son mot de passe...)

Axe 2. Responsabiliser les acteurs


tablir de manire obligatoire des chartes lusage des utilisateurs, annexes au contrat de travail public et priv ou aux rglements intrieurs des entreprises. Labelliser les entreprises fournisseurs de produits ou services de SSI qui respectent un cahier des charges tablir.

Axe 3. Renforcer la politique de dveloppement de technologies et de produits de SSI et dfinir une politique dachat public en cohrence
Identifier les maillons des systmes dinformation qui exigent des produits qualifis. tablir et tenir jour un catalogue des produits de scurit nationaux qualifis et des produits europens adapts aux diffrents niveaux de scurit assurer. Dvelopper les financements publics de R&D. Favoriser le dveloppement des PME innovantes dans la SSI et renforcer les fonds dinvestissement en capital dveloppement. Dvelopper la politique de certification et de qualification par une augmentation des produits certifis et qualifis et une rduction des dlais et des cots de certification. Accrotre la prsence et linfluence franaise dans les groupes de standardisation et les comits de normalisation. Dfinir et mettre en uvre une politique dachat public, fonde sur le principe dautonomie comptitive. Inciter les grandes entreprises travers le pacte PME faire confiance aux PME SSI.

20

La scurit des systmes dinformation

Axe 4. Rendre accessible la SSI toutes les entreprises


Inciter les entreprises assurer leur SSI par la mise en place daides publiques. Crer un centre daide et de conseil dans une logique de guichet unique. Diffuser aux PME, sous une forme adapte, les informations de veille, dalerte et de rponse disponibles au niveau des CERT nationaux. Initier et animer des forums thmatiques public priv favorisant la circulation dinformations, les retours dexpriences, le partage des bonnes pratiques...

Axe 5. Accrotre la mobilisation des moyens judiciaires


Reconnatre la spcificit des contentieux lis aux systmes dinformation. Aggraver les peines prvues au code pnal en matire datteinte la SSI. Introduire une exception au principe dinterdiction de la rtro-conception dans le code de la proprit intellectuelle pour des motifs de scurit. Assurer la sensibilisation des magistrats et des forces de scurit par la formation initiale et continue. Constituer un ple judiciaire spcialis et centralis de comptence nationale. Renforcer les cooprations internationales.

Axe 6. Assurer la scurit de ltat et des infrastructures vitales


Mettre jour les politiques de SSI et les schmas directeurs de chaque ministre et les valider par une autorit centrale. Conseiller en amont les matrises douvrage de ltat pour des projets sensibles tels que par exemple la carte nationale didentit ou le dossier mdical. Confier une autorit centrale le rle dapprouver formellement le lancement de ces projets sensibles. Faire contrler par une autorit centrale lapplication de ces prescriptions par des inspections sur site et des tests dintrusion sans pravis. Mettre en place et animer une filire SSI transverse dans laquelle la mobilit sera organise, tant lintrieur de la fonction publique quau travers de passerelles avec les entreprises et les centres de recherche. Dfinir les profils de postes des responsables SSI. Renforcer leur autorit et leur responsabilit ; ils devront tre indpendants des directions des systmes dinformation. Pour les oprateurs dinfrastructures vitales : valider la politique de scurit par lautorit centrale et conduire des inspections et des tests dintrusion ; Pour les entreprises sensibles, faire la demande des audits et des tests dintrusion. * * *

Synthse

21

Il est noter que certaines recommandations du rapport rejoignent les mesures proposes dans le Plan de renforcement de la scurit des systmes dinformation de ltat en 2004.

Un impratif : refondre lorganisation de la SSI de ltat


En complment aux six axes de recommandations, afin damener notre pays un niveau plus lev de scurit et dautonomie, il faut renforcer laction de ltat et ses moyens humains et financiers en matire de SSI, rationaliser lorganisation des services de ltat et accrotre la cohrence des actions des diffrents acteurs. Le renforcement significatif des missions actuelles de la DCSSI qui en dcoulent, en particulier les plus oprationnelles, amne galement remettre en cause lorganisation mise en place en 1995 et qui ne semble plus adapte aux enjeux actuels. Il est ainsi propos : de recentrer le dispositif tatique sous lautorit du Premier ministre afin de garantir la mise en uvre des axes stratgiques et dassurer la dimension interministrielle du dispositif ; de sparer les fonctions oprationnelles des fonctions dautorit : les fonctions dautorit resteraient au sein du SGDN qui, pour le compte et sous lautorit du Premier ministre, serait notamment en charge de llaboration de la politique nationale de la SSI, de la validation des politiques SSI des ministres et des organismes sous tutelle, dvaluer les rsultats de la mise en uvre oprationnelle, dassurer une veille stratgique sur lvolution des risques, dinitier le renforcement de la dimension judiciaire et les actions interministrielles en matire de politique dachat. partir des fonctions oprationnelles de la DCSSI renforces, une structure oprationnelle rattache au Premier ministre, ddie et centralise, ayant une culture de rsultats pourrait tre mise en place. Cette structure assurerait la mise en uvre oprationnelle des politiques SSI et constituerait un centre dexpertises et de moyens au service des fonctions dautorit. Constitues autour des quipes de lactuelle DCSSI les ressources de la structure oprationnelle seraient renforces par des complments de ressources pluridisciplinaires permanentes et des apports dexpertises ponctuelles externes publiques ou prives. La structure oprationnelle pourrait bnficier dun statut de type EPIC. Comme le BSI allemand, elle pourrait tre dote de principes de gouvernance garantissant la confiance, limplication des personnels, la transparence et la neutralit, ainsi qutre value sur ses activits, notamment de support, de communication et de formation, selon des critres de performance et de qualit.

22

La scurit des systmes dinformation

Chapitre 1

Laugmentation des menaces et des vulnrabilits pse fortement sur la scurit des systmes dinformation
Pour les besoins de ce document, on appelle systme dinformation un ensemble de machines connectes entre elles, de faon permanente ou temporaire et permettant une communaut de personnes physiques ou morales dchanger des donnes (sons, images, textes, etc.). Selon cette dfinition, des systmes aussi varis que le rseau dun oprateur de tlphonie fixe ou mobile, le site Internet dune entit (ministre, entreprise, institut de recherche, etc.), lordinateur individuel du particulier tout comme linfrastructure de son fournisseur daccs, le rseau de commandement des forces armes constituent des systmes dinformation. Ainsi, une segmentation des systmes dinformation en trois sous-systmes principaux permet de mieux apprhender les champs couverts et leur complexit (voir schma en annexe IV) et en corollaire les enjeux de scurit sous-jacents : Les rseaux informatiques : Internet et donc corrlativement toutes les applications ou services qui y sont associes (commerce lectronique, banques en ligne...) et les quipements ncessaires son fonctionnement (serveurs, routeurs...) ; les rseaux locaux dentreprises et intra-entreprises ; les rseaux de ltat et des organisations publiques ; les rseaux des infrastructures critiques ; les quipements individuels des particuliers. les les les les les Les rseaux de communication : rseaux de satellites de communication ; rseaux sans fil (Wimax, Wifi, Bluetooth...) ; rseaux de localisation GPS ou Galileo ; rseaux tlphoniques filaires ; rseaux doprateurs de tlphonie mobile (GSM, GPRS, UMTS).

Les rseaux de diffusion de tlvision (TNT, cble) et de radio. La disponibilit de nouveaux supports physiques de transmission ou loptimisation de la bande passante sur ceux qui existent (modulations radiolectriques, cbles sous-marins, cbles optiques, satellites, multiplexage sur

Laugmentation des menaces et des vulnrabilits pse fortement sur la scurit des systmes dinformation

23

la paire de cuivres, etc.) offrent de grandes possibilits techniques (amlioration des interconnexions, des dbits, etc.). Couples la standardisation et lutilisation tendue de certains protocoles de transmission (IP), ces possibilits font natre des offres de services qui rencontrent des opportunits dapplication ou des demandes issues de nos modes de vie. Assez frquemment, les opportunits ou les demandes sont motives par des considrations conomiques (rduction du cot de fonctionnement dun service existant) et pratiques (gain de rapidit, de commodit pour ce service). Ainsi : La dmatrialisation des relations entre une administration et ses administrs en donne un bon exemple. Lutilisation et lenvoi lectronique dimprims administratifs sur Internet permettent de rduire significativement les cots de traitement des procdures manuelles (allgement de la masse salariale des agents publics). Dans le mme temps, le traitement central et automatis dune procdure permet descompter un gain defficacit (statistiques et prvisions quasi-immdiate pour ladministration). Un programme darmement visant assurer un flux continu dinformation entre un tat-major de forces et des militaires uvrant sur un thtre doprations est mme de donner au commandement une visibilit totale et instantane des actions et des mouvements entrepris par le fantassin sur le champ de bataille. Quant lordinateur individuel connect Internet, il offre de nouveaux loisirs et un confort de vie : parcourir un supermarch virtuel, payer et se faire livrer domicile la commande. Les risques qui psent sur la scurit des systmes dinformation sont fonction de la combinaison des menaces qui psent sur les ressources protger, des vulnrabilits inhrentes ces ressources et de la sensibilit du flux dinformation qui passe dans ces ressources. valuer sa scurit demande de savoir vers quoi on veut tendre et contre quoi on cherche se protger. Il apparat que la scurit des systmes dinformation sapparente de la gestion de risques.

Rappel des objectifs et de la politique de scurit des systmes dinformation


Analyser et comprendre les menaces et les vulnrabilits ncessite au pralable de prciser deux lments inhrents la politique de scurit : Il y a asymtrie entre les moyens de lattaquant (sans limite) et ceux du dfenseur (trs contraint). Le dfenseur doit tout imaginer sans pouvoir riposter (cest le principe de la vision de Clausewitz) car il ny a

24

La scurit des systmes dinformation

pas de lgitime dfense en SSI qui est possible.

tandis que lattaquant sautorise tout ce

La scurit nest pas une fin en soi mais rsulte toujours dun compromis entre : un besoin de protection ; le besoin oprationnel qui prime sur la scurit (cooprations, interconnexions...) ; les fonctionnalits toujours plus tentantes offertes par les technologies (sans fil, VoIP...) ; un besoin de mobilit (technologies mobiles...) ; des ressources financires et des limitations techniques. La scurit na de sens que par rapport ce quon cherche protger. Ici, la cible principale des convoitises est linformation, quil sagisse de la manipuler ou de la dtruire, de lextraire ou den restreindre laccs, voire de la rendre inaccessible. On peut galement chercher protger des puissances de calcul, ou encore de la connectivit. La SSI a donc pour objet de proposer des solutions organisationnelles et/ou techniques susceptibles de protger les informations les plus sensibles en priorit mais galement les autres. La gestion du risque et la SSI participent dune mme dmarche globale, fonde sur lidentification des attaques potentielles, mais galement sur lide quaucun systme dinformation nest invulnrable car : il nest pas possible denvisager de se protger 100 % des codes malveillants (comme par exemple les virus ou les chevaux de Troie) ; les pare-feux protgent uniquement des attaques rsiduelles (i. e. qui ne correspondent pas aux services offerts) 2 ; les algorithmes cryptographiques secrets ne sont pas tous fiables ; les solutions de dtection dintrusion peuvent tre trompes ; la SSI repose sur des outils mais galement sur un facteur humain ; il nest pas possible de tester les systmes et les applications dans des dlais raisonnables au regard de leur dploiement auprs des utilisateurs. La scurit des systmes dinformation vise gnralement cinq objectifs : la confidentialit : il sagit de garantir que laccs aux donnes nest possible que pour les personnes dment autorises les connatre ; lintgrit : il sagit de garantir que les fonctions et donnes sensibles ne sont pas altres, et conservent toute leur pertinence ; la disponibilit : il sagit de garantir quune ressource sera accessible au moment prcis o quelquun souhaitera sen servir ; lauthentification a pour but de vrifier quune entit est bien celle quelle prtend tre ; la non-rpudiation vise interdire une entit de pouvoir nier avoir pris part une action (cela est fortement li la notion juridique dimputabilit).
1. Stanislas de Maupeou, in Revue Dfense nationale, novembre 2003 2. Lire ce propos la note du CERTA : Tunnel et pare feu : une cohabitation difficile (http://www.certa.ssi.gouv.fr/site/CERTA-2001-INF-003/) ;

Laugmentation des menaces et des vulnrabilits pse fortement sur la scurit des systmes dinformation

25

Afin datteindre ces objectifs de scurit, il est ncessaire de mettre en uvre une politique de scurit, applicable lensemble des entits lintrieur dun domaine gographique ou fonctionnel qui explicitera lensemble des rgles et des recommandations afin de protger les ressources et les informations contre tout prjudice et galement de prvoir le cas de la faillite de la protection. Pour tre mise en uvre sur un plan oprationnel, cette politique de scurit sappuie sur un certain nombre de fonctions de scurit, telles que : lidentification et lauthentification des entits, le contrle daccs, la traabilit des sujets et des oprations, laudit des systmes, la protection des contenus et la gestion de la scurit. Ces fonctions font lobjet de menaces particulires et peuvent prsenter des vulnrabilits susceptibles dtre exploites par des attaquants motivs ou non. Cette politique de scurit, associe la gestion des risques, permet de prononcer une homologation de scurit.

La sensibilit de linformation prendre en compte


Les informations qui doivent demeurer confidentielles, celles qui doivent absolument tre disponibles ou celles qui peuvent reprsenter un attrait pour une tierce partie, sont appeles sensibles (cf. Annexe V). LAFNOR 1 distingue trois types dinformations : Linformation aisment et licitement accessible que certains appellent linformation blanche est ouverte tous. Elle se trouve dans la presse, sur Internet, etc. Linformation licitement accessible mais caractrise par des difficults dans la connaissance de son existence et de son accs . Cette information grise, pour la trouver, il faut dabord savoir la chercher. Elle se rapproche davantage du renseignement. Linformation diffusion restreinte et dont laccs et lusage sont expressment protgs . Il sagit ici de linformation noire qui est protge par un contrat ou une loi. Seules quelques personnes sont autorises y accder. Les deux mentions prconises par la Directive 901 : confidentiel et diffusion limite Aux termes de lart. 4, portant sur les informations sensibles, non-classifies Dfense, il est recommand que ces informations reoivent une mention rappelant leur sensibilit en considration de la gravit des
1. Association franaise de normalisation.

26

La scurit des systmes dinformation

consquences qui rsulterait de leur divulgation, de leur altration, de leur indisponibilit ou de leur destruction. cette fin, une distinction est opre par deux mentions dsignant le niveau de protection quil faut assurer linformation : confidentiel et diffusion limite. Chacune de ces mentions de sensibilit peut tre assortie dune mention spcifique, caractristique du domaine protg : personnel (information nominative au sens de la loi no 78-17 du 6 janvier 1978 relative linformatique, aux fichiers et aux liberts) ; professionnel (protg par larticle 226-13 du code pnal) ; industriel ; commercial ; nom dune socit ou dun organisme ; nom de deux partenaires ; nom dun programme. La mention spcifique assure le cloisonnement de linformation, en rservant son accs aux seules personnes ayant besoin de les connatre pour laccomplissement de leur fonction ou de leur mission.

Des attaques sophistiques, portant atteintes aux enjeux conomiques et dintelligence conomique
Les principales menaces effectives pesant sur les systmes dinformation sont de nature distincte mais tout aussi prjudiciable la protection de linformation : lutilisateur : il nest pas gnralement une menace : il peut se retrouver face une gestion de la complexit laquelle il na pas t prpar (le particulier nest pas un administrateur informatique). Lexemple typique est la mauvaise utilisation de SSL ou encore le phishing ; les programmes malveillants : un logiciel destin nuire ou abuser des ressources du systme est install sur le systme (par mgarde ou par malveillance), ouvrant la porte des intrusions ou modifiant les donnes ; lintrusion : une personne parvient accder des donnes ou des programmes auxquels elle nest pas cense avoir accs ; un sinistre (vol, incendie, dgt des eaux...) gnre une perte de matriel et/ou de donnes ; La scurit des systmes dinformation est partie intgrante de la scurit globale visant se protger des attaques : physiques : ces attaques (vols ou destructions par exemple) visent les infrastructures physiques des systmes dinformation, tels les cbles ou les ordinateurs eux-mmes ; lectroniques : il sagit par exemple de linterception ou du brouillage des communications ;

Laugmentation des menaces et des vulnrabilits pse fortement sur la scurit des systmes dinformation

27

logicielles : ces attaques regroupent lintrusion, lexploration, laltration, la destruction et la saturation des systmes informatiques par des moyens logiques ; humaines : lhomme est un acteur clef dun systme dinformation. Il constitue ce titre une cible privilgie et peut faire lobjet de manipulation afin de lui soutirer de linformation via l ingnierie sociale 1 par exemple ; organisationnelles : un attaquant cherchera abuser des dfauts de lorganisation et de sa scurit pour accder ses ressources sensibles. Ces types dattaques sont des lments indissociables parfois utiliss simultanment pour une attaque sophistique quil convient dintgrer dans un plan de scurit globale. Ne traiter quun seul de ces points pourrait tre compar installer une porte blinde lentre dune maison, mais en laissant les fentres ouvertes.

Des attaquants aux profils et aux motivations htrognes


En 1983, lpoque o la micro-informatique commence peine se dvelopper, le cinaste amricain John Badham ralise War Games. Dans ce film, il imagine un jeune touche--tout de gnie pntrant lordinateur de contrle des missiles intercontinentaux amricains (ordinateur accessible en ligne ! ! ce qui na pas beaucoup de sens...). Pensant avoir faire un jeu, il dclenche une guerre thermonuclaire globale... Si le mythe de ladolescent pntrant les sites du Pentagone a la vie dure, les attaquants sont de profils htrognes et obissent des motivations trs diffrentes. Dans ce rapport, il est convenu dappeler attaquant toute personne physique ou morale (tat, organisation, service, groupe de pense, etc.) portant atteinte ou cherchant porter atteinte un systme dinformation, de faon dlibre et quelles que soient ses motivations. Les principaux objectifs dun attaquant sont de cinq ordres : dsinformer ; empcher laccs une ressource sur le systme dinformation ; prendre le contrle du systme par exemple pour lutiliser ultrieurement ; rcuprer de linformation prsente sur le systme ; utiliser le systme compromis pour rebondir vers un systme voisin.

Il est toujours difficile de connatre les motivations dun acte, mme si ces dernires, telles que le besoin de reconnaissance, ladmiration, la curiosit, le pouvoir, largent et la vengeance sont le plus souvent les moteurs de ces actes dlictueux. Il est cependant utile de chercher les comprendre pour mettre en place des stratgies et des tactiques de rponses adaptes.
1. Ingnierie sociale ou Social Engineering : lart de manipuler un humain pour lui soutirer des informations. En pratique, un pirate peut tenter, par exemple, de se faire passer pour un responsable et demander son mot de passe un utilisateur naf.

28

La scurit des systmes dinformation

On distingue traditionnellement 4 types dattaques quils nous semble utile de rappeler ici un public non-averti : Ludique : les attaquants sont motivs par la recherche dune prouesse technique valorisante, cherchent dmontrer la fragilit dun systme et se recrutent souvent parmi de jeunes informaticiens.

Dfiguration ludique :
Le 16 juillet 2005, le site www.expatries.diplomatie.gouv.fr tait dfigur 1 : une de ses pages tait remplace a priori par une rfrence au groupe de pirates.

Cupide : des groupes ou des individus cherchent obtenir un gain financier important et rapide. Les victimes dtiennent de largent ou ont accs des flux financiers importants (banques, paris en ligne...). Le chantage est devenu une pratique courante, comme lillustre lexemple des virus Smitfraud. C et PGP coder qui demandent explicitement lutilisateur de payer pour rtablir le bon fonctionnement du systme. Terroriste : des groupes organiss, voire un tat, veulent frapper lopinion par un chantage ou par une action spectaculaire, amplifie par limpact des mdias, telle que le sabotage dinfrastructures vitales, mais il fait souligner que cela na encore jamais t rapport. Stratgique : un tat, des groupes organiss ou des entreprises, peuvent utiliser avec efficacit les faiblesses ventuelles des systmes dinformation afin de prendre connaissance dinformations sensibles ou confidentielles, notamment en accdant frauduleusement des banques de donnes. Lattaque massive de systmes vitaux dun pays ou dune entreprise afin de les neutraliser ou de les paralyser constitue une autre hypothse. La dsinformation et la dstabilisation sont des moyens trs puissants et faciles mettre en uvre avec un effet multiplicatif d notre dpendance vis--vis de linformation. Cette typologie prend en compte la fois les niveaux de comptence et les niveaux de dtermination des auteurs. Il est noter que les motivations peuvent tre croises et ou combines ; par exemple un intrt cupide et stratgique.
1. Archive de Zone-H : http://www.zone-h.org/en/defacements/mirror/id=2595669/

Laugmentation des menaces et des vulnrabilits pse fortement sur la scurit des systmes dinformation

29

Profils des attaquants Sans dtailler tous les profils (cf. Annexe VI), on retiendra le plus connu ; les hackers 1 qui interviennent individuellement ou via des organisations. Diffrentes catgories de hackers existent en fonction de leur champ dimplication (lgal ou illgal) ou de leur impact sur les rseaux informatiques : les chapeaux blancs, certains consultants en scurit, administrateurs rseaux ou cyber-policiers, ont un sens de lthique et de la dontologie ; les chapeaux gris pntrent les systmes sans y tre autoriss, pour faire la preuve de leur habilet mais ne connaissant pas la consquence de leurs actes ; les chapeaux noirs, diffuseurs volontaires de virus, cyber-espions, cyber-terroristes et cyber-escrocs, correspondent la dfinition du pirate. Ces catgories peuvent tre subdivises en fonction des spcialits. Ainsi, le craker, soccupe de casser la protection des logiciels, le carder, les systmes de protection des cartes puces, le phreaker, les protections des systmes tlphoniques.

Les infrastructures vitales, ltat, les entreprises, les entits acadmiques et les citoyens : des cibles interdpendantes
Compte tenu de linterconnexion entre les rseaux constituant les systmes dinformation les cibles sont devenues de plus en plus interdpendantes. Les infrastructures vitales, un enjeu de scurit nationale Le fonctionnement du pays est dpendant dinfrastructures informatises, cible de menaces cupides, stratgiques et terroristes. La Commission europenne, dans une communication en date doctobre 2004 ( Protection des infrastructures critiques 2 dans le cadre de la lutte contre le terrorisme 3), propose la dfinition suivante : Les infrastructures critiques sont des installations physiques et des technologies de linformation, les rseaux, les services et les actifs qui, en cas darrt ou de destruction, peuvent avoir de graves incidences sur la sant, la scurit ou le bien-tre conomique des citoyens ou encore le travail des gouvernements des tats membres. Les infrastructures critiques se trouvent dans de nombreux secteurs de lconomie, y compris le secteur bancaire et des finances, les transports et la distribution, lnergie, les services de base, la sant, lapprovisionnement en denres alimentaires et les communications, ainsi que certains services administratifs de base.
1. Un hacker est un expert technique/scientifique, sans connotation morale particulire, contrairement au langage usuel. Cest pourquoi, dans ce rapport, les termes de pirates ou dintrus pour dsigner une personne employant des moyens illgaux pour rentrer et/ou se maintenir dans un systme dinformation seront prfrs. 2. Il est opportun de prciser la distinction faite entre la terminologie franaise infrastructures vitales et son homologue anglo-saxonne critical infrastructures . 3. http://europa.eu.int/eur-lex/lex/LexUriServ/site/fr/com/2004/com2004_0702fr01.pdf

30

La scurit des systmes dinformation

Indispensables au bon fonctionnement du pays, elles constituent des cibles privilgies : il sagit de la distribution dnergie lectrique (auprs dautres infrastructures : hpitaux, etc.) ; la production dnergie lectrique en particulier nuclaire ; les rseaux dalimentation et de production des raffineries ; la distribution et production deau douce ; les rseaux de transport (rservations billets davions, contrle arien, rseaux de signalisation des voies ferres, etc.) ; les rseaux de communication (tlphone filaire, cellulaires, rseau Internet, etc.) y compris ceux des forces de police et de la dfense. Linterdpendance entre certaines de ces infrastructures gnre galement des facteurs de risques en terme de raction en chane qui doivent conduire ltat en accord avec les oprateurs dinfrastructures vitales dfinir des politiques de scurit qui envisagent la scurit de manire globale et solidaire. Ces attaques, si elles aboutissaient, pourraient avoir des consquences particulirement graves, quelles soient conomiques, sociales, cologiques voire humaines.

Les rseaux nationaux britanniques victimes dattaques ?


Le 16 juin 2005, le National Infrastructure Security Coordination Center (NISCC) du Royaume-Uni mettait, travers la presse nationale, une alerte concernant des virus qui sattaqueraient aux rseaux informatiques dentits publiques et prives dans plusieurs secteurs cls : nergie, communications, transport, sant, finances et organismes gouvernementaux.

Il sagissait, selon le NISCC, dun type dattaque de haut niveau, combinant une large varit de techniques connues mais difficiles dtecter et qui visait certaines infrastructures critiques. En amont de lattaque se pose le problme de la dcision de connecter imprudemment et sans analyse de risque pralable, des rseaux sensibles. Des travaux sur la rsilience de tels systmes devraient tre engags. Dans ce domaine comme dans dautres, le CERTA (Centre dexpertise gouvernemental de rponse et de traitement des attaques informatiques) rappelle trs rgulirement que, selon le principe de dfense en profondeur, la scurit des systmes dinformation ne saurait reposer sur les seuls outils de scurit comme les antivirus ou les pare-feux mais que la vigilance de lutilisateur est galement primordiale ainsi quune vritable politique de mise jour des applications.

Laugmentation des menaces et des vulnrabilits pse fortement sur la scurit des systmes dinformation

31

Ltat : une cible de choix titre dexemple, le ministre de la Dfense amricain (Department of defense) est le plus attaqu au monde, avant Microsoft 1. Preuve en est aussi le succs des sites gouvernementaux (extension .gov aux tats-Unis, .gouv.fr en France) sur les pages rfrenant les dfigurations, considres spciales 2. Si la dfiguration dun site peut sembler banale et sans consquence autre que celle touchant son image de marque, le CERTA observe que la dfiguration en elle-mme est souvent larbre qui cache la fort. La plupart du temps les attaquants cachent leur attaque principale sous le couvert de la dfiguration. Ainsi, se contenter de rendre au site son aspect originel revient sous-estimer la porte de lattaque et ne rgle rien sur le fond. Les entreprises : des cibles de plus en plus attractives Les entreprises sont confrontes des menaces finalit ludique, cupide ou stratgique.

Ainsi, en juin 2005, des rvlations 3 sur une entreprise isralienne qui louait un cheval de Troie ses clients ont conduit larrestation de plusieurs dirigeants dentreprises travers le monde. En sadressant cette socit, un client demandait tout simplement ce que le produit soit install dans le systme dinformation de la cible, et pouvait ensuite en extraire en toute impunit les informations quil dsirait. Si les entreprises ont davantage de moyens pour se protger, la complexit croissante des systmes dinformation et les contraintes de cots rendent dautant plus difficile la scurisation des systmes. Les entits acadmiques, universits, centres de recherche, coles dingnieurs Moins sensibiliss la scurit des systmes dinformation, les organismes de formation de recherche sont victimes de nombreuses attaques, comme laffirment certains tmoignages recueillis au cours de la mission. Les citoyens, des cibles vulnrables Les donnes protger pour un citoyen sont de deux types : dune part celles quil produit lui-mme : e-mail, blogs, forums, et dautre part celles quil ne matrise pas, comme ses connexions Web chez son fournisseur daccs Internet ou travers une borne Wifi, la localisation de son mobile travers les relais tlphoniques, son passage devant des camras de vidosurveillance sur IP ou non. De plus, les machines des citoyens peuvent servir de relais pour conduire des attaques.
1. Source : auditions 2. Dfigurations spciales : http : //www.zone-h.com/en/defacements/special 3. http://solutions.journaldunet.com/0506/050603_espionnage_industriel_israel.shtml

32

La scurit des systmes dinformation

Tous les lments dun systme dinformation sont menacs


Tous les lments constitutifs dun systme dinformation peuvent tre la cible dattaques. Nous nous limiterons ici quelques aspects matriels : Routeurs : la connexion dun site, Internet ou des rseaux internes, repose sur les routeurs. Leur fiabilit doit tre toute preuve, leur scurisation renforce, et leur surveillance assure. En effet, toute perturbation de lquipement peut isoler un site du reste du monde, ou engendrer une compromission de lintgralit des donnes transitant par lquipement. Liens physiques : ils permettent le transit de linformation et, titre de comparaison, sont tout aussi importants que les voies de communications en temps de guerre. Ils peuvent tre mis sur coute, rompus (accidentellement ou non), dtourns. Il faut par ailleurs prvoir de la redondance dans les technologies utilises (satellite, cble).

Liaisons transatlantiques

Le rseau TAT-14 , assure une partie du transit Internet entre lEurope et les tats-Unis. Toute rupture des fibres optiques entrane des perturbations importantes des communications transatlantiques. Ce fut accidentellement le cas en novembre 2003, cause dun chalutier.

Serveurs : ils assurent des services dune extrme importance au bon fonctionnement de toute structure utilisant les rseaux tels que le service de messagerie lectronique devenu indispensable en tant quoutil de communication, service Web portail de communication et emblme de lorganisme vis--vis de lextrieur, service de fichiers aux contenus sensibles ou pas. Il est noter le danger de rendre le service de messagerie indispensable quand on songe quil ny a pas de garantie structurelle que le courrier est bien dlivr.

1. propos de TAT-14 : https://www.tat-14.com/tat14/

Laugmentation des menaces et des vulnrabilits pse fortement sur la scurit des systmes dinformation

33

Postes clients : utiliss tout niveau de la hirarchie, ils permettent tous de sacquitter de ses tches quotidiennes et stockent des informations potentiellement prcieuses. Ils sont surtout en premire ligne face aux maladresses ou malveillances des employs sur leur lieu de travail ou des utilisateurs domestiques. Ils sont considrs, ltat actuel de lart, comme trs difficiles scuriser. quipements mobiles : dune utilisation croissante au sein de lentreprise et de la vie quotidienne, les quipements mobiles constituent des lments du systme dinformation, et surtout des cibles en puissance : ordinateur portable, PDA, tlphone portable sont de plus en plus vulnrables cause de technologies dangereuses (wifi, bluetooth, etc.) et donc de plus en plus attaquables.

Les vecteurs dattaque sont multiples et tmoignent dune complexit croissante Les attaques physiques sont traiter en priorit
Cette dnomination recouvre les menaces pouvant aboutir la compromission matrielle du systme de traitement de donnes ou du rseau de communication. Les consquences identifies sont la paralysie du systme dinformation, par exemple en empchant laccs certaines zones ou ressources nvralgiques ou la destruction. Parer les menaces physiques peut ncessiter des dpenses dinfrastructure importantes (construction denclaves de scurit, de zones protges, mise en place de systmes de surveillance et dalerte, etc.), mais le contrle de laccs physique aux ressources du systme dinformation est aujourdhui indispensable parce quil serait vain de se lancer dans le dploiement de systmes dauthentification et dautorisation complexes (par exemple base de certificats) si lon est incapable de contrler laccs physique un serveur. Dans le mme temps, il est inutile et illusoire de faire leffort sur la scurit physique quand il y a un accs rseau dont le primtre nest pas contrl ou matris. La miniaturisation des moyens de stockage, comme les cls USB 1, et leur facilit demploi plaident galement en faveur du renforcement de ce contrle. Il est possible, partir dune cl USB modifie, de prendre le contrle dun poste et dy insrer un programme indsirable ou den extraire des donnes. Aucun ordinateur ayant accs des donnes sensibles, et a fortiori relevant du secret de dfense, ne devrait tre laiss sans surveillance, en particulier lorsque des tiers (agents dentretien, visiteurs, concurrents potentiels, etc.) ont accs aux locaux.
1. Une faille de scurit concernant lutilisation des clefs USB a t mise en vidence en aot 2005. Cette faille permet douvrir une session sur une machine protge par mot de passe partir dune simple clef USB spcifiquement programme dans ce but. Un oprateur malveillant serait ainsi en mesure dobtenir un accs illimit la machine et dy consulter toutes les donnes quelle contient. Cette faille est propre la technologie USB et non au systme dexploitation, ce qui signifie que tous les systmes sont potentiellement vulnrables.

34

La scurit des systmes dinformation

Les menaces lectroniques demeurent encore sous-estimes


Les moyens de communications internes et externes des systmes dinformation ne suscitent pas la mme attention que les moyens informatiques. Pourtant leur vulnrabilit les rend sensibles aux attaques pouvant entraner : le dni de service par brouillage ou saturation ; latteinte lintgrit des communications par injection de donnes malicieuses et la confidentialit par coute des missions radiolectriques du rseau. La menace Tempest 1 La menace Tempest est la menace que reprsente linterception des signaux parasites compromettants, mis par tout quipement traitant des informations sous forme lectronique, en vue de reconstituer les informations traites. Il est possible de tirer parti des signaux mis par un systme lectronique, perceptible jusqu plus dune centaine de mtres. Les tensions lectriques peuvent aussi rvler des informations intressantes, par conduction, soit sur les conducteurs dalimentation de lappareil cible, soit sur des conducteurs passant proximit, Lanalyse des signaux parasites compromettants classiques sest enrichie, en 2004, dune nouvelle technique de cryptanalyse acoustique des curs dunits centrales (Core Process Units). La menace Tempest, connue des services de renseignement et de protection, lest moins du grand public. La parer est difficile et coteux : il convient de placer tous les quipements sensibles dans des cages de Faraday ou dacqurir des matriels conus pour mettre un minimum de signaux. Lutilisation croissante des moyens de communications sans-fil : rseaux Wifi, communications bluetooth ou puces RFID sont autant de technologies qui multiplient les vecteurs dattaque possibles. Une transmission Wifi ou bluetooth non-scurise, utilise dans un sous-systme identification biomtrique, donc suppos donner une bonne garantie sur lidentit dun utilisateur, non seulement dtruit de facto toute sorte de garantie, mais peut, si elle est exploite, mettre mal lensemble du systme dinformation.

Lexemple des puces RFID (Radio-Frequency Identification)


Les tiquettes didentification radio (ou RFID) sont des puces sans contact transmettant des donnes distance par moyens radiolectriques. On les appelle aussi tiquettes intelligentes, ou encore parfois tiquettes transpondeurs. Cest, par exemple, ce type de puces qui est utilis dans le systme Navigo dans les transports en le-de-France ou pour le marquage des animaux. Les utilisations potentielles de ce genre de technologie sont nombreuses : gestion de stocks, grands magasins, tlpages dautoroutes, nouveaux passeports, etc.
1. Tout systme lectronique met des signaux dont le rayonnement peut tre perceptible jusqu une centaine de mtres et en rvler le contenu. Le terme TEMPEST dsigne la menace que reprsente cette vulnrabilit.

Laugmentation des menaces et des vulnrabilits pse fortement sur la scurit des systmes dinformation

35

Avec des moyens de dtection un peu sophistiqus, la distance daccs effective aux tiquettes RFID peut atteindre jusqu quelques dizaines de mtres). La plupart des dispositifs ne chiffrant pas (ou mal) les donnes transmises, les informations peuvent donc tre interceptes cette distance. Considrant, par exemple, lintrt que pourrait trouver un concurrent lire distance lensemble du flux logistique de distribution dun industriel et, dans la mesure o ce type de technologie est envisag pour transmettre des donnes personnelles (sur des passeports par exemple) lemploi de la technologie RFID pour des donnes caractre personnel ou dans des systmes de haute scurit ncessite une analyse pousse des risques.

Les menaces logicielles sont en volutions constantes


Tout utilisateur standard dun ordinateur personnel est confront la ralit des attaques possibles comme par exemple des vers et virus informatiques, des courriers lectroniques non-sollicits ou spam, de tentatives de fraudes informatises. Plusieurs modes dattaques logiciels peuvent se combiner ou se succder afin datteindre lobjectif souhait : La reconnaissance : lattaquant va dployer tous les procds sa porte pour regrouper quantit dinformations sur le systme ou rseau cibl. cette fin, il pourra le sonder et le cartographier (ce que lon appelle un scan ), et dans certains cas capturer du trafic lgitime pour en tirer des lments pertinents, ou encore exploiter la gigantesque base de connaissances que sont les moteurs de recherche sur Internet. Lintrusion : en utilisant une vulnrabilit identifie du systme cibl, lattaquant va tenter dobtenir un accs sur celui-ci, ou des privilges accrus. Pour cela, il pourra usurper lidentit dun utilisateur lgitime, exploiter une faille du systme dexploitation ou un trou de scurit applicatif, introduire un cheval de Troie, utiliser une porte drobe. Laltration et la destruction : il peut sagir daltrer ou de dtruire des donnes stockes sur le systme, ou bien le systme lui-mme, avec des finalits diverses. Au-del des implications financires et industrielles videntes, le but poursuivi peut tre la dgradation des mcanismes de protection en vue dattaques ultrieures. Cela peut tre attnu par des mcanismes de sauvegarde et des plans de continuit. La saturation : plus connue sous la dnomination de dni de service, lattaque consiste provoquer la saturation dune des ressources du systme dinformation : bande passante, puissance de calcul, capacit de stockage, dans lintention de rendre lensemble inutilisable. De nos jours, cette activit est trs rpandue sur Internet.

36

La scurit des systmes dinformation

Provenance des scans


14 000 12 000 10 000 8 000 6 000 4 000 2 000

tats-Unis

(Inconnu)

Source : CERT RENATER

Au mois doctobre 2005, 104 219 sources distinctes ont sond des machines sur le rseau RENATER 1. Il peut sagir de tentatives de propagations virales, ou de phases de reconnaissance pr-attaque de pirates ou encore de mauvaises configurations systme.

Quelques exemples parmi les plus connus :


Un ver est un logiciel malveillant indpendant qui se transmet dordinateur ordinateur par lInternet ou tout autre rseau en utilisant les failles existantes et perturbe le fonctionnement des systmes concerns en sexcutant linsu des utilisateurs. Contrairement au virus, le ver ne simplante pas au sein dun autre programme. Les tout premiers vers sont apparus en 1982. On retiendra la dferlante mdiatique de I love you en mai 2000 et en 2002-2003, Slammer fait son apparition. Des dizaines de milliers de serveurs ont t touchs en quelques dizaines de minutes. Slammer a eu comme consquences un ralentissement mondial de lInternet, des arrts de certains services pouvant aboutir, par exemple dans les aroports amricains, reporter ou annuler des vols, compte tenu de rpercussions ngatives sur les systmes de rservations automatises en ligne. Les pertes conomiques directes et indirectes ont t estimes 1 milliard de dollars. Sagissant de Blaster, une grande entreprise franaise a chiffr 1,5 M les consquences de ce ver sur ses propres systmes dinformation 2.
1. RENATER : Rseau national de tlcommunications pour la technologie lenseignement et la recherche. 2. Source : auditions.

Royaume-Uni

France

Chine

Allemagne

Taiwan

Brsil

Japon

Core du Sud

Laugmentation des menaces et des vulnrabilits pse fortement sur la scurit des systmes dinformation

37

Un ver bien ordinaire

Si vous avez dj vu cette fentre, sans doute faites-vous partie des quelques millions dinternautes travers le monde avoir t infects par le ver Sasser 1. Se propageant entre PC sous Windows sans firewall grce aux connexions rseau, il a longuement fait parler de lui en mai 2004. Un virus est un logiciel malveillant, gnralement de petite taille, qui se transmet par les rseaux ou les supports dinformation amovibles, simplante au sein des programmes en les parasitant, se duplique linsu des utilisateurs et produit ses effets dommageables quand le programme infect est excut ou quand survient un vnement donn. titre dexemple, dans un grand groupe 2, 5 % des courriels changs en 2004 ont t intercepts et radiqus. Mais il faut aussi et surtout tenir compte de tout ce qui ne se dtecte pas cause de mises jour non-effectues ou de vulnrabilit encore inconnue. Les antivirus agissent par dfinition a posteriori. Cest prcisment pour cela que la protection contre les virus ne peut et ne doit pas se limiter un antivirus mais que lutilisateur doit tre form et rester vigilant. 2004 a vu lexplosion du nombre de variantes virales, avec plus de 10 000 nouveaux virus identifis 3 comme MyDoom, ciblant les systmes dexploitation Windows, avec pour objectif de lancer des attaques comme par exemple des dnis de service. Le phishing consiste duper linternaute (page factice dun site bancaire ou de e-commerce) pour quil communique des informations confidentielles (nom, mot de passe, numro PIN...). Ces donnes sont utilises pour obtenir de largent. Cette menace est un frein au dveloppement de la banque et de ladministration en ligne. Les rseaux de robots visent donner la possibilit un pirate de contrler des machines, en vue dune exploitation malveillante.
1. http://www.sophos.fr/virusinfo/analyses/w32sassera.html 2. Source : auditions. 3. Source : Sophos et Clusif.

38

La scurit des systmes dinformation

Ils peuvent provoquer des redmarrages intempestifs ou empcher le tlchargement de correctifs tout en bloquant laccs certains sites Internet. Pour ne pas tre dtects et prserver leur anonymat, les attaquants dont la motivation est souvent financire ont de plus en plus tendance mettre en place un rseau de machines devant rester invisible et leur permettant, le moment venu, de relayer de manire massive partir des machines infectes lattaque dsire : des spams, des virus, ou des attaques en dni de service. Les rseaux de robots (botnets) peuvent mettre en uvre entre 3 000 et 10 000 ordinateurs zombies. Au premier semestre 2005, en moyenne 10 352 ordinateurs de rseaux de bots ont t actifs, par jour, soit une augmentation de 140 % par rapport au semestre prcdent 1.

Les serveurs racines, cibles dune attaque denvergure

En 2002, pendant une heure, les treize serveurs de noms racine (dont 10 aux tats-Unis), qui permettent directement ou indirectement, tous les navigateurs de trouver les pages Web demandes, tous les e-mails darriver destination, ont t la cible dune attaque de dni de service coordonne. Le problme nest pas tant la gographie physique mais qui concrtement contrle ces serveurs (contenu, mise jour, etc.). Ces serveurs sont le centre nerveux dInternet et en mme temps son talon dAchille.

Pour les contrer, il est ncessaire dagir au niveau prventif, en vitant, dans toute la mesure du possible, la contamination des machines.
1. Rapport Internet Security Threat Report de la socit Symantec.

Laugmentation des menaces et des vulnrabilits pse fortement sur la scurit des systmes dinformation

39

Un spam est un courrier lectronique dexemplaires identiques, envoy en nombre, de faon automatique et non-sollicit 1. En 2004, il y a eu une inondation graduelle du Net par les spams. De ce fait, nombre de responsables scurit ont d mobiliser leurs quipes sur le sujet des spam pour rpondre la pression de leur direction et des utilisateurs face la saturation de leurs messageries. titre dexemple un grand groupe franais 2 dans lequel 500 000 mails sont changs chaque jour, en rejette 60 000, dont 31 000 spams et 29 000 virus. Au premier semestre 2005 le spam a reprsent 61 % de la totalit du trafic de courriers lectroniques (51 % de tous les spams diffuss travers le monde provenaient des tats-Unis) 3. Cependant, le spam occasionne plus de dsagrments que de dgts, et sil est parfois qualifi dennemi logique numro un, ce nest pas du fait de sa dangerosit. Un spyware est un code qui permet de transmettre les habitudes dun internaute, que lon peut qualifier de logiciel espion avec des objectifs de commerce et de renseignement (tudes marketing, etc.). Il peut intgrer des programmes malveillants de toutes sortes mais galement affecter la confidentialit des donnes de linternaute. En 2004, 50 % des remontes Dr Watson (remonte des problmes informatiques Microsoft) taient dues des spywares ! Les logiciels espions et publicitaires adware sont en expansion.

Des attaques humaines


Dans la typologie des menaces, le facteur humain est essentiel et revt deux formes : lingnierie sociale : afin de contourner des systmes de protection, ou dobtenir des informations normalement confidentielles, un attaquant peut tenter dabuser de la navet dun utilisateur peu sensibilis ; la manipulation dindividus : MICE : Money, Ideology, Compromise, Ego. Cet acronyme anglophone rsume les diffrents moyens pouvant permettre de sassurer le concours de quelquun. Quil soit attir par largent, une idologie commune (religieuse ou politique), sous lemprise dune compromission ou de son ego, un individu peut tre manipul.

Les attaques organisationnelles


Lutilisation des failles intrinsques lorganisation de la scurit procdurale dune entit permet daccder ses informations sensibles. Les sous-traitants, ou prestataires de services, constituent des vecteurs privilgis pour sintroduire au sein du primtre physique dun organisme et y perptrer ses mfaits.

1. Le CERTA a mis en 2005 une recommandation complte ce sujet (limiter limpact du Spam : http://www.certa.ssi.gouv.fr/site/CERTA-2005-INF-004.pdf). 2. Source : auditions. 3. Rapport Internet Security Threat Report de la socit Symantec.

40

La scurit des systmes dinformation

Les vulnrabilits inhrentes aux systmes dinformation crent un environnement propice aux attaques
La conjonction de phnomnes tels que louverture vers lextrieur, linterconnexion des rseaux, la possibilit offerte un utilisateur de se connecter, par voie filaire ou hertzienne, distance, la mobilit des liaisons, la miniaturisation des ordinateurs et des supports dinformation cre un environnement plus propice encore aux attaques. Toutes ces vulnrabilits doivent tre vues sous langle de la gestion des risques et de lhomologation de scurit.

Des vulnrabilits techniques multiples en volution permanente


Lorsquelles sont identifies, les vulnrabilits peuvent tre communiques directement lditeur, mais peuvent galement faire lobjet dune publicit, avant la publication dun correctif (un patch). Le temps qui spare la publication dune vulnrabilit de lapparition du code dexploitation correspondant diminue, exposant dautant les systmes jusqu la publication du correctif ; le danger tant le 0-day : des vulnrabilits inconnues avec des codes dexploitation disponibles. Au cours du premier semestre 2005, on estime environ 2000 le nombre de nouvelles vulnrabilits. 97 % de ces vulnrabilits taient considres comme modres trs graves. Cependant, cette apprciation de criticit doit tre rvalue en fonction des environnements des diffrents systmes concerns. On comprend la ncessit de tenir jour son systme, dassurer une veille sur les vulnrabilits et une gestion rigoureuse des correctifs appliqus. Certaines vulnrabilits, gardes secrtes, sont lapanage dorganismes aux moyens plus importants (industriels, tatiques ou mafieux) et sont utilises dans des optiques plus graves : espionnage, lutte informatique offensive, dstabilisation (cf. Annexe VII). Cependant, il faut ajouter une notion relativement nouvelle mais dj trs rpandue dconomie des vulnrabilits qui consiste rmunrer les personnes dcouvrant de nouvelles vulnrabilits.

Laugmentation des menaces et des vulnrabilits pse fortement sur la scurit des systmes dinformation

41

Les risques lis lutilisation dinfrastructures spontanes 1 Les risques de ces infrastructures spontanes sont lis au fait quelles sappuient le plus souvent sur des standards propritaires ou sur des modles ou des architectures de scurit non-valides qui peuvent amener contourner la politique de scurit. Cest la raison pour laquelle les responsables de scurit de plusieurs organisations, conscients des risques sous-jacents, limitent ou interdisent lemploi de ces systmes 2, le plus souvent sans succs. Dautres imposent pour lemploi de tels outils dutiliser des courriels scuriss, le contenu confidentiel est dans un fichier attach crypt 3. La menace des priphriques externes La prolifration de priphriques de stockage externes de grande capacit constitue une menace. On retiendra en particulier : les cls USB, les assistants numriques personnels (PDA), les lecteurs et graveurs de CD et de DVD amovibles, les tlphones mobiles dots dune capacit de stockage de donnes. Il y a deux grandes catgories de risques, lintroduction de codes malveillants sur le rseau et la perte ou le vol de donnes de lentreprise alors que des mesures simples concernant lutilisation de ces priphriques et leur traabilit permettront de rduire sensiblement le niveau de risque. Daprs une enqute IDC 4, 71 % des sonds jugent trs proccupante lutilisation en priv dquipements mobiles en particulier par les dirigeants.

Les organisations sources de vulnrabilits


Lutilisation des failles inhrentes lorganisation dune entit est galement un moyen daccder ces informations sensibles. Les sous-traitants ou prestataires de services, par exemple, sont des vecteurs privilgis pour sintroduire au sein du primtre physique dun organisme et, ainsi, y perptrer leurs mfaits. Plus les entreprises ont dexprience en matire de scurit, plus elles considrent que la priorit doit tre donne au renforcement des procdures, plutt qu lacquisition de nouvelles solutions techniques. Concrtement, les entreprises se sont concentres en 2005 sur trois types de procdures : les normes politiques et techniques (28,8 %), les ractions en cas de crise ou dincident (22,2 %) et les stratgies de scurit pour les utilisateurs et les terminaux mobiles (14,6 %).
1. Une infrastructure spontane est une nouvelle couche rseau mise en place linsu de ladministrateur rseau ou quil ne peut rellement contrler. On peut citer par exemple les offres de services de convergence, susceptibles dintresser des particuliers ou des PME qui sont depuis 2004 en pleine croissance. Cest par exemple le cas des offres Blackberry ou Skype (tlphonie sur IP). 2. Source : auditions. 3. Source : auditions. 4. Livre blanc IDC France Internet Security System (ISS) sur la scurit des systmes dinformation -100 entretiens auprs dentreprises et dadministrations franaises avril 2005.

42

La scurit des systmes dinformation

Une organisation trop permissive et insuffisamment structure, risque de ne pouvoir identifier linformation critique pour son fonctionnement ; ni cerner sa vraie valeur ; ni optimiser les changes dinformations entre ses entits. Par construction, elle restera donc plus vulnrable. Lexternalisation favorise les vulnrabilits Lentreprise qui recourt lexternalisation doit sassurer quelle dispose, vis--vis de son prestataire, des moyens et garanties permettant dassurer la scurit de son systme dinformation, notamment travers lventuelle chane de sous-traitance... Les principaux risques identifis sont de nature : informationnelle : des donnes peuvent tre drobes ou manipules et les systmes dinformation peuvent tre neutraliss ; juridique : les socits utilisant des entreprises dinfogrance trangre doivent prendre garde la lgislation en vigueur dans le pays qui hberge leur informatique ainsi qu sa stabilit ; conomique : un cot de transfert sous-valu et une baisse de la qualit de services. Une perte dfinitive de savoir-faire en matire dadministration de systmes ; organisationnelle : la rversibilit ventuelle du transfert doit tre clairement prvue contractuellement et organise. Les organisations qui externalisent leurs infrastructures informatiques et leur SSI doivent bien intgrer que lensemble des donnes de leur systme dinformation sera accessible un tiers, dans le cadre dun march pour lequel il ny a, ce jour, aucune contrainte rglementaire spcifique.

Les vulnrabilits humaines peuvent tre lies :


une mise en rseau draisonnable et systmatique ; une mconnaissance de la menace (formation inadapte, sensibilisation insuffisante) qui peut engendrer de nouveaux risques, dans le cas notamment : de lutilisation darchitectures spontanes ; face des attaques dingnierie sociale ; de la manipulation dindividus. un mauvais climat social susceptible de gnrer des mcontentements ou des vindictes ; une insouciance des salaris, voire mme de la direction, utilisateurs de moyens informatiques ; une utilisation mal contrle : le risque rsultant dune connexion permanente haut dbit Internet (ADSL ou par cble) est suprieur celui qui existait lorsque la consultation et les changes se faisaient travers un modem (modulateur-dmodulateur) ;

Laugmentation des menaces et des vulnrabilits pse fortement sur la scurit des systmes dinformation

43

une ergonomie inadapte : elle peut avoir des consquences dramatiques (perte de donnes, diffusion dinformations secrtes, dcouragement des utilisateurs). Dune faon gnrale, linformatique actuelle est beaucoup plus complexe que lide gnralement rpandue et diffuse : la formation doit tre dveloppe.

Les vulnrabilits extrieures


Les vulnrabilits extrieures dun systme dinformation sont induites par les circonstances priphriques sur lesquelles nous navons que peu ou pas de contrle comme ceux lis lenvironnement (incendie, inondation...). Sauvegarder lensemble des informations dans un site secondaire distant et scuris est une ncessit pour se prmunir.

Des enjeux futurs en matire de SSI


Les aspects techniques
Le dveloppement dattaques plus performantes De nouvelles attaques apparaissent isoles ou combines, comme les attaques dites en essaim (swarming). Dans ce type dactions, un groupe attaque de manire trs coordonne une cible pouvant tre une infrastructure critique ou une organisation. Lindispensable scurisation du poste client Parmi les tendances actuelles identifies, le CERT-IST et le CERTA notent que les attaques visent prfrentiellement les utilisateurs finaux, plutt que les serveurs dentreprise, mieux protgs. La porte dentre du systme dinformation pour les hackers se dplace progressivement vers des quipements primtriques, comme les lignes Internet protges par des pare-feux, vers les postes de travail. Il existe un lien trs fort entre la scurit individuelle des postes de travail et la scurit informatique de lentreprise. En protgeant son propre poste, on protge aussi les autres 1.

Les enjeux de larchitecture et du dveloppement dun systme


Il existe une analogie entre la dmarche visant assurer la scurit dun systme dinformation et celle qui permet de construire et dassurer sa qualit.
1. Source : auditions.

44

La scurit des systmes dinformation

Lexpression du besoin en matire de scurit pour un systme nouveau devra faire apparatre les menaces dont il doit se protger, les intentions de ladversaire quil sagit de prvenir et les formes que ses agressions peuvent prendre. En outre, avant dentreprendre le dveloppement du systme, les spcifications fonctionnelles devront traiter des fonctionnalits du systme mettre en uvre, de sa disponibilit, de la fiabilit attendue des informations et des consquences dune divulgation dinformations. Une fois le dveloppement termin, avant de mettre en service le systme, il faut soumettre toutes ses fonctions de scurit lexamen dun organisme diffrent de lorganisme qui la dvelopp pour viter que les mmes soient juges et parties dans la qualification du dveloppement et pour sassurer de la clart et de la lisibilit de la conception. Un grand groupe auditionn a insist sur la sparation ncessaire entre lquipe qui ralise et celle qui prconise. Autrement dit, le matre duvre de la SSI ne peut pas tre le donneur dordre 1. Lors de la mise en service oprationnelle, il faut enfin grer la configuration du systme avec soin. Il va sans dire quil faut apporter une attention particulire la maintenance pour viter quelle ne soit loccasion douverture de failles dans la scurit.

Des enjeux politiques de souverainet et de dveloppement de lconomie nationale


Un enjeu de souverainet nationale : ltat doit garantir sa capacit prendre des dcisions de faon autonome afin de prserver les intrts du pays. Pour cela il doit sassurer de la continuit et de lintgrit des donnes des systmes dinformation de ltat, des infrastructures vitales, et des entreprises sensibles. En effet, ltat doit disposer en toute confidentialit de linformation ncessaire lexercice du pouvoir, prserver lindpendance de sa dcision qui repose sur la qualit et lefficacit des sources dinformations ainsi que sur leur protection. Il doit galement permettre aux entreprises dvoluer dans un environnement scuris et de bnficier ainsi des gains de productivit gnrs par la dmatrialisation ou aux individus daccder linformation et aux services, tout en les protgeant des risques crs par lutilisation dune toile universelle . Les champs dactions de la SSI et de lIntelligence conomique, se recoupent pour partie, car ils font la synthse de lconomie de la connaissance, et donc de linformation. Pour tre efficace, une politique volontariste dintelligence conomique doit notamment sappuyer sur des systmes dinformation fiables de ltat et des entreprises.
1. Source : auditions.

Laugmentation des menaces et des vulnrabilits pse fortement sur la scurit des systmes dinformation

45

Par exemple, dans le domaine militaire, le besoin dinteroprabilit entre allis conduit adopter des normes qui, jusqu prsent, sont fortement influences par les tats-Unis. Si la matrise de la ralisation des produits nest pas quitablement partage, il convient de sinterroger sur les consquences induites sur la souverainet de notre pays en particulier. Il en va de mme des systmes dinformation utiliss par les forces de police et les services de renseignement. Un enjeu conomique : un environnement scuris est ncessaire afin daccompagner le rattrapage franais dans lusage des TIC, indispensable pour la croissance franaise, par les citoyens et les entreprises franaises. Selon le tableau de bord du commerce lectronique de dcembre 2004 1, malgr un taux dquipements comparable pour les entreprises, des retards persistants demeurent par rapport aux concurrents en matire dusage. Retenons quelques donnes de cette tude de 2002 qui reste cependant dactualit. En juillet 2002, on comptait en moyenne 31,4 sites Web pour 1000 habitants contre 17,2 sites en juillet 2000. Des carts importants entre pays peuvent tre constats.
90 80 70 60 50 40 30 20 10
Royaume-Uni tats-Unis Pays-Bas Sude Allemagne Australie Danemark Canada
45 33 28 15 13 13 11 84,7 72 64 64

Nombre de sites pour 1000 habitants en juillet 2002

Pour accomplir des transactions dachat et de vente sur lInternet, le commerce lectronique a besoin de moyens scuriss. Le nombre de serveurs scuriss pour 100 000 habitants permet ainsi de mettre en vidence les pays les plus avancs dans lutilisation du commerce lectronique.
1. Mission pour lconomie numrique tableau de bord du commerce lectronique de dcembre 2004 6e dition Services des tudes et des statistiques industrielles (SESSI) Ministre dlgu lIndustrie.

46

La scurit des systmes dinformation

Finlande

Espagne

Italie

France

40 35 30 25 20 15 10 5 0

37,5

25 21,5 17,1 15,1 14,3 14

12,3

9,7

8,3

5,6

4,2

tats-Unis

Royaume- Uni

Pays Bas

Irelande

Sude

Allemagne

Finlande

Canada

Nombre de serveurs scuriss pour 100 000 habitants en juillet 2002

Dautres statistiques, dans cette tude relative aux citoyens, montrent certes une progression franaise sur les quipements et les usages, mais toujours des retards importants par rapport aux pays concurrents y compris en Asie. Or, la contribution en points de croissance de lusage des TIC est avre, en particulier avec lexemple des tats-Unis o la contribution des TIC la croissance tait de 1,3 1,5 pt contre 0,7 pt pour la France entre 1995 et 2000. La contribution des industries productrices de TIC nexplique pas tout. En effet, dautres pays qui ne disposent pas dindustries productrices de TIC plus importantes que la France sont en avance. Dans un contexte de mondialisation croissante de lconomie et de concurrence soutenue, les entreprises franaises, mais aussi ltat, ont lobligation de poursuivre et dacclrer leurs investissements en TIC notamment pour amliorer leur productivit et favoriser leur dveloppement commercial pour les premiers. Cette politique volontariste pourra dautant plus tre mise en uvre que lenvironnement de ces acteurs aura t scuris, permettant ainsi de prserver la disponibilit, lintgrit et la confidentialit de leurs activits.

Danemark

France

Suisse

Japon

Laugmentation des menaces et des vulnrabilits pse fortement sur la scurit des systmes dinformation

47

Chapitre II

Les rponses organisationnelles et techniques

Comment ltat est-il organis pour assurer la SSI ?


La scurit est laffaire de tous, mais ltat a un rle essentiel jouer. Par nature, il doit protger les citoyens et les entreprises et, pour assurer la continuit de ses missions, protger ses propres services, contre les menaces et les risques qui pourraient porter atteinte leur intgrit. La difficult du sujet qui nous intresse ici est que la menace et les risques qui psent sur les systmes dinformation, sils ont des consquences bien relles, sont dmatrialiss et donc moins visibles. Le dveloppement de ce nouveau domaine sur lequel repose dsormais le bon fonctionnement de notre socit ncessite dapporter des rponses nouvelles en matire de scurit. Pour ce faire, ltat doit sappuyer sur une organisation efficace et ractive. Si des structures existent il semble cependant quelles ne soient pas la mesure de lenjeu.

La rglementation en scurit des systmes dinformation (SSI)


La rglementation en scurit des systmes dinformation (SSI) nexiste pas sous la forme dun code lgislatif ou rglementaire. La SSI nest dailleurs pas mme dfinie dun point de vue juridique. En fait, le domaine de la SSI fait rfrence une multitude de textes de niveaux juridiques trs divers relatifs lorganisation institutionnelle, la protection des systmes dinformation, au dveloppement de ladministration lectronique, la cryptologie, la signature lectronique ou la cybercriminalit, (cf. Annexe IX).

Les rponses organisationnelles et techniques

49

Une dispersion des moyens, des comptences et des politiques au niveau national

Premier Ministre
SGDN / DCSSI Veille alerte rponse Labellisation / certification Formation Soutien la R&D Conseil en SSI Audit / Inspection

Minefi
DGE Soutien la R&D

ADAE Labellisation

CNIL Protection des liberts publiques Labellisation Etc.

SGDN / IE Protection des entreprises sensibles

Ministre de la Dfense
EMA DGA Financement Expression des besoins de produits Financement de produits Soutien la R&D Dveloppement OPVAR des technologies Veille alerte rponse Protection des entreprises darmement DGSE Analyse de la menace venant de lextrieur

Ministre de lIntrieur
OCLCTIC DST Lutte contre Lutte contre la cybercriminalit la cybercriminalit sensibilisation

Ministre de lducation nationale


Ministre de la Recherche Soutien la R&D Dveloppement des technologies

Une organisation ddie, sous lautorit du Premier ministre : le SGDN


Les missions du Secrtaire gnral de la Dfense nationale (SGDN) fixes par le dcret du 25 janvier 1978, sont rparties en cinq grandes directions auxquelles sajoutent le secrtariat permanent du comit interministriel du renseignement et lquipe du Haut responsable charg de lintelligence conomique.

50

La scurit des systmes dinformation

Premier ministre

353 personnes

SGDN

PSE

AIS

SP-CIR

DCSSI

IE

TTS

DAG

Secrtariat permanent du comit interministriel du renseignement

Direction de la Protection et de la scurit de ltat

Direction des technologies et transferts sensibles

Le dcret n 96-67 1 prvoit que le Secrtaire gnral de la Dfense nationale veille la cohrence des actions entreprises en matire de scurit des systmes dinformation (article 1). Il suit lexcution des directives et instructions du Premier ministre et propose les mesures que lintrt national rend souhaitables. Il coordonne lactivit de tous les organismes concerns et assure que les relations entre ceux-ci rpondent aux objectifs dfinis par le Premier ministre. Il veille au respect des procdures applicables des utilisateurs privs en matire de scurit des systmes dinformation. Il participe lorientation des tudes confies aux industriels et suit leur financement (article 2). Il est tenu inform des besoins et des programmes dquipement des dpartements ministriels et veille ce que ceux-ci soient harmoniss. Plus prcisment, la DCSSI 2 (Direction centrale de la scurit des systmes dinformation) assiste le Secrtaire gnral de la dfense nationale dans ses missions de scurit des systmes dinformation qui rpondent deux objectifs principaux : 1 Assurer la scurit des systmes dinformation de ltat (administrations et infrastructures vitales). 2 Crer les conditions dun environnement de confiance et de scurit propice au dveloppement de la socit de linformation en France et en Europe.

1. Dcret n 96-67 du 29 janvier 1996 relatif aux comptences du secrtaire gnral de la dfense nationale dans le domaine de la scurit des systmes dinformation (NOR : PRMX 9600002D). 2. Le dcret 2001-693 prcise les missions de la DCSSI.

Direction centrale de la scurit et des systmes dInformation

Direction des Affaires internationales et stratgiques

110 personnes

Haut responsable charg de lintelligence conomique

Direction de lAdministration gnrale

Les rponses organisationnelles et techniques

51

Le budget 2005 du SGDN est de 56,7 M avec un effectif de 353 personnes, parmi lesquelles 110, en majorit de formation scientifique et technique, sont affectes la DCSSI. La DCSSI : Contribue la dfinition et lexpression de la politique gouvernementale dans le domaine de la SSI. au sein de la Commission interministrielle pour la scurit des systmes dinformation (CISSI) 1, prside par le SGDN. Assure la fonction dautorit nationale de rgulation dans le domaine de la SSI. Dans ce cadre, la DCSSI : organise les travaux interministriels et prpare les mesures que le Secrtaire gnral de la Dfense nationale propose au Premier ministre ; prpare les dossiers en vue des autorisations, agrments, cautions ou homologations dlivrs par le Premier ministre, notamment pour lapplication de la rglementation de la cryptologie, et en suit lexcution ; met en uvre les procdures dvaluation et de certification du dcret 2002-535 (certifications ITSEC et Critres communs) ; participe aux ngociations internationales ; entretient des relations avec le tissu des entreprises de SSI. Assiste les services publics dans le domaine de la SSI : audit, veille et alerte dincidents, conseil. Audit et inspection : chaque ministre et chaque grande entreprise a sa propre politique daudit et dinspection, effectue par des ressources internes ou sous-traite aux nombreuses socits prives commercialisant une telle offre. La DCSSI dispose dune quipe charge dinspecter systmatiquement la scurit des systmes dinformation des ministres sur un cycle de trois ans. 8 personnes sont affectes ces missions. La faiblesse de leffectif conduit limiter le nombre de ces inspections seulement une vingtaine de dplacements par an sur les sites locaux et les organismes sous tutelles. Ces relevs ponctuels et les inspections de ladministration centrale aboutissent des recommandations adresses au Directeur de cabinet du ministre concern et du Premier ministre qui ont la responsabilit dy donner suites. Veille, alerte, rponse : la DCSSI dispose dun centre oprationnel de la scurit des systmes dinformation, le COSSI, activ 24 heures/24 -7 jours/7, et cr dans le cadre de llaboration des plans de vigilance (VIGIPIRATE) volet SSI et (PIRANET). Le COSSI est charg dassurer la coordination interministrielle des actions de prvention et de protection face aux attaques sur les systmes dinformation. Il est compos dune unit de Conduite & Synthse (CEVECS) et dune unit technique, le CERTA 2 (centre dexpertise gouvernemental de rponse et de traitement des attaques informatiques). Chacune de ces units regroupe une dizaine
1. Le dcret no 2001-694 prcise le rle de la CISSI. 2. Il existe dautres Computer Emergency Response Teams (CERTs) franais (CERT IST financ par des grands groupes industriels, CERT Renater pour les rseaux de recherche).

52

La scurit des systmes dinformation

de personnes. Les ministres et les oprateurs dinfrastructures vitales sont invits signaler au COSSI les attaques dont ils sont victimes. Conseil : la DCSSI conseille les ministres qui en font la demande dans lanalyse de risque, la prparation dappels doffres ou le suivi de grands projets. Le caractre facultatif du recours la DCSSI est particulirement prjudiciable une prise en compte systmatique de la SSI dans les grands projets. Elle peut galement conseiller ponctuellement des groupes industriels. Cependant, il ressort des auditions que loffre de conseil aux entreprises est insuffisamment dveloppe et se rvle peu en phase avec les attentes du monde conomique. Dveloppe une expertise scientifique et technique. La DCSSI procde lvaluation des dispositifs de protection des services de ltat, analyse les besoins et propose des solutions propres les satisfaire ; elle participe lorientation des tudes et du dveloppement des produits ; elle formule une apprciation sur les produits qui lui sont soumis. Cette mission est mene par une quipe de spcialistes rpartis dans trois laboratoires : cryptologie, signaux compromettants et architecture de systmes. Organise la formation dans le domaine de la SSI Sensibilisation et formation : la formation des personnels de lAdministration incombe principalement au Centre de formation la scurit des systmes dinformation (CFSSI) 1, mme si des initiatives de contractualisation dans le domaine de la formation ont t entreprises en partenariat avec des grandes coles sur le modle de celle, trs complte, de sensibilisation, dlivre lattention des cadres du secteur priv par les coles du GET regroupant lENST, lENST Bretagne et lINT. Lobjectif du CFSSI est double : dispenser une formation adapte aux diffrents acteurs publics de la SSI et crer un rseau informel dchanges avec les tablissements denseignement suprieur et les centres de formations continues. titre dexemples le CFSSI propose plusieurs degrs de stages 2, allant de la simple sensibilisation au haut niveau de spcialisation, dune dure dune journe jusqu deux annes de formation (cest le cas pour le Brevet dtudes suprieures de la scurit des systmes dinformation (BESSSI) par exemple). En 2004, pas moins de 898 stagiaires avaient suivi lune ou lautre des formations 3. De trs grande qualit, daprs un grand groupe dinfrastructures vitales, celles-ci sont malheureusement restreintes aux personnels exerant directement dans le domaine de linformatique ou de la SSI. De plus, un dficit de notorit de loffre du CFSSI limite le recours cette opportunit.

1. Dcret 87-354 du 25 mai 1987. 2. cfssi@sgdn.pm.gouv.fr et www.formations.ssi.gouv.fr. 3. Source : auditions.

Les rponses organisationnelles et techniques

53

Une multiplicit dacteurs insuffisamment coordonns


Au-del du SGDN, dautres acteurs tatiques, en raison de leurs missions propres, interviennent dans la sphre de la socit de linformation, dveloppant des comptences dans le domaine de la scurit. Cette partie, qui na pas vocation tre exhaustive, sefforce de prsenter les exemples les plus significatifs, ou rsultant dauditions.

Le ministre de la Dfense, un acteur majeur distinguer


Le ministre de la Dfense assure deux missions SSI distinctes : une mission de scurit interne, comme dans tous les ministres ; une mission technique charge de la prise en compte de la scurit dans les programmes darmement et de la ralisation de produits de scurit vocation ministrielle ou interministrielle. Contrairement aux autres ministres, le ministre de la Dfense na pas de haut fonctionnaire de Dfense (HFD) 1 et la responsabilit de la prise en compte de la SSI au ministre est dvolue aux autorits qualifies (CEMA, DGA, SGA, CEMAT, CEMM, CEMAA, DGGN, DGSE, DPSD) 2, aux bureaux centraux de SSI, aux officiers de scurit des systmes dinformation (OSSI) dorganismes centraux ou locaux et aux responsables de la scurit des systmes dinformation (RSSI) de programmes ou de projets. Une autorit qualifie est responsable devant le ministre de la capacit des systmes mis en uvre traiter les informations protges (ou sensibles) au niveau de scurit requis. Cette reconnaissance se traduit par la dlivrance dune homologation par lautorit qualifie. La politique SSI du ministre de la Dfense est intgre dans la politique gnrale des systmes dinformation dfinie par le Secrtariat du Directoire des systmes dinformation 3. Les Armes et la DGA possdent chacune une entit constitue de spcialistes de la SSI, charge en particulier de procder aux audits des systmes dinformation dpendant de lautorit qualifie correspondante. Chaque arme dcline sa voie fonctionnelle SSI jusqu chacune de ses entits lmentaires, et affecte des personnels lOPVAR, organisation permanente de veille alerte rponse, au niveau de ladministration centrale. Des missions particulires sont confies au ministre de la Dfense en SSI, dpassant son propre primtre, cest--dire lemploi ou la prparation des forces. Accompagne de linstruction [77], la recommandation [4201] prcise que le ministre de la Dfense : est matre duvre des quipements ou moyens destins protger les systmes dinformation gouvernementaux lorsque ces quipements ou
1. Cf. infra, p. 59. 2. Voir glossaire. 3. Bientt DGSIC.

54

La scurit des systmes dinformation

moyens sont susceptibles de satisfaire un besoin commun plusieurs dpartements ministriels ou, lorsque le besoin est particulier, sur demande du dpartement intress ; a la capacit dapporter son concours aux contrles et mesures que peuvent ncessiter les systmes dinformation en service dans les dpartements civils ; est charg de doter ltat des quipes et laboratoires de mesures propres satisfaire lensemble des besoins gouvernementaux. Au sein de la DGA, ces responsabilits particulires sont confies au SPOTI, service de programmes de la DGA ddi la conduite des programmes spatiaux, aux systmes dinformation et de commandement. Pour les travaux de ralisation des mcanismes cryptographiques, de ralisation des circuits, dexpertise technique sur la ralisation de produits et systmes et dvaluation, la DGA dispose dune division du CELAR. Au total, la voie technique SSI reprsente plus de 120 personnes, majoritairement ingnieurs et techniciens. Leur activit porte en priorit sur les solutions de scurit destines protger des informations classifies de dfense. La DGSE (Direction gnrale de la scurit extrieure) a pour mission dvaluer la menace provenant de ltranger qui pse sur les systmes dinformation.

Exemples dautres acteurs publics intervenant en matire de SSI


Le ministre de lIntrieur, de la Scurit intrieure et de lAmnagement du territoire La DST (Direction de la surveillance du territoire) : Dans le cadre de ses missions de lutte contre lespionnage, de la lutte antiterroriste et de la protection du patrimoine conomique et scientifique, la Direction de la surveillance du territoire (DST) assure des prestations techniques et informatiques, autour de trois volets : la prvention, la rpression et la scurit informatique. Lactivit de prvention de la DST sexerce dans quatre domaines distincts qui reprsentent les ples de comptence du service : la tlphonie, la criminalit informatique, les satellites et les matriels soumis une rglementation (art R226 du code pnal). Pour ce faire, la DST entretient des relations avec les oprateurs de tlcommunication (tlphonie, satellites, fournisseurs daccs Internet) et les socits de SSI, commercialisant des matriels pouvant porter atteinte la vie prive, et les socits de cryptologie. La DST assure galement une veille permanente dans le domaine des TIC. En matire de rpression la DST dispose de pouvoirs de police judiciaire spcialiss concernant la scurit des rseaux gouvernementaux et des tablissements rgime restrictif (ERR). La DST peut galement se voir confier une mission dexpertise judiciaire consistant en lanalyse de supports informatiques lors des enqutes judiciaires autres que dans le domaine du piratage informatique.

Les rponses organisationnelles et techniques

55

Enfin, la scurit informatique est assure au sein de la DST par le Bureau de scurit des systmes dinformation. Celui-ci est charg de lapplication de la politique de SSI dfinie la DST. En concertation avec les quipes rseaux, systmes et dveloppement applicatifs, il met en place les outils et procdures ncessaires pour sassurer de la disponibilit, de la confidentialit et de lintgrit des systmes dinformation. LOCLCTIC : lOffice central de lutte contre la criminalit lie aux technologies de linformation et de la communication. En matire de lutte contre la cybercriminalit, lOffice central de lutte contre la criminalit lie aux technologies de linformation et de la communication (OCLCTIC), structure nationale vocation interministrielle et oprationnelle, a t cr en 2000 au sein de la Direction de la police judiciaire (DCPJ). LOCLCTIC est principalement charg : danimer et coordonner la mise en uvre oprationnelle de la lutte contre les auteurs dinfractions lis aux TIC ; de procder, la demande de lautorit judiciaire, tous actes denqutes et travaux techniques dinvestigation ; de centraliser et diffuser linformation sur les infractions technologiques lensemble des services rpressifs (DCPJ, Douanes, Gendarmerie). Le centre national de signalement sur Internet, compos parit de gendarmes et de policiers, destin au recueil et au traitement des signalements portant sur des messages et comportements inacceptables sur Internet, est plac au sein de lOCLCTIC. Le ministre de lconomie, des Finances et de lIndustrie Comme pour les autres domaines technologiques, le Minefi contribue au financement de linnovation en matire de SSI dans les entreprises par divers mcanismes daide, en particulier le crdit impt recherche, et au travers dOSEO-ANVAR dont il a la tutelle. La DGE (Direction gnrale des entreprises) Laction en matire de SSI du service des technologies et de la socit de linformation (STSI) de la direction gnrale des entreprises (DGE) est double : il assure le suivi dune partie de la rglementation en SSI, notamment sur laccrditation des acteurs lis la signature lectronique et dans le cadre de sa mission de subvention la R&D collaborative finance des actions de soutien la R&D en matire de SSI de toutes les actions du ministre : clusters EUREKA qui rassemblent des partenaires europens dans le domaine des tlcommunications, du logiciel et des composants, ples de comptitivit (en le-de-France, en Provence Alpes Cte dAzur et en Basse Normandie) et le programme spcifique Oppidum. Mis en place en 1998, le programme Oppidum ddi la scurit a permis le dveloppement de solutions commerciales accompagnant la libralisation de la cryptologie et la mise en place de la signature lectronique. Mme si la crise des technologies de linformation a ralenti la valorisation commerciale de certains projets, des avances importantes ont t obtenues notamment en matire de signature lectronique (mise en place de tl procdures et du schma de qualification des prestataires), de protection

56

La scurit des systmes dinformation

des rseaux dentreprise (firewall, administration de rseaux privs virtuels, systme dinfrastructure de gestion de cls en logiciel libre install dans la plupart des ministres) et de scurit des cartes puce. Pour ce qui est dOppidum : le dernier appel proposition en 2004, dot dun budget limit 4 millions deuros, a rencontr un vif succs puisque 45 dossiers ont t dposs pour un total de 22 millions deuros environ. LADAE : LAgence pour le dveloppement de ladministration lectronique, cre par le dcret du 21 fvrier 2003, publi au JO du 22 fvrier, un service interministriel rattach au ministre charg du Budget et de la rforme de ltat. Lagence pour le dveloppement de ladministration lectronique favorise le dveloppement de systmes dinformation et de communication permettant de moderniser le fonctionnement de ladministration et de mieux rpondre aux besoins du public. Dans ce domaine : Elle contribue la promotion et la coordination des initiatives, assure leur suivi et procde leur valuation et apporte son appui aux administrations pour lidentification des besoins, la connaissance de loffre et la conception des projets. Elle propose au Premier ministre les mesures tendant la dmatrialisation des procdures administratives, linteroprabilit des systmes dinformation, ainsi quau dveloppement de standards et de rfrentiels communs. Elle assure, pour le compte du Premier ministre, la matrise douvrage des services oprationnels dinterconnexion et de partage des ressources, notamment en matire de transport, de gestion des noms de domaine, de messagerie, dannuaire, daccs des applications informatiques et de registres des ressources numriques. Parmi ses missions, le volet scurit regroupe toutes les activits ncessaires la mise en place, en liaison avec la DCSSI, de linfrastructure de confiance avec les outils, les rfrentiels, les guides mthodologiques (FEROS) et lexpertise (EBIOS). La coordination des autorits certifiantes et llaboration des rfrentiels sont menes avec la DCSSI. La dfinition dune carte puce gnrique est conduite en lien avec les partenaires europens. Dans le cadre de cette mission, lADAE dveloppe des projets tels que la carte agent , offrant des services de chiffrement et de signature, dont lappel doffres, en vue de son dploiement destination des ministres, est prvu en novembre 2006. LADAE travaille la mise en place dune offre de services de confiance mutualiss (mission de certificats, validation, gestion de la preuve...), dont la mise en production est prvue en 2006. Cette description des tches montre la difficult apprhender les responsabilits respectives de lADAE et de la DCSSI en matire de scurit des systmes dinformation.

Les rponses organisationnelles et techniques

57

La CNIL : Commission nationale informatique et liberts En matire de scurit des systmes dinformation, la CNIL, autorit indpendante qui a pour mission essentielle de protger la vie prive et les liberts individuelles ou publiques, sintresse essentiellement la confidentialit des donnes. La loi du le 6 aot 2004 donne la CNIL une mission de labellisation de produits et de procdures. Mme si la rflexion engage sur la problmatique complexe du label ne permet pas encore de dfinir aujourdhui la porte et le contenu de ce dernier, il semble probable que les aspects relatifs la scurit (sous langle de la confidentialit des donnes personnelles) seront essentiels. Quelle distinction peut-on faire entre un produit labellis par la CNIL ou certifi par la DCSSI ? Quelles sont les ressources techniques dont dispose la CNIL pour accomplir cette mission ? Cette mme loi permet, mais noblige pas, aux entreprises de se doter dun correspondant informatique et libert. L encore, il est difficile aujourdhui dvaluer lattrait (et donc le succs futur) de cette possibilit, ni mme le profil de ces correspondants. Cependant, il est admis que ces derniers devront possder une excellente connaissance des problmatiques de scurit. Ainsi, nous pouvons lgitimement attendre de ces correspondants une meilleure diffusion de cette culture de la scurit informatique au sein des entreprises qui se doteront dun correspondant. La CNIL et la DCSSI ont commenc travailler ensemble de manire quasi-informelle. Mais si la CNIL a, selon les termes de la loi, un pouvoir dimposer que la DCSSI na pas, la DCSSI, en revanche, dispose, du fait de ses origines, de comptences techniques incontestables. Dans le cadre des exprimentations menes suite au rapport Babusiaux (transmission dinformation de sant vers les assureurs complmentaires) le systme de transmission scurise envisag par la FNMF (fdration nationale de la mutualit franaise) a t audit par la DCSSI la demande de la CNIL. Il devrait en tre de mme pour le dispositif transitoire envisag par AXA (avant les dploiements de Ssame Vitale 1.40 chez les pharmaciens). Cette non-formulation peut-tre trs prjudiciable au bon fonctionnement de ltat.

Les consquences de la multiplication des acteurs publics


La multiplication des acteurs publics dont les missions se chevauchent et les textes fondateurs peu prcis, donne une impression gnrale de confusion et dparpillement des moyens et des hommes. Cest notamment le cas en matire de labellisation o lADAE, la CNIL et la DCSSI interviennent un degr variable de coordination. Dans cette nbuleuse, lacteur public ddi, le SGDN et plus prcisment la DCSSI, souffre dun manque dautorit et parfois de crdibilit auprs des publics concerns. Ces deux facteurs : lparpillement des moyens et le manque dautorit du SGDN nuisent lefficacit de ltat dans la dfinition et la mise en uvre de la politique globale de SSI, cela dautant plus que chaque ministre est responsable de son propre systme dinformation.

58

La scurit des systmes dinformation

Comment stonner ds lors, que lavis dun haut fonctionnaire de Dfense ne soit pas suivi deffet, ou quune note du SGDN sur un appareil PDA reste lettre morte ? Quelle crdibilit apporter la labellisation de produit par la DCSSI dans son secteur alors que la CNIL le fait dans le respect de ses prrogatives ? Quand lADAE conduit des missions parallles qui sembleraient devoir ressortir de la comptence de la DCSSI ?

Chaque ministre est responsable de la scurit de son propre systme dinformation : de fortes disparits dans lorganisation
Chaque ministre est libre dappliquer les mesures de scurit qui lui semblent pertinentes et adaptes ses besoins. Cette libert est cependant encadre par des instructions gnrales interministrielles qui prcisent la responsabilit des ministres, par exemple : La scurit des systmes dinformation relve de la responsabilit de chaque ministre, pour le dpartement dont il a la charge. ce titre, chaque ministre prend, dans les conditions fixes par le Premier ministre et sous son contrle, des dispositions en vue de : dvelopper tous les chelons le souci de la scurit ; apprcier en permanence le niveau de scurit des installations ; recenser les besoins en matire de protection des systmes dinformation et veiller ce quils soient satisfaits. Dans les dpartements autres que celui de la Dfense, ces attributions sont exerces par les Hauts fonctionnaires de dfense. Organigramme type propos : sation : Les directives IGI 900 et 901, proposent un modle dorgani-

Le haut fonctionnaire de dfense (HFD) Dans chaque dpartement ministriel, lexception de celui de la dfense, le ministre est assist pour lexercice de ses responsabilits de dfense par un ou, exceptionnellement, plusieurs hauts fonctionnaires de dfense. Le haut fonctionnaire de dfense est responsable de lapplication des dispositions relatives la scurit de dfense, la protection du secret et la scurit des systmes dinformation. Il contrle en particulier les programmes dquipement de son dpartement. Il fait appel aux comptences du service central de la scurit des systmes dinformation pour la spcification et lhomologation des produits et des installations. Le fonctionnaire de scurit des systmes dinformation (FSSI) Dans les dpartements ministriels qui utilisent des systmes dinformation justifiant une protection ou qui assurent la tutelle dorganismes ou dentreprises utilisant de tels systmes, le ministre dsigne un fonctionnaire de scurit des systmes dinformation (FSSI), plac sous lautorit du haut fonctionnaire de dfense. Lorsque la charge de travail nest pas suffisante, le ministre peut charger le haut fonctionnaire de dfense dassurer lui-mme les fonctions de FSSI.

Les rponses organisationnelles et techniques

59

Une quipe de scurit des systmes dinformation, la disposition du haut fonctionnaire de dfense et du fonctionnaire de scurit des systmes dinformation, peut tre constitue si les besoins du dpartement ministriel lexigent. Lautorit qualifie (AQSSI) Les autorits qualifies sont les autorits responsables de la scurit des systmes dinformation dans les administrations centrales et les services dconcentrs de ltat, ainsi que dans des tablissements publics et dans des organismes et entreprises ayant conclu avec ladministration des marchs ou des contrats. Leur responsabilit ne peut pas se dlguer. Lagent de scurit des systmes dinformation (ASSI) tous les niveaux, les autorits hirarchiques sont personnellement responsables de lapplication des mesures, dfinies par les autorits qualifies, destines assurer la scurit des systmes dinformation. Elles peuvent, cet effet, se faire assister par un ou plusieurs agents de scurit des systmes dinformation (ASSI), chargs de la gestion et du suivi des ACSSI se trouvant sur le ou les sites o sexercent leurs responsabilits, notamment lorsque la gestion et le suivi de ces articles ncessitent une comptabilit individuelle. Les disparits dans la mise en uvre de ce dispositif, ainsi que des difficults mobiliser les ressources ncessaires en particulier des ressources humaines comptentes et ddies , et labsence de pouvoir rel de ces acteurs de la SSI, rendent cette organisation inoprante. Il est frquent de constater que les services informatiques ne suivent pas les fortes recommandations des HFD lors de choix de solutions pour des applications sensibles, sous couvert dune stricte application du code des marchs publics.

Des ressources humaines insuffisantes


Le plan de renforcement de la SSI (PRSSI) approuv, le 10 mars 2004, par le Premier ministre, faisait dj tat dun manque de spcialistes comptents en scurit des systmes dinformation au sein des diffrentes administrations particulirement alarmant . En effet, la pnurie de personnel form, associ au manque de perspectives de carrire au sein de lAdministration et au niveau de rmunration propos, nencouragent pas les candidatures. Face aux difficults de recrutement de personnels, les ministres sont contraints soit privilgier la spcialisation interne 1, soit recourir lexternalisation 2.
1. Le centre de formation de la DCSSI (CFSSI) dispense gratuitement des formations en SSI. Cependant, un dficit de notorit de loffre du CFSSI et lorganisation du travail au sein des diffrents services, limitent le recours cette opportunit. 2. Parfois retenue par certains ministres, le recours lexternalisation doit tre conditionn un encadrement plus strict.

60

La scurit des systmes dinformation

Ce constat ne doit pas occulter le fait que certains ministres aient mieux intgr la problmatique SSI et sappuient sur des quipes comptentes et motives. Approche technique des ministres : des faiblesses et un manque de cohrence Les ministres squipent de manire autonome. Lhtrognit des matriels et logiciels utiliss, rend difficile une approche globale de la scurit des systmes dinformation des administrations, par exemple : pour ce qui est de larchitecture de scurit, si on peut regretter que la DCSSI nait pas un rle plus directif dans ses missions de conseil, on constate cependant que des progrs ont t accomplis pour faire face la menace externe. En revanche, la menace interne est insuffisamment prise en considration, en particulier lorsque des ministres disposent dorganes ou de services sous tutelle, le niveau de scurit nest pas toujours maintenu et garanti 1 ; pour ce qui est de ladministration et de lexploitation qui reposent avant tout sur des mthodes et sur le personnel, le manque deffectif form et des faiblesses de mthodologies peuvent par exemple conduire une gestion alatoire des mises jour de produits, ouvrant des vulnrabilits sur les systmes ; de plus, aucune politique produits globale nexiste dans le domaine de la SSI, et notamment en matire de logiciels libres. Cest pourquoi, la solution consistant mettre en place une organisation conjointe de dveloppement de produits de scurit , prsente par le PRSSI, est recommander.

Comparaison de la mise en uvre de la SSI de cinq ministres auditionns


Une analyse comparative de lorganisation, du budget consacr, de lexistence de schmas directeurs oprationnels, de la classification des donnes sensibles et de la mise en place de charte utilisateurs, des ministres de lIntrieur, de la Dfense, de lducation nationale, des Affaires trangres et de la Sant, rvle une htrognit pour chacun de ces domaines : en terme dorganisation, il ny a pas de sparation systmatique de la fonction Scurit des Systmes dinformation et de la Direction des services informatiques, comme il est prfrable de le faire, et comme le font la quasi-totalit des acteurs privs auditionns ;
1. Source : auditions

Les rponses organisationnelles et techniques

61

corollairement cette indiffrenciation, il nexiste aucun chiffre prcis du budget consacr la SSI par ministre ; des schmas directeurs existent, la plupart sont en cours dimplmentation ; la classification des donnes sensibles (hors confidentiel dfense et secret dfense) ne semble pas obir une rgle uniforme entre tous les ministres ; il nexiste pas, par ministre, une liste des logiciels associs aux applications traitant de ces donnes sensibles, dmontrant une carence de lattention porte aux solutions de confiance pour ce type dapplication ; les chartes utilisateurs existent parfois, en cours dlaboration pour certaines ou de mise en place pour dautres ; en tout tat de cause, il ny a pas de rgle prcise concernant le descriptif prcis de ces chartes, la manire de les appliquer, qui doit les signer, et quel type de document les apposer. Tout laisse penser que cette analyse comparative de cinq ministres, est a priori gnralisable lensemble des ministres.

Les infrastructures vitales comportent une dimension de scurit des systmes dinformation
Ltat a la responsabilit, en relation avec les reprsentants des secteurs stratgiques conomiques, de la protection des infrastructures vitales. Les secteurs dactivits dimportance vitale sont les activits ayant trait la production et la distribution de biens ou de services indispensables la satisfaction des besoins essentiels pour la vie des populations, lexercice de lautorit de ltat, au fonctionnement de lconomie, au maintien du potentiel de dfense et la scurit de la Nation, ds lors que ces activits sont difficilement substituables ou remplaables, ou peuvent causer un danger grave pour la population. En France, le pilotage gnral de la protection des infrastructures vitales est confi au Secrtariat gnral de la Dfense nationale, avec un rle particulier pour le COSSI (centre oprationnel en SSI qui englobe le CERTA). La politique de protection comprend des inspections pratiques rgulirement sur un ensemble de points et rseaux sensibles rpartis sur le territoire, des plans de vigilance et dintervention qui sont dclenchs lorsque les menaces augmentent significativement, et des exercices impliquant tout ou partie de lappareil dtat et des infrastructures critiques. De plus en plus, ces activits nationales slargissent des actions coordonnes au plan international (Table top exercice impliquant

62

La scurit des systmes dinformation

les pays du G8 en mai 2005) et europen avec notamment la prparation dun Programme europen de protection des infrastructures critiques (EPCIP). Un nouveau dispositif, en cours dlaboration, formalisera la liste des secteurs, des oprateurs et des points dimportance vitale. Un des objectifs de ce nouveau dispositif est darriver un nombre de points dimportance vitale sensiblement infrieur celui des actuelles installations et points sensibles, afin de mieux les protger.

Comment sont organiss nos principaux partenaires trangers ?


Les ressources humaines des agences homologues de la DCSSI, peuvent tre considres comme un bon indicateur de la priorit politique accorde ces questions : environ 3000 personnes la Division Information Assurance de la NSA aux tats-Unis, 450 au Bundesamt fr Sicherheit in der Infromationstechnik (BSI) en Allemagne et 450 au Communications Electronics Security Group (CESG) au Royaume-Uni, contre peine 110 la DCSSI. Disposant de plus de moyens que la DCSSI, ces agences dveloppent un vritable partenariat priv-public centr sur les produits de scurit. De manire gnrale, la conception et lorganisation anglo-saxonne de la scurit des systmes dinformation se caractrisent par une approche unifie des aspects dfensifs et offensifs.

Les tats-Unis : une doctrine forte, lInformation dominance


Une agence offensive et dfensive : la National security agency (NSA) LExecutive order 12 333 du 4 dcembre 1981 dcrit les principales responsabilits de la NSA (National security agency cre le 4 novembre 1952). : The ability to understand the secret communications of our foreign adversaries while protecting our own communications, a capability in which the United States leads the world, gives our nation a unique advantage . Tout est dit en quelques mots sur le pouvoir que revtent la matrise et la protection de son information pour un tat. La NSA a une double mission : protger les systmes dinformation des tats-Unis et obtenir des renseignements partir dinterceptions et des coutes dautres pays. La NSA est la fois une agence de cryptologie et une agence de renseignement. Elle emploie 3500 personnes et son budget nest pas connu.

Les rponses organisationnelles et techniques

63

LInformation Assurance a pour missions de : fournir des solutions, des produits et des services ; de mener des oprations de protection des systmes dinformation ; dassurer la protection des infrastructures critiques au profit des intrts de la scurit nationale des tats-Unis. LInformation Assurance Directorate (IAD), est lhomologue de la DCSSI du SGDN. La NSA mne des travaux sur linstauration de mcanismes dalerte face aux menaces sur les systmes dinformation et sur le renforcement de la protection des infrastructures vitales fond sur la mise en uvre dun partenariat troit avec lindustrie. Le Directeur de la NSA est un gnral de corps darme. Aprs les attentats du 11 septembre 2001, qui ont branl limage de marque de la NSA, la cyberscurit est devenue un enjeu de scurit nationale fond sur la dfinition de la stratgie nationale de scurisation du cyberspace (National Strategy to Secure Cyberspace) du Critical Infrastructure Protection Board. LUSA PATRIOT ACT, promulgu en octobre 2001, invite la mise en uvre dactions ncessaires la protection des infrastructures critiques, actions dveloppes sous la responsabilit de partenariats public-priv. LOffice of Homeland Security (OHS) est tabli par lexecutive order 13 228 et est charg de coordonner les efforts de protection des infrastructures critiques. Prise en compte de la menace : veille, alerte, rponse : la cration du Department of Homeland Security par regroupement dagences auparavant disperses est un premier pas. Les responsabilits du DHS en matire de scurit du cyberespace concernent la direction Information Analysis and Infrastructure Protection and Directorate (IAIP) charge de : dvelopper un plan national de scurisation des infrastructures critiques ; mettre en place un dispositif de rponses aux attaques sur la scurit les systmes dinformation critiques ; assurer une assistance technique au secteur priv et aux administrations dans le cadre dincidents sur les systmes dinformation critiques et coordonner la diffusion dinformations dalerte et de protection ; encourager la recherche dans ces domaines techniques. LIAIP sarticule autour du National Infrastructure Protection Center (NIPC) qui couvre lensemble des menaces sur les infrastructures critiques et de la National Cyber Security division (NCSD) dont les missions sont lidentification des risques et laide la rduction des vulnrabilits des systmes dinformation gouvernementaux et le dveloppement de linformation sur la cyberscurit de lensemble de la socit (universits, consommateurs, entreprises et communaut internationale) En mars 2003, le CERT Fdral du FBI (FedCIRC) a t rattach au DHS. Il a vocation traiter prioritairement les administrations civiles.

64

La scurit des systmes dinformation

Royaume-Uni : un partenariat public-priv trs dvelopp


En 2003, le Royaume-Uni sest dot dune stratgie nationale en matire de scurit de linformation qui met laccent sur le partenariat avec le secteur priv et comporte un volet plus particulirement orient sur linformation des entreprises et des usagers afin de faire rgner lordre dans le cyberespace. Le Gouvernement a cr le Central Sponsor Information Assurance (CSIA). Le Communications and Electronic Security Group (CESG) plac sous lautorit du Communication Government Head Quarter, charg de la protection des systmes dinformation de ltat, est lhomologue de la DCSSI. Au Royaume Uni, le NISCC 1, rattach au Home Office, sappuie sur lUNIRAS (CSIRT gouvernemental) pour fournir aux oprateurs des infrastructures critiques des avis techniques, des informations sur les menaces, les vulnrabilits et les niveaux dalerte. Il sappuie aussi sur des WARP 2, charg de recueillir des alertes et de signaler des incidents (mais sans capacit dintervention) et des ISAC 3, qui diffusent des informations dalerte et dincident au sein dune communaut donne dutilisateurs, gnralement sur une base commerciale. Un partenariat public-priv trs dvelopp : en 1999, le Royaume-Uni a cr, linitiative de plusieurs administrations, le National Infrastructure Security Co-ordination Centre (NISCC) qui englobe des missions plus larges lies la gestion des risques telles que la protection des infrastructures critiques ou le partenariat avec lindustrie. Le partenariat entre le secteur public et le secteur priv sur lanalyse des vulnrabilits des infrastructures vitales est rig en systme bien dfini et sorganise autour de groupes composs de 30 personnes chargs de mettre en place lchange dinformations. Le NISCC a mis en place des groupes pour 4 secteurs prioritaires : les finances, la scurit des rseaux, les services externaliss des ministres et les systmes de supervision de contrles industriels (SCADA Supervisory Control and Data Acquisition). Les secteurs des compagnies ariennes, des oprateurs dInternet et des distributeurs feront lobjet du mme plan daction. Par ailleurs, le NISCC a formalis avec les diteurs de produits un protocole daccord sur le partage dinformations sur les vulnrabilits articul autour de neuf principes, dont lobjectif principal est de garantir la confidentialit absolue des informations transmises par le NISCC. Le ministre de lconomie et de lIndustrie poursuit sa procdure de tests fonctionnels des produits de scurit, nomme GIPSI 4 et a mis deux premiers certificats (le niveau dexigence est moins lev que pour les certificats critres communs). Au CESG, les travaux se poursuivent sur le passeport lectronique (dlivrance des cls et valuation du dispositif)
1. 2. 3. 4. National Infrastructure Security Co-ordination Centre. Warning, Advice and Reporting Point. Information Sharing and Analysis Center. General Information Assurance Products and Services Initiative www.gipsi.gov.uk

Les rponses organisationnelles et techniques

65

pour une dlivrance des premiers passeports lautomne 2006. Par ailleurs, un nouveau programme de recherche (IADP 1) a t mis en place afin doptimiser les efforts dans le domaine SSI, en partenariat avec lindustrie.

Allemagne : une politique produit forte trs tourne vers les utilisateurs
LAllemagne a adopt en juillet dernier, un plan national pour la protection des infrastructures dinformation (NPSI) 2 qui comporte trois objectifs principaux : la prvention afin de protger convenablement les infrastructures ; la prparation afin de rpondre efficacement en cas dincidents de scurit informatique ; le maintien et le renforcement des comptences allemandes dans le domaine SSI. Ce plan doit tre maintenant dclin sous la forme de plans dactions plus dtaills permettant sa mise en place dans le secteur public et dans le secteur priv qui est trs concern car il dtient une grande partie des rseaux de communication. La mise en uvre de ce plan sappuiera notamment sur le BSI, rattach au ministre de lIntrieur, qui est responsable de la SSI en Allemagne, homologue de la DCSSI. Il compte un effectif de 430 personnes (contre 100 la DCSSI) en croissance rgulire depuis 2001.
volution du nombre de salaris du BSI
460 440 420 400 380 360 340 320 300 280 260 240 220 200

1991

1992

1993

1994

1995

1996

1997

1998

1999

2000

2001

2002

2003

2004

Les objectifs du BSI sont de scuriser les systmes dinformation allemands. Pour les atteindre, le BSI assure, auprs des utilisateurs quels quils soient (administration, entreprises, citoyens) et des fabricants de technologies de linformation les missions suivantes :
1. Information Assurance Development Programme. 2. http://www.bmi.bund.de/nn_148134/Internet/Content/Nachrichten/Pressemittteilungen/2005/08/Information__Infrastructure__en.html .

66

La scurit des systmes dinformation

2005

Informer le pays : en sensibilisant le public aux enjeux de la SSI par exemple par une information trimestrielle sur leur site Web et la production de CD-rom conus pour les citoyens. Lindustrie supporte cette initiative du BSI et fournit gratuitement des dmonstrateurs ; en participant des campagnes de sensibilisation des PME en 2004 (Scurit de lInternet pour les PME) ; le BSI ralise galement des analyses de tendance et des futurs risques qui psent sur les systmes dinformation.

Fournir des conseils et des supports techniques dans le cadre dun partenariat avec le priv trs fort : ainsi le BSI a cr un standard professionnel en 1993, une IT Baseline Protection (les bases de la protection dun systme dinformation) remise jour constamment qui est devenu un standard pour lindustrie. Cest un ensemble de bonnes pratiques qui permettent de scuriser un systme (CD-ROM ou 3 classeurs papier). Au dpart, des grandes entreprises allemandes (SIEMENS, DAIMLER, VW, des banques...) se sont associes cette initiative. La baseline protection est utilise par le gouvernement et par les entreprises ; il assure du conseil et un support technique en scurit des SI vers les agences gouvernementales par exemple linitiative 2005 BundOnline ou la justice et la police ; il ralise des tests dintrusion et apporte lexpertise sur la protection contre les bogues et les missions radios. Ainsi, le BSI a une quipe spcialise qui ralise des tests dintrusion pour les ministres et les entreprises des secteurs sensibles ; la protection des infrastructures critiques est confie au BSI qui a entrepris un travail didentification de ces infrastructures, grce des exercices impliquant ladministration (ministres de lIntrieur, de la Dfense, des Transports, des Tlcommunications) et des industriels. Dans ce cadre, il entretient des relations avec dautres pays comme les tats-Unis, la Suisse, la Sude et la Finlande ; le BSI conseille galement les Lnder sur le plan technique. Analyser les risques, valuer et tester : le BSI assure la certification des produits et services de SSI (38 en 2004) ainsi que lattribution de licences pour des applications classifies ; il a une action particulire sur les procdures biomtriques et des applications mobiles ; il conduit une analyse permanente de la scurit Internet et de ses volutions. Par exemple le BSI a une quipe spcialise sur le projet de lalliance TCG (Trusted Computing Group cf. infra 3.1) qui a des relations avec TCG mais qui recherche aussi des alternatives.

Dvelopper des produits et des technologies SSI : Le BSI value et dveloppe des quipements cryptographiques ainsi que des outils de scurit et de modles de scurit formelle. Ainsi, le BSI participe des projets forte implication technologique : la carte sant (18 millions de cartes) la CNI-e avec 80 millions de cartes (carte didentit) ou encore le passeport biomtrique.

Les rponses organisationnelles et techniques

67

Assurer des fonctions oprationnelles : assurer la fonction de CERT allemand (Computer Emergency Response Team) ; coordination technique du rseau dinformation Berlin-Bonn ; administration de la PKI du gouvernement ; production de cls pour les quipements cryptographiques.

Jouer un rle actif dans la normalisation et la standardisation : Le BSI joue un rle actif dans les comits nationaux et internationaux de normalisation et de standardisation relatifs la SSI. Pour assurer lensemble de ces missions, le BSI dispose dun budget significatif de 51 millions deuros en augmentation rgulire depuis 2002.
Budget en millions d'euros du BSI
60 50 40 30 20 10 0 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 29 32 31 31 33 33 34 30 35 36 36 45 51

29

La rpartition de ce budget, montre une action forte sur les dveloppements, 10 M, soit 19 % du budget et les tudes pour 9 M soit 17 % du budget que lon ne retrouve pas en France.
Rpartition des dpenses du BSI en 2004
Autres investissements 12 % Divers 2%

Etudes 17 %

Personnels 36 %

Dveloppements 19 %

Investissements 14 %

68

La scurit des systmes dinformation

Enfin, lenqute de satisfaction ralise par TNS-Emnid auprs de 500 experts de SSI afin de juger la qualit de cette politique volontariste du BSI, indique que 86 % des sonds sont satisfaits de son travail. La rputation trs forte du BSI en Allemagne est une ralit.
Taux de satisfaction de laction du BSI
Pas de rponses 11 % Assez insatisfait 3%

Trs satisfait 15 %

Assez satisfait 22 %

Satisfait 49%

La Sude, dont nous nexposons pas ici lorganisation, mrite une attention particulire car le gouvernement met en place des mesures visant renforcer la SSI
Un projet de loi a t prsent lt 2005 afin de mieux scuriser les fonctions critiques de linfrastructure Internet. La commission parlementaire sur la scurit de linformation a publi son rapport final en septembre dernier et prne la mise en place dune nouvelle politique de scurit de linformation en Sude ainsi quune rorganisation des services comptents en matire de SSI. Il est ainsi propos de sappuyer sur les comptences existantes en matire de renseignement lectronique pour renforcer les capacits dans le domaine SSI et partager ainsi les responsabilits entre deux agences : la SEMA 1 pour les aspects organisationnels et lIST 2 (appel remplacer le FRA 3) pour les aspects techniques. Un projet de loi pourrait tre prsent prochainement pour mettre en place lensemble de ces propositions. Deux pays mritent une attention particulire. Lun tmoigne de la monte en puissance rapide et efficace de lAsie, la Core du Sud, et lautre la complmentarit entre la SSI et le ministre de la Dfense, Isral.
1. Swedish Emergency Management Agency. 2. Institute for Signals Intelligence and Technical Infosec. 3. National Defence Radio Establishment.

Les rponses organisationnelles et techniques

69

Core du Sud : une monte en puissance rapide des structures de lutte contre la menace informatique
la suite de la journe noire du 25 janvier 2003 au cours de laquelle les rseaux dinformation et lconomie corenne ont t paralyss pendant plusieurs heures cause dun virus, le ministre de lInformation et de la Communication sud-coren a cr une nouvelle organisation rassemblant les procureurs, la police et les services de renseignement en vue de prvenir lattaque des infrastructures et des systmes dinformation et les perturbations qui en rsultent. Le 20 juin 2003, le prsident sud-coren Roh Moo-Hyeon a ordonn au National Intelligence Service (NIS) que des mesures soient prises pour faire face ce type de situation. Le National Security Council (NSC), structure de la prsidence sud-corenne, est charg de dfinir la politique de lutte contre la criminalit informatique, de la mettre en pratique et dassurer la coordination entre les diffrentes agences. Le National Intelligence Service (NIS), agence nationale de renseignement place sous les ordres de linstance prsidentielle, a dcid la cration en dcembre 2003 du National Cyber Security Center (NCSC) devenu oprationnel en fvrier 2004. Ce centre a pour mission dintgrer les capacits et de regrouper les expertises des diffrents services et forces de scurit, ncessaires et disponibles pour prvenir et lutter contre la criminalit informatique, principalement contre les sites officiels du pays. De fait, le NCSC traite de cyberterrorisme en gnral, sachant quil nest pas fait de relle diffrence entre la criminalit informatique et le terrorisme. Son directeur est issu du secteur priv. Le NCSC dispose de capacits offensives mais dclare ne pas se livrer ce type dactivit. Auparavant, au mois de juillet 2002, le 6e Bureau (domestic affairs) stait vu adjoindre le Cyber Crime Group dont le personnel pourrait rejoindre le NCSC.

Isral : le rle prpondrant du ministre de la Dfense


Isral dispose de comptences scientifiques et technologiques de haut niveau en particulier en ce qui concerne les technologies de pointe ayant des applications sur le march de la scurit des systmes dinformation fonds sur une politique trs volontariste des autorits en terme de soutien la formation et la recherche scientifique universitaire, le rle du ministre de la Dfense tant prpondrant. Compte tenu des volutions rapides des technologies dinformation et de communication et des menaces quelles engendrent intrinsquement ou dans le cadre dune utilisation malveillante, ltat hbreu sest attach mettre sur pied une lgislation adapte pour lutter contre la menace informatique, mettre en place une politique globale de sensibilisation des acteurs susceptibles dtre la cible dattaques et renforcer son soutien financier en direction des socits qui dveloppent des technologies de scurit (firewall, cryptographie, biomtrie, etc.)

70

La scurit des systmes dinformation

Les autorits israliennes, qui ont pourtant dans le pass montr leur clmence envers les pirates informatiques nationaux (cas du hacker Ehud Tenenbaum alias Analyzer par exemple), travaillent au renforcement de larsenal juridique du pays en matire de lutte contre la cybercriminalit. Les socits israliennes dveloppent des capacits en matire de tests dintrusion. Ainsi, Beyond Security a men, au cours du premier trimestre 2004, un exercice de pntration de sites Internet dorganisations sensibles. Cet exercice, qui a vis notamment la bourse du commerce de Tel-Aviv, la compagnie nationale de leau, la police isralienne, des municipalits ou encore un vendeur de livres par Internet, tait limit des actions de dfiguration de sites Internet (modifications du contenu mis en ligne).

Cadre multilatral : Union europenne, OCDE, ONU, G8, les rseaux de veille et dalerte
Lmergence de la problmatique de la protection des infrastructures vitales (ou critiques), dans un cadre multilatral est rcente. Elle rsulte de la prise de conscience que les nouvelles menaces, attaques, virus, peuvent avoir des incidences directes et graves sur le fonctionnement des rseaux de ltat, des services publics et des entreprises, non seulement dans un cadre national mais galement international. Activits europennes La Commission europenne a publi en juin dernier une communication sur un nouveau programme dans le domaine de la socit de linformation, faisant suite au programme e-Europe 2005 : i2010 Une socit de linformation pour la croissance et lemploi . Dans son volet consacr la mise en place dun espace europen unique de linformation, la Commission annonce la publication dune stratgie pour une socit de linformation sre, au cours de lanne 2006. Cette stratgie traitera entre autres de la sensibilisation en SSI, de la raction rapide aux attaques et dfaillances des systmes, des moyens didentification et dauthentification lectroniques. Agence europenne charge de la scurit des rseaux et de linformation (ENISA) Limportance croissante accorde dans lUnion europenne aux questions de scurit et la ncessit damliorer le partage de linformation et la coopration entre les initiatives nationales en la matire ont amen le Conseil et le Parlement de lUnion europenne approuver, au dbut de 2004, la cration dune agence europenne charge de la scurit des rseaux et de linformation (ENISA) 1. Son principal objectif est de promouvoir le dveloppement dune culture de la scurit des rseaux et de linformation au sein de lUnion europenne. ENISA a vocation tre un centre dexpertise capable de prter son assistance la Commission et aux tats membres, et de cooprer de ce fait
1. Rglement 460/2004 du Parlement europen et du Conseil du 10 mars 2004 instituant lENISA : European Networks and Information Security Agency.

Les rponses organisationnelles et techniques

71

avec le secteur des entreprises, en vue de les aider satisfaire aux exigences en matire de scurit des rseaux et de linformation, [...] garantissant ainsi le bon fonctionnement du march intrieur . Elle doit en particulier renforcer la coopration entre les diffrents acteurs dans le domaine de la scurit des rseaux et de linformation, [...] en crant des rseaux de contacts lusage des organismes communautaires, des organismes du secteur public dsigns par les tats membres, des organismes du secteur priv et des organisations de consommateurs . Lune de ses premires tches est dtablir un catalogue de comptences lchelle de lUnion europenne pour toutes les professions et tous les acteurs concerns par la scurit des systmes dinformation. Outre ses fonctions de sensibilisation parmi les acteurs et la promotion des changes des meilleures pratiques actuelles, y compris les mthodes dalerte des utilisateurs , lENISA doit fournir la Commission des conseils sur la recherche en matire de scurit des rseaux et de linformation et suivre llaboration des normes pour les produits et services en matire de scurit des rseaux et de linformation . Dautre part, son domaine de comptence ne sapplique nullement des activits lies la scurit publique, la dfense, la scurit de ltat [...] ou aux activits de ltat dans le domaine du droit pnal . Il ninclut pas dactivits oprationnelles ou de participation directe la lutte contre la criminalit informatique. Enfin, lENISA devrait lancer une analyse moyen ou long terme sur les risques actuels et mergents, amliorant ainsi la comprhension des questions de scurit des rseaux et de linformation, mais elle nest pas cense agir comme un CERT dans le rglement des incidents au jour le jour. Le directeur de lagence est un Italien, M. Pirotti, qui vient du secteur priv. ONU Les Nations unies ont peru trs tt les nouveaux enjeux, lis la scurit des systmes dinformation, dans leurs diffrentes composantes : juridiques, conomiques et de scurit nationale. Ainsi, depuis 1998, lAssemble gnrale a adopt plusieurs rsolutions relevant de la 1re commission sur les consquences de lutilisation des technologies de linformation et des communications (TIC) 1, de la deuxime commission sur le dveloppement dune culture globale de la cyberscurit 2 et de la troisime commission sur la lutte contre lutilisation criminelle des technologies de linformation 3. Ces rsolutions ont permis entre autres dlever au niveau international des travaux mens par des organisations plus rgionales telles que lOCDE, le G8 ou le Conseil de lEurope. Elles ont galement mis en place un groupe dexperts gouvernementaux charg dexaminer les menaces potentielles et existantes dans le domaine de la scurit de linformation et les mesures possibles de coopration mettre en place afin de mieux les contrer. En raison de fortes oppositions entre les tats-Unis et la Russie sur la prise en compte de lutilisation des TIC des
1. Rsolutions no 53/70 of 4 dcembre 1998, 54/49 du 1er dcembre 1999, 55/28 du 20 novembre 2000, 56/19 du 29 novembre 2001, 57/53 du 22 novembre 2002, 58/32 du 8 dcembre 2003 et 59/61 du 3 dcembre 2004. 2. Rsolutions no 57/239 du 20 dcembre 2002 et 58/199 du 23 dcembre 2003. 3. Rsolutions no 55/63 du 4 dcembre 2000 et 56/121 du 19 dcembre 2001.

72

La scurit des systmes dinformation

fins militaires, ces travaux nont pas abouti ce jour mais pourraient donner lieu moyen ou long terme une nouvelle convention rgissant lutilisation des TIC aux dpens de la scurit nationale et internationale et compltant le droit international dans ce domaine. SMSI (Sommet mondial sur la socit de linformation) LUIT 1 et lassemble gnrale des Nations Unies ont dcid dorganiser un sommet mondial sur la socit de linformation. La premire phase du sommet, tenue Genve du 10 au 12 dcembre 2003, a permis ladoption dune dclaration de principes et dun plan daction, dont une section est ddie la scurit de linformation et des rseaux. La deuxime phase du sommet, a eu lieu du 16 au 18 novembre 2005, et a consacr ses travaux au problme pineux de la gouvernance de lInternet ; elle a notamment examin la possibilit dune internationalisation de la gestion des ressources de lInternet. OCDE Le groupe de travail sur la scurit de linformation et la protection de la vie prive (WPISP 2), qui dpend du comit PIIC (Comit de la politique de linformation, de linformatique et des communications), se runit deux fois par an Paris au sige de lOCDE. Il runit des experts des 30 tats membres de lOCDE ainsi que des reprsentants du secteur priv et de la socit civile. Il favorise le rapprochement des politiques publiques dans ce domaine par lchange dinformation et la promotion de bonnes pratiques. LOCDE a mis en juillet 2002 des lignes directrices sur la scurit des systmes dinformation et des rseaux 3 qui ont donn naissance un nouveau concept : la promotion de la culture de la scurit. Depuis cette date, le WPISP sefforce de mieux comprendre les stratgies nationales mises en place pour rpondre ces lignes directrices et de cerner les nouveaux enjeux dans ce domaine, lis lvolution des technologies. G8 Sous limpulsion de la prsidence franaise du G8 en 2003, le thme de la protection des infrastructures critiques dinformation, considr jusqualors comme un sujet sensible, enjeu de la souverainet nationale, a fait lobjet de travaux dans un cadre multilatral. En mars 2003, une confrence ad hoc, co-parraine par la France et les tats-Unis, rassemblait pour la premire fois des experts gouvernementaux et des grands oprateurs responsables des infrastructures dinformation. Ladoption de 11 principes directeurs lors de la runion ministrielle Justice-Affaires intrieures le 5 mai 2003 marquait cette premire tape dans lmergence dune culture de scurit face aux menaces informatiques. Les 11 Principes directeurs encouragent les pays du G8 mieux protger leurs infrastructures vitales en favorisant notamment la coordination internationale, la promotion dun vritable partenariat entre le secteur public et priv ; le renforcement de la coopration bi et multilatrale ; la mise en uvre des bonnes pratiques dans le domaine de lalerte et de la veille informatique (CERT) ; la
1. Union internationale des tlcommunications. 2. Working party in information security and privacy. 3. www.oecd.org/sti/cultureofsecurity .

Les rponses organisationnelles et techniques

73

conduite dexercices communs pour tester les capacits de ractions en cas dincidents ; la sensibilisation des autres pays ces questions. En mai dernier, le G8 a organis un Table Top Exercice , premier exercice sur les infrastructures critiques dinformation impliquant les Administrations et lindustrie. Cet exercice a permis didentifier des points de contacts au sein des CERTs, des services de police. La DCSSI, lOCLCTIC ainsi que des reprsentants dEDF et de RTE y ont particip. Coopration internationale entre les CERTs La mise en place de dispositifs dalerte tels que les CERTs (Computer Emergency Response Teams) afin de pouvoir faire face des attaques de virus ou toutes sortes de nouvelles vulnrabilits ncessite de nombreux changes entre les quipes aux niveaux national, rgional et international. Pour la France, ces changes ont lieu lchelle internationale au sein du FIRST 1 et lchelle europenne au sein de la TF-CSIRT 2 qui contribue galement la formation des nouvelles quipes. Enfin, la coopration troite entre les CERTs gouvernementaux de six pays europens est trs fructueuse. La constitution de rseaux dans le domaine de la veille et de lalerte est une nouvelle tape de la coopration internationale. Ainsi, la constitution actuelle du rseau IWWN (International Watch and Warning Networks) qui rassemble 15 pays, (tats-Unis, Canada, Australie, Nouvelle Zlande, Royaume-Uni, Japon, Finlande, France, Allemagne, Hongrie, Italie, Pays-Bas, Norvge, Sude, Suisse) tmoigne de lobjectif prioritaire pour les tats dune coopration renforce en matire de cyber-scurit. Les CERTs constitueront la colonne vertbrale de ce rseau pour lequel des outils de mise en uvre sont identifis (infrastructures de communication reposant sur un portail unique et un dispositif de secours).

Le monde de lentreprise au cur de la menace et de la problmatique SSI


Le dplacement des enjeux et des risques vers lconomique
Grer le paradoxe de louverture et de la protection Le systme dinformation de lentreprise est dsormais dploy dans un contexte dentreprise tendue permettant un travail en rseau avec ses clients ou usagers, ses fournisseurs, ses donneurs dordre, ses partenaires ou les reprsentants de ladministration. Ces changes gnrent des vulnrabilits
1. Forum of Incident Response and Security Teams. 2. Task Force to promote the collaboration between Computer Security Incident Response Teams.

74

La scurit des systmes dinformation

pour les systmes dinformation de lentreprise vis--vis dattaques potentielles contre lesquelles elle doit se protger. En outre, la gnralisation des outils nomades (tlphones mobiles, PDA, ordinateurs portables...) et le passage au tout numrique gomment la frontire entre espace professionnel et espace priv, accentuent trs significativement les risques. De nombreux sinistres identifis dans les entreprises Dans ltude Clusif 2003 1 qui met en vidence les principaux sinistres chez les grandes et moyennes entreprises on notera que : 41 % des sonds dclarent avoir subi un sinistre dont 76 % nont procd aucune valuation de limpact financier ; les facteurs dclenchant se rpartissent comme suit : infection par virus (35 %), panne interne (18 %), vol (15 %), perte de services essentiels (10 %), erreurs dutilisation (8 %), vnement naturel (3 %). Il est noter que la menace stratgique, par exemple despionnage industriel, napparat jamais dans les enqutes, sans doute pour des questions de confidentialit et dimage. Des incidences conomiques considrables Les incidents dus une dfaillance de la SSI peuvent affecter lensemble des activits et du patrimoine de lentreprise et peuvent conduire : des perturbations ou des interruptions des processus cls de production de lentreprise ; des pertes de parts de marchs (vol de technologies, de bases clients/fournisseurs...) ; des pertes financires directes : cots dimmobilisation des installations de production ; cot du temps pass la restauration des systmes ; cots techniques de remplacement de matriels ou de logiciels... ; une perte dimage et/ou de confiance des clients, partenaires et employs ; des actions contentieuses ou de mise en responsabilit lies la fraude informatique ; une remise en cause des assurances de perte dactivit. De manire moins visible mais plus lourde de consquences, les actions despionnage industriel relayes parfois par des moyens tatiques vont se traduire pour les entreprises franaises par une perte de substance ou de comptitivit et au final par des incidences ngatives sur lemploi. Un parallle simpose avec les dommages causs par la contrefaon qui reprsente un cot en France valu 6 milliards deuros et le nombre demplois perdus 30 000 par an 2.

1. Enqute intersectorielle auprs de 608 entreprises et 111 collectivits publiques (de 10 199 salaris : 54 %, 200 499 : 27 % ; 500 999 : 12 % ; + d e 1000 : 7 %). 2. Source : Minefi.

Les rponses organisationnelles et techniques

75

Des consquences financires et sur lemploi sousvalues Daprs une tude de linstitut amricain en scurit informatique CSI 1, mene en 2004 en partenariat avec le FBI ( Federal Bureau of Investigation ), une socit perdrait en moyenne 204 000 dollars par an conscutivement aux incidents de scurit informatique. Le US CERT amricain quant lui value 506 670 dollars par an les consquences financires des incidents de scurit en entreprise. La fiabilit de ces chiffres est trs relative. Dune part, de nombreux responsables scurit des systmes dinformation (28 % des participants) ne connaissaient pas le nombre dattaques russies survenues dans leur entreprise. Dautre part, mme concrtises, les consquences de ces incidents et leurs cots demeurent difficiles valuer. Ainsi lors de ltude scurit 2005 du CERT, 62 % des personnes interroges nont pu chiffrer prcisment la perte annuelle engendre par les incidents de scurit informatique. Sagissant des pertes demplois, il ny a pas de donnes statistiques prcises qui permettent davoir une vision prcise du phnomne. Des protections insuffisantes, en particulier dans les PME (tude Clusif 2003) : 10 % des entreprises navaient pas dantivirus ; 64 % avaient une frquence de mise jour des antivirus insuffisante (une fois par semaine ou moins) ; 51 % seulement des rpondants avaient install des correctifs pour leur systme dexploitation ; 54 % des entreprises de plus de 1000 personnes avaient un plan de continuit, contre 16 % des PME de 10 199 personnes ; 44 % seulement des PME de 10 199 personnes disposaient dun pare-feu contre plus de 90 % pour les plus grandes entreprises. Or, plus de 70 % des entreprises, sont fortement dpendantes des systmes dinformation pour leur activit conomique. Ces premiers lments chiffrs montrent bien une perception des menaces qui sexercent sur les systmes dinformation dans les entreprises qui reste malheureusement encore insuffisante sur de nombreux points.

Un rfrentiel SSI partag, des enjeux et des rponses spcifiques


Limpratif dune approche globale, systmique et prventive La scurit est certes lie la fiabilit du systme dinformation, mais au-del des quipements et des quipes en charge de leur scurisation, elle implique pour les dirigeants de ces entreprises la mise en uvre dune
1. CSI/FBI Computer Crime and Security Survey - 2005 Enqute auprs de 700 entreprises et organisations publiques amricaines.

76

La scurit des systmes dinformation

rflexion globale sur la matrise de ces risques impliquant lensemble de ses personnels ainsi que ses partenaires sur le primtre de ses activits. Le dploiement de solutions de scurit (produits ou services) et des procdures associes doit sinscrire dans une dmarche prventive, les investissements ncessaires pour couvrir raisonnablement et efficacement les menaces potentielles tant en gnral sans commune mesure avec les consquences dune attaque majeure qui pourrait se traduire par des pertes conomiques ou dimage considrables voire une perte dindpendance ou une cessation dactivit. Vers un rfrentiel commun de bonnes pratiques Les pouvoirs publics, des cabinets de conseil spcialiss en SSI, des SSII, des diteurs de logiciels, des fournisseurs de matriels de scurit, des organisations patronales, notamment le Medef 1, et des organismes privs et publics divers ont formalis des recommandations convergentes pour une dmarche de scurisation des grandes entreprises et des PME/PMI : btir une politique de scurit ; connatre les lgislations en vigueur, les jurisprudences et les usages en vigueur dans chaque pays o les activits sexercent ; alerter et activer les services comptents ; mettre en uvre des moyens appropris la confidentialit des donnes ; sensibiliser et mobiliser les personnels par une charte dutilisation, des campagnes rgulires de formation et de sensibilisation ; mettre en uvre un plan de sauvegarde ; grer et maintenir les politiques de scurit. chaque entreprise sa propre dmarche dimplmentation Si les entreprises et les organisations sont toutes menaces, elles ne sont pas exposes au mme niveau de risque. Il y a en effet des jeux de facteurs aggravants tels que : la taille et la complexit des activits ; le dploiement mondial des implantations et des systmes dinformation ; la nature des activits (nuclaire, dfense, agro-alimentaire, rseaux dinfrastructures...) qui peuvent crer une attractivit en tant que cibles privilgies pour des pirates, des terroristes, des concurrents ou des tats ; la culture ou lexprience en matire de scurit et de protection acquises par lentreprise et lorganisation. Elles doivent donc adopter leur dmarche leur situation particulire.

1. Medef : Guide de sensibilisation la scurisation du systmes dinformation et du patrimoine informationnel de lentreprise mai 2005.

Les rponses organisationnelles et techniques

77

Mais des freins et un manque de maturit sopposent encore la mise en uvre dune politique SSI efficace dans les entreprises selon leur taille et exprience
Selon une tude rcente de Ernst&Young 1, les obstacles principaux la mise en uvre dune scurit efficace des SSI sont les suivants :
Principaux obstacles la mise en uvre dune SSI efficace Faible prise de conscience des utilisateurs Rythme des volutions informatiques Limites ou contraintes budgtaires Absence dun processus formel de gestion de la SSI Engagement et sensibilisation insuffisant ou inexistant des cadres dirigeants Communication inefficace avec les utilisateurs Problme de cohrence entre les besoins en SSI et les objectifs mtiers Difficult justifier limportance de la SSI
Source : tude Ernst & Young 2005

Monde 45 % 31 % 42 % 31 % 30 % 27 % 26 % 35 %

France 51 % 51 % 49 % 45 % 43 % 40 % 37 % 35 %

Cette mme enqute souligne aussi les proccupations majeures des grandes et moyennes entreprises et met en vidence lattitude particulire des entreprises franaises dans de nombreux domaines par rapport leurs homologues trangres : Un manque dimplication des directions gnrales La perception de limportance de la scurit par les directions gnrales reste faible. 90 % des responsables de la SSI (DSI ou RSSI) considrent que la SSI est directement lie latteinte des objectifs gnraux de lentreprise et seuls 20 % considrent que la SSI est rellement une priorit de leur direction gnrale. Une prise en compte insuffisante des facteurs humains Seulement 49 % des entreprises franaises ont conscience des risques de complicit interne, contre 60 % au niveau mondial. Or, 35 % des incidents ayant provoqu un arrt du systme dinformation, ont pour origine la faute dun salari ou dun ex-salari. Ds lors, toute dmarche efficace en matire de SSI doit saccompagner dun volet ressources humaines (sensibilisation, procdures, audits et contrles). Seulement 20 % des entreprises franaises assurent leurs salaris une formation rgulire sur la scurit et la matrise des risques, contre 47 % des entreprises dans le monde.
1. La scurit des systmes dinformation dans les entreprises franaises en 2004, vision compare de la France et du monde, Ernst&Young, dcembre 2004, Etude ralise auprs de 1230 entreprises dans le monde dont 50 en France.

78

La scurit des systmes dinformation

Des freins organisationnels Peu dentreprises, mme parmi les plus importantes, ont une approche de scurit globale dont la SSI serait un volet parmi dautres. Dans ltude Ernst&Young dj cite, si au plan mondial, 85 % des responsables de la SSI jugent lorganisation de cette dernire efficace par rapport aux besoins des mtiers, ils ne sont que 65 % avoir cette opinion au plan franais et peine un quart des responsables mtiers sont capables dapprcier la valeur ajoute de la SSI leurs activits. Contrairement leurs homologues trangers, les RSSI franais portent une attention accrue sur les aspects technologiques et organisationnels qui lemporte sur lefficacit oprationnelle. Lintgration de la SSI dans le modle culturel de lentreprise demeure une exception Trs peu dentreprises ont intgr dans leur modle culturel et dans leurs processus oprationnels la SSI comme une priorit stratgique, une fonction vitale pouvant simposer dans la prvention, la raction ou le temps de crise toutes autres considrations conomiques, commerciales ou financires majeures. Le RSSI dun grand groupe manufacturier 1 est ainsi rattach directement au PDG. Il anime et contrle une structure transversale scurit qui croise et simpose la responsabilit SSI de chaque grande unit oprationnelle (cette structure matricielle est double dune structure daudit indpendante qui couvre galement le domaine SSI). Il a tout pouvoir darrter un dispositif oprationnel sil juge que la politique de scurit nest pas respecte, mme si cette dcision est susceptible de gnrer des pertes financires significatives. Il faut noter galement la faible collaboration entre RSSI et audits internes (en France 40 % des RSSI avouent navoir aucune coopration avec laudit interne et seuls 29 % dclarent plus dune coopration par an). Lidentification des donnes sensibles est insuffisante Certaines entreprises, par leurs activits notamment lies la Dfense nationale, ont une pratique des donnes classifies ou des donnes sensibles 2. Dautres entreprises se sont appuyes sur ces mthodologies afin didentifier, de classifier et de protger de manire spcifique certaines informations sensibles. Une rflexion pralable sur la nature des donnes sensibles de lentreprise au regard des menaces qui sexercent sur elle est indispensable. Or, dans la mme tude, seuls 51 % des rpondants franais (contre 71 % au niveau mondial), ont rpertori les informations sensibles ou confidentielles. Comment bien protger quelque chose que lon na pas identifi ? Le retour sur investissement en matire de scurit informatique est difficile justifier Si pour de nombreux acteurs audits elle nest pas essentielle et surtout na pas ncessairement de sens, la question du retour sur investissement se pose. Cependant, les pertes financires conscutives des attaques informatiques tant souvent difficiles cerner, peut-on et doit-on promettre aux directions
1. Source : auditions. 2. Source : auditions.

Les rponses organisationnelles et techniques

79

gnrales un retour sur investissement concernant les dpenses en scurit informatique ? Daprs une tude du Clusif ralise en 2004, 21,4 % des responsables en scurit des P.M.E. de 200 499 salaris estiment que cette justification est effectivement ncessaire, mais dans les entreprises de plus de 2 000 salaris, ils ne sont plus que 7,5 %. Plus les dirigeants sont informs de leur responsabilit civile ou pnale, moins ils exigent de justifier une dpense en scurit informatique par un rendement particulier. Ainsi, pour plus de 26 % des responsables scurit, la premire justification des investissements en scurit est dsormais de se conformer aux rglementations. Ce taux atteint 37,5 % dans les grandes entreprises. Ltude CSI/FBI 2005, prcise en outre que seules 25 % des entreprises prennent une assurance extrieure contre les risques de menaces informatiques. La menace reste sous-estime. Le budget SSI souvent insuffisant Les responsables SSI considrent que lun des principaux obstacles leur mission est la limitation des budgets notamment dans les PME/PMI (29,7 % contre 21,8 % dans les grandes entreprises). Selon ltude CSI/FBI 2005 : 27 % des sonds dpensent plus de 6 % de leur budget informatique en SSI, prs dun quart de 3 5 %, autant de 1 3 % et 25 % moins de 1 % ou ne savent pas. Les grandes entreprises franaises sensibilises dpensent quant elles en moyenne 6 % de leur budget informatique en SSI 1. La motivation investir dans la SSI varie de manire considrable selon la taille de lentreprise.

Des modles organisationnels diversifis pour parer aux menaces et risques informatiques Quelques exemples dorganisations
2

Les organisations mises en place par les entreprises, en particulier les plus grandes, mritent lattention. Quelques points cls se dgagent : Gouvernance : prsence de comits des systmes dinformation qui rendent compte devant le comit excutif des groupes. Loprationnel est assur par des directions gnrales des systmes dinformation qui assurent la coordination et la matrise duvre des systmes dinformation dans le groupe. Politiques de scurit : en complment dune politique de scurit gnrale, qui intgre des rgles, des instructions et des recommandations, mise en uvre de politiques complmentaires SSI ddies : en cas de crises ;
1. Source : auditions. 2. Source : auditions.

80

La scurit des systmes dinformation

pour les filiales ; pour les rseaux sans fil ; pour les fournisseurs ; pour les personnels (internes, administrateurs systmes, missionnaires, expatris...).

Budgets : des budgets SSI correspondant 6 % du budget informatique. Organisation : la prsence de RSSI rattach une direction en charge de la scurit des systmes dinformation au niveau groupe et des RSSI par branches ou filiales ; un suivi rgulier des plans dactions valids par la Direction Gnrale ; des cellules de veille et de crise actives en 24 heures, 7 jours /7 ; une externalisation croissante dun certain nombre de fonctions mais pas dexternalisation globale ; la ralisation en interne ou sous-traite de tests dintrusion ; la ralisation daudits sur les diffrentes entits des groupes.

Personnels : des formations/sensibilisations pour tous les personnels ; la signature de chartes (cf. annexe XI pour des exemples) dutilisation des systmes dinformation par tous les salaris. Celles-ci peuvent tre annexes au contrat de travail ou faire partie du rglement intrieur des entreprises.

Aspects techniques : existence de solutions redondantes pour les systmes critiques et des volutions en cours pour disposer de solutions de secours gnral ; scurisation des postes individuels et des nomades ; scurisation de laccs aux rseaux privs des entreprises et Internet ; la scurisation des donnes sensibles devient une priorit conduisant lutilisation croissante du chiffrement de tous les flux changs pour laccs aux donnes techniques, financires... stockes dans des banques de donnes ; renforcement croissant des contrles daccs (scurisation de lauthentification, gestion et contrle des habilitations, authentification forte...) ; logique de hirarchisation : laccs aux systmes dinformation est possible de lintrieur ou de lextrieur selon des droits affects la personne, sa fonction et au niveau de scurit de son poste au moment de la connexion ; scurisation en cours des donnes et des accs des partenaires ; approches spcifiques pour les dirigeants.

Moyens spcifiques : lutilisation de cartes puces pour les salaris dans leur accs au systme dinformation se gnralise ; la fonction PKI (Public Key Infrastructure) simplante de manire croissante dans les organisations.

Les rponses organisationnelles et techniques

81

Une monte en puissance de linfogrance de scurit


La dfinition dune politique SSI, sa mise en uvre et sa maintenance peuvent tre assures par des ressources internes, par une sous-traitance un prestataire de services informatiques ou par lutilisation des services mutualiss distance par des MSSP 1 (tests de vulnrabilit, cartographie des flux applicatifs, gestion des moyens de protection, gestion des identifications/authentifications...). Mme si les RSSI, une large majorit, ne confieraient pas lensemble de ladministration de la SSI un prestataire unique comme le montre lenqute CSO davril 2005 2 dans laquelle la scurit est gre en interne 82,4 %, la monte en puissance de linfogrance en France se confirme. En effet, selon lenqute IDC Scurit 2005 3, en moyenne 60 % des sonds font appel des prestataires externes pour intgrer les solutions de scurit et 43 % pour dfinir la politique de scurit. Enfin, 39 % des sonds confient certaines activits de leur politique de scurit une socit dinfogrance, parmi lesquels 26 % externalisent lensemble de ladministration de la scurit de leur systme dinformation. Selon un sondage LOGICACM 4 les motifs dexternalisation sont lis principalement la rduction des cots (89 %) et laccs de nouvelles technologies (60 %) et daprs le Syntec 5, la croissance de lactivit dinfogrance informatique, qui intgre galement de la SSI, sur 2005 a t de plus de 10 % et devrait se poursuivre sur 2 006. On peut cependant noter que certaines entreprises exprimentent des modles hybrides, par exemple BNP Paribas qui a cr une joint venture avec IBM pour grer une partie de son activit informatique mais qui a gard en interne la matrise de la scurit, la relation avec les mtiers et la gestion des applications 6. Linventaire et llaboration de la politique de scurit imposent gnralement lintervention de consultants externes qui doivent sinscrire dans une relation de partenaires de confiance car ils seront amens identifier les cibles potentielles ou les failles des systmes dinformation. Ainsi, les RSSI souhaitent une large majorit que la certification des prestataires soit obligatoire. Cette demande est en outre en phase avec la mesure F4 du PRSSI visant qualifier des prestataires privs en scurit des systmes dinformation, qui propose :
1. Managed Security Service Provider. 2. CSO Entreprise & Scurit de lInformation Enqute auprs de 144 entreprises de plus de 200 salaris. 3. Enqute IDC Scurit 2005 -103 entretiens auprs dun panel de grandes entreprises et administrations en France composes 45 % de plus de 2000 salaris et 55 % de 1000 1999 salaris novembre 2005. 4. Source : lAgefi. 5. Source : Syntec et 01 Informatique. 6. Source : lAgefi.

82

La scurit des systmes dinformation

de procder un inventaire des processus de qualification des mtiers de la SSI en concertation entre le secteur priv et public et sous lgide de lAFNOR ; de dfinir les procdures de qualification des prestataires ; de faire en sorte que cette qualification soit requise pour la passation de marchs publics. Ainsi, le besoin de disposer dun corpus rglementaire encadrant ces activits est ncessaire pour rellement rassurer les entreprises et notamment les PME sur la qualit des prestations en particulier sagissant de la confidentialit et des comptences mises en uvre. cet effet, les rcents travaux conduits par lAFNOR, le CIGREF et le SYNTEC sur ce thme sont signaler.

La SSI nest pas suffisamment oprationnelle dans les entreprises franaises


Une capacit insuffisante rpondre un risque daccident grave Il ny a que 30 % des entreprises franaises du panel de lenqute Ernst & Young qui estiment pouvoir faire face un risque dincident grave et pouvoir assurer leur continuit dactivit (47 % pour le reste du panel mondial). Si beaucoup dentreprises ont mis en place une organisation SSI et des plans de continuit, il est cependant trs inquitant de constater que plus dun tiers des entreprises, franaises ou mondiales, reconnaissent ne pas tester leur plan de continuit de lactivit (31 %), leur plan de secours informatique (21 %) et/ou leur plan dintervention durgence suite un incident (30 %). Le cadre juridique de la SSI est mal matris et les moyens juridiques linternational doivent tre renforcs Les nombreuses dispositions lgislatives et rglementaires qui sappliquent la SSI procdent de trois grandes proccupations majeures dont certaines peuvent parfois tre antinomiques : les atteintes aux droits de la personne ; les atteintes aux systmes dinformation ou lusage dlictueux de linformatique ; les menaces spcifiques sur les activits lies la Dfense et certaines activits sensibles. Les contraintes rglementaires sont nombreuses et exigeantes : art. 226-16 24 (traitement des donnes caractre personnel) et art. 323-1 et suivants (renforcs par la Loi du 21 juin 2004 pour la confiance dans lconomie numrique : atteinte aux systmes de traitement automatise des donnes) du code pnal, CNIL, Loi Sarbannes-Oxley, Loi de Scurit Financire, groupement Visa... Par exemple la loi Sarbannes-Oxley, vote par le Congrs en juillet 2002, suite aux affaires Enron et Worldcom, implique que les Prsidents des entreprises cotes des tats-Unis certifient leurs comptes auprs

Les rponses organisationnelles et techniques

83

de la Security and Exchange Commission (SEC), lorganisme de rgulation des marchs financiers US. Cette loi est guide par 3 grands principes : lexactitude et laccessibilit des informations, la responsabilit des gestionnaires et lindpendance des vrificateurs/auditeurs. Selon ltude CSI/FBI 2005, cette loi a eu comme consquences pour prs de 50 % des entreprises daugmenter le niveau dintrt pour la scurit des informations. En outre, linstar des dirigeants dentreprises, la responsabilit civile et pnale des DSI et RSSI est aussi de plus en plus invoque devant les tribunaux qui peuvent infliger des peines de prison. Si le dispositif lgislatif et rglementaire qui encadre la SSI sur le primtre du territoire national est globalement satisfaisant, un effort significatif doit tre engag pour le porter de manire pdagogique la connaissance des entreprises. En effet, la conformit la rglementation constitue un levier significatif de progrs pour convaincre les dirigeants de mettre en uvre des plans daction SSI. Cependant, il existe une disproportion de jugement chez les magistrats, pour qui une intrusion physique au sein dun tablissement bancaire sera considre comme plus grave quune intrusion par mode informatique, alors que les prjudices financiers consquences de ce dernier peuvent tre plus significatifs 1. Enfin la France ne dispose pas, comme par exemple les tats-Unis, des moyens juridiques permettant des poursuites efficaces contre des attaques exerces partir de territoires trangers notamment contre de grandes entreprises.

Les besoins des entreprises : des outils et des architectures certifis, des produits cls dorigine nationale ou europenne et une industrialisation de la maintenance
Le besoin impratif doutils et darchitectures certifis En matire de produits, les entreprises expriment une forte demande de produits certifis tels que : techniques et protocoles cryptographiques (chiffrement de messages, signature lectronique, scurit des transactions commerciales...) ; fabrication de rseaux virtuels privs ; pare-feu matriel et/ou logiciel ; systmes de dtection dintrusion et de surveillance rseaux, systmes antivirus ; filtrage de contenus, antispams... ; tatouage lectronique ; cartes puces et infrastructures associes ; identification biomtrique...
1. Source : auditions.

84

La scurit des systmes dinformation

Cette attente nimpose pas pour autant que lensemble des lments de la SSI soit produit par une filire franaise et certifie par une autorit tatique franaise. Le premier niveau dexigence pour lensemble des entreprises concerne la qualit des produits du march destins faire face des menaces gnriques (spams, virus, tentatives dintrusion standards ...). Le souhait des RSSI est de disposer de produits labelliss par une autorit (publique ou prive, nationale ou internationale) qui a pu vrifier quils taient globalement bien construits et rpondaient aux fonctionnalits avances par le fournisseur. Le deuxime niveau dexigence couvre le cercle des grandes entreprises internationales et des PME/PMI sensibles. Dans ce dernier cas, le souhait des RSSI est de pouvoir disposer, dfaut dune offre complte, de briques conues par des entreprises franaises ou europennes permettant, associes des architectures de systmes spcifiques SSI, daccder une scurit plus efficace et certifie par une entit digne de confiance, la DCSSI. Le troisime niveau est de pouvoir disposer moyen terme : doutils permettant didentifier clairement la personne lorigine dun fichier donn ; doutils offrant en temps rel une protection complte dun rseau ; doutils permettant un suivi et un contrle efficace du niveau de scurit du rseau ; de moteurs de recherche indpendants des solutions anglo-saxonnes type Google ou Yahoo. La ncessit dindustrialiser la maintenance de la SSI et la diffusion des correctifs logiciels La maintenance au fil de leau 24 heures/24 et 7 jours /7 et la garantie de dploiement des mises jour sur lensemble du parc dans des dlais gnralement de lordre de lheure ou de la demi-heure constituent un enjeu majeur pour la majorit des responsables de SSI des grandes entreprises. Cela exige des solutions techniques fiables et certifies, un processus rgulier de dploiement des correctifs de scurit et une quipe de supervision en alerte permanente prte intervenir larrive de nouvelles failles de scurit des systmes dexploitation et ragir aux dploiements de nouvelles menaces.

Les entreprises attendent de ltat des services de support efficaces et accessibles


Lidentification du bon interlocuteur Les entreprises qui ne disposent pas dexpertises internes ou de connaissances prcises de lorganisation de ltat ont des difficults identifier rapidement le bon interlocuteur 1 parmi les nombreux services de ltat.
1. Source : auditions.

Les rponses organisationnelles et techniques

85

Elles souhaiteraient pouvoir disposer dun guichet unique permettant : daccder aisment des expertises pour qualifier rapidement la menace laquelle elles sont confrontes et de disposer de plans daction ou de moyens mthodologiques ou techniques susceptibles de la contrer, didentifier ses auteurs et de rassembler les preuves du dlit pour la justice et les assurances ; de les assister dans les dpts de plaintes auprs des services les plus comptents en fonction de linfraction (financire, espionnage, murs, terrorisme...). Du point de vue des entreprises, plus dune vingtaine dorganismes ou programmes ddis SSI ont t mis en place par ltat ou par des initiatives prives suscitant de facto une grande perplexit lorsque des problmes apparaissent. Cette organisation gnre un chevauchement des comptences et une absence doptimisation des ressources qui rend la coordination des actions dfensives ou dinvestigations extrmement complexes et se traduit gnralement par un manque defficacit et de ractivit alors que les attaques se font plus prcises, rapides et violentes. Les entreprises franaises sont confrontes des contraintes particulires dans leurs activits internationales Les grands groupes franais dploys linternational conjuguent par nature toutes les contraintes : dune organisation complexe ; dune organisation sexerant dans des environnements varis, parfois hostiles ou pouvant cooprer avec des concurrents ; de cadres lgislatifs ou rglementaires ltranger insuffisamment connus et mal matriss. Les entreprises intervenant linternational souhaitent disposer dun support efficace des services de ltat pour les accompagner face aux risques spcifiques de linternational : veille, alertes, informations sur les menaces, conseils (juridiques, procdures, mthodologie, outils et solutions, architecture, informations des personnels), capitalisation dexprience, identification de prestataires de confiance, appui auprs des autorits locales (trangres et franaises), gestion de crise via le Quai dOrsay (vacuation des expatris, etc.)... En outre, linterdiction ou la limitation du chiffrement dans certains tats devient problmatique pour la politique de scurit de grands groupes 1.

1. Source : auditions.

86

La scurit des systmes dinformation

Les problmatiques spcifiques des PME face la SSI Un retard des PME dans lusage des TIC explique en partie leur manque de maturit face la SSI
Ce retard des PME franaises et de la France en gnral, dans lusage des TIC, qui a t prsent au 1.5.3 est galement attest par les lments chiffrs ci-aprs issus de ltude de la mission pour lconomie numrique 2004 1, relatifs la proportion des entreprises disposant dun site sur Internet fin 2002. La France, lItalie et lEspagne affichent des taux dquipements nettement infrieurs aux autres pays. Les PME franaises sont elles-mmes de taille plus rduites. Les entreprises franaises sont, en moyenne, plus petites que les entreprises europennes, qui sont elles-mmes plus petites que les entreprises amricaines. Lapptence des entreprises pour les investissements TIC va croissant avec leur taille compte tenu des cots financiers pour de tels investissements.
Proportion des entreprises disposant dun site sur la Toile en pourcentage des entreprises
88 80 72 64 56 48 40 32 24 16 8 0

Royaume-Uni

Allemagne

Pays-Bas

UE-15

Sude

Finlande

Source : Eurostat enqutes TIC 2002-2003 publication 2004

Ces donnes sont confirmes par cette mme tude de la Mission pour lconomie Numrique, selon laquelle la proportion des entreprises franaises disposant dun site Internet est de 65 % pour une taille suprieure 250 salaris et de 38 % pour les PME de 10 250 salaris.
1. Mission pour lconomie numrique tableau de bord du commerce lectronique de dcembre 2004 6e dition Services des tudes et des statistiques industrielles (SESSI) Ministre dlgu lIndustrie.

Danemark

Espagne

France

Italie

Les rponses organisationnelles et techniques

87

Le tissu industriel est encore trs manufacturier La part manufacturire est plus importante quaux tats-Unis alors que ce sont les industries de services qui sont les plus consommatrices de TIC : cette seconde explication du retard des PME franaises est confirme par la Mission conomie Numrique.

Une absence de moyens et de comptences suffisants expose les PME


De tailles plus rduites et disposant de moins de moyens que les PME de pays concurrents, les PME franaises sont confrontes : une difficult pour investir dans les TIC et la SSI, qui risque de les exclure des chanes de fournisseurs ; une quasi-impossibilit de sappuyer sur des comptences fortes en SSI et plus gnralement en TIC. Consquences du dveloppement de la logique dentreprise tendue Le concept dentreprise tendue, que lon peut dfinir comme un ensemble dentreprises indpendantes du point de vue capitalistique mais qui travaillent pour des clients communs, un march spcifique ou pour un produit identifiant un march (automobiles...), prend une ampleur quil convient de ne pas ngliger. Lentreprise tendue est dsormais considre comme un levier de performance dont les technologies de linformation sont une composante essentielle avec en particulier les technologies EDI, le trio Internet/intranet/extranet, datawarehouse 1, workflow 2... Compte tenu de limportance des TIC dans cette nouvelle organisation, le traitement de la problmatique SSI devient primordial. Selon une tude ralise par lditeur Novell 3 auprs de 80 dcideurs informatiques sur la zone EMEA (Europe, Moyen-Orient et Afrique), le premier critre des entreprises pour choisir un outil de collaboration en temps rel est la scurit (69 %), loin devant la conformit la rglementation (13 %) et linteroprabilit (13 %). La tendance sera donc de voir les grands groupes imposer progressivement des impratifs de scurit lensemble de leur chane de fournisseurs. Un rapprochement doit tre opr avec le processus qui a conduit la mise en uvre dune politique qualit . Rappelons que laction de ltat en matire de politique qualit , travers les DRIRE (MINEFI), a consist notamment prendre en charge une partie significative des dpenses engages par les entreprises pour la mise en conformit aux normes ISO 9000 et la formation du personnel. Cette politique avait rellement permis de nombreuses PME de progresser en matire de qualit, mais galement de soutenir lactivit des socits de conseil sur ces thmatiques. Une politique similaire pourrait tre envisage en matire de certification de scurit.
1. Stockage de donnes. 2. Outils informatiques de gestion de flux de travail des entreprises qui permet doptimiser leurs processus mtiers cls. 3. Source : Le Monde Informatique.

88

La scurit des systmes dinformation

Ainsi, lAFNOR 1 constate un intrt croissant port la politique de scurit induit par la norme ISO 17799 (issue de la norme BS 7799). Le dveloppement de linfogrance de scurit Les tendances du march et surtout les positionnements pris par de nombreux acteurs informatiques le dmontrent, les PME apparaissent comme un futur march en croissance en matire dinfogrance et de services de scurit informatique afin de compenser leurs dficiences internes qui les obligent externaliser cette fonction. Ainsi des oprateurs industriels, filiales de groupes trangers asiatiques, sont en train de prparer des offres orientes sur les entreprises disposant de 50 500 postes principalement des PME, laissant les entreprises de plus de 1 000 postes aux SSII 2. Les PME confiant des tiers le cur de leur socit, sont dans une situation de faiblesse par rapport loffre de socits de services bien plus importantes.

Une sensibilisation des citoyens insuffisante et une protection faible de leurs ordinateurs personnels
Laugmentation rgulire du nombre dinternautes franais, 24 millions en juin 2004 en hausse de 10 % par rapport 2003, et le dveloppement du commerce lectronique, 38 % environ des internautes ont effectu des achats en ligne en France en 2003, doivent saccompagner dune meilleure sensibilisation des citoyens en matire de scurit des systmes dinformation. En effet, malgr la perception des menaces, le sentiment dvoluer dans un univers libre, o lon fait ce que lon veut, prdomine. lexception de lantivirus, pas toujours mis jour, la maturit des usagers nest pas suffisante pour faire face aux menaces qui psent sur ses quipements individuels. Pourtant ces menaces peuvent porter atteinte la protection de la vie prive. Elles demeurent galement un frein au dveloppement des nouveaux usages des TIC (commerce lectronique, e-administration...) qui ncessitent une confiance des citoyens dans loutil quils mettent en uvre.

1. Source : auditions. 2. Source : 01 Informatique.

Les rponses organisationnelles et techniques

89

Internautes ayant effectu des achats en ligne en France en % des internautes estimations en valeurs minimum et maximum
50 45 40 35 30 25 20 15 10 5 0

38 30 23 15 7,5 7 1998 10 1999 2000 2001 2002 2003 18 27 32 29 33

Source : Ipsos Corporate, GfK, Benchmark Group, Jupiter MMXI, NielsenNetRatings

Rappelons galement quune chane de scurit repose sur son maillon le plus faible. Lordinateur personnel du citoyen peut notamment tre utilis comme une passerelle pour des attaques sur des systmes plus importants (ordinateurs zombis ). Il est donc particulirement ncessaire damliorer la sensibilisation du citoyen en matire de SSI. La campagne lance rcemment pour prvenir les internautes de ne jamais divulguer de donnes personnelles, en particulier sur les Chats , va dans le sens dune meilleure prise de conscience des risques. Il est noter galement la premire semaine nationale de la scurit informatique du 3 au 10 juin 2005 1. Ce type daction est amplifier.

Conclusion partielle, une prise de conscience insuffisante et des organisations non-matures


La France accuse un retard proccupant face aux impratifs de scurit des systmes dinformation, tant au niveau de ltat quau niveau des entreprises, quelques grands groupes mis part. Malgr les prmices dune prise de conscience de la ncessit de se doter dune politique en SSI, la situation de ltat apparat encore fragile. Une sensibilisation insuffisante, une confusion des responsabilits, le manque dautorit des responsables de la SSI dans les administrations, le sous-effectif en personnels ddis, et labsence de politique dachat globale, multiplient les vulnrabilits. Les entreprises, surtout les grandes, semblent mieux sensibilises mais hsitent peut-tre investir
1. Source : Dlgation aux usages de lInternet.

90

La scurit des systmes dinformation

dans ce domaine ntant pas pleinement conscientes des consquences conomiques dune atteinte lintgrit de leurs systmes. Pourtant la scurit des systmes dinformation est un enjeu national caractre stratgique, politique et conomique. Dans une logique de souverainet, la France et lEurope peuvent-elles aujourdhui se doter des moyens dassurer de manire autonome la protection de leurs infrastructures et de leurs systmes ?

Les rponses organisationnelles et techniques

91

Chapitre III

Une base industrielle et technologique spcialise en SSI autonome pour rpondre aux enjeux conomiques et de souverainet
Conduire la France un niveau de scurit et dautonomie acceptable face aux menaces qui sexercent contre les systmes dinformation franais, privs ou publics, ncessite dagir sur loffre nationale et europenne. La plupart des segments du march SSI sont couverts par une offre trangre. Aussi, pour atteindre une autonomie ncessaire lindpendance de notre pays, la mise en uvre dune politique spcifique prenne est indispensable. Il importera de favoriser lexistence et le dveloppement dun tissu industriel et technologique de confiance, autonome et spcialis sur certains points critiques des systmes dinformation, dune taille minimale mais suffisante pour tre viable, comptitif et crateur demplois, compos non seulement de centres de recherche, de grandes entreprises mais galement de PME. Le secteur des TIC, dont fait partie la SSI, peut se caractriser de manire synthtique par : son caractre totalement mondialis avec des fournisseurs performants et des utilisateurs rpartis travers le monde ; une vitesse trs rapide des volutions technologiques et des usages ; une complexit croissante consquence dune explosion des usages qui orientent les marchs, avec la prolifration des terminaux et produits de toutes sortes. Pour pouvoir survivre et ventuellement se dvelopper dans cet environnement conomique spcifique, la taille et les financements ne sont pas suffisants ; la qualit, ladaptabilit, la ractivit et la crativit sont indispensables. Ainsi, au ct des grands groupes, la prsence de PME innovantes performantes est une condition ncessaire latteinte des objectifs recherchs en matire de SSI.

Une base industrielle et technologique spcialise en SSI autonome pour rpondre aux enjeux conomiques et de souverainet

93

Un march de la SSI en forte croissance mais dont les volumes sont limits
Le march en matire de produits, logiciels et services en scurit des systmes dinformation est intrinsquement difficile dlimiter tant techniquement que financirement. Quelques exemples illustrent cette difficult : la ralisation dun systme dinformation est susceptible dinclure des prestations pour la scurit de ce systme qui ne sont pas identifies ; les systmes dexploitation sont rarement inclus par les tudes de march dans les logiciels de scurit. Pourtant un systme dexploitation volu inclut pourtant toujours de nombreux mcanismes de scurit et ces mcanismes sont souvent le socle de la SSI ; les prochaines gnrations de microprocesseurs doivent intgrer de nombreuses fonctions de scurit chiffrement, vrification de lintgrit et lauthenticit de codes excutables, vrification de DRM 1. Ils ne sont pas habituellement inclus dans le march de la SSI ; certains logiciels permettant la virtualisation de matriels ne sont devenus des logiciels de scurit que depuis que leur utilisation est envisage pour raliser des fonctionnements multiniveaux. Le march de la scurit des systmes dinformation concerne les seuls matriels, produits logiciels et services principalement destins la protection de la confidentialit, de lintgrit, de la disponibilit ou lauthenticit dinformation ou dun systme dinformation.

La segmentation du march de la SSI


Cette segmentation sappuie sur une analyse de trois critres principaux : les besoins satisfaire qui recouvrent les aspects produits , les clients, et les technologies mises en uvre. Des besoins multiples satisfaire Selon une tude Ernst&Young 2 ralise auprs de 1 230 entreprises, grandes et moyennes, dans 51 pays dont 50 en France, lorigine des besoins et donc de la demande apparat multiple : exigence commerciale de continuit de service, obligations lgales ou rglementaires, proccupations dimage et protection du patrimoine de lentreprise par rapport aux concurrents. Les besoins dun tat relvent dexigences de souverainet et de scurit des biens et des personnes.
1. Digital Right Management (gestion des droits numriques) : protection des contenus vidos et audios, notamment soumis des droits dauteur, diffuss sur Internet. 2. La scurit des systmes dinformation dans les entreprises franaises en 2004, vision compare de la France et du monde ; Ernst&Young, dcembre 2004.

94

La scurit des systmes dinformation

Pour rpondre ces besoins, les attentes concernent des produits logiciels (antivirus, pare-feux...), des matriels (cartes puces, systmes biomtriques...) et des services (architectures scurises, infogrance de scurit...). Des clients aux exigences diversifies La demande en scurit des systmes dinformation vient du secteur institutionnel et gouvernemental, des entreprises et du grand public. Le secteur institutionnel et gouvernemental se distingue par des exigences rglementaires voire lgales, la ncessit pour certains ministres de prendre en compte la menace stratgique, des conditions de contractualisation complexes et lentes et des budgets contraints. Les entreprises se distinguent par une sensibilit la scurit et des moyens extrmement variables, des politiques dachat sous contraintes de prix et de prennit, de standardisation des produits achets, et des exigences rglementaires de source nationale ou europenne (notamment les banques). Le grand public se distingue par un systme dinformation souvent limit une ou quelques machines, un niveau technique trs variable et une connaissance de la scurit souvent limite aux virus et aux spams. Les technologies de scurit Elles sont le fondement du dveloppement des produits et conditionnent ainsi directement la qualit de la SSI. Les technologies essentielles de la scurit des systmes dinformation sont par exemple : les systmes dexploitation ; la conception darchitectures de scurit, lingnierie logicielle sre, la preuve logicielle, la preuve de protocoles et les mthodes dvaluation associes ; la cryptographie, pour fournir des mcanismes de confidentialit, intgrit, preuve et authentification ; les dispositifs lectroniques de protection de secrets (cartes puces...) ; les mthodes applicatives de filtrage (antispam, antivirus...), de modlisation du comportement et de dtection dintention (intrusions...) ; le matriel avec des composants et circuits intgrs scuriss. Il existe une gamme de produits et technologies pour rpondre aux diffrents besoins de scurit. Ils ne constituent pas des alternatives, mais doivent tre utiliss de faon combine pour assurer la protection requise. Les technologies de base sont : identification/authentification par mot de passe ( usage unique ou pas), biomtrie, carte puce ou cl USB, combinaison de ces technologies ; signature lectronique ; chiffrement ; effacement sr. Ces solutions sont mises en uvre dans diffrents types de produits de scurit : scurit des rseaux : VPN (Virtual Private Networks, en franais Rseaux Privs Virtuels), matriel/logiciel de chiffrement de liaison (standardis ou non) ;

Une base industrielle et technologique spcialise en SSI autonome pour rpondre aux enjeux conomiques et de souverainet

95

scurit du poste de travail : Firewall logiciels et/ou matriels, antispam, antivirus, Contrle parental ; scurit des contenus : logiciel de chiffrement de fichier (standardis ou non), Digital Right Management (DRM) pour le multimdia ; contrle daccs : cartes puce et terminal associ, capteur biomtrique ; Trusted Platform Module (TPM). En complment des produits, il est ncessaire de prendre en compte les services de scurit qui accompagnent la mise en uvre de ces produits. Aux services traditionnels (gestion des cls et autres services de certification) se sont ajouts des services plus commerciaux (conseil, audit, exploitation de la scurit des rseaux). Comme dans le reste des TIC, ils constituent une activit en croissance plus forte que celle des quipements et plus difficilement dlocalisable : infrastructure de gestion de cls (IGC) ; services de certification lectronique (horodatage...) ; processus dvaluation et de certification ; single Sign On et Fdration didentit ; conseil en SSI (audit, recommandation, formation) ; management et surveillance des rseaux. Parmi ces technologies et produits certains sont critiques pour la garantie dun haut niveau de scurit et devraient tre de source franaise ou europenne, par exemple : des composants cryptologiques, des systmes dexploitation multi-niveaux, des processeurs de confiance, des dispositifs de gestion de cls, les PKI... En outre, il conviendrait dinitier des tudes complmentaires visant largir les possibilits offertes par les logiciels libres (par exemple les systmes dexploitation).

Le march de la scurit est en forte croissance


Selon lenqute IDC Scurit 2005 1, les dpenses informatiques globales sur le march professionnel en France devraient atteindre en 2005, 41 009 M, en croissance de 3,5 %. Les dpenses de scurit informatique, des entreprises et des administrations atteindraient 1 113 M, en hausse de 17,4 % (contre 15,4 % de hausse entre 2003 et 2004). Parmi ces dpenses de scurit informatiques en 2005 : les services reprsentent 612 M (55 %) en hausse de 15,5 % ; les logiciels reprsentent 405 M (36,4 %) en hausse de 16,4 % ;
1. Enqute IDC Scurit 2005 -103 entretiens auprs dun panel de grandes entreprises et administrations en France composes 45 % de plus de 2000 salaris et 55 % de 1000 1999 salaris novembre 2005.

96

La scurit des systmes dinformation

les appliances (botiers physiques intgrant de une plusieurs fonctionnalits : pare-feu/VPN, antivirus, antispam, prvention et dtection dintrusion... (Cf. Annexe XII pour les dfinitions) reprsentent 96 M (8,6 %) en hausse de 37,1 %. Un taux de croissance moyen de 17,2 % est attendu pour le march de la SSI sur la priode 2005-2009 pour atteindre 2 100 M (administrations et entreprises) : pour les services, le taux de croissance annuel devrait atteindre 19 % en 2009 ; pour les logiciels, il est prvu une baisse du taux de croissance partir de 2007 qui ne serait plus que de 12,3 % en 2009. En Europe, les marchs des produits logiciels de scurit les plus attractifs en 2003 taient : le Royaume-Uni avec 600 M$ de CA en croissance de plus de 20 % ; lAllemagne avec 560 M$ en croissance de plus de 20 % ; la France avec 353 M$ en croissance denviron 5 %. La faible croissance du march franais pourrait sexpliquer par un retard dans lusage des TIC et dune prise de conscience tardive des enjeux de la SSI. Concernant les matriels, la croissance est relle sur certains produits : les cartes puce, dont le taux de croissance en volume 1 attendu sur 2005 est de 18 % avec 1 727 millions dunit aprs une croissance de 12 % en 2004 ; les systmes biomtriques, qui devraient reprsenter environ 1 M$ au niveau mondial en 2007.

Caractristiques de quelques marchs logiciels et matriels de SSI


Des donnes complmentaires sont fournies en annexe XII sur les diffrents logiciels et matriels de SSi : antivirus, coupe-feu, dtection dintrusion, administration sre, authentification renforce, VPN, scurit messagerie, chiffrement de fichiers, mmoires de masse et tlphone chiffrant.

1. Source : Les Echos / Eurosmart.

Une base industrielle et technologique spcialise en SSI autonome pour rpondre aux enjeux conomiques et de souverainet

97

March national (M) en 2004

Produit logiciel libre public Oui, ClamAV Oui, netfilter, IP filter Oui, Snort

Croissance du march/an (2004-2009)

Logiciels : Antivirus, Antispam et Spyware (segment SCM (2)) Pare feux/VPN (appliances) Pare-feux (logiciels) Prvention et dtection dintrusion (appliances) Administration sre (3A) (3)
(1)

16 % 2% 5% 22 % 13 %

157 47 44 11 88

Symantec, Network Associates (MC Afee), Trend, Sophos... Check Point, Cisco...

Non PME

Symantec et Internet PME Security Services (50 % du march 2) IBM, Computer GE (4) Associates, Verisign... et PME

Enqute IDC Scurit 2005 -103 entretiens auprs dun panel de grandes entreprises et administrations en France composes 45 % de plus de 2000 salaris et 55 % de 1000 1999 salaris novembre 2005 (2) Secure Content Management Cf. annexe 12 (3) 3A pour Authentification, Autorisation et Administration ou management des identits et de laccs Cf. annexe 12 (4) GE : Grande Entreprise

Une offre nationale en situation de faiblesse sur la partie produits logiciels


En France, les fournisseurs de produits ou services en SSI sont : de grands groupes, certains lis au march de larmement : Thals, Safran, EADS, Bull, France Tlcom ; des SSII ; des industriels du march de la carte puce ; une centaine de petites et moyennes entreprises, souvent forte valeur technologique. Au niveau europen, les autres fournisseurs se trouvent principalement au Royaume-Uni et en Allemagne. Le classement IDC 2003 1, selon le chiffre daffaires ralis en Europe en 2003, uniquement dans le domaine des logiciels lis la SSI, montre que les leaders sont amricains avec Symantec (405 M$ de CA et 16 % de parts de march), Computer Associates (EU 2), Check point (Isral1. IDC 2003, Western European security software forecast and competitive vendors shares, 2003-2008. 2. EU : tats-Unis.

98

La scurit des systmes dinformation

Criticit des produits Non Oui Oui Oui Oui

Principaux acteurs

Prsence franaise

Segment

EU), Network Associates (EU), IBM (EU), Trend micro (EU), Sophos (RU 1), Verisign (EU), Panda (EU), Microsoft (EU). Cette situation globale de faiblesse europenne dans le domaine des logiciels par rapport loffre amricaine est un fait tabli qui voluera difficilement dans les annes venir et qui impose de facto de concentrer leffort public et priv sur des segments cls en matire de scurit permettant datteindre un niveau dautonomie acceptable. Concernant les matriels, par exemple les systmes biomtriques et cartes puces, la France dispose encore datouts faire valoir au niveau mondial quil convient daccompagner de manire volontariste.

Gouvernement/Sant

Transport

Tlcoms

Banque/ Finance

Volumes en millions dunits % de croissance

1 220 + 16 %

330 + 18 %

65 + 18 %

60 + 33 %

25 + 67 %

15 + 25 %

Source : Les Echos / Eurosmart

Dun volume relativement faible, les marchs gouvernementaux (cartes didentit, cartes vitales) et de la scurit (application dauthentification forte, accs aux systmes dinformation) affichent des taux de croissance importants. Les programmes venir de passeports et de cartes didentit qui devraient gnrer un march de plusieurs centaines de millions dunits seront un moteur de la croissance de ce secteur. En outre, le dveloppement des cartes sans contacts, dj utilises pour les pages dautoroutes, devrait tre significatif dans les annes venir avec, par exemple, des applications de paiement sans contact avec un tlphone mobile. Selon Gartner Dataquest, ce march devrait atteindre 500 millions dunits en 2008. Lindustrie franaise, qui fait partie des leaders mondiaux, doit profiter de ces opportunits de croissance.

Caractristiques de quelques segments du march des services de scurit informatique


Selon ltude IDC Scurit 2005, le march des services de scurit devrait passer de 612 M 1 195 M en 2009, soit un taux de croissance moyenne de 18,2 % par an sur la priode 2004-2009.
1. Royaume-Uni.

Scurit 99

Une base industrielle et technologique spcialise en SSI autonome pour rpondre aux enjeux conomiques et de souverainet

TV

Segment

Croissance du March March march/an national (M) national (M) (2004-2009) en 2004 en 2009 18,8 % 17,8 % 17 % 16,7 % 113 152 211 55 267 345 463 119

Prsence franaise GE et PME GE et PME GE et PME GE et PME

Criticit

Gestion de la scurit infogrance Conseil en scurit Implmentation Formation

Oui Oui Non Non

Parmi ces diffrents segments du march des services de scurit, le conseil et linfogrance mritent des prcisions complmentaires compte tenu de leur criticit. Le conseil en scurit dun systme dinformation est directement li son architecture. Les principales socits en informatique ont donc dvelopp une activit forte en conception darchitecture de scurit et quelques PME se sont spcialises dans le conseil en scurit des systmes dinformation. Infogrance de la scurit Les services infogrs dans ce domaine se sont dvelopps, en particulier aux tats-Unis, car ils permettent de mutualiser lexpertise, de valoriser des centres de recherche et de veille permanentes, afin doffrir une capacit danalyse et de raction 24 heures sur 24, 7 jours sur 7. Les niveaux de service sont diffrencis, depuis un simple support aux quipes internes jusquau management global de la scurit. Le dveloppement de ces services est cependant frein par labsence de critres objectifs de confiance indispensables puisque linfogrance de scurit ouvre des tiers laccs au cur des entreprises. Le dveloppement de cette activit, qui contribuerait largement amliorer la protection des entreprises et des organisations en la confiant des professionnels comptents, passe donc par une labellisation des socits de confiance. Lexemple de la monte en puissance des oprateurs dInfrastructures cls publiques (ICP) Les ICP sont lensemble des moyens techniques, humains, documentaires et contractuels mis la disposition dutilisateurs pour assurer avec des systmes cryptographiques asymtriques (cf. Annexe III glossaire pour les dfinitions) un environnement scuris aux changes. Certaines entreprises ou organisations choisissent de se doter de leur propre infrastructure ICP (en anglais PKI 1) et de lexploiter en interne. Mais beaucoup prfrent recourir des services externes dlivrs par des socits spcialises. Ainsi sont apparus des Oprateurs de Services de Confiance qui oprent une ICP multiclients et peuvent fournir une multitude de services associs : gestion du cycle de vie des certificats, horodatage, coffrefort lectronique, personnalisation de cartes puces pour porter les certificats. Des offres nationales de qualit existent.
1. Public Key Infrastructure ; on utilise en franais la terminologie de IGC pour Infrastructure de Gestion de Cls.

100

La scurit des systmes dinformation

Le dveloppement de ce march en croissance compte tenu du dveloppement de la dmatrialisation des changes est cependant contraint par le cot et les processus mettre en place.

Les consquences des volutions actuelles du march de la SSI avec lmergence de linformatique dite de confiance : initiatives TCG et NGCSB Les objectifs de ces initiatives
Linitiative TCG (Trusted Computing Group). a t lance en 2003 par AMD, Hewlett-Packard, IBM, Intel Corporation et Microsoft. Elle est la suite du projet TCPA (Trusted Computer Platform Alliance) lanc en 1999, mais aussi dautres initiatives qui visaient gnralement contrler lutilisation des uvres ou des logiciels et limiter les copies illicites. Elle a pour objectif damliorer la scurit des ordinateurs via linsertion dans chaque outil informatique dun composant permettant doffrir des services de cryptologie et davoir une assurance sur ltat logique de lordinateur, afin de pouvoir dtecter tout changement de configuration ayant un impact potentiel sur la scurit. Linitiative Palladium, complmentaire de TCG, lance par Microsoft en juillet 2002, est devenue Next Generation Secure Computing Base (NGSCB) en janvier 2003. Elle repose sur lutilisation dun composant scuris et a pour objectif de contrler que les ordinateurs utilisent bien des ressources de confiance (trusted) : codes, priphriques disques durs... Ce composant vrifiera ainsi lintgrit du logiciel de lordinateur, les autorisations de fonctionnement de priphriques ainsi que la lgalit des oprations que ralisent ces ressources. En pratique, elles devront obtenir un certificat numrique dlivr par Microsoft. Lenvironnement de confiance cre par NGSCB vise protger Microsoft contre le piratage mais galement amliorer la scurit des ordinateurs en particulier en offrant une meilleure rsistance aux attaques de virus et de chevaux de Troie. Enfin, en mai 2005, linitiative TCG a t complte par Trusted Network Connect (TNC). Cette dernire initiative a pour objet dtendre la confiance que peut apporter TCG sur un poste un rseau. Pour ce faire, la plupart des protocoles de scurit classiques SSL, TLS, SSH... ont t complts par une phase prliminaire destine tablir une preuve rciproque dintgrit et dauthenticit pour des ordinateurs entrant en communication. Les menaces possibles Pour certains, ces limitations dusage sont justifies par le dveloppement du commerce lectronique et la gestion sre des droits de proprit intellectuelle des uvres numriques. Lindustrie des mdias et des services la rclame. Mais en restreignant les droits de lutilisateur,

Une base industrielle et technologique spcialise en SSI autonome pour rpondre aux enjeux conomiques et de souverainet

101

NGSCB donne un droit de regard aux constructeurs de matriels et de logiciels, de lusage fait des ordinateurs personnels. Il permet de contrler laccs des logiciels aux ressources matrielles. Cette mergence dune informatique de confiance conduirait un nombre trs limit de socits imposer leur modle de scurit la plante, en autorisant ou non, par la dlivrance de certificats numriques, des applications sexcuter sur des PC donns. Il en rsulterait une mise en cause de lautonomie des individus et des organisations (restriction des droits dun utilisateur sur sa propre machine). Cela constitue une menace vidente la souverainet des tats. Il est noter que le BSI allemand dispose dune quipe travaillant sur le sujet.

Synthse sur loffre et le march de la SSI


suivante : Lanalyse du march SSI permet de dgager la synthse

Compte tenu du lien fort entre architecture de systme et scurit, tout segment du march de la scurit, ds quil est mature, a vocation tre intgr dans le march des technologies de linformation. Les fonctions de scurit qui ont du succs finissent par tre offertes en standard dans les systmes dexploitation, surtout propritaires. Rares sont les fonctions de scurit qui connaissent pendant plusieurs annes une persistance de leur demande. Cet tat de fait contraint les pionniers du segment, souvent des PME, une mobilit stratgique permanente pour ne pas disparatre. Elles doivent innover, dvelopper des services autour des produits, ou accepter dtre absorbes par des diteurs de logiciels ou des industriels. Le march ragit en fonction de la menace dont les symptmes sont clairement apparents. La ralit des dgts des virus explique le succs des logiciels antivirus. De mme des actes de piraterie sur les systmes dinformation expliquent le succs des coupe-feux. linverse, les menaces sans douleur apparente sont rarement prises en compte. la menace dinterception passive de communication, bien que relle, est trs rarement prise en compte. Tous les produits de chiffrement, logiciels ou matriels, ds lors quils ne sont pas offerts avec un systme dexploitation, un quipement de tlcommunications ou une autre fonction de scurit ne constituent pas ce jour un march viable en dehors du secteur public et du secteur bancaire. Les tentatives de diffrencier les produits de meilleure scurit, par lvaluation, la certification ou la qualification, nont pas encore eu leffet dentranement que lon en attendait. Lvaluation ne constitue pas aujourdhui un lment de choix primordial pour les acqureurs de solutions de scurit.

102

La scurit des systmes dinformation

Sans une intervention volontaire de ltat, par le biais principal de la commande publique, une offre strictement nationale ne pourra se dvelopper en attendant que les segments du march deviennent suffisamment importants. Les principaux moteurs de cette transformation seront : la meilleure dfinition des objectifs et des politiques de scurit ; la volont de recourir des produits de confiance ; lacceptation de standards et normes de protection ; le recours aux services, type infogrance, pour confier la scurit des spcialistes habilits et comptents dans le cadre dun march rglement.

La base industrielle et technologique nationale de SSI, notamment les PME-PMI : un effritement en cours qui risque dtre irrversible sans politique volontariste
Les grandes entreprises fournisseurs de produits et services de SSI sont dans un contexte peu favorable et nont pas la taille critique
En France, les grandes entreprises voluent dans un march de la scurit des systmes dinformation dispers, faible en volume et peu mature. De plus, un niveau de sensibilisation infrieur devant nos partenaires europens et une certaine rsignation face aux Amricains, voire aux Asiatiques, suite notre incapacit fdrer une industrie informatique europenne font que les grands acteurs sont peu nombreux. En fait, deux marchs le monde de la finance, et plus spcifiquement les moyens de paiement et les rseaux interbancaires, et la dfense nationale et la scurit intrieure ont favoris lclosion de ples industriels diffrents, les uns tourns vers le march concurrentiel, les autres ancrs dans lindustrie de dfense. Ce nest que trs rcemment, avec la rduction de la croissance de ces marchs, que les industriels ont cherch se diversifier. Nos grandes entreprises doivent affronter la concurrence des entreprises anglo-saxonnes, mais le march qui leur est accessible est rduit.

Une base industrielle et technologique spcialise en SSI autonome pour rpondre aux enjeux conomiques et de souverainet

103

Le march amricain de la scurit est marqu par une politique protectionniste forte sur le march intrieur et un contrle strict lexportation. Cette stratgie de domination technologique prsente le double avantage de servir la fois les intrts des industriels et ceux de ladministration. Comment viter en France que, sous couvert dun appel la concurrence impos par le code des Marchs Publics, les quipes techniques de certaines administrations marquent leur indpendance en choisissant un produit de PKI ou une carte cryptographique amricains quand des produits franais quivalents existent ? Une vritable politique dachat des administrations pour consolider une industrie nationale serait ncessaire. En outre, il nexiste pas actuellement assez dincitation pour constituer une offre de confiance pilote par de grandes entreprises ayant une capacit dintgration de systmes, et valorisant les produits innovants des PME. Le Pacte PME pourrait favoriser cette approche, sous rserve dtre accompagn par une politique dachat des administrations, voire des grandes entreprises. La France possde de grandes entreprises de services informatiques capables dintervenir sur le domaine de la SSI. Pour des raisons videntes attenantes la prservation de leur intgrit , il conviendrait dattribuer un label de confiance sous certains critres. Loffre nationale et europenne clate : de ncessaires rapprochements La dispersion des forces est patente aussi bien en France quau niveau europen. On retrouve ainsi des activits SSI disperses dans plusieurs groupes qui nont pas individuellement la taille critique pour tre rellement performantes au niveau mondial et qui sont isoles au sein de ces groupes. En outre, les grands industriels leaders privilgient dsormais de plus en plus le mtier dintgrateur. Si cette situation se poursuit, les risques deffritement de la qualit et de la comptitivit de loffre de ces groupes deviendront de plus en plus dlicats grer pour ltat. Cest pourquoi, des actions visant au rapprochement de ces activits, en sinspirant de ce qui a t fait dans la Dfense et lAronautique, apparaissent ncessaires. Un financement public de la R&D dispers et insuffisant devant les enjeux de la SSI Diffrentes sources de financement existent, plus ou mois accessibles aux PME galement : lANR (Agence nationale de la Recherche), lA2I (Agence de linnovation industrielle), le Minefi et lUnion europenne. En ce qui concerne ltat : ANR : la scurit est un des thmes des RRIT (Rseaux de recherche et dinnovation en technologie) communs aux ministres de lIndustrie et de la Recherche, notamment ceux sur les tlcommunications

104

La scurit des systmes dinformation

(RNRT) et le logiciel (RNTL). Dans les appels projets 2005 de lANR, la scurit a t traite dans le RNRT, mais fait galement lobjet avec les mmoires de masse, dune thmatique additionnelle dote de 10M. Entre 5 et 10 projets devraient tre retenus pour un montant de 4 8 M. Entre lensemble des dispositifs du ministre de la Recherche, environ 23 M entre 2001 et 2004 ont t consacrs au thme SSI 1. A2I : lAgence cre le 26 aot 2005, est dote dun budget de 1 Md et contribuera au financement dune dizaine de projets dentreprises ou de laboratoires de recherche en technologie dune dure de cinq dix ans. Parmi ceux-ci il est souhaitable quun ou des projets soient orients SSI. MINEFI Oppidum : le ministre de lIndustrie a mis en place en 1998 le programme Oppidum ddi la scurit. Les deux premiers appels projets en 1998 et 2001, chacun dot dun budget de 6 M, ont permis le dveloppement de solutions commerciales accompagnant la libralisation de la cryptologie et la mise en place de la signature lectronique. Mme si la crise des technologies de linformation a ralenti la valorisation commerciale de certains projets, des avances importantes ont t obtenues : en signature lectronique, en protection des rseaux dentreprise et en scurit des cartes puce. Le troisime appel projets lanc en 2004, dot dun budget de 4 millions deuros, a rencontr un vif succs puisque 45 dossiers ont t dposs pour un total de 22 millions deuros environ. 18 projets portant sur les cartes puce, notamment sans contact, les outils biomtriques, les produits de signature numrique, de scurisation des PC et des produits de surveillance des rseaux, ont t labelliss. Des programmes de R&D dans le domaine des tlcommunications (CELTIC), du logiciel (ITEA) ou des composants (MEDEA) peuvent aussi contenir des projets concernant plus ou moins la scurit. titre indicatif, le montant des crdits allous par le ministre de lIndustrie aux projets sur la scurit dans la priode 2001-2003 a t :
Programme en M Medea (composants) Itea (logiciel) RNRT (tlcoms) Oppidum (applications) Total 2001 2,7 4,9 2,1 1,4 11,2 1,6 4,7 10,0 2002 3,7 2003 4,2 2,9 2,3 3,4 12,7 Total 10,7 7,8 6 9,5 34

De plus, il est signaler quenviron 20 thses consacres la SSI sont soutenues chaque anne. Enfin, on peut noter la monte en puissance des ples de comptitivit dont certains intgrent les questions de SSI notamment en le-de-France (System@tic), en PACA (solutions de communications scu1. Source : ministre de la Recherche.

Une base industrielle et technologique spcialise en SSI autonome pour rpondre aux enjeux conomiques et de souverainet

105

rises) et Rhne-Alpes (Minatec) ou de transactions lectroniques scurises en Basse-Normandie. En ce qui concerne la Commission europenne : Le 6 e PCRD comporte des programmes dans le thme technologies de la socit de linformation qui est dot dun budget de 4 milliards deuros environ 1. De plus la Commission a lanc une action prparatoire, en vue du 7e PCRD, dote dun budget prvisionnel de 65 millions deuros pour la priode 2004-2006, concernant la recherche de scurit : 6e PCRD : la SSI est au cur de diffrentes actions (environnement scuris, sret des rseaux lectroniques pour les transports ariens et automobiles, management des risques...) pour un montant valu environ 140 millions deuros sur la priode 2 ; action prparatoire : couvrant les domaines de la scurit globale (protection des frontires, bioterrorisme, SSI...), les projets SSI ont concern par exemple les communications scurises ou la protection des infrastructures critiques. Les montants affects la SSI nont pas t prciss ; 7e PCRD : le thme de la scurit apparat comme une priorit de ce plan qui dpendra cependant des rsultats de laction prparatoire sur les actions lancer. Le budget envisag est de 1 milliard deuros. La multiplicit de ces sources de financements et labsence de coordination ne favorisent pas des actions concentres sur les thmes critiques de souverainet nationale. Il existe des rflexions en cours chez des industriels et organismes de recherche qui mritent une attention de la part des pouvoirs publics Des industriels et des centres de recherche franais 3 ont engag des rflexions sur la mise au point de produits de confiance, par exemple : aujourdhui, la matrise de la partie logicielle des produits ne permet pas de garantir la scurit si le hardware sur lequel elle sexcute nest pas matris. Il est donc ncessaire de lancer des programmes technologiques pour mettre au point des circuits intgrs scuriss ; le lancement dun projet structurant dans les usages et la gestion scurise de lidentit, avec comme enjeu lintgration du citoyen et la prservation de ses droits (individu numrique). Limplication de ltat dans de telles actions est ncessaire ; mais la volont et les financements semblent encore incertains.

1. Source : Commission europenne. 2. Source : Commission europenne. 3. Source : auditions.

106

La scurit des systmes dinformation

La situation des PME fournisseurs de produits et services SSI est trs critique
Le dveloppement des PME franaises et europennes innovantes, parmi lesquelles celles spcialises dans la SSI, se heurte de nombreuses difficults qui ont fait lobjet de multiples rapports ces dernires annes. Des propositions, certaines effectivement mises en uvre par les pouvoirs publics, tendent amliorer la situation mais demeurent insuffisantes sagissant du secteur particulier de la SSI.

Un march de la SSI particulirement difficile pour les PME franaises


Lanalyse des problmatiques spcifiques des PME fournisseurs de produits et de services de SSI ncessite au pralable, dapprcier lintensit concurrentielle qui prvaut dans le secteur, car elle dtermine le niveau de rentabilit moyen des entreprises et donc influence leurs stratgies.

rgulation.

Ltat intervient comme client et comme autorit de

En se plaant du point de vue de la PME, lanalyse synthtique de lintensit concurrentielle qui prend en compte six forces donne les caractristiques suivantes : Pouvoir de ngociation des fournisseurs Les PME prestataires de services en SSI, sont amenes parfois intgrer des produits provenant dacteurs de taille plus importante, en situation de quasi-monopole, ce qui les place en situation de faiblesse lachat. Ces entreprises se trouvent de facto fortement dpendantes. Le problme disparat pour des PME qui dveloppent des produits. Ltat doit favoriser lexistence et le dveloppement doffres alternatives pour contrebalancer ce dsquilibre en particulier par une politique incitative de financement de dveloppement de produits et de technologies, et une politique dachat approprie.

Une base industrielle et technologique spcialise en SSI autonome pour rpondre aux enjeux conomiques et de souverainet

107

Pouvoir de ngociation des clients Les PME franaises sont en situation de faiblesse face des clients importants tels que ltat et les grands comptes. Leur marge de ngociation est assez limite alors quil existe une concurrence internationale importante et que le critre fournisseur de confiance ne semble pas exister dans les politiques dachat de ces clients. Sans une prise de conscience des pouvoirs publics, mais galement des grands donneurs dordres, suivie dactes concrets et prennes, en particulier une politique dachat approprie, loffre europenne seffritera progressivement. Rivalit entre les concurrents La croissance du march de 15 % en moyenne par an attise les ambitions de nombreux acteurs en place, attire de nouveaux concurrents et provoque aussi une concentration des diffrents segments. La petite taille des acteurs europens et europens ne les favorise pas. Aussi, lorsque les marchs sont peu protgs par la puissance publique, il est difficile pour une PME de trouver la voie de la survie et du dveloppement dans cet environnement trs mondialis, face des leaders puissants. Prs de 900 1 entreprises technologiques dans le monde interviennent dans la SSI, dont 70 % sont dorigine amricaine. Leur chiffre daffaires ne dpasse pas en gnral 30 M$. Le march est donc surtout compos de nombreuses petites socits et de quelques grandes entreprises. Ds lors, la concentration du secteur apparat inluctable et lobjectif des PME franaises, si elles veulent viter la marginalisation ou le rachat, est daccrotre fortement leur chiffre daffaires hauteur de 30-50 M, par exemple en se regroupant. ce niveau dactivit, elles devraient pouvoir gnrer suffisamment de cash flow pour continuer innover et financer leur R&D. Ltat peut jouer un rle dans le regroupement europen, limage de ce qui est en cours dans lindustrie de dfense. Difficults pour les nouveaux entrants Les barrires lentre pour les PME sont fortes sur ce secteur en raison : de lexprience forte des teneurs du march ; des besoins importants en capitaux pour un secteur o les stratgies sont mondiales ; de laccs compliqu aux circuits de distribution pour les PME ; des avantages spcifiques (brevets...) dtenus par les leaders prsents ; de linsuffisance de lappui par les pouvoirs publics de loffre europenne. Les pouvoirs publics, sans sopposer naturellement aux nouveaux entrants, se doivent de contribuer activement au dveloppement des acteurs existants. Ainsi, avoir une politique en matire de capital-risque, notamment damorage, est sans doute essentiel, mais disposer sur le territoire de financement plus substantiel en capital dveloppement lest sans doute davantage et doit tre encourag et accompagn.

1. Source : auditions.

108

La scurit des systmes dinformation

La menace des produits substituables Elle est soutenue sur ces secteurs compte tenu dune volution permanente des technologies conscutives lvolution des besoins. Par exemple, lavance de lIpv6 et de la post 3G aura des consquences fortes sur le tissu national spcialis dans les TIC et donc sur celui spcialis en SSI. Pour y rpondre, un effort intense et continu de R&D est ncessaire, en particulier au sein des PME innovantes. Un effet de levier important par le financement public national et europen est naturellement indispensable et doit tre accentu. Mais sans un accroissement significatif des financements privs, notamment des grands donneurs dordres, les montants consacrs seront insuffisants pour rester au meilleur niveau. Le rle des pouvoirs publics et des autorits de rgulation Les pouvoirs publics et les autorits de rgulation influent directement sur le march. Ainsi, peuvent-ils faire jouer leur influence sur les pouvoirs de ngociation des fournisseurs et des clients (rglementations en matire de dlai de paiements, ou de sous-traitance obligatoire des PME dans le cadre de contrats publics...), sur les menaces des nouveaux entrants (autorisations dexercer notamment dans la SSI, existence de normes spcifiques...). LUnion europenne peut galement intervenir, en particulier dans le financement de la R&D et en matire rglementaire (textes pro-PME, normalisation favorable loffre issue de lUnion europenne...) pour favoriser lenvironnement de ces PME SSI. Ltat doit prendre conscience de son rle moteur indispensable dans ce domaine particulier quest la SSI. Son rle ne doit pas se limiter une politique de financement et dincitations fiscales.

Contraintes complmentaires issues de lenvironnement


En complment des analyses prcdentes, trois autres facteurs permettent de mieux comprendre la situation actuelle de faiblesse de loffre nationale et europenne de SSI : March europen fragment et souverainets nationales Contrairement aux tats-Unis qui dispose dun march de la SSI unique et important en volume, celui de lEurope est fragment. Chaque pays, pour des questions de souverainet, privilgie des solutions nationales, quand elles existent. On observe que le march accessible une PME tant restreint, son potentiel de dveloppement limit, ce qui la rend peu attractive pour des investisseurs. Favoriser une offre europenne apte vendre aux tats et aux grands donneurs dordres europens sans barrires spcifiques doit tre un objectif de ltat franais en coopration avec ses partenaires europens les plus proches sur les questions de SSI. Faiblesse des grandes entreprises europennes de SSI Labsence de leaders mondiaux sur le territoire national et europen entrane un manque de stimulation pour toute la chane de fournisseurs et pour lenvironnement de recherche. Ainsi, nos entreprises et nos laboratoires se trouvent-ils loigns de ceux qui ont une vision claire de leurs marchs et

Une base industrielle et technologique spcialise en SSI autonome pour rpondre aux enjeux conomiques et de souverainet

109

de ses volutions venir. Ils auront de ce fait un temps de retard par rapport des PME et laboratoires installs proximit des grands donneurs dordres amricains. Monte en puissance de lAsie La croissance de lAsie sur ces diffrents segments de march est forte et sappuie dsormais sur sa propre expertise technique. La volont de la Chine de verrouiller ses systmes dinformation privs et publics et de contrler lensemble de la chane laisse augurer dans le futur la monte en puissance dune offre indpendante asiatique qui cherchera simplanter en Europe, comme cest le cas pour lautomobile. Prises en tenaille entre les tats-Unis et lAsie, les PME europennes devront faire preuve dune grande agilit et dun appui sans failles de la puissance publique et de quelques donneurs dordres privs pour exister et se dvelopper.

Les politiques dachat de ltat et des grands donneurs dordres sont peu orientes sur les PME SSI et les fragilisent
Une politique dachat public marque par la complexit du processus et la culture des acheteurs Les pouvoirs publics interviennent sur ce march en tant quacheteur important. Or, ce jour, la centralisation et la rationalisation des achats, un code des marchs publics plus adapt aux grandes entreprises quaux PME innovantes, la culture des acheteurs qui privilgient, pour des raisons de prudence et de prix immdiat les grandes entreprises installes dont la prennit semble mieux assure, a pour consquence une politique dachat de ltat, qui ne favorise pas le chiffre daffaires des PME innovantes sur ce secteur, ce qui nest pas le cas dautres pays. Le gouvernement a certes pris quelques mesures : action auprs des partenaires europens pour une rengociation du trait OMC et de la lgislation europenne ; installation dun observatoire de la commande publique le 15 novembre 2005 ; lancement dune concertation pour optimiser la passation des appels doffres des PME ; pacte PME propos par le Comit Richelieu en association avec OSEO-Anvar, dont lobjectif est de faciliter les relations entre les grands comptes et les PME innovantes. Ces mesures ont naturellement le mrite dexister et contribueront, peut-tre, une volution culturelle indispensable chez les acheteurs et donc de la mise en place dune politique dachat plus adapte aux PME innovantes, mais elles mettront du temps produire leurs effets. Les ministres devraient mener une politique dachat en cohrence avec leurs axes stratgiques, notamment en matire de scurit nationale. Il est intressant de citer la politique dacquisition du ministre de la

110

La scurit des systmes dinformation

Dfense, fonde sur un principe dautonomie comptitive qui sarticule autour de deux objectifs complmentaires : garantir la meilleure efficacit conomique des investissements raliss pour satisfaire les besoins des forces armes ; assurer un accs aux capacits industrielles et technologiques qui conditionnent la satisfaction long terme des besoins des forces armes. En outre, du fait de la complexit croissante des produits informatiques et des services associs, leur conception et leur ralisation impliquent de multiples acteurs avec une part croissante de sous-traitance et dexternalisation. Pour lacheteur public final, la scurit du systme install savre de plus en plus complexe en labsence dune volont forte de contrler lensemble de la chane de fournisseurs de SSI de confiance. Il est noter cet effet que le PRSSI 1 recommandait dans sa mesure I1 : de garantir une diversit dapprovisionnement en produits de scurit en stimulant le dveloppement de produits industriels innovants et rpondant des besoins identifis, en sadressant un tissu dindustriels de confiance notamment de PME. Ainsi, le ministre de la Dfense a pris linitiative de lancer en 2004 le dveloppement dun systme dexploitation durci et fiable. Ce projet, Sinapse, sappuie sur des PME franaises du secteur de la SSI. Cette dmarche pourrait inspirer dautres dveloppements. Ds lors, une dfinition interministrielle de principes communs en matire dacquisition de produits et services de SSI, sans remettre en cause lautonomie dcisionnelle de chaque ministre permettrait dassurer ltat une meilleure cohrence et une meilleure matrise de lintgration de produits et services de SSI dans ses diffrents systmes dinformation, en phase avec ses objectifs rgaliens. ce jour, la politique dachat des ministres ne semble pas prendre suffisamment en considration les enjeux de lexistence dune offre de confiance au niveau national et europen. Une politique dachat des grandes entreprises qui manque de souplesse et ne favorise pas linnovation Les critres de slection des grandes entreprises nintgrent pas suffisamment le caractre innovant des PME, facteur dinnovation pour leurs propres produits, et les enjeux de scurit que reprsente une offre europenne viable sur le long terme. La rsistance des acheteurs linnovation semble relle et presque de nature culturelle. cela sajoutent les grandes entreprises qui cherchent diminuer fortement le nombre de leurs interlocuteurs et faire partager les risques de dveloppement leurs sous-traitants. Ces objectifs sont des freins de plus en plus importantes pour les PME. lexception du Pacte PME, il ny a pas de relles dynamiques de la part des grands donneurs dordres. Une politique dachat des entreprises franaises ou europennes de confiance peut tre effective sans ncessairement
1. Plan de Renforcement de la Scurit des Systmes dInformation de ltat (2004-2007) du 10 mars 2004.

Une base industrielle et technologique spcialise en SSI autonome pour rpondre aux enjeux conomiques et de souverainet

111

entraner un surcot mais sous rserve dune volont forte de changement des grands donneurs dordres.

Les PME SSI franaises ne disposent pas des ressources suffisantes pour se dvelopper
Le financement Laccs aux ressources financires est naturellement un point essentiel et recouvre : les fonds propres, les crdits bancaires, le financement de projet ou lexportation 1 et la transmission/cession 2. Certes, les mesures gouvernementales ont t nombreuses ces dernires annes : dveloppement des FCPI 3 et dAlternext ; incitation auprs des assureurs franais investir 6 G dans les PME ; politique en matire damorage et dincubation qui a le mrite dexister mme si, pour linstant, les rsultats ne sont pas toujours trs positifs ; concours cration dentreprises du ministre de la Recherche, renforcement dOso. Mais des amliorations sont souhaitables, en particulier en matire de conditions de sortie vers les marchs cots et de garanties par Oso Sofaris qui restent insuffisantes. Cependant, un point plus critique est laffectation effective de ces ressources aux PME innovantes notamment SSI. En effet, la tendance du march du capital dinvestissement se caractrise par : une prdominance des oprations de LBO 4 ; une faiblesse structurelle des fonds de capital-risque lever des fonds ; une orientation croissante des FCPI vers le march cot. En outre, pour les fonds damorage, les difficults de sortie sont croissantes en labsence de fonds de capital dveloppement prts prendre le relais et payer le prix. Pour les participations fort potentiel de dveloppement, seuls les Anglo-Saxons sont en mesure de le faire. De plus, le temps de maturation des technologies est souvent plus long que sur les autres secteurs des TIC, compte tenu dun environnement normatif et rglementaire contraignant affectant la dure dinvestissement qui peut tre plus longue que la norme du march.
1. Financement projet : difficile compte tenu de la pression des donneurs dordres pour partager le risque avec les sous-traitants. Un effet de levier serait ncessaire. Le financement de lexportation : il nexiste pas ce jour de rponse efficace en termes de cautions bancaires. 2. Ncessite une attention particulire afin de favoriser des solutions europennes permettant progressivement lmergence de PME de plus grande taille, aptes intervenir au niveau mondial. 3. Fonds Communs de Placement dans lInnovation. 4. Leveraged By Out : opration dacquisition dune entreprises finance par un fort recours lendettement.

112

La scurit des systmes dinformation

Enfin, les dcrets rcents relatifs au contrle des investissements trangers sur des secteurs sensibles, risquent de gner les volonts de certains fonds qui peuvent voir dans cette rglementation une nouvelle contrainte forte la sortie et ce, dans un contexte difficile. La situation aux tats-Unis est diffrente : la taille du march intrieur et les sources de financement disponibles leur permettent de se dispenser de financements trangers. Un march restreint et plus contraignant en dure, une commande publique et prive insuffisamment oriente, une rglementation qui contrle les investissements trangers, un manque en capital dveloppement et la difficult daller en bourse en Europe continentale, rendent ce march de la SSI peu attractif pour des investisseurs europens. Des fonds dinvestissement spcifiques adapts aux profils de ces entreprises spcifiques, dune dure de vie de 12 15 ans, seraient un complment ncessaire aux fonds de capital investissement actuels. On peut noter lexistence en 2005 dun dispositif de fonds dinvestissement stratgiques sur linitiative du Haut Responsable lIntelligence conomique orient vers les PME sensibles franaises qui traduit la mise en place dun systme de suivi interministriel des secteurs stratgiques, par la mise en place de fonds ddis aux entreprises relevant de ces secteurs, dsormais oprationnel. Un financement public et priv de la R&D insuffisant Les PME des secteurs technologiques et notamment des TIC, sont confrontes une volution en ciseau avec, dune part, une trs forte croissance des besoins de financement de la R&D et, dautre part, un plafonnement des ressources traditionnelles que sont les financements gouvernementaux et des grandes entreprises europennes continentales. En effet, pour tre en mesure de suivre lvolution technologique permanente de ces marchs, les entreprises doivent consacrer en moyenne jusqu 15 % de leur CA en R&D. Or, la France et ses entreprises ne sont pas suffisamment actives dans le domaine des TIC 1 : en 2003, le financement de la R&D en TIC tait de 90 $ par habitant en France, contre 220-240 $ aux tats-Unis ou au Japon ; la mme anne, leffort de R&D global en TIC ramen au PIB tait de 0,31 % en France, contre 0,65 % aux tats-Unis et 0,76 % au Japon. Pour leffort de R&D des entreprises, les ratios sont similaires ; leffet de levier de la dpense publique en TIC sur les entreprises, cest--dire le ratio entre la R&D excute par les entreprises et les fonds publics qui y sont consacrs, est trs nettement infrieur en Europe (5,2) quaux tats-Unis (7,1), la France tant encore en retrait avec 4,3, loin derrire des pays o le ratio se situe entre 10 et 12 (Canada, Core, Finlande et Sude notamment).

1. Source : Futuris et Conseil Stratgique des Technologies de lInformation Groupement Franais de lIndustrie de lInformation octobre 2003.

Une base industrielle et technologique spcialise en SSI autonome pour rpondre aux enjeux conomiques et de souverainet

113

Ainsi, le financement de la R&D par les grandes entreprises franaises et europennes tant proportionnellement plus faible que celui des entreprises concurrentes aux tats-Unis ou en Asie, la part sous-traite des PME notamment SSI nen sera que plus limite. Des mesures gouvernementales de nature gnrale ou sectorielle ont ainsi t prises : renforcement du crdit impt recherche 1 ; augmentation des moyens financiers dOso annonce en juillet 2005 ; accs des PME aux projets financs par lAgence de lInnovation Industrielle (mais il ny a pas de part rserve aux PME), ainsi qu ceux de la Commission (les PME nont pas toujours les moyens et le temps consacrer aux rponses aux appels projets) ; accs aux programmes de dveloppement de la DGA (PEA 2...) ; programmes sectoriels avec : oppidum (Minefi) ; abondement par la DCSSI ou la DGA davances remboursables accordes par Oso Anvar des projets les intressant (SSI, technologies duales...) pour des montants trop faibles. Cependant, lensemble nest pas pour linstant la hauteur des moyens consacrs par les pays concurrents notamment aux tats-Unis, en Allemagne et en Asie. Des ressources humaines qualifies insuffisantes Les PME franaises ne disposent pas toujours des comptences ncessaires pour attirer des investisseurs et rassurer les clients, alors quil sagit dun critre essentiel. Aujourdhui la question nest pas tant de savoir si de bons projets sont dvelopps ou non, en France, mais plutt, si de bonnes quipes existent pour les excuter. lexception dOseo Anvar qui propose un dispositif spcifique de prise en charge dune partie des charges lies lemploi de chercheurs, il ny a pas ce jour de mesures particulires pour favoriser le recrutement de comptences par des PME, notamment en marketing des technologies 3, alors que les freins au recrutement sont dj forts. En outre, le vieillissement gnral des dirigeants en France entranera des consquences qui ne peuvent tre ignores. En labsence de solutions facilitant les transmissions, les solutions de reprise par des fonds dinvestissement simposeront. Aussi, progressivement, le capital des PME franaises sera-t-il de plus en plus matris par des fonds disposant des capitaux ncessaires, aujourdhui principalement anglo-saxons. Un environnement juridique et fiscal perfectible Lenvironnement franais est peu attractif. Certaines mesures fiscales rcentes vont toutefois dans le bon sens : volutions favorables en matire dISF ;
1. Doublement de 5 10 % de la part en volume des dpenses de recherche prises en compte. 2. Programme dEtudes Amont. 3. Source : auditions.

114

La scurit des systmes dinformation

cration du statut de JEI (Jeune Entreprise Innovante) intgrant des exonrations de charges sociales et dimpts (mme si le rachat dune JEI par une JEI a pu aboutir des redressements fiscaux) 1 ; cration du statut de SUIR (Socit Unipersonnelle dInvestissement Risque). Quant la simplification des processus administratifs pour faciliter laccs des marchs publics aux PME, elle relve pour linstant encore des intentions...

Les centres de recherche orients sur la SSI insuffisamment prsents


Quelques centres et instituts en France ont des activits orientes sur la SSI, en logiciels ou matriels, pour certains de grande rputation. Ils travaillent en collaboration principalement avec les grands industriels qui interviennent dans le domaine. Labsence de grands leaders industriels en France, une insuffisance de fonds publics sur ce thme et des contraintes publier ne favorise pas pour linstant une action suffisamment forte pour tre au niveau des meilleurs mondiaux. Une coopration accrue avec des leaders de la SSI, notamment amricains, serait souhaitable mais ncessiterait un examen sans doute approfondi, car, mme si elle prsente des facteurs de risque significatifs, elle permettrait dans le cadre de partenariats quilibrs de mettre les chercheurs franais au contact des leaders de ces marchs.

La certification de produits et les normes de scurit sont insuffisamment prises en compte en France : un frein au dveloppement de loffre nationale de SSI
Le dveloppement de loffre nationale fournisseur de produits de SSI se ralisera de manire plus efficace si, en parallle dune politique dachat approprie, les produits pourront tre certifis et quils seront pris en compte en amont dans le cadre des processus qui aboutissent la mise au point de normes.
1. Source : auditions.

Une base industrielle et technologique spcialise en SSI autonome pour rpondre aux enjeux conomiques et de souverainet

115

La certification (cf. Annexe XIII)


Selon IDC Scurit 2005 1, la certification des technologies de scurit aux Critres Communs est imprative pour choisir les fournisseurs de solutions de scurit pour 21 % des sonds et prise en compte par 27 %.

Le processus de certification : des dlais optimiser


Les motivations des entreprises qui font valuer et certifier leurs produits Elles sont au nombre de trois : raisons marketing : disposer dun avantage concurrentiel avec le certificat ; raisons scuritaires : cette motivation est gnralement le fait de certains donneurs dordres. Ces derniers imposent lvaluation et/ou la certification leurs fournisseurs pour accepter dacheter leurs produits ; raisons rglementaires : cette motivation est gnralement le fait des tats ou des communauts dtats. Les tats-Unis imposent aux administrations lachat de produits valus et certifis 2. En France et dans les autres pays europens, les dispositifs permettant de raliser des signatures lectroniques scurises doivent tre valus et certifis. Des dlais dvaluations jugs trop longs et des exigences parfois excessives Ce dlai va dpendre de plusieurs facteurs : la complexit du produit valuer, le niveau de confiance vis... Pour une carte puce value au niveau EAL4 (cf. annexe XI pour le descriptif des niveaux), une valuation peut tre ralise en 6 mois. Pour des produits de scurit informatiques valus au niveau EAL2, une valuation peut-tre ralise en 4 mois. Les utilisateurs de la certification se plaignent souvent des dures trop importantes du processus dvaluation/certification pouvant dpasser un an. En outre, dans certains cas, la certification intervient alors quune version suivante va tre commercialise. Mme si dans certains cas, ces dlais anormaux sont dus la mise en vidence de vulnrabilits lors de lvaluation, les dlais actuels apparaissent trop longs pour tre en phase avec les volutions des marchs et une obsolescence plus rapide des produits. Sagissant des exigences pour lobtention de la certification, elles doivent tre proportionnelles aux risques et ne pas faire lobjet de surenchres prjudiciables aux entreprises.

1. Enqute IDC Scurit 2005 march professionnel -103 entretiens auprs dun panel de grandes entreprises et administrations en France composes 45 % de plus de 2000 salaris et 55 % de 1000 1999 salaris novembre 2005. 2. La National Information Assurance Acquisition Policy promulgue en janvier 2000, impose qu partir du 1er juillet 2002 les agences amricains nachtent que des produits certifis (critres communs pour le produits et FIPS 140 pour les modules cryptographiques).

116

La scurit des systmes dinformation

Le cot des valuations la charge des entreprises est important pour les PME La certification dlivre par la DCSSI est gratuite. Par contre, lvaluation ralise par le centre dvaluation (CESTI) est payante : carte puce, niveau EAL4 : 120 000 150 000 HT ; produit informatique (firewall...), niveau EAL2+ : 50 000 60 000 . Ces prix peuvent tre plus ou moins levs selon la nature exacte du produit valuer et selon le nombre de reprises dvaluation. Ce cot de la certification dune version dun produit, puis des versions successives, est un obstacle pour les PME 1.

La reconnaissance mutuelle des certificats : un risque dabandon de souverainet


Un point fondamental pour les dveloppeurs est que les systmes de certification CC (Critres Communs) et ITSEC (critres europens pour valuer la scurit des produits techniques) bnficient daccords de reconnaissance mutuelle entre de nombreux tats. Ainsi, le constructeur dun produit peut faire valoir, sur le territoire national, un certificat dlivr par lhomologue de la DCSSI lissue dune valuation de son produit mene ltranger, et rciproquement. Les certificats CC et ITSEC sont reconnus tous les niveaux en Europe. Les certificats CC sont reconnus jusquau niveau EAL4 avec les autres pays signataire de laccord de reconnaissance mutuelle (CCRA). Une vingtaine de pays avaient sign ces accords en 2004 et de nouveaux pays sont candidats aujourdhui. Il existe nanmoins des limitations au dploiement de ces accords de reconnaissance mutuelle. En effet, il faut conserver une capacit rgalienne de pouvoir agrer ou non un produit mme si celui-ci a t certifi par un pays tranger membre des accords de reconnaissance mutuelle. Dans le cas contraire, cela revient accepter de confier des organismes trangers, non-contrlables par des intrts franais, une partie significative de la politique de scurit de ltat et des entreprises. En effet, mme si limportance de larchitecture sur la scurit des systmes dinformation ne peut tre nglige, la composante produit est incontournable. Cest dailleurs ce qui se fait aux tats-Unis : les analyses de vulnrabilits de haut niveau sont faites par un centre tatique (la NSA) et ils ne reconnaissent pas les valuations au-del dun certain niveau de confiance.

1. Source : auditions.

Une base industrielle et technologique spcialise en SSI autonome pour rpondre aux enjeux conomiques et de souverainet

117

Un positionnement actif de la France vis--vis de ses homologues en terme de certificats dlivrs mais trs orient sur les cartes puce
La France fait partie des pays fondateurs des critres et des accords de reconnaissance mutuelle (autres pays : tats-Unis, Royaume-Uni, Allemagne, Pays-Bas, Canada). Lactivit de certification franaise, mesure en nombre de certificats, est assez soutenue compare celle dautres pays mais leffectif du centre de certification de la DCSSI semble trop limit devant la croissance des certificats dlivrs :
Pays France Allemagne Royaume-Uni tats-Unis Canada Core
(1) (1)

Certificats 2004 36 38 12 27 9 20 45 40

Certificats 2005 (prvisionnel)

Nombre de CESTI 5 13 5 10 3 1

Effectif du Centre de Certification 6 20 30 en 2002 4 ?

8 fin octobre 35 dbut octobre, 154 en cours 9 dbut aot. 16 fin octobre

Le grand nombre de certifications en cours aux tats-Unis sexplique en partie par une politique volontariste du gouvernement fdral

En 2004, 25 des 36 certificats dlivrs concernaient les cartes puces, 8, les profils de protection, et 3, les logiciels. Il est signaler nanmoins, quil ny a pas ce jour de profil de certification concernant la biomtrie 1.
volution du nombre de certificats en France
40 35 30 25 20 15 10 5 0 ITSEC CC

Mais une influence faible linternational, prjudiciable aux intrts nationaux.


1. Source : auditions.

118

La scurit des systmes dinformation

Il est regrettable de constater qu part dans un cercle restreint dinitis, la comptence et lexprience particulire de la France (et en particulier de ses centres dvaluation) sont peu connues et reconnues ltranger. La faible participation franaise 1 aux journes ICCC (International Common Criteria Conference) qui ont suivi le CCRA doctobre 2005 au Japon ne contribue pas amliorer cet tat de fait. On notera par exemple qu travers le BSI, les centres dvaluation allemands se positionnent pour aider la formation de centres dvaluation en Core du Sud, Singapour ou Taiwan. Depuis dbut 2005, le service de certification franais de la DCSSI sest rinvesti dans certaines instances internationales (Union europenne pour la scurit des moyens de paiement, groupements professionnels tels que lISCI et Eurosmart) pour promouvoir son savoir-faire, ses mthodes et ses comptences. Toutefois, la taille modeste de son effectif empche la France de prtendre se positionner sur tous les fronts et doit gnralement suivre ce qui est prconis par dautres. Labsence de Franais au sein des instances en charge de faire valuer les critres et les interprtations de ces critres est prjudiciable la prservation de notre savoir-faire et ne nous permet pas dviter que des mthodes nous soient imposes par dautres.

La qualification : une rponse des besoins spcifiques de scurit


Les administrations ou les entreprises souhaitent disposer de produits de scurit dans lesquels elles peuvent avoir confiance et qui rpondent leurs besoins de scurit. La certification offre un lment de rponse au premier point mais pas au second. En effet, un produit est valu selon sa cible de scurit (sa spcification de besoin de scurit). Or, cette cible est ralise sous la responsabilit du dveloppeur qui dfinit ce quil souhaite. Le processus de qualification cr par la DCSSI permet de sassurer que les cibles de scurit des produits (en terme notamment de primtre et de profondeur de lvaluation) rpondent prcisment aux besoins des administrations et des entreprises. Pour ltat, la DCSSI et lADAE rfrencent la qualification dans le rfrentiel scurit de ladministration lectronique (Politique de rfrencement intersectorielle de scurit, PRIS).

Lagrment : une rponse aux besoins spcifiques de ltat


Lagrment de produit est prononc par la DCSSI lorsque le produit (notamment de chiffrement) est apte traiter de linformation classifie de dfense.
1. En plus du reprsentant de la DCSSI, il y avait deux reprsentants de centres dvaluation.

Une base industrielle et technologique spcialise en SSI autonome pour rpondre aux enjeux conomiques et de souverainet

119

Le processus dagrment est trait par le bureau rglementation de la sous-direction rgulation de la DCSSI. Les valuations sont ralises par le CELAR. Il est de comptence national, et nest pas soumis aux accords internationaux de reconnaissance mutuelle.

La normalisation La normalisation : une source denjeux pour les standards des marchs
La normalisation est un outil douverture des marchs, damlioration de la transparence, ainsi quun mode de preuve de conformit au service des conomies mondiales. Elle facilite les choix stratgiques de lentreprise. Elle favorise la protection des consommateurs et lapplication de la rglementation. Le terme de normalisation conserve souvent limage de rgles dorganisation imposes par lextrieur qui brident la capacit dadaptation des entreprises et leur ractivit lvolution de lenvironnement. Elles sont donc souvent perues comme contraignantes. Pourtant, les normes sont reconnues dans le monde des produits industriels o elles gouvernent les changes entre partenaires, crent la confiance et font vivre les contrats. La norme propose ainsi les conditions dans lesquelles une opration sera effectue, un objet excut, un produit labor ou un service rendu et prend la forme dun document de rfrence sur un sujet donn dont il reflte ltat de lart, de la technique et du savoir-faire.

La reconnaissance des documents et profils de protection DCSSI : une amorce de coopration avec les instances de normalisation dynamiser
loccasion dun colloque lcole militaire en 2002, la DCSSI avait act le principe de donner certains de ses documents, notamment des profils de protection, le statut de norme franaise pour une prise en compte systmatique dans les appels doffres publics, et surtout dans le but de les tendre au niveau europen voire international. Aprs une premire phase de prparation en groupe de travail, une srie de documents ont t raliss mais le projet de convention qui encadre cette action prvue en 2005 est toujours en discussion. Une nouvelle impulsion ce stade serait imprative pour donner ses chances ce projet, et assurer en mme temps la continuit du travail de la DCSSI avec AFNOR.

120

La scurit des systmes dinformation

Les dissymtries transatlantiques : sources doppositions


La normalisation internationale est marque par une double dissymtrie dans les relations entre Europe et tats-Unis. La plus vidente est celle qui rsulte du systme de vote : les pays europens disposent dune trentaine de voix lISO, contre une pour les tats-Unis. Cet avantage ne rsisterait pas une politique systmatique de concertation europenne et de vote de bloc. Les pays europens se sont donc abstenus de tout engagement en ce sens. Dans le domaine de la scurit des systmes dinformation, le poids des pays europens a cependant t crucial dans ladoption trs rapide de normes comme lISO 17 799. La seconde dissymtrie est plus profonde. En effet deux modles saffrontent : Dans lapproche des tats-Unis, les normes sont tablies par de multiples organisations aux statuts les plus varis, en concurrence et sans quaucune autorit soit missionne pour apporter de la cohrence. Dans le seul secteur des technologies de linformation, plus de 300 entits amricaines se dclarent organismes mondiaux de standardisation. Lorganisme national des tats-Unis, lANSI, a pour unique raison dtre, lexigence de lISO davoir un membre unique par pays. Il ne bnficie pas dune reconnaissance forte des autorits fdrales ni des grands instituts amricains comme lIEEE 1. Lapproche de lEurope repose sur des processus mens par des organisations reconnues formellement par les pouvoirs publics nationaux et europens. Linstitut europen de normalisation CEN a autorit pour harmoniser les normes en Europe et faire retirer les normes nationales divergentes. Cette approche vise bnficier notamment aux utilisateurs en garantissant la cohrence et linteroprabilit. Cette organisation a t critique pour sa difficult rpondre en temps rel aux besoins du march et lvolution des technologies. Le dfi pos au modle europen consiste prouver quon peut combiner le bnfice de la standardisation informelle, cest--dire la rapidit dans la rponse au march et aux technologies, avec les bnfices de la co-rgulation que sont linteroprabilit et la coordination entre les exigences conomiques et celles de la socit.

Linfluence de la France est insuffisante dans le processus dadoption des normes de scurit
Le processus pralable ladoption des normes : des enjeux de pouvoir mais une prsence insuffisante de reprsentants franais Le processus dadoption des normes est trs formel et la base des dcisions est la recherche du consensus. Cependant, avant dadopter des normes, un processus technique souvent informel se droule dans des groupes de travail dindustriels et dexperts ou dassociations des secteurs considrs
1. Institut of Electrical and Electronics Engineers (USA).

Une base industrielle et technologique spcialise en SSI autonome pour rpondre aux enjeux conomiques et de souverainet

121

dans lesquels la logique de lobby est trs forte et o chacun dfend ses intrts pouvant aller jusqu sopposer au processus de normalisation. tre absent de cette phase amont revient ne pas pouvoir rellement peser sur les orientations prises par les futures normes. Standarmedia 1 un outil de veille collaborative, cr par lAFNOR avec le soutien du ministre charg de lIndustrie et avec des partenaires industriels a identifi 63 instances actives en matire de scurit, dont 38 compltement ddies la scurit, lauthentification, la biomtrie et les cartes puce. 17 sont des groupes de travail consacrs la scurit au sein dorganisations gnralistes comme OASIS 2 ou IETF 3 qui regroupent des industriels. Les questions de scurit se retrouvent galement dans des thmes voisins comme la traabilit, notamment sous langle des tiquettes radiofrquence (RFID). La monte en puissance de la Chine ou la force du march : le cas de la scurit des rseaux sans fil Wifi Les systmes de rseaux de donnes sans fil illustrent les difficults rencontres avec la Chine. Sa tentation de crer des standards divergents est impute aux brevets occidentaux, jugs exorbitants, qui portent sur des technologies essentielles pour la mise en uvre. Les tats-Unis ont tabli une srie de spcifications travers lorganisme IEEE qui couvre les aspects de scurit qui ont t proposs lISO. Dans le mme temps, la Chine a cr un autre standard WAPI pour la scurit des rseaux Wifi, et le propose galement lISO qui doit donc prendre une dcision sur le standard qui aura valeur de rfrence mondiale. Cela apparatrait comme un mauvais signe pour le march si deux standards taient dvelopps en parallle, comme ce fut le cas sur la tlphonie mobile de seconde gnration avec le CDMA et le GSM. Cependant le march intrieur chinois reprsentant lui seul un potentiel norme, lISO ne peut prendre une position excluant a priori lun des deux standards. En cas de coupure en deux du march, ce qui semble assez vraisemblable vu la situation lISO 4 aujourdhui, les perdants seraient probablement les Europens du fait dun march intrieur assez troit qui les obligeraient choisir lune ou lautre technologie, sans doute le Wifi IEEE. Le management de la scurit des systmes dinformation, ISO 17 799 : la russite dune rfrence britannique La premire partie de la norme britannique BS7799 constitue de recommandations est devenue norme internationale sous le numro ISO17799. La seconde, fixant des exigences, est reste quelques annes dans les limbes, sous linfluence de grandes compagnies internationales opposes la certification en gnral. La seule certification qui existe aujourdhui est lattestation de conformit la norme britannique BS7799-2 qui na donc pas le caractre dune norme internationale.
1. www.standarmedia.com 2. OASIS : Organisation for the Advancement of Structural Information Standards localisation USA diffrents thmes traits dont PKI, biomtrie et signature lectronique. 3. IETF : Internet Engineering Task Force localisation USA groupe spcialis dans larchitecture et le fonctionnement de lInternet. 4. Source : auditions.

122

La scurit des systmes dinformation

Selon cette source, plus de 1 700 certificats auraient t attribus dont plus de 1 000 des entreprises japonaises, 200 au Royaume-Uni et, semble-t-il un seul en France.
Normes nationales et internationales de scurit des systmes dinformation Situation jusquen 2005 Situation partir de 2006

Exigences
Peut faire lobjet dune certification BS 7799-2 ISO 27 001

Recommandations
Non-certifiable Peut faire lobjet dune valuation BS 7799-1 ISO 17 799 ISO 27 002

Une base industrielle et technologique spcialise en SSI autonome pour rpondre aux enjeux conomiques et de souverainet

123

Recommandations

protger.

Linformation constitue un patrimoine essentiel quil convient de

La protection de cette information est une condition essentielle la prservation de nos entreprises et donc de lemploi. Ltat, au moment o se gnralise la dmatrialisation des procdures, se doit galement dtre exemplaire sur ce sujet. Il en va de la confiance des citoyens. La logique qui soutient le projet de rorganisation du dispositif SSI de ltat sinscrit dans la rflexion sur ltat stratge. Ltat stratge est un architecte de la comptitivit nationale et des nouveaux consensus sociaux induits par la mondialisation. Compte tenu de cette posture, il pilote des stratgies bases sur une meilleure cohrence des institutions publiques et destines produire leurs effets sur le systme dinnovation et lassimilation des mutations permanentes caractristiques du monde contemporain. Les recommandations proposes correspondent une double ambition : renforcer la posture stratgique de ltat en matire de TIC et de SSI ; assurer la mise en uvre oprationnelle des politiques et des dcisions de ltat en matire de SSI.

Six recommandations
La scurit des systmes dinformation, sans laquelle la souverainet nationale seffrite, doit tre considre comme une priorit nationale par les plus hautes autorits de ltat. Pour traduire cette priorit, le prsent rapport prconise 6 axes stratgiques mettre en uvre et une proposition dorganisation.

Recommandations

125

Axe 1 : Sensibiliser et former la scurit des systmes dinformation


Des acteurs non-sensibiliss aux risques lis lusage des technologies de linformation et de la communication et non-forms aux bonnes pratiques reprsentent une source majeure de vulnrabilit des systmes dinformation. Quatre actions prioritaires sont mettre en uvre : Sensibiliser : organiser une grande campagne de communication sinscrivant dans la dure destination de tous, citoyens et entreprises : via les mdias traditionnels, limage des campagnes menes sur la scurit routire, travers des spots de tlvision, des insertions dans la presse crite... ; par la fourniture de CD et de brochures gratuites (en sinspirant par exemple dinitiatives rcentes comme lInternet plus sr, a sapprend ...) ; par lorganisation de journes nationales 1 . Communiquer : mettre en place un portail Internet, vritable centre de ressources pour mettre la disposition des utilisateurs, citoyens et entreprises, des informations dactualit, des guides de bonnes pratiques, des contacts, des logiciels de tests gratuits, des alertes sur les menaces... Former : proposer au systme ducatif, du primaire lenseignement suprieur (universits et grandes coles) et au systme de formation continu, des canevas de formation en SSI conus en relation notamment avec le ministre de lducation nationale et des organismes de formation spcialiss (CFSSI...), dclinables de la sensibilisation de 2 heures la formation diplmante limage de ce qui se met en place pour lintelligence conomique. Informer lutilisateur doutils personnels de communication : linstar du port de la ceinture pour lutilisation dun vhicule automobile, imposer que la documentation utilisateur qui accompagne les produits personnels de communication (ordinateurs personnels, assistants personnels, tlphones, matriels et logiciels de communication utilisant notamment les technologies sensibles telles quInternet, Wifi...) mentionne les risques principaux encourus vis--vis de la protection des informations, les points de vigilance pour lutilisateur et les recommandations types mettre en uvre (exemple : activer un pare-feu, protger et changer rgulirement son mot de passe...).

Axe 2 : Responsabiliser les acteurs


Tous les acteurs qui interviennent dans les systmes dinformation (administration, fournisseurs de solutions de scurit, fournisseurs
1. Voir les actions de la dlgation aux usages de lInternet et de la Finlande.

126

La scurit des systmes dinformation

daccs Internet, socits de services, oprateurs tlcoms, utilisateurs) doivent tre impliqus et responsabiliss. En relation notamment avec les organisations professionnelles et syndicales ainsi que les ministres concerns, cela passera en particulier par : ltablissement obligatoire de chartes lusage des utilisateurs (en particulier lorsquils se dplacent ltranger), annexes au contrat de travail des salaris, y compris de la fonction publique, ou aux rglements intrieurs des entreprises ; la labellisation des entreprises fournisseurs de produits ou services de SSI (infogrance de scurit, fournisseurs de logiciels ou de matriels...) qui respectent un cahier des charges tablir.

Axe 3 : Renforcer la politique de dveloppement de technologies et de produits de SSI et dfinir une politique dachat public en cohrence
La scurisation de ladministration et des entreprises sensibles impose de disposer de produits de scurit matriss, au moins pour des fonctions sensibles. Loffre disponible se rvle notoirement insuffisante. Ltat doit concentrer des investissements sur les technologies et les produits de scurit cls en misant sur quelques acteurs. Cette politique de dveloppement de technologies et de produits de SSI doit contribuer ainsi : au maintien et au dveloppement dune industrie nationale et europenne spcialise, autonome et comptitive capable de dvelopper des produits de scurit au rythme de lvolution des besoins et des menaces ; lexportation auprs de clients soucieux de diversifier leurs fournisseurs ; la cration demplois haute valeur ajoute. Pour ce faire, les actions suivantes seront raliser, notamment en relation avec les entreprises : identifier priodiquement les maillons des systmes dinformation qui exigent des produits qualifis au sens de la DCSSI pour garantir la souverainet de ltat et des entreprises ; tablir et tenir jour un catalogue des produits de scurit nationaux qualifis et des produits europens adapts aux diffrents niveaux de scurit assurer ; enrichir ce catalogue par une politique volontariste de financements publics de R&D, nationale ou en coopration avec nos partenaires europens ; mobiliser les diffrents intervenants (ANR, A2I, fonds europens et les entreprises) pour accrotre leffort de recherche en SSI ; recentrer, mieux coordonner et intensifier les mcanismes daides au dveloppement des PME innovantes dans la SSI ; inciter les grands groupes faire confiance aux PME de SSI, travers notamment le pacte PME ;

Recommandations

127

renforcer la politique de certification et de qualification de produits et services de SSI par une augmentation des produits certifis et qualifis et une rduction des dlais et des cots de certification. accrotre la prsence et linfluence franaise dans les groupes de standardisation et les comits de normalisation ; renforcer les fonds dinvestissement en capital dveloppement. Le dveloppement de technologies et de produits doit saccompagner de la mise en uvre dune politique dachat public de produits et services de SSI, en conformit avec les rgles des marchs publics et les directives europennes, fonde sur le principe dautonomie comptitive, qui sarticulerait autour de trois objectifs complmentaires : garantir la meilleure efficacit conomique des investissements raliss par les ministres pour satisfaire leurs besoins de scurit ; assurer un accs des capacits industrielles et technologiques qui conditionnent la satisfaction long terme de ces besoins ; recourir des acteurs de confiance. Six actions devront tre engages : initier une action interministrielle visant dfinir et organiser une politique dachat commune (dfinition des processus, des critres de choix...) ; former les acheteurs lachat de produits et services de SSI ; identifier et suivre la chane de fournisseurs intervenant sur la SSI : sous-traitants, laboratoires... ; inciter au regroupement de loffre nationale puis europenne via la commande publique, pour faciliter une meilleure structuration du tissu industriel et permettre des PME datteindre la taille critique ; faciliter laccs des PME innovantes de SSI la commande publique ; informer les fournisseurs des programmes venir.

Axe 4 : Rendre accessible la SSI toutes les entreprises


Le manque de maturit et une sensibilisation insuffisante de la plupart des entreprises franaises face aux risques qui psent sur leurs systmes dinformation, alors que les enjeux conomiques notamment en terme demplois sont significatifs, ncessitent la mise en uvre des actions suivantes : inciter les entreprises, en particulier les PME, mettre en place, faire auditer et ventuellement certifier la scurit de leurs systmes dinformation par des organismes habilits, comme cela avait t le cas pour la certification des systmes qualit. Pour ce faire, il est propos la mise en place daides publiques, individuelles et collectives, visant couvrir une partie des frais de conseils engags auprs de prestataires dment labelliss ; crer un centre daide et de conseil, guichet unique pour assister les entreprises ne disposant pas dune exprience mature en SSI et les utilisateurs lorsquils subissent des attaques informatiques ;

128

La scurit des systmes dinformation

diffuser aux PME sous une forme adapte, les informations de veille, dalerte et de rponse disponibles au niveau des CERT nationaux ; initier et animer des forums thmatiques public priv favorisant la circulation dinformations, les retours dexpriences, le partage des bonnes pratiques...

Axe 5 : Accrotre la mobilisation des moyens judiciaires


La spcificit des contentieux lis aux systmes dinformation, la complexit et lampleur croissante des attaques devraient faire lobjet dune reconnaissance plus forte qui pourrait se traduire : par des amnagements lgislatifs, notamment : une aggravation des peines prvues aux articles 323-1 et suivants du code Pnal, dans le prolongement de la loi du 21 juin 2004 pour la confiance dans lconomie numrique ; une volution lgislative introduisant une exception au principe dinterdiction de la rtro-conception (art. L122-6-1 IV du code de la proprit intellectuelle) pour des motifs de scurit.

par une sensibilisation accrue des magistrats et des forces de scurit (douanes, police et gendarmerie) en formation initiale et continue ; par la constitution dun ple judiciaire spcialis et centralis de comptence nationale ; par un renforcement des cooprations internationales visant amliorer la ralisation des enqutes judiciaires hors des frontires.

Axe 6 : Assurer la scurit de ltat et des infrastructures vitales


La prise en compte des impratifs de SSI par les dpartements ministriels et les organismes sous tutelle a t juge trs ingale et globalement insatisfaisante. Les mesures suivantes devraient tre mises en uvre : mettre jour les politiques de scurit des systmes dinformation et les schmas directeurs de chaque ministre et les valider par une autorit centrale ; conseiller en amont les matrises douvrage de ltat pour des projets sensibles et prescrire des dispositions pour la rdaction des consultations (par exemple cartes didentit et dossier mdical personnalis) ; confier une autorit centrale le rle dapprouver formellement le lancement de ces projets sensibles aprs avoir prcis les critres de sensibilit dans des dlais compatibles avec les besoins oprationnels ;

Recommandations

129

identifier les lments constitutifs des systmes dinformation qui doivent imprativement faire appel, pour leur ralisation, des produits qualifis ou des prestataires labelliss ; faire contrler par une autorit centrale lapplication de ces prescriptions par des inspections sur site et des tests dintrusion sans pravis ; pour disposer de spcialistes, mettre en place puis animer une filire SSI transverse dans laquelle la mobilit sera organise, tant lintrieur de la fonction publique quau travers de passerelles avec les entreprises et les centres de recherche ; dfinir les profils de poste des responsables (HFD 1, FSSI, AQSSI...) intgrant des formations spcialises et renforcer leur autorit et leur responsabilit au sein de leur ministre pour dcliner leur niveau la politique gouvernementale ; ils devront tre indpendants des directions des systmes dinformation. Pour ce qui est des oprateurs dinfrastructures vitales : valider la politique de scurit par lautorit centrale ; conduire des inspections et des tests dintrusion. Pour les entreprises sensibles, faire la demande des audits et des tests dintrusion. * * * Il est noter que certaines recommandations du rapport rejoignent les mesures proposes dans le Plan de Renforcement de la Scurit des Systmes dInformation de ltat en 2004. Ces recommandations ont t formules partir des lments recueillis lors des nombreuses auditions qui ont t conduites.

Un impratif : Refondre lorganisation de la SSI de ltat


En complment aux six recommandations, afin damener notre pays un niveau de scurit et dautonomie contrant les menaces, la ncessit simpose : de renforcer laction de ltat et de ses moyens humains et financiers en matire de SSI ; de rationaliser lorganisation des services de ltat ; daccrotre la cohrence des actions des diffrents acteurs.
1. Il est propos dintgrer plus fortement une composante scurit dans les fonctions de HFD.

130

La scurit des systmes dinformation

Le renforcement significatif des missions actuelles de la DCSSI qui en dcoulent, en particulier les plus oprationnelles, amne galement remettre en cause lorganisation mise en place en 1995. Rappel du dispositif principal actuel : SGDN : veiller la cohrence des actions gouvernementales en matire de SSI pour rpondre aux objectifs dfinis par le Premier ministre ; DCSSI : assurer la scurit des systmes dinformation de ltat et crer les conditions dun environnement de confiance ; CISSI : assurer la concertation entre les dpartements ministriels ; ministre de la Dfense : assurer la matrise duvre des produits gouvernementaux de haute scurit ; ministre de lconomie, des Finances et de lIndustrie : assurer lanimation du dveloppement des produits de scurit non-gouvernementaux. Cette organisation ne semble plus adapte aux enjeux actuels. Le nouveau dispositif prsent ne prend pas en compte les directions spcialises comme la DST et la DGSE dont les missions sur la SSI nont pas tre changes. Nanmoins, il sagira de clarifier les rles respectifs des nouvelles structures prsentes ci-aprs avec notamment lADAE et la CNIL. Pour ce qui est de la DGA, partie CELAR, sa spcificit, participer aux grands programmes industriels (porte-avions...), lamne tre moins prsente sur le secteur R&D en SSI. Les engagements budgtaires de ces dernires annes lont montr. Aussi sera-t-il ncessaire de revoir son implication sur ce thme dans la future organisation. Il est propos : de recentrer le dispositif tatique sous lautorit du Premier ministre afin de garantir la mise en uvre des axes stratgiques et dassurer la dimension interministrielle du dispositif (dcider, arbitrer, sanctionner) ; de sparer les fonctions oprationnelles des fonctions dautorit ; de mettre en place, partir des fonctions oprationnelles de la DCSSI renforces, une structure oprationnelle ddie, centralise et rattache au Premier ministre ayant une culture de rsultats pour assurer la mise en uvre dune partie importante des 6 axes. Dans ce schma, les fonctions dautorit resteraient au sein du SGDN et comprendraient titre dexemple les missions suivantes : laborer la politique nationale de SSI pour le compte et sous lautorit du Premier ministre et ses volutions futures ; valider les politiques de SSI de chaque ministre et des organismes sous tutelle ; valuer les rsultats de la structure oprationnelle ; assurer une veille stratgique sur lvolution des risques, des menaces, de la rglementation... ; initier le renforcement de la dimension judiciaire et des actions interministrielles en matire de politique dachat.

Recommandations

131

Les missions de la structure oprationnelle rattache au Premier ministre pourraient tre notamment les suivantes : Informer, sensibiliser, communiquer, veiller linformation et les actions de sensibilisation et de formation de tous les publics (administrations, entreprises, monde acadmique, citoyens...) ; la veille technique et mthodologique : animation dun rseau de veille SSI... la capitalisation et la diffusion des informations technologiques et mthodologiques (fiches techniques, guides, recommandations...) ; les changes dinformation entre les domaines SSI et IE ; la communication (portail, brochures, guides mthodologiques...) ; la promotion de la SSI (sminaires, colloques, prix...). Conseiller, supporter, auditer, inspecter le conseil et le support aux organisations gouvernementales, aux tablissements publics, aux grands rseaux dinfrastructure vitale et aux entreprises sensibles (au sens de lIE) ; lanimation, le conseil, le support et le suivi de lactivit des HFD en ce qui concerne le volet SSI de leurs activits ; le support technique et mthodologique aux services de scurit et de justice ; le premier niveau daccueil PME/PMI (guichet unique daiguillage) ; la promotion de dmarches mthodologiques, darchitectures solides et de plans de raction en cas dincident ; audits et inspections (organisation, continuit dactivit...) et tests dintrusion. Certifier, standardiser et normaliser la responsabilit des plans dactions de standardisation et de normalisation avec un rle actif dans les comits nationaux et internationaux ; la responsabilit de la certification et des actions de labellisation (fournisseurs, produits et services). Alerter et ragir la gestion de crise SSI (supervision et coordination des services, ressources ddies...) en liaison avec les cellules de crise tatiques (COSSI) ; la consolidation des diffrents rseaux dalerte (CERTs) ; la supervision de dispositifs rgionaux dalerte PME/PMI crer et qui pourraient tre hbergs par exemple par les CRCI. Mettre en uvre la politique industrielle et dachats publics la responsabilit des plans dactions didentification, dvaluation et de dveloppement des technologies et de produits sensibles (cryptologie, biomtrie, cls publiques, carte puces...) ; la responsabilit des plans daction de renforcement (financement...) du tissu industriel et des laboratoires de recherche spcialiss en SSI (matriels et services) ; le suivi du respect des impratifs des politiques SSI dans la commande publique (sensibilisation des instances rglementaires la dmarche SSI).

132

La scurit des systmes dinformation

Participer aux relations institutionnelles internationales SSI la gestion des partenariats et des cooprations institutionnelles internationales : coopration europenne, autres agences SSI ltranger, relations SSI avec les entits intervenant dans les domaines de la scurit et de la dfense (OCDE, OTAN...). Assurer la gestion des ressources humaines la gestion de la filire de personnels spcialiss en SSI (FSSI, AQSSI, ASSI), avec notamment la dfinition des profils de postes ; la formation initiale et continue des personnels spcialiss. Enfin, la structure oprationnelle constitue un centre dexpertises et de moyens au service des fonctions dautorit. Constitues autour des quipes de lactuelle DCSSI (environ 110 personnes), les ressources de la structure oprationnelle seraient renforces par des complments de ressources pluridisciplinaires permanentes et des apports dexpertises ponctuelles externes publiques ou prives en fonction des programmes quelle sera amene conduire. titre de rfrence, le BSI allemand disposait en 2004 dun budget de 51 millions deuros (dont 19 millions de budget dtudes et de dveloppement) et de 410 collaborateurs. Afin de pouvoir : grer une relation client/fournisseur base sur la comptence et la qualit, les clients tant les administrations publiques, les collectivits territoriales, les entreprises, les rseaux dinfrastructures, les organismes de recherche et denseignement, et enfin les utilisateurs, attirer des comptences pointues dans des cadres de coopration et de rmunration souples, laborer des contrats de partenariat dans des conditions analogues ceux des entreprises prives ou publiques, type EPIC. la structure oprationnelle pourrait bnficier dun statut de

Enfin, la structure oprationnelle serait, comme le BSI allemand : dote de principe de gouvernance garantissant la confiance, limplication des personnels, la transparence et la neutralit ; mesure sur ses activits, notamment de support, de communication et de formation, selon des critres de performance et de qualit.

Recommandations

133

Annexes

Annexe I

Bibliographie
Sites Web
Franais
Gouvernementaux www.certa.ssi.gouv.fr : site du centre dexpertise gouvernemental de rponse et de traitement des attaques informatiques (CERTA). www.adae.gouv.fr : site de lagence de dveloppement de ladministration lectronique. cfssi@sgdn.pm.gouv.fr et www.formations.ssi.gouv.fr www.club.senat.fr : laboratoire dides du Snat en amont des processus lgislatifs. www.internet.gouv.fr : site ddi laction de ltat et socit de linformation. www.interieur.gouv.fr/rubriques/c/c3_police_nationale/c3312_oclctic : site de la Police nationale (OCLCTIC). www.legifrance.gouv.fr : service public de la diffusion du droit. www.ssi.gouv.fr : site gouvernemental dinformation sur la SSI. www.telecom.gouv.fr : site de la direction gnrale de lindustrie, des technologies de linformation et des postes au ministre en charge de lconomie, des Finances et de lIndustrie (DIGITIP). Autres sites www.adit.fr : site de lagence pour la diffusion de linformation technologique (ADIT). www.afnor.fr : site de lassociation franaise de normalisation (AFNOR). www.clusif.asso.fr : site du club de la scurit des systmes dinformation franais (CSSIF), association qui sest fix lanalyse de la sinistralit dans le monde informatique. www.cnil.fr : site de la commission nationale de linformatique et des liberts (CNIL). www.cigref.fr : site du club informatique des grandes entreprises franaises (CIGEF). www.fing.org : site de la fondation Internet nouvelle gnration (FING). www.foruminternet.org : site du forum des droits sur Internet. www.idc.com ou www.idc.com/france/index.html : sites dIDC, spcialiste du conseil dans le domaine des technologies de linformation. www.journaldunet.com : site du Journal du Net, journal en ligne comportant de nombreuses rubriques ddies la scurit notamment sur Internet et des tmoignages dentreprises et de prestataires.

Annexes

137

www.ladocumentationfrancaise.fr : site de la Documentation franaise. www.osir.org : site de lobservatoire de la scurit des systmes dinformation et des rseaux (OSSIR). www.sg.cnrs.fr : site du Centre national de la recherche scientifique (CNRS) ddi la scurit et la protection du patrimoine scientifique. www.urec.cnrs.fr : site de lUREC/CNRS.

trangers
www.bsi.bund.de : site du Bundesamt fr Sicherheit der Informationstechnik du Gouvernement allemand. www.cert.org : site du Cert Coordination Center, organisation mondiale animant lensemble des CERT nationaux. www.cesg.gov.uk : site du Communications Electronics Security Group, the National Technical Authority for Information Assurance du RoyaumeUni. www.cse.dnd.ca : site du centre de la scurit des tlcommunications du Canada. www.dsd.gov.au : site du Defence Signals Directorate Australian Government Department of Defence. www.enisa.eu.int : site de lEuropean Network and Information Security Agency (ENISA). www.issaireland.org : site de lIrish Information Security Organisation. www.nist.gov : site de lagence amricaine National Institute of Standards and Technology. www.nsa.gov : site de la National Security Agency/Central Security Service des tats-Unis. www.raingod.com/angus/Computing/Internet/spam/index.html : site de spammers Live in Vain, association anglophone ddie la lutte contre les spams. www.securitystats.com : site anglophone cr en avril 2000 afin de disposer de statistiques mondiales sur la scurit informatique. www.sophos.fr/virusinfo/analyses/w32sassera.html http://Webdomino1.oecd.org/COMNET/STI/IccpSecu.nsf?OpenDatabase site de lOCDE ddi la scurit des systmes dinformation. www.xesic.com : certification, normes.

Bibliographie
01 Informatique -01 DSI. Cybersecurity Curricula in European Universities, Gabriel Clairet, Observatoire des sciences et des techniques Fondazione Rosselli, janvier 2003. Politique de scurit des systmes dinformation et sinistralit en France, enqute intersectorielle, Clusif, 2003. Plan Safer Internet Plus , Commission europenne, 2005. Computer Crime and Security Survey, CSI/FBI, 2005. Dynamique de la relation entre direction gnrale et direction des systmes dinformation dans les grandes entreprises franaises, Livre blanc CIGREF/MacKinsey&Company, novembre 2002.

138

La scurit des systmes dinformation

Dynamique des relations autour des systmes dinformation dans les quipes de direction des grandes entreprises franaises, Livre blanc CIGREF/MacKinsey&Company, septembre 2004. Futuris et conseil stratgique des technologies de linformation, Groupement franais de lindustrie de linformation, octobre 2003. Guide de larchivage lectronique scuris, juillet 2000. Guide de sensibilisation la scurisation des systmes dinformation et du patrimoine informationnel de lentreprise, Medef, mai 2005. Direction de linnovation et de la recherche, Medef, mai 2005. Guide de la scurit des systmes dinformation lusage des directeurs, CNRS, 2e trimestre 1999. Western European security software forecast and competitive vendors shares, 2003-2008, IDC, 2003. March franais de la scurit des systmes dinformation (entreprises) tat de loffre et de la demande, IDC, 2005. Intelligence conomique et stratgique. Les systmes dinformation au cur de la dmarche, CIREF, mars 2003. Intelligence conomique applique la direction des systmes dinformation, CIGREF, mars 2005. Intelligence juridique et systmes dinformation, CIGREF, septembre 2004. Intimit et scurit, les clefs de la confiance dans lconomie numrique, club Snat.fr, juin 2004. Lagence conomique et financire (AGEFI). La scurit lheure dInternet, Rapport du CIGREF, octobre 2000. La scurit des systmes dinformation dans les entreprises franaises en 2004, vision compare de la France et du monde, Ernst&Young, dcembre 2004. Le Monde Informatique. Ltat stratge les organes, les outils et les pratiques au sein de la sphre publique : de la gestion la gouvernance, CEPS, octobre 2005. Les priorits des responsables scurit en 2005, Cahier thmatique, CSO, avril 2005. Les chos. Internet Secutiy System (ISS) sur la scurit des systmes dinformation, Livre blanc, IDC France, avril 2005. Mission pour lconomie numrique tableau de bord du commerce lectronique de dcembre 2004, 6e dition, Services des tudes et des statistiques industrielles (SESSI), Ministre dlgu lIndustrie. Plan de renforcement de la scurit des systmes dinformation de ltat (2004-2007), 10 mars 2004. Politique industrielle : les outils dune nouvelle stratgie, Bernard Carayon Dput, Assemble nationale, mai 2005. Politique de rfrencement intersectorielle de scurit (PRIS) ADAE et SGDN-DCSSI version 2.0 du 1er juin 2005. Pour une stratgie de scurit conomique nationale, Bernard Carayon Dput, Assemble nationale, juin 2004. Pour un management stratgique des cyber-risques, Herv Schauer, Livre blanc des assises de la scurit, octobre 2004. Quelle scurit aprs le 11 mars ?, SERENDIP, septembre 2004.

Annexes

139

Rapport sur la scurit des rseaux, Club Snat.fr, 2005. Internet Security Threat Report, socit Symantec, septembre 2006. Thierry Dassault, Les espaces de confiance in Dfense Nationale, no 11, novembre 2005. Scurit des rseaux et de linformation : proposition pour une approche politique europenne, Communication de la commission au Conseil, au Parlement europen, au comit conomique et social et au comit des rgions, 2001. Scurit des systmes dinformation. Quelle politique globale de gestion des risques ?, CIGREF, septembre 2002. Veille stratgique. Organiser la veille sur les nouvelles technologies de linformation, CIGREF, septembre 1998. Synthse des besoins de scurit et analyse des risques, tude OPPIDA pour le compte du Minefi/DIGITIP, septembre 2002.

140

La scurit des systmes dinformation

Annexe II

Liste des entretiens


Premier ministre
Secrtariat gnral de la Dfense nationale Monsieur Francis Delon, secrtaire gnral Monsieur Alain Juillet, haut responsable charg de lIntelligence conomique Direction centrale de la scurit des systmes dinformation Monsieur Henri Serres, vice-prsident du CGTI, ancien directeur Monsieur Patrick Pailloux, directeur Monsieur le gnral de division Jean Novacq, directeur adjoint Sous-direction scientifique et technique Monsieur Florent Chabaud, sous-directeur Centre de certification Monsieur Pascal Chour

Ministre de lIntrieur et de lAmnagement du territoire


Direction de la Dfense et de la Scurit civile HFD/FSD/FSSI Monsieur Alain Waquet, prfet, haut fonctionnaire de Dfense adjoint Monsieur Stphane Guillerm, conseiller technique auprs du HFD adjoint, fonctionnaire de scurit des systmes dinformation adjoint Direction des systmes dinformation et de communication Secrtariat gnral Monsieur Jean-Claude Jeanneret, ingnieur gnral des tlcommunications, directeur adjoint Monsieur Reynald Bouy, ingnieur en chef des tlcommunications, sous-directeur de lIngnierie, de lquipement et de lExploitation Direction centrale de la Police judiciaire Monsieur Christian Aghroum, commissaire principal, chef du service interministriel dassistance technique Madame Marie Lajus, commissaire principal, adjointe au chef de lOCLCTIC Direction de la surveillance du territoire Monsieur Pierre de Bousquet de Florian, prfet, directeur

Annexes

141

Sous-direction des services techniques et des moyens informatiques Monsieur Michel Guerin, contrleur gnral, sous-directeur Monsieur Stphane Tijardovic, commissaire divisionnaire, chef de division

Ministre de la Dfense
tat-major des Armes Monsieur Le gnral darme Henri Bentegeat, chef dtat-major Direction gnrale de la scurit extrieure Monsieur Pierre Brochand, directeur Monsieur le gnral Mathian, directeur technique Gendarmerie nationale Direction gnrale de la Gendarmerie nationale Monsieur le gnral Christian Brachet, sous-directeur des tlcommunications et informatique

Ministre des Affaires trangres


Cabinet du ministre Monsieur Frdric Dore, directeur adjoint Monsieur Philippe Guelluy, ambassadeur de France en Chine Monsieur Jean-Paul Dumont, haut fonctionnaire de Dfense Service des systmes dinformation et de communication Monsieur Francis tienne, chef du service Monsieur Jean Cueugniet, sous-directeur, adjoint au chef de service Direction technique Monsieur Denys Tillet

Ministre de lconomie, des Finances et de lIndustrie


Monsieur Didier Lallemand, haut fonctionnaire de Dfense Direction des Affaires juridiques Monsieur Jrme Grand dEsnon, directeur

Ministre dlgu au Budget et la Rforme de ltat


Agence pour le dveloppement de ladministration lectronique (ADAE) Monsieur Jacques Sauret, directeur Ministre dlgu lIndustrie Monsieur Franois Loos, ministre dlgu Monsieur Arnaud Lucaussy, conseiller technique

142

La scurit des systmes dinformation

Service des technologies et de la socit de linformation Sous-direction rseaux, multimdia et communication en ligne Madame Mireille Campana, ingnieur gnral des tlcommunications, sous-directrice

Ministre des Transports, de lquipement, du Tourisme et de la Mer


Monsieur Serge Philibeau, HFD/FSSI, chef de la mission SSI

Ministre de la Sant et des Solidarits


Monsieur Grard Dumont, haut fonctionnaire de Dfense

Ministre dlgu la Recherche et lEnseignement suprieur


Direction de lEnseignement suprieur Monsieur Jean-Marc Monteil, directeur Madame Isabelle Morel, FSSI Dlgation aux usages de lInternet Monsieur Benot Sillard

Autorits administratives
AMF Direction gestion interne et ressources humaines Madame Florence Roussel, secrtaire gnrale adjointe Service des systmes dinformation Monsieur Franois Paysant, chef du service CNIL Monsieur Christophe Pallez, secrtaire gnral Direction de lexpertise informatique et des contrles Monsieur Jean-Luc Bernard, expert informaticien Forum des droits sur Internet Madame Isabelle Falque-Pierrotin, prsidente

Grandes entreprises
Aroports de Paris Direction de la Sret Monsieur Jean-Louis Blanchou, prfet, directeur Direction de linformatique et tlcommunications Monsieur Jean Verdier, directeur Monsieur Guy-Pierre Rodriguez, responsable ple infrastructures et architectures techniques Direction de la Stratgie Monsieur Jean-Pierre Roche, manager des risques Monsieur Jacques Demeuzoy, responsable scurit systmes informatiques

Annexes

143

Air France Direction gnrale des systmes dinformation Monsieur Jean-Christophe Lalanne, directeur stratgie, architecture, technologie, scurit Monsieur Bruno Chambrelent, responsable de la scurit des systmes dinformation AFNOR Monsieur Pascal Poupet, chef du dpartement transports, nergies et communications AXA Monsieur Pascal Buffard, directeur AXA France services AXALTO Monsieur Laurent Vieille, VP Business dveloppement Monsieur Philippe Bouchet, responsable scurit Monsieur Pierre Franois, business manager governement Banque de France Monsieur George Peiffer, adjoint au secrtaire gnral, directeur de lorganisation informatique Direction de la prvention des risques Monsieur Jean-Pierre Delmas, responsable de la scurit de linformation CDC Monsieur Jean-Jacques Delaporte, directeur gnral informatique Monsieur Serge Bergamelli, responsable du dpartement des quipements numriques des territoires et du programme FAST CISCO Monsieur Alain Fiocco, directeur Europe stratgie technologique Monsieur Olivier Esper, responsable affaires publiques Crdit Agricole Monsieur Robert Zeitouni, responsable du ple scurit et continuit dactivit EADS Monsieur J.P. Quemard, directeur de la scurit DCS/EADS Monsieur I. Lahoud, directeur scientifique CCR/EADS Monsieur Jean-Pierre Philippe, secrtaire gnral marketing/international/stratgie EDF Madame Dominique Spinosi, directrice de la scurit Monsieur Renaud de Barbuat, directeur des systmes dinformation France Tlcom Monsieur Philippe Duluc, directeur de la scurit, direction de la scurit de linformation Groupement des cartes bancaires Monsieur Yves Randoux, administrateur

144

La scurit des systmes dinformation

IBM Monsieur Jean Grevet, IGS/Responsable scurit et Risk management KEYNECTIS Monsieur Thierry Dassault, prsident Monsieur Pascal Colin, directeur gnral La Poste Direction de la qualit et de la scurit du groupe Service de la sret du groupe Monsieur Eric Le Grand, directeur scurit du groupe Monsieur Herv Molina, superviseur de laudit informatique Michelin Monsieur Jean-Pierre Vuillerme, directeur des services environnement et prvention du groupe Microsoft Monsieur Bernard Ourghanlian, directeur technique et scurit Monsieur Stphane Senacq, responsable affaires publiques et relations institutionnelles OSEO BDPME Monsieur Xavier de Broca, directeur de lorganisation et des systmes dinformation FIEEC Monsieur Pierre Gattaz, vice-prsident, prsident de Radiall RIM Monsieur Don Morrison, directeur gnral des oprations de RIM Monsieur Pierre Bury, directeur des relations avec le secteur public en Europe Madame Valrie Wang, ingnieur Sagem Dfense Scurit Groupe Safran Division scurit Monsieur Jean-Paul Jainsky, directeur gnral adjoint, directeur de la division scurit Dpartement systmes dinformation et de commandement aroterrestre Division optronique et systmes aroterrestres Monsieur Laurent Dupas, directeur Monsieur le gnral Patrice Sartre, conseiller militaire Terre SNCF Direction des finances, des achats et des systmes dinformation et de tlcommunication Monsieur Michel Baudy, directeur des systmes dinformation et tlcommunication

Annexes

145

Suez Monsieur Jean-Michel Binard, directeur des systmes dinformation Monsieur Henry Masson, directeur central risques, organisation et services centraux Monsieur Rgis Poincelet, directeur dpartement scurit groupe Thales Monsieur Dominique Vernay, directeur de la recherche Monsieur Jacques Bidaut, direction scurit groupe, scurit des systmes dinformation Monsieur Marko Erman, directeur de la recherche et de la technologie, systme terre et interarmes Monsieur Jacques Delphis, directeur des relations extrieures et institutionnelles Total Monsieur Philippe Chalon, directeur des systmes dinformation et tlcommunication Monsieur Christophe Cevasco, charg des relations avec le Parlement et les lus

PME
Arkoon Monsieur Thierry Rouquet, prsident Ercom Monsieur Jean Lacroix, prsident Everbee Networks Monsieur Patrick de Roquemaurel, prsident Ideal X Monsieur Olivier Guilbert, prsident-directeur gnral NETASQ Monsieur Jean-Pierre Tomaszek, directeur gnral LSTI Madame Armelle Trotin, prsidente OPPIDA Monsieur Olivier Mary, directeur technique SISTECH Monsieur Roger Simon, prsident-directeur gnral Monsieur Jrme Chappe, directeur gnral

Fonds dinvestissement
ACE Management Monsieur Thierry Letailleur, managing partner Alven Capital Monsieur Charles Letourneur, partner

146

La scurit des systmes dinformation

Ventech Monsieur Eric Huet, general partner Iris Capital Monsieur Pierre de Fouquet, managing partner

coles/instituts
cole Polytechnique Monsieur Maurice Robin, directeur de la recherche ENST Bretagne Monsieur Gilles Martineau, directeur dtudes, dlgu du directeur, responsable du campus ENST Bretagne Rennes EPITECH Monsieur Sbastien Benot, professeur, responsable Intranet/site Web EPITECH INRIA Monsieur Claude Kirchner, directeur de recherche, responsable du projet Protho Monsieur Laurent Kott, executive advisor INRIA Transfert INT Monsieur Jean-Louis Ermine, professeur, directeur du dpartement des systmes dinformation SUPELEC Monsieur Alain Bravo, directeur gnral

Associations/organisations professionnelles
Comit richelieu Monsieur Buselli, prsident Monsieur Emmanuel Leprince, dlgu gnral CIGREF Monsieur Jean-Franois Pepin, dlgu gnral Monsieur Ludovic tienne, charg de mission Monsieur Stphane Rouhier, charg de mission Madame Sophie Bouteiller, charge de mission Monsieur Janick Taillandier, RATP, dpartement ses systmes dinformation et de tlcommunication, directeur du dpartement Monsieur Franois Blanc, VALEO, directeur des systmes dinformation Monsieur Zbigniew Kotur, NEXANS, responsable de la scurit CLUSIF Monsieur Pascal Lointier, dlgu gnral FEDERATION SYNTEC Monsieur Bruno Carrias, dlgu gnral

Annexes

147

MEDEF Madame Catherine Gabay, directrice innovation, recherche, nouvelles technologies

Droit
Monsieur David Benichou, magistrat Monsieur Jean-Louis Bruguire, magistrat Monsieur Alain Bensoussan, avocat la Cour

tranger
Responsables/BSI

148

La scurit des systmes dinformation

Annexe III

Glossaire
Technique (source DCSSI)
Agent de scurit : Il a pour mission dappliquer les mesures de scurit aux documents classifis trs secret et den assurer la gestion. Il est dsign par le chef de lorganisme o est implante lantenne ; ses missions ne doivent pas tre confondues avec celles qui sont dvolues lagent de scurit dans une entreprise titulaire dun march class de Dfense qui est dsign par le responsable de lentreprise aprs agrment de lAdministration ayant contract le march. Agrment : Reconnaissance formelle que le produit ou systme valu peut protger des informations jusqu un niveau spcifi dans les conditions demploi dfinies. Agrment dun laboratoire : Reconnaissance formelle quun laboratoire possde la comptence pour effectuer des valuations dun produit ou dun systme par rapport des critres dvaluation dfinis. Analyse cryptologique : tude des moyens de chiffrement pour en dceler et mettre en vidence les faiblesses de conception ou les fautes ventuelles dutilisation. Architecture fonctionnelle : Dcrit les objets du systme essentiel : traitements, donnes, contrles. Larchitecture fonctionnelle constitue le premier niveau niveau conceptuel dans le cycle dabstraction de la conception. Architecture technique : Dcrit les ressources ncessaires au systme de traitement de linformation : transformation, mmorisation/acquisition/visualisation, communication. Larchitecture technique constitue le deuxime niveau niveau logique dans le cycle dabstraction de la conception. Archivage : Ds quils ne font plus lobjet dune utilisation habituelle, les documents classifis prsentant un intrt administratif et historique doivent tre verss aux dpts darchives suivants : soit les services historiques des armes pour le dpartement ministriel de la Dfense et les services rattachs, soit les archives du ministre des Relations extrieures, pour ce qui les concerne, soit la direction des Archives de France Archives Nationales pour toutes les administrations et organismes civils grant des archives publiques, ces services tant seuls quips, en effet, pour recevoir des documents classifis, jusquau niveau Secret Dfense inclus...

Annexes

149

Assurance : Proprit dune cible dvaluation permettant de sassurer que ses fonctions de scurit respectent la politique de scurit de lvaluation. Attributs de scurit : Informations (telles que lidentit, le niveau dhabilitation, le besoin den connatre, etc.) relatives un utilisateur autoris, permettant dtablir ses droits et privilges. Attestation de reconnaissance de responsabilit : Elle a pour objet de faire prendre conscience au titulaire dune dcision dadmission ou dagrment des responsabilits particulires qui viennent sajouter ses responsabilits administratives du fait de lautorisation daccs aux informations classifies. Il est ncessaire, en raison de la gravit des infractions en matire de protection des informations classifies, sanctionnes par les dispositions du code pnal, que le titulaire de la dcision dadmission en soit inform au pralable. Audit : Examen mthodique dune situation relative un produit, un processus, une organisation, ralis en coopration avec les intresss en vue de vrifier la conformit de cette situation aux dispositions prtablies, et ladquation de ces dernires lobjectif recherch. [dfinition ISO, daprs la norme AFNOR Z61-102] Audit dagrment : Examen mthodique et indpendant en vue de dterminer si les activits et rsultats relatifs lagrment satisfont aux dispositions prtablies, si ces dispositions sont mises en uvre de faon efficace et si elles sont aptes atteindre les objectifs. Auditabilit : Garantir une matrise complte et permanente sur le systme et en particulier pouvoir retracer tous les vnements au cours dune certaine priode. Audit : Il sagit dune personne physique ou dun groupe de personnes ayant en charge le systme soumis audit. Il assure les deux fonctions suivantes : responsable du systme, responsable de la scurit du systme. Il est linterlocuteur privilgi de lauditeur. Auditeur : Cest lintervenant (personne seule ou groupe dindividus) responsable de la mission daudit. Authenticit : Fait de ne pas permettre, par la voie de modifications autorises, une perte du caractre complet et juste de linformation. Authentification/identification : Lauthentification a pour but de vrifier lidentit dont une entit se rclame. Gnralement lauthentification est prcde dune identification qui permet cette entit de se faire reconnatre du systme par un lment dont on la dot. En rsum, sidentifier cest communiquer son identit, sauthentifier cest apporter la preuve de son identit. Autorit de certification (AC) : Tierce partie de confiance pour la gnration, la signature et la publication des certificats de cls publiques. Autorit fonctionnelle : Autorit responsable du point ou du rseau sensible et habilite traiter sur le plan territorial avec les pouvoirs publics, de tous les problmes concernant la prparation et la mise en uvre des mesures de scurit.

150

La scurit des systmes dinformation

Autorit de scurit (AS) : Entit responsable de la dfinition, de limplmentation et de la mise en uvre dune politique de scurit. Besoin de scurit : Expression a priori des niveaux requis de disponibilit, dintgrit et de confidentialit associs aux informations, fonctions ou sous-fonctions tudies. Besoins de scurit : Dfinition prcise et non-ambigu des niveaux de confidentialit, dintgrit et de disponibilit quil convient dassurer une information. Biens sensibles : lments du systme quil est indispensable de protger pour satisfaire les objectifs de scurit. Ils sont identifis par une analyse propre chaque systme, qui prend en compte en particulier les conditions denvironnement et les menaces auxquelles celui-ci est soumis. Les rsultats de cette analyse sont consigns dans le dossier de scurit et doivent prciser si les biens sensibles font lobjet dune classification. Dans le cas prsent, les biens sensibles incluent au minimum les donnes denregistrement. Bi-cl : Couple cl publique, cl prive (utilises dans des algorithmes de cryptographie asymtriques). Certificat : Dclaration formelle confirmant les rsultats dune valuation, et le fait que les critres dvaluation ont t correctement utiliss. Chiffrement : Transformation cryptographique de donnes produisant un cryptogramme. [ISO 7498-2] Chiffrement de bout en bout : Chiffrement de donnes lintrieur ou au niveau du systme extrmit source, le dchiffrement correspondant ne se produisant qu lintrieur, ou au niveau du systme extrmit de destination. [ISO 7498-2] Chiffrement de liaison : Application particulire du chiffrement chaque liaison du systme. Le chiffrement de liaison implique que les donnes soient du texte en clair dans les entits relais. [ISO 7498-2] Cible dtude : Systme dinformation ou partie de celui-ci qui est soumis ltude de scurit EBIOS. Cible de scurit : Spcification de la scurit qui est exige dune cible dvaluation et qui sert de base pour lvaluation. La cible de scurit doit spcifier les fonctions ddies la scurit de la cible dvaluation. Elle spcifiera aussi les objectifs de scurit, les menaces qui psent sur ces objectifs ainsi que les mcanismes de scurit particuliers qui seront employs. [ITSEC] Cible dvaluation : Systme dinformation ou produit qui est soumis une valuation de la scurit. [ITSEC] Cl de base : Cl utilise pour chiffrer/dchiffrer les cls de trafic transmises sur le rseau ou mmorises dans les moyens de cryptophonie. Cl de chiffrement : Srie de symboles commandant les oprations de chiffrement et de dchiffrement. [ISO 7498-2]

Annexes

151

Cl de session : Cl dont la validit dure le temps dune session. Cl publique : Cl librement publiable et ncessaire la mise en uvre dun moyen ou dune prestation de cryptologie pour des oprations de chiffrement ou de vrification de signature. Ainsi, une cl publique est une cl mathmatique qui peut tre rendue publique et dont lusage est de vrifier les signatures lectroniques ralises par la cl prive associe. Cl publique : Un systme cl publique (ou asymtrique) utilise deux cls, une cl secrte et une cl publique ayant la proprit suivante : la cl publique tant dvoile, il est impossible de retrouver par calcul la cl secrte. Cl prive : Une cl prive est associe une cl publique pour former une bi-cl. Elle est garde secrte par son dtenteur. Son usage est de signer lectroniquement des donnes et de dchiffrer celles chiffres par la cl publique associe. Cl secrte : Cl volontairement non-publie ncessaire la mise en uvre dun moyen ou dune prestation de cryptologie pour des oprations de chiffrement ou de dchiffrement. Client : Entit demandant un service. Client-Serveur : Communication mettant en relation un client et un serveur. Client Scuris ou Serveur Scuris : Client ou serveur ayant besoin des services de scurit. Condensat : Chane de caractres produite par une fonction de hachage [ISO 10118-1]. Confidentialit : Proprit dune information qui nest ni disponible, ni divulgue aux personnes, entits ou processus non-autoriss. [ISO 7498-2] Confidentiel Dfense : Cette mention est rserve aux informations qui ne prsentent pas en elles-mmes un caractre secret mais dont la connaissance, la runion ou lexploitation peuvent conduire la divulgation dun secret intressant la Dfense nationale et la sret de ltat. [article 5 du dcret no 81-514 du 12 mai 1981 relatif lorganisation de la protection des secrets et des informations concernant la Dfense Nationale et la sret de ltat]. Contexte de scurit : Ensemble des lments ncessaires pour assurer les services de scurit. Cryptogramme : Donnes obtenues par lutilisation du chiffrement. Le contenu smantique des donnes rsultantes nest pas comprhensible. [ISO 7498-2] Cryptographie : Discipline incluant les principes, moyens et mthodes de transformation des donnes, dans le but de cacher leur contenu, dempcher que leur contenu ne passe inaperu et/ou dempcher leur utilisation non-autorise [ISO 7498-2]. Il existe deux types de cryptographie : la cryptographie symtrique dite cl secrte et la cryptographie asymtrique dite cl publique

152

La scurit des systmes dinformation

Cryptopriode : Priode de temps pendant laquelle les cls dun systme restent inchanges. Dchiffrement : Opration inverse dun chiffrement rversible. [ISO 7498-2] Dcryptement : Vise rtablir, en utilisant les rsultats de lanalyse cryptologique, le libell clair des informations chiffres, sans en possder la cl. Distribution : Dlivrance par une autorit de distribution aux parties communicantes des cls mettre en uvre pour chiffrer ou dchiffrer des informations, y compris, le cas chant, des lments propres dautres abonns. Domaine : Ensemble des ressources et entits sur lesquelles sapplique une mme politique de scurit, cet ensemble tant administr par une autorit unique. Donne : Reprsentation dune information sous une forme conventionnelle destine faciliter son traitement. Entit : Individu utilisateur, processus ou serveur scuris. Entit sujet : lment du modle fonctionnel dun service de scurit qui dsigne lacteur ou le bnficiaire principal de ce service (par exemple un individu vis--vis du service dauthentification ou de contrle daccs). Entit objet : lment du modle fonctionnel dun service de scurit qui dsigne la cible ou le bnficiaire de ce service (par exemple une ressource ou une information vis--vis du service de contrle daccs). Entit fonctionnelle : lment du modle fonctionnel dun service de scurit qui dsigne une entit considre du point de vue de son comportement, indpendamment de sa ralit physique ou technique. valuation : Estimation de la scurit dun produit ou dun systme par rapport des critres dvaluation dfinis. Fonction de hachage : Fonction qui transforme une chane de caractres en une chane de caractres de taille infrieure et fixe. Cette fonction satisfait deux proprits : il est difficile pour une image de la fonction de calculer lantcdent associ ; il est difficile pour un antcdent de la fonction de calculer un antcdent diffrent ayant la mme image. Fonction de scurit : Mesure technique, susceptible de satisfaire un objectif de scurit. Fonction de service : Action attendue dun produit (ou ralise par lui) pour rpondre un lment du besoin dun utilisateur donn (source NF X 50-150). Le terme utilisateur dsigne ici des personnes ou des entits fonctionnelles du systme. Homologation : Autorisation dutiliser, dans un but prcis ou dans des conditions prvues, un produit ou un systme (en anglais : accreditation). Cest lautorit responsable de la mise en uvre du produit ou du systme qui dlivre cette autorisation, conformment la rglementation en vigueur.

Annexes

153

Infrastructure cls publiques (ICP) : galement appele PKI (Public Key Infrastructure) en anglais. Ensemble de moyens techniques, humains, documentaires et contractuels mis la disposition dutilisateurs pour assurer, avec des systmes de cryptographie asymtrique, un environnement scuris aux changes lectroniques. Identification : Procd permettant de reconnatre un utilisateur de manire sre par la rcupration de donnes qui lui sont propres. Information : lment de connaissance susceptible dtre reprsent laide de conventions pour tre conserv, trait ou communiqu. Renseignement ou lment de connaissance susceptible dtre reprsent sous une forme adapte une communication, un enregistrement ou un traitement. Intgrit : Garantie que le systme et linformation traite ne sont modifis que par une action volontaire et lgitime. Lorsque linformation est change, lintgrit stend lauthentification du message, cest--dire la garantie de son origine et de sa destination. [ISO 7498-2] Mcanisme de scurit : Logique ou algorithme qui implmente par matriel ou logiciel une fonction particulire ddie la scurit ou contribuant la scurit. [ITSEC] Politique de scurit : Ensemble des critres permettant de fournir des services de scurit. [ISO 7498-2] Politique de scurit technique : Ensemble des lois, rgles et pratiques qui rgissent le traitement des informations sensibles et lutilisation des ressources par le matriel et le logiciel dun systme dinformation ou dun produit. [ITSEC] Rpudiation : Fait de nier avoir particip des changes, totalement ou en partie. Rvocation : Annonce quune cl prive a perdu son intgrit. Le certificat de la cl publique correspondante ne doit plus tre utilis. Service : Regroupement cohrent de fonctions de service visant rpondre un lment du besoin dun utilisateur ou dentits fonctionnelles du systme. Sauf prcision contraire, dans le prsent document, le terme service dsigne un regroupement de fonctions de scurit ou de fonctions assurant le support de celles-ci. Session : Une session reprsente lintervalle de temps entre le dbut dun change ou dune communication et sa fin. Systme dinformation : Tout moyen dont le fonctionnement fait appel llectricit et qui est destin laborer, traiter, stocker, acheminer, prsenter ou dtruire linformation. Systme informatique : Ensemble form par un ordinateur et les diffrents lments qui lui sont rattachs. Ceci concerne les matriels et les logiciels.

154

La scurit des systmes dinformation

Organismes
ADAE : Agence pour le dveloppement de ladministration lectronique. BRCI : Brigade centrale de la rpression de la criminalit informatique. CCSDN : Commission consultative du secret de la Dfense nationale. CEMA : Chef dtat-Major des Armes. CEMAA : Chef dtat-Major de larme de lair. CEMAT : Chef dtat-Major de larme de terre. CMM : Chef dtat-Major de la marine. CERT-RENATER : centre dalerte et de rponse aux attaques informatiques ddi aux membres de la communaut GIP-RENATER Rseau national de tlcommunication pour la Technologie, lEnseignement et la Recherche. CERTA : Centre dexpertise gouvernemental de rponse et de traitement des attaques informatises reli au DCSSI. CESTI : Centres dvaluation de la scurit des technologies de linformation reconnus par la DCSSI. CFSSI : Centre de formation la scurit des systmes dinformation. CIGREF : Club informatique des grandes entreprises franaises. CIRT-IST : CERT priv ralis par Alcatel, le CNES, Total et France Tlcom. CISI : Comit interministriel pour la socit de linformation. CISSI : Commission interministrielle pour la scurit des systmes dinformation. CLUSIF : Club de la scurit informatique des systmes dinformation franais. CNIL : Commission nationale informatique et liberts. CNIS : Commission nationale de contrle des interceptions de scurit. COSSI : Centre oprationnel de la scurit des systmes dinformation. DCSSI : Direction centrale de la scurit des systmes dinformation. DGA : Dlgation gnrale pour larmement. DGGN : Direction gnrale de la gendarmerie nationale. DGSE : Direction gnrale de la scurit extrieure. DPSD : Direction de la protection et de la scurit de la dfense. DST : Direction de la surveillance du territoire. DSTI : Direction des systmes terrestres et dinformation. INHES : Institut national des hautes tudes de scurit (ex IHESI).

Annexes

155

INPS : Institut national de police scientifique. OCLCTIC : Office central de lutte contre la criminalit lie aux technologies de linformation et de la communication. OPVAR : Organisation permanente de veille alerte rponse. OSSIR : Observatoire de la scurit des systmes dinformation & des rseaux. PAGSI : Programme daction gouvernemental pour lentre de la France dans la socit de linformation. RECIF : Recherches et tudes sur la criminalit informatique franaise. STSI : Service des technologies et de la socit de linformation (Minefi/ DGE). SEFTI : Service denqute des fraudes aux technologies de linformation. SGA : Secrtariat gnral pour ladministration. SGDN : Secrtariat gnral de la Dfense nationale.

156

La scurit des systmes dinformation

Schma de principe des systmes dinformation

Annexes

Annexe IV

Considrations techniques non exhaustives

Le WEP et le WPA sont deux des mthodes de cryptage du trafic sans fil entre clients et point daccs sans fil.

Un VPN est un tunnel de communication chiffr entre deux points.

DMZ ou zone dmilitaris est un espace intermdiaire scuris entre le rseau extrieur et intrieur.

Serveur LDAP : annuaire dentreprise scuris permettant de grer les autorisations daccs

SSO : permet un utilisateur daccder des services en ne devant sidentifier quune seule et unique fois via LDAP

IDS : systme combinant logiciel et matriel, qui permet de dtecter en temps rel les tentatives dintrusion sur un rseau interne

LAN : rseau interne dune entreprise

Extranet : rseau informatique tendu la communication avec des filiales ou partenaires

157

Intranet : rseau strictement local et priv qui utilise les technologies de lInternet : web, e-mail, non ouvert aux connexions publiques

Serveur : ordinateur grant laccs aux ressources et aux priphriques et les connexions des diffrents utilisateurs : un serveur de fichiers prpare la place mmoire pour des fichiers ; un serveur dimpression gre et excute les sorties sur imprimantes du rseau un serveur dapllications rend disponible sur son disque dur des programmes partags .

DNS : permet deffectuer la corrlation ebntre les adresses IP (82.64.52.31) et le nom de domaine associ (xxx.gouv.fr)

Annexe V

Sensibilit de linformation : exemples de la DCSSI et de lAFNOR


Classifier linformation
La recommandation N 901 de la DCSSI sattache quant elle distinguer 2 niveaux dinformations pour tout ce qui concerne les informations non-classifies dfense : Les informations sensibles, qui englobent tous les documents dont la consultation ou la communication mettrait en cause la responsabilit pnale du propritaire ou du dpositaire, ou causerait un prjudice eux-mmes ou des tiers matrialiss par : les informations numres larticle 6 de la loi no 78-753 du 17 juillet 1978, modifie par la loi 2000-321 du 12 avril 2000 ; les informations qui ne prsentent pas un caractre de secret, mais qui restent soumises lobligation de rserve ou de discrtion professionnelle ; les informations constitutives du patrimoine scientifique, industriel et technologique ; Les informations vitales pour le fonctionnement dun systme. Le traitement des donnes par un systme ncessite la mise en uvre dune suite dactions lmentaires internes dont lassociation assure les fonctionnalits du systme dinformation. Ainsi, un site Internet est un ensemble de documents (fichiers. php, fichiers. sql qui sont interprts par le serveur ou le navigateur et permettent dafficher une page Web). Laccs certains de ces documents mal protgs (droits tendus sur un fichier config. php par exemple) permet dobtenir rapidement un contrle total sur un site internet.
o

La classification des informations selon lAFNOR


Les informations sont le plus souvent consignes dans des documents papier ou numriss. Toutefois, des objets (maquettes, prototypes, machines...), des installations, des procds, des techniques, des mthodes commerciales, des organisations, des projets de publicit, le

Annexes

159

savoir-faire de lentreprise, etc., sont dautant dindications qui constituent des informations. Aussi, une dmarche de protection de linformation commencera par lidentification des informations, quelles que soient leur forme, dont la confidentialit doit tre protge, en raison : des avantages que leur divulgation procurerait la concurrence ou aux partenaires ; des exigences lgales et rglementaires encadrant ces informations. Cest aussi lanalyse de risques qui permet de dterminer le nombre de niveaux de protection ncessaire chaque structure.

Niveau Prjudice potentiel

3 : secret Prjudice inacceptable Squelles trs graves et durables

2 : confidentiel Prjudice grave

1 : diffusion contrle Prjudice faible

Squelles compromet- Perturbations ponctant laction court et tuelles moyen terme Des risques sont pris en connaissance de cause La frquence et le cot du prjudice potentiel dterminent les mesures prises

Risques tolrs Protection

Aucun risque mme r- Des risques trs limisiduel nest acceptable ts peuvent tre pris Recherche dune protection maximale Prise en compte de la notion de probabilit doccurrence

Recommandations
Une attente particulire est apporte aux possibilits de compilation ou de croisement des donnes. En effet, la consolidation de donnes, a priori peu sensibles lorsquelles sont prises sparment, peut constituer une information confidentielle. Afin dassurer un niveau de protection homogne et juste ncessaire ni trop, ni pas assez il est recommand de dsigner explicitement les personnes responsables de la classification des informations 1, de leur fournir un vade-mecum pour les aider dans cette mission et dactualiser rgulirement ce document.

1. Lattribution de cette responsabilit variera suivant la taille de lentreprise, son organisation, lorigine, la forme ou la finalit des informations, etc. Par exemple, dans des structures de taille importante, un responsable dans chaque secteur dactivit peut tre en charge de la classification et de lapplication des mesures de protection, dans dautres, chaque personne lorigine dune information est responsable de sa protection.

160

La scurit des systmes dinformation

Annexe VI

Profils dtaills des attaquants de systmes dinformation


Les scripts kiddies
Script kiddie est un terme familier dsignant les pirates informatiques nophytes qui, dpourvus des principales comptences en matire de gestion de la scurit informatique, passent lessentiel de leur temps essayer dinfiltrer des systmes, en utilisant des scripts ou autres programmes mis au point par dautres. Malgr leur niveau de qualifications faible, les script kiddies sont parfois une menace relle pour la scurit des systmes. En effet, outre le fait quils peuvent, par incomptence, altrer quelque chose sans le vouloir ou le savoir, dune part les script kiddies sont trs nombreux et, dautre part, ils sont souvent obstins au point de passer parfois plusieurs jours essayer toutes les combinaisons possibles dun mot de passe, avec le risque dy parvenir.

Les hacktivistes
Lhacktivisme est une contraction de hacker et activisme. Ici lon retrouve deux concepts rassembls. Le hacktiviste infiltre les rseaux en mettant son talent au service de ses convictions politiques, thiques ou religieuses et pratique des piratages, dtournements de serveurs, remplacement de pages daccueil par des tracts, spamming... Chacune de ces catgories peut rpondre une ou plusieurs motivations comme par exemple la cration dun cheval de Troie commandit par une entreprise qui correspond une motivation stratgique (accs frauduleux aux informations) et une menace cupide (gagner des parts de march). Si loutil est mis en libre disposition sur Internet il pourra par la suite rpondre galement une menace ludique ou une menace terroriste.

Les hackers
Le jargon informatique dfinit diffrentes catgories de hackers en fonction de leur champ dimplication (lgal ou illgal) ou de leur impact sur les rseaux informatiques :

Annexes

161

les chapeaux blancs ou white hats : consultants en scurit, administrateurs rseaux ou cyber-policiers ; ils ont un sens de lthique et de la dontologie ; les chapeaux gris ou grey hats : sils nhsitent pas pntrer dans les systmes sans y tre autoriss, ils nont pas pour but de nuire. Cest souvent lexploit informatique qui les motive, une faon de faire la preuve de leur habilet ; les chapeaux noirs ou black hats : crateurs de virus, cyber-espions, cyber-terroristes et cyber-escrocs, sont, eux, dangereux et nont aucun sens de lthique. Ils correspondent alors la dfinition du pirate telle que conue par les journaux. Ces catgories peuvent elles-mmes tre divises en sous-catgories en fonction de leur spcialit : le cracker soccupe de casser la protection des logiciels ; le carder soccupe de casser les systmes de protections des cartes puces comme les cartes bancaires, mais aussi les cartes de dcodeur de chane payante ; le phreaker soccupe de casser les protections des systmes tlphoniques. On peut enfin, dans cette typologie, tenir compte dun phnomne dinterpntration : ainsi, le pirate au dbut joueur, acquiert un savoir-faire en matire dattaque de systmes dinformation, dont il peut ensuite chercher tirer un profit financier (menace cupide). Du par la socit, il peut ensuite accepter des propositions de recruteurs de rseaux terroristes ou dagents de renseignement (menace ludique devenant terroriste ou stratgique).

162

La scurit des systmes dinformation

Annexe VII

Exemples de menaces
Menaces lectroniques
La menace Tempest

Ladversaire peut chercher tirer parti des signaux compromettants qumet tout systme lectronique. Il faut savoir que ce rayonnement peut tre perceptible jusqu plus dune centaine de mtres. De plus, par conduction, soit sur les conducteurs dalimentation de lappareil cible, soit sur des conducteurs passant proximit, des tensions lectriques rvlatrices peuvent aussi rvler des informations intressantes. Lanalyse des signaux parasites compromettants classiques sest enrichie, en 2004, dune nouvelle technique de cryptanalyse acoustique des curs dunits centrales (Core Process Units). Cette menace Tempest, bien connue des services de renseignement et de protection, lest moins du grand public. La parer est difficile et coteux : on peut, bien sr, mettre tous les quipements sensibles dans des cages de Faraday..., ou acqurir des matriels conus et raliss pour mettre un minimum de signaux compromettants, gnralement vendus prix dor...

Lexemple des puces RFID (Radio-Frequency Identification)

Les tiquettes didentification radio (ou RFID) sont des puces sans contact transmettant des donnes distance par moyens radiolectriques. On les appelle aussi tiquettes intelligentes, ou encore parfois tiquettes-transpondeurs. Cest, par exemple, ce type de puces qui est utilis dans le systme Navigo dans les transports en le-de-France ou pour le marquage des animaux. Les utilisations potentielles de ce genre de technologie sont nombreuses : gestion de stocks, grands magasins, tlpages dautoroutes, jusquaux nouveaux passeports... Avec des moyens de dtection un peu sophistiqus, la distance daccs effective aux tiquettes RFID peut atteindre plusieurs dizaines, voire centaines de mtres. La plupart des dispositifs ne chiffrant pas (ou mal) les donnes transmises, les informations peuvent donc tre interceptes cette distance.

Annexes

163

Considrant, par exemple, lintrt que pourrait trouver un concurrent lire distance lensemble du flux logistique de distribution dun industriel, et dans la mesure o ce type de technologie est envisag pour transmettre des donnes personnelles (sur des passeports par exemple) lemploi de la technologie RFID pour des donnes caractre personnel ou dans des systmes de haute scurit ncessite une analyse pousse des risques.

Menaces logicielles Les chevaux de Troie


Des chevaux de Troie discrets

Un rootkit est un outil qui fournit des services destins masquer la prsence dun intrus sur un systme (dissimulation de processus, de fichiers par exemple) et certains outils daide ladministration ont fait leur apparition dans des rootkits. Ces outils touchent donc des tches critiques, proximit du noyau des systmes dexploitation. Lutilisation de rootkits, combine avec des codes malveillants (virus, chevaux de Troie...) sappuyant sur des failles de scurit pour sintroduire dans une machine, devient une solution idale pour les attaques informatiques en permettant laccs des commandes bas niveau. Mais cette menace est dautant plus srieuse quelle se situe au niveau du systme dexploitation, soit avant la couche de scurit traditionnelle offerte par les antivirus. Ainsi, un pirate peut-il empcher le lancement dun logiciel antivirus, ou au contraire forcer lexcution dun programme pralablement install sur le disque dur. Cest ainsi quune machine infecte peut tre, linsu de son utilisateur lgitime, entirement corrompue : on parle alors de zombie. De fait, elle devient une plate-forme privilgie pour le pirate pour lancer, relayer ou contribuer une large varit dattaques. Cest en 2003 que sont apparus les premiers chevaux de Troie oprant en mode noyau en environnement Windows (Slanret, IERK, Backdoor Ali...). En 2005, les attaques combines, associant diverses techniques malveillantes, sont devenues un sujet majeur de proccupation en matire de scurit informatique. Microsoft lui-mme, en mars 2005 lors de la confrence RSA, sen est inquit, compte tenu de la multiplication dattaques base de rootkits Windows.

164

La scurit des systmes dinformation

Les vers
Utilisant une technique dingnierie sociale (tromper les internautes par un message damour), le ver I love you subtilisait les codes daccs, et, une fois install, lanait des attaques par dni de services sur des serveurs Web distants. En 2001, les vers se sont multiplis. Code Rouge (Red Code), la diffrence de ces prdcesseurs, sappuyait, pour se dplacer, sur une faille dans les serveurs IIS (Internet Information Server) de Microsoft. Il engendrait une modification de la page daccueil des sites tournant sous plate-forme Windows.
Des menaces de plus en plus polymorphes

Pour mieux djouer les tentatives de blocage et les contremesures, les menaces sont dsormais conues polymorphes. Ce sont des blended threats, cest--dire capables de se transformer dun type lautre, en utilisant diffrents modes de transport et en exploitant plusieurs vulnrabilits la fois. Ce fut par exemple le cas du ver Nimda, qui se propagea via le protocole HTTP (pages Web) en exploitant une faille sur les serveurs IIS, via la messagerie SMTP et aussi via le systme de partage de fichiers de Microsoft. En 2002, cest au tour de Slammer et Blaster de faire leur apparition. Des dizaines de milliers de serveurs ont t touchs en 10 minutes. Quant Blaster, il utilisait comme moyen de transport, le module DCOM RPC dappel distance de Windows (2000 et XP). Les attaques passaient notamment par le dispositif de mise jour distance de Microsoft (Windows Update). Lexemple du ver Sapphire 1 montre galement laugmentation croissante de la vitesse de propagation de ce type de ver corrlative au dveloppement des systmes dinformation dans le monde entre 2001 et 2003.

1. Source : www.caida.org

Annexes

165

25 janvier 2003-05 : 29 -0 victime

25 janvier 2003-06 : 00 -74 855 victimes

Virus
Selon Sophos et Clusif, les meilleurs scores de propagation des virus ont t les suivants en 2004 :
Clt 1 2 4 4 5 6 Nom Netsky-P Zafi-B Netsky-B Netsky-D Netsky-Z MyDoom Type Mass Mailer Mass Mailer Mass Mailer Mass Mailer Mass Mailer Mass Mailer Dni de service + Ouvre un accs distant Dsactive certaines scurits Type dattaque

166

La scurit des systmes dinformation

Les antivirus

La quasi-totalit des diteurs dantivirus mettent disposition de leurs clients de nouvelles dfinitions virales dans les heures qui suivent lidentification dun virus. Autrement dit, ils proposent les fichiers de mise jour grce auxquels le logiciel pourra rsister une attaque et, le cas chant, traiter un ordinateur infect. Certains diteurs proposent dsormais en outre un scan distance de votre disque dur, et parfois mme sa dsinfection. La mise jour dun antivirus se fait de faon transparente par tlchargement des dfinitions virales, du moins dans les mois qui suivent son achat. Mais par la suite, ou si par exemple lutilisateur ne se connecte lInternet que rarement, il lui faudra procder manuellement au tlchargement des mises jour en allant sur le site de lditeur. Il existe aussi des patchs gratuitement tlchargeables. Les diteurs dantivirus ne sont pas labri de la dcouverte de failles de scurit dans leurs produits. Ils le sont mme plutt moins que dautres, puisque les antivirus doivent analyser les pices jointes, passer en revue une trs grande varit de fichiers, et possdent donc plus de risques potentiels davoir des failles que dautres types de logiciels. Il existe principalement 2 sortes de vulnrabilit : lattaque par dni de service (DoS), pouvant saturer lespace disque de lantivirus et lempcher de fonctionner, et celle du dbordement de mmoire tampon, ou buffer overflow, qui permet dexcuter des commandes arbitraires. De faon gnrale, quand ils ont t touchs, les principaux acteurs du march de la scurit ont pris le parti de la transparence, cest--dire dinformer systmatiquement leurs clients quand une faille est dcouverte. Il faut alors la patcher et le client doit mettre jour son antivirus. Si le patch nest pas immdiatement disponible, il faut diter des rgles pour limiter les effets dventuelles attaques. Cest l la situation aujourdhui ; mais lvolution du march (avec lintrusion de gants comme Microsoft) et lvolution du risque dattaques Zero Day pourraient les amener changer dtat desprit.

Les dnis de service


Encore et toujours plus dattaques DNS

Lactualit de la scurit informatique en 2005 aura t notamment marque par la rapparition des attaques sur les serveurs de noms de domaines (ou DNS). Alors que la majorit des attaques de fraude en ligne actuelles ncessite une action de la part de lutilisateur, lavantage dune attaque des serveurs de noms de domaines pour le pirate est de supprimer toute ncessit dinteraction avec lutilisateur. Le pirate

Annexes

167

sassure que tous les utilisateurs souhaitant accder un serveur donn (qui peut tre un serveur de messagerie, un serveur Web...) sont automatiquement redirigs vers une adresse IP pralablement choisie. Il peut aussi choisir de ne le faire que pour une partie seulement du trafic, ce qui rend la dtection plus difficile. Ce dtournement des flux permet, par analyse des courriels ou grce un site contrefait, de recueillir des informations confidentielles, ou encore, quand plusieurs serveurs DNS ont t attaqus, de monter une attaque en dni de services distribu (DDoS) en surchargeant de requtes la cible.

Les rseaux de robots


Les robots (bots)

Les bots font partie de la nouvelle vague des menaces de scurit, silencieuse et propagation rapide. Les bots, nom driv de robots, dsignent une catgorie de programmes malveillants sinstallant sans laccord de linternaute se connectant un serveur de commande et contrle . Les menaces ne sont plus dsormais physiques et perceptibles court terme, mais elles donnent accs aux pirates de nouvelles ressources informatiques pour, le moment venu, relayer partir des machines infectes du spam, ou dautres virus, ou des attaques en dni de service, pour se livrer de lcoute rseau ou de lcoute clavier (keylogging). Le but est de faire de largent, en louant des rseaux de bots pour relayer du spam par exemple. Pour rentabiliser son programme, lauteur doit donc sarranger pour limiter au maximum la visibilit externe de son bot. En outre, les machines infectes peuvent contenir aussi des donnes personnelles, qui peuvent intresser, donc se vendre. Fragiles, car rapidement dtruits par les antivirus du march, ces rseaux de bots ne survivent quen contaminant sans cesse de nouvelles victimes. Aujourdhui, la forme la plus simple et la plus exploite pour mettre les machines en rseau passe par les canaux IRC (Internet Relay Chat). Lavantage dun tel mode daccs est que les serveurs IRC sont librement disponibles et aisment configurables. Pour sinstaller et se rpandre, les bots utilisent le plus souvent des vulnrabilits qui touchent les serveurs Web (IIS et Apache), les procdures dappel distance de Windows (RPC), le serveur SQL Microsoft, MySQL, WINS et les portes drobes laisses pralablement ouvertes par certains virus.

168

La scurit des systmes dinformation

Dans la mesure o, une fois runis, ces rseaux de PC zombies ne peuvent presque plus tre arrts, il est important de prvenir la contamination. Pour faciliter leur radication, les spcialistes de la scurit multiplient les analyses de ces rseaux. Souvent, il leur suffit de sniffer le trafic des serveurs IRC pour remonter la piste. Mais, pour certains dentre eux, placs dans des pays juridiquement difficiles daccs, ce nest pas toujours possible. La mthode alors utilise par les professionnels de la scurit se calque sur celles de dtection des virus : elle consiste sinfiltrer dans ces rseaux, en plaant des machines cibles appeles pots de miel (honeypots). Elle consiste placer un rseau de machines volontairement vulnrables sur Internet et se laisser infecter pour mettre la main sur lexcutable du drone.

Annexes

169

Annexe VIII

Exemples de vulnrabilits
Vulnrabilits organisationnelles
Comment btir un plan de continuit de lactivit ?

Le processus dlaboration de ce plan est le suivant : aprs avoir dfini, sans se proccuper des moyens associs et du systme dinformation, les activits quelle considre comme essentielles, une entreprise identifiera toutes les composantes qui y contribuent : ressources humaines, produits, ressources informatiques, etc. Puis, elle dfinira des modes opratoires permettant de contourner la difficult rencontre. Cest sur la base des modes opratoires et des moyens ncessaires pour la continuit des oprations mtier que lon va construire , progressivement, pas pas, un plan de continuit des oprations . On reviendra ensuite sur les diffrents cas de figure, pour identifier les fonctions support qui y contribuent, au premier rang desquelles il y a, bien entendu, le systme dinformation de lentreprise. Ce terme doit ici tre pris dans son acception la plus large, il ne faut surtout pas le limiter au systme informatique. (Ainsi, on pourrait imaginer une situation de crise o un brouillage temporaire du systme de contrle daccs, suppos non-reli et distinct du systme informatique central, (par exemple, capteurs et dispositifs de lecture badigeonns avec de la peinture mtallique) empcherait laccs du personnel lusine. Cela bien entendu dsorganiserait la production, mais ne peut tre considr ni comme un incident, ni comme une agression informatique). On sintressera aux conditions minimales de fonctionnement des diffrentes ressources informatiques impactes (l aussi, bien des surprises nous attendent...). Puis, on tentera dimaginer un mode opratoire, et les moyens de la continuit du systme dinformation. On construit ainsi, pas pas, un plan de continuit informatique . Cest lensemble de ces deux plans (plan de continuit des oprations et son alter ego technique, le plan de continuit informatique), qui constitue le plan de continuit de lactivit.

Annexes

171

Vulnrabilits techniques
Celles qui sont publies peuvent ltre de manire officielle et donner alors lieu des alertes, via des CERT (Computer Emergency Response Team) ou des CSIRT (Computer Security Incident Response Team), qui les caractrisent et les valident travers 3 ou 4 niveaux de gravit ( critique , leve , moyenne et faible ). Elles peuvent aussi ltre de manire non-officielle, au sein de communauts de hackers. partir du moment o une vulnrabilit est publie, le facteur temps joue de faon cruciale pour viter des exploitations malveillantes.

Publier ou non les vulnrabilits ?

La publication ou non des vulnrabilits logicielles a constitu de tout temps un sujet difficile. Lenjeu, pour les chercheurs indpendants, consiste voir leur travail reconnu ainsi qu sensibiliser clients et diteurs sur les risques des diffrents produits. Au contraire, les diteurs cherchent avant tout protger leurs produits et leurs clients dune attaque ventuelle qui pourrait tre la consquence fcheuse dune publication htive, ou non-matrise, dune vulnrabilit. Dans ce jeu, les grands diteurs de logiciels craignent les failles dcouvertes mais non-divulgues, dont peuvent tirer parti les crateurs de vers ou de virus bien informs. Tout diteur doit donc sarranger pour tre, en priorit et avant tout autre, mis au courant de toute faille dans ses produits. Ce sujet a pris, lors de la confrence Black Hat 2005 qui sest tenue Las Vegas du 23 au 28 juillet 2005, une tournure intressante. Michael Lynn, chercheur en scurit chez Internet Security System (ISS), avait prvu de dvoiler, loccasion du discours officiel planifi pour la confrence par ISS, les grandes lignes dune faille majeure affectant les routeurs Cisco. Compte tenu de linterdiction de son employeur de sexprimer, il a alors dmissionn pour pouvoir communiquer librement sur cette vulnrabilit en public. Aprs une double procdure en justice engage dune part, par Cisco pour violation des droits dauteurs sur le logiciel Cisco, dautre part, par ISS pour non-respect du secret professionnel, laffaire sest finalement rsolue lamiable. Le chercheur a accept de remettre lensemble des documents relatifs la faille Cisco, mais aussi de ne plus en parler. Jusqu prsent, les diteurs comptaient avant tout sur la bonne volont des chercheurs indpendants pour leur transmettre leurs dcouvertes. Mais, de plus en plus, ils mettent en uvre une stratgie deux volets : dune part, ils cherchent racheter des socits spcialises dans la recherche de vulnrabilits, dautre part, ils proposent aux chercheurs indpendants des primes, de manire les inciter leur communiquer leurs travaux au plus tt.

172

La scurit des systmes dinformation

Ainsi, la socit 3Com a-t-elle rachet lacteur TippingPoint, spcialis dans la recherche de vulnrabilits logicielles, pour 430 millions de dollars, et vient-elle dannoncer son projet Zero Day Initiative : selon le niveau de dangerosit de la vulnrabilit dcouverte, 3Com offrira jusqu 20 000 dollars de prime aux chercheurs indpendants. Mme modle conomique pour VeriSign, qui vient de racheter mi-2005 pour 40 millions de dollars iDefense, autre acteur connu dans le milieu, qui proposait en moyenne 2 000 dollars par faille dcouverte aux acteurs indpendants. Mme schma enfin pour la fondation Mozilla, responsable du navigateur Web Firefox, pour lui permettre dtre informe en priorit sur les bugs affectant ses logiciels, mais cette fois pour 500 dollars seulement (lordre de grandeur nest pas le mme, on est dans le monde des logiciels libres). Cette stratgie denchres a le double avantage dpauler le manque de comptences internes et de stimuler, en thorie au moins, la recherche de failles sur un produit donn. Mais la contrepartie est quelle risque dengendrer une inflation des cours , qui, une fois encore, devrait plutt profiter aux riches.

Annexes

173

Annexe IX

Les principaux textes relatifs lorganisation institutionnelle


Au niveau interministriel, le dcret 96-67 fixe les comptences du secrtariat gnral de la dfense nationale (SGDN) en matire de SSI. Le SGDN dispose, pour conduire ses missions, de la direction centrale de la scurit des systmes dinformation (DCSSI) cre par le dcret 2001-693. Une commission interministrielle de la SSI (CISSI) cre par le dcret 2001-694 a pour mission dassurer la concertation avec les dpartements ministriels sur les questions de SSI. Au niveau ministriel, la responsabilit de lapplication de la politique en SSI incombe au haut fonctionnaire de dfense (HFD) dont les missions sont prcises par le dcret 80-243. Une directive du Premier ministre (4201/SG) vient prciser cette organisation en dfinissant les responsabilits particulires de chaque ministre en SSI. Au niveau de lUnion europenne (UE), lagence de scurit des rseaux et de linformation (ENISA) cre par le rglement 460/2004 du Parlement europen et du Conseil na pas, de par ses missions et son statut, vocation tre une agence europenne de rgulation de la SSI. En revanche, elle pourra proposer la Commission europenne des initiatives dans ce domaine conduisant des directives europennes applicables aux tats membres.

Les principaux textes relatifs la protection des systmes dinformation


Dans le domaine de la rglementation SSI, une distinction majeure est faite entre les informations classifies de dfense et les autres informations sensibles mais non-classifies. La protection des informations classifies de dfense dfinies par larticle 413-9 du code pnal est lobjet dune instruction gnrale interministrielle (arrt du 25 aot 2003) qui contient notamment un volet sur les mesures spcifiques en SSI (articles 45 48). De nombreux textes viennent complter et dtailler ces mesures SSI sous la forme de directives, instructions, recommandations, ou autres guides techniques. De faon gnrale, la responsabilit de lapplication de ces mesures incombe chaque ministre pour ses systmes dinformation (dcret 98-608). En cas de non-respect de ces mesures qui conduirait une compromission dinformation, il sexpose aux peines prvues larticle 413 du code pnal.

Annexes

175

Dans le domaine du classifi , il convient de rappeler que la rglementation du Conseil de lUE (dcision du Conseil 2001/264/CE) en matire de protection des informations classifies de lUE sapplique aux tats membres lorsquils traitent ces informations dans leurs systmes dinformation. Il en va de mme avec la rglementation de lOTAN (politique de scurit CM (2002) 49) pour les informations classifies de lOTAN confies aux tats Membres. Les informations sensibles non-classifies ne sont pas dfinies en tant que telles par une loi. En revanche, de nombreuses lois dfinissent des catgories dinformation qui doivent tre protges car relevant de diffrents secrets. titre dexemple, citons le secret professionnel (article 226-13 du code pnal), le secret des correspondances (article 226-15 du code pnal), les intrts fondamentaux de la nation (articles 410 et 411 du code pnal), le secret de la vie prive (loi 78-17, article 226-16 226-24 du code pnal), etc. Les informations sensibles ne constituent pas un ensemble homogne et ne bnficient pas dun corpus rglementaire fixant des mesures de scurit pour ces informations comme il en existe dans le domaine des informations classifies de dfense. En revanche, les sanctions prvues par la loi sont ici encore susceptibles de sappliquer en cas de compromission dinformation rsultant de la mauvaise application de mesures de scurit.

La loi dhabilitation 2004-1343 de simplification du droit


Larticle 3 de cette loi est consacr au dveloppement de ladministration lectronique et, en particulier, prvoit que des mesures seront prises par ordonnance pour assurer la scurit des changes lectroniques entre usagers et administrations. Cette ordonnance, encore en discussion, permettra de fixer les exigences de scurit applicables aux produits et prestations mis en uvre pour scuriser ces changes. Elle introduira notamment une procdure de qualification de ces produits et prestataires de scurit reposant sur une procdure existante dfinie par le dcret 2002-535. Elle mettra en place, avec ces textes dapplication, un cadre commun de mesures de scurit dans ce domaine des informations sensibles des usagers qui sont traites par ladministration.

Les textes relatifs la cryptologie


Dans le domaine particulier de la cryptologie, une des composantes de la SSI, il existe une rglementation visant contrler lutilisation, la fourniture, lexportation des produits ou des prestations de cryptologie. Cette technologie est contrle car considre comme sensible certains gards. La rglementation franaise en ce domaine transpose notamment le rglement europen 1334/2000 sur le contrle des biens et technologies double usage. Le texte lgislatif de base est la loi 2004-575 (titre III) pour la confiance dans lconomie numrique qui instaure un rgime de dclaration ou dautorisation selon les cas pour les moyens et prestations de cryptologie. Les dcrets dapplication ntant pas encore pris, certaines dispositions de lancienne lgislation (loi 90-1170) restent en vigueur.

176

La scurit des systmes dinformation

Certains produits de cryptologie sont soumis au rgime des matriels de guerre (dcret du 18 avril 1939) lorsquils sont intgrs dans des armes ou permettent la mise en uvre des forces armes (article 39 de la loi 2004-575).

Les textes relatifs la signature lectronique


La signature lectronique est une composante de la SSI en ce quelle permet dauthentifier lmetteur dun document et den garantir lintgrit. La loi 2000-230 modifiant larticle 1316 du code civil reconnat la signature lectronique comme fiable sous certaines conditions prcises par le dcret 2001-272. La rglementation nationale transpose la directive europenne 1999/93/CE sur un cadre communautaire pour les signatures lectroniques.

Quelques textes relatifs la cybercriminalit


De nombreuses dispositions existent dans les domaines o les systmes dinformation servent commettre ou prparer un crime ou un dlit ou lorsquils sont la cible dune attaque. Les articles 323-1 323-7 du code pnal sanctionnent les atteintes aux systmes de traitement automatis de donnes. Larticle 163-4 du code montaire et financier sanctionne la fabrication, dtention, et cession de moyens informatiques permettant dattaquer les cartes bancaires. La scurit des cartes de paiement fait, en outre, lobjet dun observatoire cr par larticle 39 de la loi 2001-1062 modifiant le code montaire et financier. La loi 2004-575 consacre un chapitre la lutte contre la cybercriminalit (articles 41 46). Larticle 31 de la loi 2001-1062 porte obligation de remise de cls cryptographiques aux autorits habilites et judiciaires et larticle 37 de la loi 2004-575 aggrave les peines encourues lorsquil a t fait usage de cryptologie pour commettre ou prparer un crime ou dlit. Dautres textes permettent la saisie de donnes informatiques par les autorits (article 17 de la loi 2003-239 par exemple), ou obligent la conservation de donnes informatiques par les oprateurs permettant a posteriori de conduire des enqutes (article 29 de la loi 2001-1062, article 18 de la loi 2003-239 par exemple), etc. Un certain nombre de ces dispositions sont prises en conformit avec des textes internationaux comme la convention du Conseil de lEurope sur la cybercriminalit (23 novembre 2001), ou la dcision-cadre du Conseil de lUE (2005/222/JAI) relative aux attaques visant les systmes dinformation.

Annexes

177

Annexe X

Quelques principes gnraux de scurit


Besoin dune approche globale : afin que le dispositif ne prsente pas de possibilits de contournement. La politique de scurit doit tre apparente : lexistence de mesures de protection doit tre perue sans pour autant tre connue de faon dtaille. Ncessit dune gestion dynamique du risque. Le risque doit tre gr de faon continue et dynamique dans un monde qui change trs vite dans le domaine des technologies de linformation et de la communication. Pour une entit donne, il faut, tout moment, tre inform des menaces les plus probables et des vulnrabilits publies et prparer un certain nombre de plans : ractions, de continuit des oprations... applicables en cas dincident, ou en cas dattaque. Enfin, au-del de ces plans, il peut savrer judicieux de faire appel, pour la gestion des incidents informatiques, des spcialistes capables de caractriser lattaque, dvaluer les dgts, et de prendre des mesures de confinement et de raction. On voit donc quune gestion dynamique du risque ncessite un minimum dorganisation. Il faut bien sr constamment avoir des spcialistes de la question, capables dexposer aux dcideurs les enjeux, les parades, les mesures prendre, mais aussi disposer dune structure de prise de dcision rapide. Enfin, pour amliorer la connaissance du niveau de scurit du systme dinformation, il est ncessaire de faire mener priodiquement des audits et des tests dintrusion. Principe de minimalit, ou tout ce qui nest pas autoris est interdit . Seuls les protocoles et les services ncessaires lexcution du mtier ou de la mission seront autoriss. Toute ouverture de nouveau service ou toute modification du routage des flux sera tudie et donnera lieu analyse de risque.

Annexes

179

Principe dautoprotection, ou tout ce qui est extrieur ne peut tre considr comme sr . Le rseau dorganisme traitera initialement les autres rseaux auxquels il est connect comme non-fiables, et appliquera des mesures de protection lors des changes dinformations. Principe de confinement, ou il faut toujours pouvoir isoler un membre infect . Ceci est particulirement utile en cas dattaque par de ver ou de virus. Une application de ces deux principes est, par exemple, la mise en place de DMZ : une passerelle, ou pare-feu, place en coupure entre un rseau non-protg (par exemple lInternet) et les rseaux quil protge, fait passer les informations qui transitent par une sorte de sas de dcontamination . Ce sas peut lui-mme constituer un sous-rseau, o une politique de scurit particulire, moins stricte que celle du rseau interne, est mise en uvre, et sur lequel on peut placer des machines ddies (serveurs Web, antivirus, de messagerie), mais aussi des outils de dtection dintrusion... Mise en place dune dfense en profondeur, ou plusieurs lignes de dfense valent mieux quune . Partant du constat que, dans les systmes complexes, il faut toujours prvoir plusieurs lignes de dfense, des mesures de protections bien distinctes, en particulier fonctionnellement, seront appliques sur diffrentes composantes, de manire ce quil ny ait pas une ligne de dfense unique. Principe de responsabilisation des utilisateurs ou grer le besoin den connatre de chaque utilisateur, interne ou externe. Vrification rgulire de la mise en uvre de la scurit, ou mieux vaut prvenir que gurir . Lapplication de ces principes et la mise en uvre des mesures de protection qui en rsultent seront vrifies au dpart, puis priodiquement, pour viter des drives, peut-tre non-intentionnelles, mais bien relles.

180

La scurit des systmes dinformation

Annexe XI

Les 12 cls de la scurit selon lAFNOR


Daprs le Rfrentiel de bonnes pratiques de lAFNOR aot 2002 Scurit des Informations Stratgiques Qualit de la confiance Comment prserver la confidentialit des informations ? 1 Admettre que toute entreprise possde des informations protger (plans de recherche, prototypes, plans marketing, stratgie commerciale, fichiers clients, contrats dassurance...). 2 Faire appel lensemble des capacits de lentreprise (chercheurs, logisticiens, gestionnaires de personnel, informaticiens, juristes, financiers...) pour raliser linventaire des informations sensibles, des points faibles, des risques encourus et de leurs consquences. 3 Exploiter linformation ouverte sur lenvironnement dans lequel volue lentreprise, observer le comportement des concurrents, partenaires, prestataires de service, fournisseurs, pour identifier les menaces potentielles. 4 Sappuyer sur un rseau de fournisseurs de confiance pour ceux dentre eux qui partagent ou accdent des informations sensibles. 5 Ne pas chercher tout protger : classifier les informations et les locaux en fonction des prjudices potentiels et des risques acceptables. 6 Mettre en place les moyens de protection adquats correspondant au niveau de sensibilit des informations ainsi classifies, sassurer quils sont adapts et, si besoin, recourir des comptences et expertises extrieures. 7 Dsigner et former des personnes responsables de lapplication des mesures de scurit. 8 Impliquer le personnel et les partenaires en les sensibilisant la valeur des informations, en leur apprenant les protger et en leur inculquant un rflexe dalerte en cas dincident. 9 Dployer un systme denregistrement des dysfonctionnements (mme mineurs), et analyser tous les incidents. 10 Ne pas hsiter porter plainte en cas dagression. 11 Imaginer le pire et laborer des plans de crise, des fiches rflexe afin davoir un dbut de rponse, au cas o...

Annexes

181

12 valuer et grer le dispositif, anticiper les volutions (techniques, concurrentielles...) et adapter la protection en consquence en se conformant aux textes lgislatifs et rglementaires en vigueur.

182

La scurit des systmes dinformation

Annexe XII

Exemples de chartes dutilisateurs dans les entreprises et ltat 1


Les chartes dutilisation des systmes dinformation, dont quelques points cls sont indiqus ci-aprs, se diffusent dsormais de manire croissante dans les entreprises et au sein de ltat. Quelques points cls : Les objectifs de ces chartes : dfinir les bonnes pratiques comportementales devant tre respectes et qui relvent : du comportement loyal et responsable de chacun. La responsabilit individuelle est la base de la SSI ; de rgles dontologiques et de lgislations applicables ; de rgles principales de scurit. Bases juridiques des chartes : elles peuvent faire lobjet dune consultation des comits dentreprises (CE) et dune dclaration auprs de la CNIL ; elles peuvent engager, pour certaines, les salaris des sanctions en cas dusage abusif ; elles sont annexes dans certains cas au contrat de travail ou au rglement intrieur de lentreprise ; dans certaines administrations, lutilisateur peut tre amen signer une reconnaissance de responsabilit. Quelques principes directeurs : les chartes sappliquent tous les utilisateurs quel que soit leur niveau hirarchique : dirigeants, salaris, intrimaires, stagiaires, consultants, prestataires... ; les utilisateurs doivent prendre connaissance des rgles qui sont dfinies dans les documents de politique de scurit des entreprises destins garantir la bonne gestion ainsi que la scurit des ressources informatiques et de communication ; un rappel de la lgislation en vigueur relative par exemple la fraude informatique, aux atteintes la personnalit et aux mineurs et les infractions la proprit intellectuelle (copies illicites...) est fourni avec les chartes. Les utilisateurs doivent en prendre connaissance et sengager user des ressources informatiques dans le respect de ces lois et rglementations ;
1. Sources auditions.

Annexes

183

lutilisateur fait de la scurit une priorit et met en uvre les rgles pratiques de scurit comme : la protection de laccs son poste de travail et ses donnes (mots de passe, mise en veille avec mot de passe...) ; se protger contre le vol ; viter les doubles connexions Intranet/Internet ; une protection spcifique lors des dplacements notamment ltranger ; les ressources informatiques et de communication sont destines un usage professionnel. Lusage priv peut tre tolr, sil naffecte pas la circulation normale de linformation ; les utilisateurs sengagent respecter la configuration de leur poste de travail et ne pas installer leurs propres logiciels ou matriels ; les utilisateurs ont une obligation de confidentialit sur les informations stockes ou transmises au moyen des ressources informatiques qui lui sont affectes ; lutilisateur doit faire preuve de vigilance vis--vis des informations recueillies sur Internet ou reues par messagerie (possibilit de dsinformation, sassurer de lmetteur...) ; chaque utilisateur doit tre conscient que certains changes avec des tiers peuvent engager lentreprise (contractuellement ventuellement) ou porter atteinte son image. Le respect des dlgations de pouvoirs tablies doit sappliquer galement. ...

184

La scurit des systmes dinformation

Annexe XIII

Exemples de produits logiciels et matriels de SSI


Antivirus
Les logiciels contre les codes illicites doivent permettre de dtecter les codes malveillants, virus et vers. Les antivirus doivent tre acquis avec un service de mise jour sur abonnement pour tre efficaces. Les antivirus, qui constituent le premier march de la scurit en chiffre daffaires, sont donc classer plus encore dans le march de services que dans celui de produits. Les logiciels antivirus font parties du segment SCM (Secure Content Management). Leffet de lapparition rcente de Microsoft est la seule incertitude sur ce segment qui reste promis quelques fructueuses annes.

Antispam
Comme les logiciels antivirus, des versions pour les serveurs dorganisation et des versions pour les particuliers ont t dveloppes. Ce segment de march, qui appartient au segment SCM, compte tenu de la baisse du volume du spam, pourrait entrer en dflation.

Scurit de messagerie
Le chiffrement applicatif des messages est la mesure de scurit ncessaire pour protger des mails dune interception durant leur transfert. ct des logiciels gratuits ou intgrs, les solutions spcifiques nont pas encore trouv un segment de march viable. Ce segment fait partie du segment SCM. En dehors de solutions haut niveau de confiance dveloppes pour le ministre de la Dfense, sans doute faute de besoins, aucune offre nationale ne subsiste dans le domaine.

Pare-feu (ou coupe-feu)


Les pare-feux, (Firewall) ont pour fonction de contrler la connexion entre deux rseaux appliquant des politiques de scurit diffrentes en contrlant la licit de tous les changes vis--vis dune politique dinterconnexion. Le march adresse les grandes entreprises jusquaux particuliers. Ils peuvent tre sous forme dappliances (botiers intgrs) pour la protection des rseaux des entreprises ou logiciels pour les postes individuels par exemple.

Annexes

185

Il est noter que les dernires versions du logiciel dexploitation de Microsoft incluent en standard un coupe-feu susceptible de convenir aux particuliers, ce qui pourrait conduire une contraction de ce segment de march pour les autres acteurs de ce march. Le coupe-feu tant un point naturel daccroche dautres services de scurit : VPN, antivirus, etc., les fournisseurs disposent dune plate-forme idale pour tendre les services offerts.

Dtection et prvention dintrusion


Les logiciels de dtection dintrusion sont destins permettre aux organisations de ragir ds lors quune attaque a russi franchir les dfenses. Cette fonction est souvent ajoute aux fonctions de coupe-feu. En gnral, les tudes de march intgrent dans un mme segment les pare-feux et les fonctions de prvention et de dtection dintrusion. Les logiciels de prvention dintrusion effectuent un audit dun systme dinformation et doivent dtecter les lments de configuration non-srs et identifier les axes potentiels dattaque. Lvolution de ce segment est trs incertaine. Les produits de dtection dintrusion doivent amliorer la fois leur capacit de dtection et rduire leur taux de fausse alarme.

Administration sre
Les logiciels dadministration srs doivent permettre en centralisant la gestion des identits, des droits, des secrets, de la configuration dquipements de scurit doffrir une version synthtique de la scurit dun systme dinformation. Ces logiciels sont souvent dsigns en anglais sous le vocable Security 3A Software (3A pour Authentification, Autorisation et Administration) que lon peut rsumer en management des identits et de laccs. Ces produits sont plus destins des organisations qu des particuliers.

Authentification renforce
Une amlioration notable de la scurit dun systme dinformation vient aussi de la mise en place de moyens dauthentification des utilisateurs plus sophistiqus que le mot de passe. Ce segment est li au segment prcdent. Parmi les types de solutions qui existent on retiendra : les cartes puces, les tokens stockant des cls secrtes ou cls USB ; la biomtrie. Ce march devrait connatre une croissance soutenue, lidentification et lauthentification restant un pralable toute tentative de scurisation.

VPN/chiffrement IP
Pour relier en toute scurit deux parties dun mme systme dinformation, en complment dun coupe-feu, afin de parer aux risques

186

La scurit des systmes dinformation

dinterception passive, il est ncessaire de chiffrer les flux changs et de crer ainsi un tunnel de communication protg dit VPN 1. Loffre nationale provient principalement de groupes importants.

Chiffrement de fichiers Le segment de march du chiffrement de fichiers avant leur envoi comme pice jointe par messagerie ou simplement pour leur stockage souffre des mmes maux que le march de la messagerie scurise, des fonctions de chiffrement de fichiers sont soit incluses dans les principaux systmes dexploitation, soit disponibles assez largement en logiciel libre. Il existe toutefois une offre franaise manant de PME. Loffre insuffisante a conduit ladministration dvelopper des solutions en interne. Mmoires de masse chiffrante Le chiffrement dun disque dur est indiscutablement la meilleure solution aux risques de pertes ou de vol dordinateurs portables par exemple. Sans appui de la commande publique, le risque est rel cependant quaucune socit franaise noffre ce type de produits avec un haut niveau dassurance. Ce segment devrait rester confidentiel en labsence de prise de conscience par les grands comptes. Tlphones chiffrants Le tlphone, soit fixe, soit mobile, sera bientt le dernier vestige de lanctre du systme dinformation, le rseau de tlcommunications. Les rseaux de tlcommunications sont principalement menacs du point de vue de lutilisateur par linterception. Bien que cette menace soit relle, sa perception nest pas suffisante pour inciter les organisations sen proccuper. Il en rsulte un segment de march restreint aux applications gouvernementales principalement.

1. Virtual Private Network.

Annexes

187

Annexe XIV

Normalisation et principes de lvaluation/certification, de la qualification et de lagrment


La normalisation
Les organismes de normalisation
Filire Gnraliste Tlcoms lectrique Niveau international ISO UIT CEI Niveau europen CEN ETSI CENELEC Instance nationale AFNOR AFNOR UTE

La norme ISO 17 799


Daprs le Rfrentiel de bonnes pratiques de lAFNOR Scurit des informations stratgiques Qualit de la confiance Comment prserver la confidentialit des informations Aot 2002 Le rfrentiel Qualit de la confiance est un document visant aider les entreprises engager une rflexion globale en vue dassurer la matrise de la confidentialit de leurs informations stratgiques. Il rassemble lessentiel des bonnes pratiques qui permettent dassurer la scurit des informations, mais il ne prtend pas fournir des solutions exhaustives et normalises dans ce domaine. Les entreprises souhaitant sappuyer sur une norme, pourront utiliser lISO 17 799 qui, au travers de 36 objectifs de contrle associs 128 contrles, couvre les points-cl du management de la scurit de linformation : Politique scurit et dmarche associe. Organisation et scurit. Classification des objets et contrles. Scurit et personnel. Scurit et environnement physique. Rseau et administration informatique. Contrle daccs aux systmes et applications. Dveloppement et maintenance informatique. Plan de continuit. Conformit lgale et audits de contrle.

Annexes

189

De plus, il existe dans diffrents pays des schmas dvaluation et de certification par rapport la norme ISO 17 799, selon une dmarche similaire aux schmas portant sur les systmes de management de la qualit (ISO 9000). Dans le cas de lISO 17 799, la certification porte sur le systme de management de la scurit de linformation mis en place par lentreprise. De manire gnrale, un systme de management correspond lensemble des moyens, ressources, procdures, etc., quil faut dfinir, organiser, mettre en uvre et maintenir dans le temps, afin dassurer une activit rpondant aux besoins de lentreprise, des clients et des partenaires ainsi quaux exigences rglementaires. La norme ISO 17 799 ( guide de bonnes pratiques pour le management de la scurit de linformation ) fournit les lments permettant la conception, la documentation et la mise en place dun systme de management de la scurit de linformation.

Les principes de lvaluation/certification


Le processus dvaluation et de certification On se place dans le cas de figure dune entreprise qui paye lvaluation et souhaite faire certifier un produit : lentreprise dfinit une cible de scurit et sadresse un ou plusieurs centres dvaluation (CESTI) agrs par la DCSSI (5 en France) pour obtenir un devis ; il choisit un CESTI pour mener bien lvaluation et dpose un dossier de demande de certification au centre de certification de la DCSSI aprs avoir affin la cible de scurit ; la DCSSI analyse le dossier pour vrifier si le CESTI est effectivement en mesure de raliser lvaluation, si le devis est raliste pour le type de produit, si la cible de scurit du produit est pertinente... Si le dossier est accept, la DCSSI nomme un certificateur charg de suivre lvaluation et enregistre la demande ; la DCSSI peut proposer une runion de lancement aux diffrents acteurs ; le CESTI ralise lvaluation. Cette valuation est suivie par le certificateur ; le CESTI rdige le rapport technique dvaluation et le transmet la DCSSI ; la DCSSI valide le rapport technique dvaluation, rdige le rapport de certification et propose la certification au directeur central ; la DCSSI organise une revue finale.

190

La scurit des systmes dinformation

Prsentation des critres dvaluation de la scurit des technologies de linformation.


La scurit dune organisation passe en premier lieu par la prise de conscience dun fait : il y a des biens protger et il existe des menaces qui psent sur eux 1. Cette tape franchie (car elle nest pas vidente pour tout le monde), elle conduit traduire les objectifs de lorganisation (profits, services publics, notorit, etc.) dans une politique de scurit. Lobjet nest pas ici dindiquer comment aboutir une politique de scurit. Tout juste faut-il rappeler quune fois dfinie, elle implique la mise en place de contre-mesures de scurit (des parades) destines contrer les menaces retenues. Ces contre-mesures sont ralises par un assemblage subtil de mesures organisationnelles et techniques. Cet article sintresse pour lessentiel aux contre-mesures techniques qui sont fournies par des produits techniques (antivirus, firewall, chiffrement de donnes, etc.) dont loffre est parfois plthorique. Lesquels choisir ? Dans le domaine de la scurit, un critre de choix primordial devrait tre la confiance que lon peut avoir dans le fait quun produit donn ralise bien la fonctionnalit de scurit quil propose. Par bien , on peut comprendre au minimum : que le produit ralise effectivement la fonctionnalit de scurit ; que la fonctionnalit de scurit propose est efficace pour parer les menaces retenues. Lorsque lon achte un tlviseur, on peut assez facilement vrifier que sa principale fonctionnalit, celle de recevoir et afficher des images sonorises, est plus ou moins bien ralise. Lorsque lon utilise un produit de chiffrement, quest-ce qui nous prouve que le produit chiffre rellement ? Quest-ce qui nous prouve que la cl de 128 bits a rellement 128 bits dentropie ? Quest-ce qui nous prouve que cette cl naccompagne pas le message chiffr ? etc. Ce besoin de confiance a amen certaines organisations laborer des critres dvaluation de la scurit visant mesurer le niveau de confiance dun produit technique et ce, de la faon la plus objective possible. Trois grands documents ont marqu les vingt dernires annes : Le Livre orange ou TCSEC, les ITSEC et les CC. Cet article prsente rapidement les ITSEC et les CC.

Les critres pour lvaluation de la scurit des technologies de linformation (ITSEC)


Les ITSEC ont t dvelopps la fin des annes quatre-vingt linitiative de quatre pays europens (la France, le Royaume-Uni, lAllemagne et la Hollande). Ils ont t repris et publis en juin 1991 par la
1. On partira des objectifs gnraux de lorganisation (profits, services public, notorit, etc.) dans un contexte lgal donn que lon traduira sous langle de la scurit dans une politique de scurit en passant par une analyse de risques.

Annexes

191

commission des communauts europenne. Ils visent satisfaire les besoins des marchs civils et gouvernementaux et sintressent aux aspects confidentialit, intgrit et disponibilit. Une valuation ITSEC porte sur une cible dvaluation (lobjet valuer) qui peut tre un produit ou un systme : un systme est utilis dans un environnement rel parfaitement connu alors quun produit est utilis dans un environnement suppos dcrit sous la forme dhypothses. La description prcise des caractristiques de scurit de la cible dvaluation est fournie par un document nomm cible de scurit (la spcification de besoin en scurit). Ce document doit contenir une description de la politique de scurit du systme ou largumentaire du produit. Elle fournit galement une description des objectifs de scurit, les menaces qui sont pares par le produit, la spcification des fonctions de scurit qui parent les menaces (avec ventuellement, une description des mcanismes de scurit qui implmentent ces fonctions). Enfin, la cible doit prciser le niveau de confiance vis et la rsistance des mcanismes, ces deux notions tant expliques plus loin. Le but dune valuation ITSEC consiste vrifier deux aspects de la scurit de la cible dvaluation : la conformit (assurance conformit) et lefficacit (assurance efficacit). Pour lassurance conformit, lvaluation porte sur les points suivants : le processus de dveloppement (spcification de besoin, conception gnrale et dtaille, ralisation) ; lenvironnement de dveloppement (mthodes de travail, contrle de configuration, choix des langages et des outils, mesures de scurit dans le dveloppement) ; le fonctionnement oprationnel (documentation utilisateur et administrateur, livraison, configuration, dmarrage et utilisation). Pour lassurance efficacit, lvaluation porte sur les aspects suivants : la pertinence de la fonctionnalit : les fonctions de scurit doivent contrer efficacement les menaces identifies ; la cohsion de la fonctionnalit : les fonctions et mcanismes de scurit doivent former un tout cohrent ; la rsistance des mcanismes : la cible doit rsister des attaques directes selon le niveau de rsistance des mcanismes annoncs dans la cible de scurit ; les vulnrabilits de constructions : les ventuelles faiblesses connues de ralisation de la cible ne doivent pas compromettre la scurit de la cible dvaluation ; les vulnrabilits dexploitation : les ventuelles faiblesses connues en exploitation ne doivent pas compromettre la scurit de la cible dvaluation ; la facilit demploi : la cible ne doit pas tre configurable ou utilisable de manire non-sre mais quun utilisateur ou un administrateur pourrait croire sre.

192

La scurit des systmes dinformation

Dans les ITSEC, le niveau de confiance vis est not E1 E6. Plus il est lev, plus la confiance est leve (si le niveau est atteint). Plus il est lev, plus les lments de preuve fournis lvaluateur au titre de lassurance conformit doivent tre importants et plus lvaluateur doit raliser des travaux de vrification au titre de la conformit. E0 : le produit ne rpond pas sa cible de scurit. Ce nest pas un niveau vis ! E1 : vrification de la conception gnrale, tests fonctionnels... E2 : E1 + vrification de la conception dtaille, gestion de configuration, processus de diffusion... E3 : E2 + vrification de la ralisation (ce qui implique le code source et/ou les schmas matriels)... E4 : E3 + modle formel de la politique de scurit, spcification semi-formelle des fonctions de scurit, de la conception gnrale... E5 : E4 + correspondance troite entre conception dtaille et code source... E6 : E5 + spcification formelle des fonctions ddies la scurit, source des bibliothques... La seconde chelle dassurance concerne la rsistance des mcanismes. La rsistance vise peut tre qualifie dlmentaire (mis en chec par des utilisateurs comptents), de moyenne (protection contre des agresseurs dont les opportunits et les ressources sont limites) ou dleve (mise en chec par des agresseurs disposant dun haut degr dexpertise, dopportunit et de ressources avec le succs dune attaque jug exceptionnel).

Annexes

193

Les CC ou critres communs (ISO15408)


Les CC reprennent les concepts des ITSEC mais introduisent quelques nouveauts. Ils utilisent un formalisme permettant de dsigner des classes dexigences se subdivisant en famille qui, elles-mmes, se subdivisent en composants. Les classes dexigences peuvent tre fonctionnelles ou dassurance. Une classe fonctionnelle dcrit les fonctionnalits de scurit quun produit peut mettre en uvre alors quune classe dassurance dcrit les moyens dacqurir la confiance dans le fait que la fonctionnalit de scurit est conforme et efficace. Un composant est le plus petit ensemble slectionnable dlment (fonctionnel ou dassurance). Une famille est un regroupement de composants qui ont en commun des objectifs de scurit mais qui peuvent diffrer en terme dimportance ou de rigueur. Il peut exister des dpendances entre les composants : par exemple, le composant traitant de la distribution des cls cryptographique peut dpendre du composant gnrant les cls cryptographiques. Tous ces lments sont regroups dans des catalogues permettant de construire : des paquets : regroupement rutilisable de composants visant satisfaire des objectifs de scurit bien identifis ; des cibles de scurit comme pour les ITSEC ; des profils de protection (PP) qui correspondent en pratique une cible de scurit gnrique et qui se situent donc un niveau dabstraction suprieur. Par exemple, on pourra trouver un profil de protection pour les pare-feux en gnral. Un pare-feu particulier devra disposer dune cible de scurit propre qui pourra tre conforme au profil de protection des pare-feux en gnral. La cible de scurit est associe une cible dvaluation relle alors que le profil de protection est associ un produit virtuel. Avec les PP, les CC disposent dun outil permettant de normaliser des fonctionnalits et des niveaux dassurances pour des produits ou des systmes. Ainsi, les cibles de scurit de produits dune mme famille peuvent se rfrer un mme PP ce qui facilite la comparaison entre les produits certifis. Les CC comportent sept niveaux de confiance (ou niveaux dassurance) nots EAL1 EAL7. Ont peut tablir une correspondance avec les niveaux ITSEC : EAL2 E1, EAL3 E2... EAL7 E6. chaque niveau de confiance est associ un certain nombre de classes dassurances avec des composants impliquant une rigueur et des exigences croissantes dans lvaluation. Les niveaux peuvent tre augments. Cette augmentation consiste par exemple slectionner un composant dassurance impliquant des exigences plus leves que ce qui est requis par la norme. On note cette augmentation par le signe +. Par exemple, EAL4 augment est not EAL4+.

194

La scurit des systmes dinformation

Certification et reconnaissance des certificats


Une valuation russie aboutie normalement lmission dun certificat indiquant que la cible dvaluation est conforme sa cible de scurit. Lvaluation est un processus qui peut savrer long et coteux. Il ntait donc pas envisageable que les produits soient obligs de se faire valuer dans chaque pays o ils sont diffuss. Cest pourquoi une exigence qui est apparue ds les ITSEC a t la reconnaissance mutuelle des certificats indpendamment du pays et de lorganisme o lvaluation a t ralise. Cet objectif est atteint par la mise en place dun schma dcrivant lorganisation adopte pour raliser les valuations et leur certification. En France, les valuations sont ralises par des centres dvaluation de la scurit des technologies de linformation (CESTI) qui doivent tre accrdits selon la norme EN17025 par le comit franais pour laccrditation (COFRAC) et agrs par la direction centrale de la scurit des systmes dinformation (DCSSI). Laccrditation garantie, entre autres, lexistence dun manuel qualit propre au laboratoire, dune organisation adapte et surtout, de labsence de pression sur les valuateurs qui pourraient biaiser les rsultats de lvaluation. Lagrment garanti, entre autres, la comptence du laboratoire dans son domaine dactivit et sa capacit assurer la confidentialit, tant du droulement de lvaluation que des fournitures quil manipule et qui peuvent contenir des secrets industriels. Plus gnralement, lobjectif de ces schmas est dassurer : la rptabilit (la constance) : une mme valuation mene par un mme laboratoire doit donner le mme rsultat ; la reproductibilit : une mme valuation mene par deux laboratoires diffrents doit donner le mme rsultat ; lobjectivit : les opinions et jugements subjectifs sont rduits au minimum ; limpartialit : le laboratoire ne subit pas de pression pouvant biaiser les rsultats ; la comptence : le laboratoire est comptent pour mener lvaluation dans un domaine technique donn avec des critres donns (ITSEC ou CC) pour un niveau maximum dvaluation donn. Aujourdhui, les certificats CC sont reconnus formellement par un grand nombre de pays jusquau niveau EAL4.

Dure des valuations


Une valuation est un processus long. Certaines ont dur deux ans pour des niveaux viss EAL4 ce qui est une situation anormale. Une des principales raisons de cet tat de fait a longtemps t lie linexprience des dveloppeurs qui ntaient pas en mesure de fournir les lments de preuve attendus par le CESTI. Cette situation samliore aujourdhui et on peut envisager des valuations en moins de six mois, toujours pour ces niveaux. Les dveloppeurs matrisent de mieux en mieux les critres ou se font accompagner par des socits qui les aident les mettre en uvre. On ne saurait trop conseiller un dveloppeur vierge sur ce

Annexes

195

sujet de se faire accompagner par un conseil comptent lors de sa premire valuation afin dviter bien des dboires.

Cot des valuations


Le cot dune valuation se dcompose en deux parties et est variable en fonction du niveau de confiance vis : le cot induit par la prise en compte des critres dans le dveloppement du produit faire valuer et le cot de lvaluation elle-mme qui est d au CESTI. En France, lorganisme de certification (la DCSSI) ne fait pas payer ses prestations. Le premier cot est dautant plus important que le dveloppeur na pas introduit les exigences dassurance des critres ds le dbut de son dveloppement. On considre que pour un niveau E3 EAL4, le cot associ lassurance conformit devrait tre faible si le dveloppement se fait sous contrle qualit. Par contre, le cot de production des fournitures associes lassurance efficacit nest gnralement pas pris en compte dans les processus de dveloppement sous contrle qualit et doit donc tre intgralement ajout au cot de ralisation du produit. Le cot dune valuation EAL4 pour un produit de complexit moyenne (un pare-feu par exemple) est de lordre de 100 150 k ce qui est loin dtre ngligeable. Ce cot lev explique le peu de succs de lvaluation pour des produits de faible cot la diffusion limite. Pour ces produits, la seule faon de pouvoir se faire certifier est de trouver un ou plusieurs clients fortement concerns par la scurit et qui acceptent de jouer le rle du commanditaire.

Conclusions
Lvaluation de la scurit selon des critres normaliss est aujourdhui loutil le plus labor pour certifier le niveau de confiance dun produit ou dun systme, en particulier, dans le cas o lon a besoin de faire partager cette confiance. Son cot le rserve aujourdhui des produits de diffusion telle quun retour sur investissement est possible ou des organisations qui ont les moyens de leurs ambitions en matire de scurit. Lvaluation nest pas antinomique avec lexpertise. En particulier, une organisation qui veut se convaincre de la scurit dun produit sans avoir besoin de faire partager cette confiance dautres utilisera ce moyen pour obtenir cette conviction moindre cot. Dautant plus que certaines officines proposant ce type de prestation ont elles-mmes fait voluer leur pratique en intgrant les critres communs dans leur dmarche danalyse. Les CC, ITSEC et autres documents dapplication des critres sont tlchargeables sur le site www.ssi.gouv.fr. On y trouve galement la liste des CESTI agrs, la liste des produits certifis en France et des liens sur des sites dorganismes homologues la DCSSI ltranger.

196

La scurit des systmes dinformation

On pourra consulter galement le dcret no 2002-535 du 18 avril 2002 relatif lvaluation et la certification de la scurit offerte par les produits et les systmes des technologies de linformation.

La qualification
Les administrations souhaitent disposer de produits de scurit dans lesquels elles peuvent avoir confiance et qui rpondent leurs besoins de scurit. La certification offre un lment de rponse au premier point mais pas au second. Il faut en effet se rappeler quun produit est valu selon sa cible de scurit (sa spcification de besoin de scurit). Cette cible est ralise sous la responsabilit du dveloppeur qui y met ce quil veut. Ainsi, deux pare-feux peuvent tre valus au mme niveau de confiance mais sur des spcifications de besoins diffrentes. Et peut-tre quaucune des deux ne rpondra aux besoins dune certaine catgorie de client. Ce quintroduit le processus de qualification cr par la DCSSI est de sassurer que les cibles de scurit des produits (en terme notamment de primtre et de profondeur de lvaluation) rpondent aux besoins des administrations. On distingue trois niveaux de qualification : standard, renforc et lev. Les deux premiers niveaux ont t dfinis et leurs processus sont rendus publics. Ils correspondent respectivement, en matire de niveau dassurance des critres communs, une certification EAL2+ pour le niveau standard et EAL4+ pour le niveau renforc. La qualification fait aussi appel la cotation des mcanismes cryptographiques par la DCSSI et lvaluation des signaux compromettants ( partir de niveau renforc). Ce qui est galement primordial, cest de dfinir les usages de la qualification : ainsi, la DCSSI et lADAE rfrencent la qualification dans le rfrentiel scurit de ladministration lectronique (Politique de rfrencement intersectorielle de scurit, PRIS), et la DCSSI exploite la qualification en vue de la dlivrance des cautions et agrments.

La caution et lagrment
La caution est lattestation dlivre par la DCSSI quun produit offrant des services de chiffrement est apte, dans certaines conditions, protger de linformation sensible non-classifie de dfense au sens de la rglementation (recommandation 901). Cette caution sappuie directement, pour la protection des informations sensibles de niveau diffusion limite, sur la qualification de niveau standard, les conditions correspondant aux restrictions dusage du produit figurant dans le rapport de certification. Lagrment est lattestation dlivre par la DCSSI quun produit de chiffrement est apte dans certaines conditions, protger des informations sensibles classifies de dfense au sens de la rglementation (instruction interministrielle 900). Lexploitation de la qualification pour un agrment fait lobjet de procdures spcifiques.

Annexes

197

Оценить