La Sécurité des Systèmes d’Information en Assises à Monaco
Dans le cadre de la 13ème édition des Assises de la Sécurité des Systèmes d’Information1, la dernière table ronde de la journée revient sur le cri d’alarme poussé il y a deux ans par Patrick Pailloux, Directeur Général de l’ANSSI : « Cela ne pas continuer comme cela ! Les systèmes d’information en France, comme de par le monde, sont en danger : j’ai parfois l’impression que nous les avons abandonnés… ». Qu’est-ce qui a changé… ou pas, depuis deux ans ?
Sollicités pour répondre à cette problématique majeure pour toute entreprise soucieuse de la sécurité de son patrimoine immatériel :
- Georges Epinette, Vice-président du CIGREF, DOSI du Groupement Les Mousquetaires
- Alain Bouillé, Président du CESIN
- Franck Veysset, Chef de la division pilotage opérationnel du COSSI chez ANSSI
- Bernard Ourghanlian, Directeur Technique et Sécurité Microsoft
Un appel entendu, mais… pas assez loin !
Pour Franck Veysset (ANSSI), des efforts ont été faits, mais il reste encore beaucoup à faire ! « Quand on regarde l’actualité de ces 2 dernières années, on y trouve des crises majeures comme la cyber attaque contre Aramco, premier producteur mondial de pétrole, en août 2012. La question qui se pose est qu’est-ce qui se passerait si les systèmes français étaient ciblés de la même façon ? Est-on vraiment sûr de pouvoir dormir tranquilles ? Un rapport américain cite plus de 140 organisations espionnées au cours de ces dernières années… ce qui veut dire qu’il reste encore beaucoup de choses à faire ! ».
Bernard Ourghanlian (Microsoft) partage ce constat : « depuis ce temps, je ne pense pas qu’il y ait un seul jour où mes équipes n’ont pas été mobilisées pour aider un client à reprendre le contrôle de son Système d’Information. Et hélas, cela continue. Des crises graves ont encore lieu en ce moment-même. Je pense que cet appel a été entendu. La question est de savoir s’il a été entendu assez loin ? Or, quand on constate la quantité d’informations qui ont pu être volées pendant tout ce temps, on voit que cela peut mettre en péril un certain nombre de très grandes entités françaises et étrangères ! ».
Georges Epinette (CIGREF) avait apprécié que quelqu’un se saisisse de ce sujet avec autant de vigueur. « A l’époque, j’avais un peu l’impression que l’on allait dans le mur. En 2 ans il s’est passé pas mal de choses, ne serait-ce que l’affaire Snowden. Elle a été un détonateur, une prise de conscience au niveau des dirigeants.
Au CIGREF, nous n’avions pas attendu cela. Nous sommes extrêmement sensibilisés sur les sujets de la sécurité. Nous avons notamment mis en place un cycle de formation avec l’INHESJ pour « éduquer les acteurs à la sécurité numérique ».
Aujourd’hui, dans les grandes entreprises, le sujet de la sécurité du SI est au-dessus de la pile. Ce n’est plus vraiment une question de budget, les Conseil d’administration sont bien convaincus. Maintenant, il faut que le message redescende dans les structures et il nous faut convaincre les Directions métiers ».
On voudrait du numérique sans contrainte…
Georges Epinette évoque un des aspects de l’engouement numérique : « Nous sommes désormais dans une sorte de frénésie numérique où il faut assimiler toute nouveauté à la compétitivité. Tout est dans l’immédiateté. Il faut travailler, sortir des choses au titre de l’agilité, de la compétitivité, le plus vite possible, sans avoir de contrainte. Les normes, les mesures de sécurité sont mal ressenties.
Or, nous devons faire passer le message que l’agilité doit être synonyme de pérennité. Nous devons effectivement être capables de répondre rapidement aux besoins des utilisateurs, mais pas n’importe comment et pas à n’importe quel prix ! La sécurité est trop souvent vécue comme une coercition, non pas comme quelque chose qui contribuer de façon positive au SI et à l’image de l’entreprise.
Les Conseil d’administration et les Directions générales sont très sensibilisés. Les Directions métiers, sont dans le business, dans le quotidien et dans la réaction par rapport à la concurrence. C’est beaucoup plus difficile. Alors, c’est aussi aux Directions générales de porter le message sécuritaire auprès des collaborateurs ».
Aucun système d’information n’est plus à l’abri d’une intrusion…
Chacun des intervenants s’accorde sur le fait qu’il serait illusoire de croire qu’aujourd’hui un système d’information puisse être totalement à l’abri de la moindre intrusion.
Parmi les approches évoquées face aux risques d’intrusions, Bernard Ourghanlian explique que « plus un SI est complexe, plus il est difficile de le sécuriser. Il faut se focaliser sur les bons sujets : à partir du moment où l’on admet que cela arrivera, la question est : est-ce que l’on est armé pour faire en sorte que cela n’ait pas d’impact sur les éléments fondamentaux du SI, donc sur la patrimoine informationnel de l’entreprise ? ».
Franck Veysset confirme : « On avait une sécurité périmétrique, il faut passer à une protection de l’information de valeur. Une intrusion sur un poste de travail est inévitable. Après avoir appliqué les premières mesures d’hygiène pour avoir un niveau de sécurité suffisant, il faut s’intéresser à la détection qui permettra d’être certain qu’une intrusion mineure restera mineure. On doit s’assurer de pouvoir limiter les actions de l’attaquant dans le peu de temps qui va séparer le moment de l’intrusion et celui de la détection ».
La classification des données, une base de sécurité essentielle
La classification des données permettant d’identifier les données les plus sensibles, celles qui seront à protéger envers et contre tout, est un axe essentiel pour la sécurité du système d’information.
Bernard Ourghanlian rappelle que les militaires ont travaillé sur la classification pendant des décennies. Par contre, selon lui, peu d’entreprises ont déjà intégré cette logique, mise à part peut-être dans le secteur bancaire. Or, pour ce travail de classification, les Métiers sont directement concernés : « il est assez difficile de demander à l’IT d’avoir une responsabilité opérationnelle sur ce sujet. L’IT doit fournir les moyens à la fois de classifier ces données et ensuite de mettre en place les dispositifs qui vont permettre de protéger les données vraiment sensibles. C’est clairement la responsabilité des métiers ».
Pour aller plus loin sur la sécurité des systèmes d’information
Discours d’introduction de Patrick Pailloux, Directeur général de l’ANSSI qui a souligné notamment : « …l’impératif de construction d’une stratégie à long terme pour les systèmes industriels, qui sont désormais les systèmes nerveux de nos Nations, et a invité les industriels à « se retrousser les manches » pour œuvrer à la protection des systèmes critiques. Il a rappelé que l’État avait pris ses responsabilités dans ce domaine en proposant au parlement la traduction législative des priorités décrites par le Livre blanc sur la défense et la sécurité nationale. Le projet de loi de programmation militaire inclut des mesures qui visent notamment à permettre à l’État de fixer les règles de sécurité à appliquer aux systèmes critiques et à vérifier leur niveau de vulnérabilité… ».
Le Guide d’hygiène informatique de l’ANSSI : « Les formidables développements de l’informatique et d’Internet ont révolutionné nos manières de vivre et de travailler… Bien protéger les informations confidentielles confiées par des clients et des partenaires peut désormais créer un avantage concurrentiel. Plus encore, protéger ses données et son réseau informatique est crucial pour la survie de l’entreprise et sa compétitivité…»
Information et Dossier de candidature pour le cycle de spécialisation « Sécurité numérique » mis en place par l’INHESJ et le CIGREF. Ce cycle a pour objectifs de délivrer les savoir-faire visant l’identification, l’évaluation et la maîtrise de l’ensemble des risques et des malveillances à tous ceux qui veulent mieux comprendre les enjeux de la Sécurité Numérique au sein des entreprises. Il s’adresse aux :
- dirigeants, managers métiers, responsables fonctions ;
- managers sécurité/sûreté des entreprises, gestionnaires de risques ;
- responsables de la sécurité des systèmes d’information (RSSI) ;
- consultants en sécurité informatique ;
- directeurs des systèmes d’information ou responsables du service informatique ;
- chefs de projet informatique en charge du projet sécurisation.
Inscriptions possibles jusqu’au 8 novembre 2013.
_____________
Cet article s’appuie sur les notes prises pendant cette table ronde, avec tous les risques d’interprétation que cela induit. Il n’engage pas les personnes citées.
1 Les Assises de la Sécurité des Systèmes d’Information, « événement annuel incontournable de tous les décideurs de la SSI » rassemble au Centre de congrès de Monaco « les acteurs, les utilisateurs finaux et décideurs de la SSI – RSSI, DSI, DI, Risk managers, CIL – pour traiter les problématiques sécuritaires nationales et internationales et anticiper les tendances et les innovations de demain ».
