Les événements qui se sont produits le 11 septembre 2001 aux Etats-Unis ont créé un véritable électrochoc en matière de sécurité. Les entreprises ne se sentent plus à l’abri d’une destruction totale et cherchent à mieux protéger leurs données. Le magazine international de CSC, CSC World, en faisait d’ailleurs le dossier central de son numéro d’hiver 2001 : nouvelles menaces, cybercriminalité, définition d’un bon programme de sécurité, redéfinition des enjeux et des rôles au sein de l’entreprise,… Et si les millions de réservations enregistrées par la SNCF étaient détruites ? Si La Redoute perdait les 30 millions d’adresses de son fichier clients ? Est-ce irréaliste ? Avec quelques mois de recul, nous avons interviewé sur ces mêmes thèmes un expert de la sécurité, Henri Serres, aujourd’hui à la tête de la Direction centrale de la sécurité des systèmes d’information (DCSSI).

CSC : Selon une étude du Gartner Group, les événements du 11 septembre 2001 vont conduire les entreprises à «rendre prioritaires» leurs projets d’investissement relatifs à la sécurité informatique au cours des prochains mois. Est-ce une concession supplémentaire à la paranoïa sécuritaire qui caractérise cette année, ou s’agit-il davantage d’une récente prise de conscience des dangers qui menacent les entreprises et les organisations ?

Henri Serres : Les attentats du 11 septembre ont indéniablement joué un rôle de révélateur en ce qui concerne l’évaluation du niveau de la menace. Nous avons basculé brusquement dans la réalité et le monde entier a pris conscience que des organisations terroristes pouvaient disposer des technologies les plus sophistiquées. L’augmentation des investissements sécuritaires, alors même que la conjoncture souligne plutôt une stagnation des dépenses informatiques, est évidemment liée à cette tragédie. Pour autant, il ne faudrait pas sous-estimer un autre facteur, celui de la maturation des marchés. Les grands utilisateurs comme les entreprises se rendent aujourd’hui compte de leur dépendance aux moyens informatiques. Leurs relations, en amont comme en aval, avec leurs fournisseurs comme leurs clients, s’appuient de plus en plus sur des structures d’échange dématérialisées. Dès lors, la sécurité des moyens de traitement et de communication est au cœur même du fonctionnement de l’entreprise. C’est ce double sentiment, d’une part celui d’une augmentation de la menace, d’autre part, celui d’une dépendance accrue à l’informatique, qui explique à mon sens cette sensibilité plus grande à la sécurité. Je crois également que l’on a assisté à une autre prise de conscience en matière de sécurité, celle liée à la notion de gestion du risque. Votre magazine expose bien cette idée. Aucun produit, aucune technique n’ont la capacité d’éliminer complètement le risque. Quelque soit la qualité des décisions techniques qui ont pu être prises, si l’élément humain peut être dans certains cas le point faible, il constitue également le point fort d’un système de sécurité. La période qui a suivi le 11 septembre a également permis de souligner que l’organisation de la sécurité n’est plus une question réservée aux seuls spécialistes. La sécurité est bien un enjeu de direction générale, qui doit prendre la décision du degré de protection consenti à certaines natures d’information. Un tel arbitrage doit se faire au plus haut niveau.

Jean-Claude Mallet, secrétaire général de la Défense nationale, soulignait lors de votre nomination à la tête de la DCSSI la nécessité d’un changement d’échelle, notamment dans les moyens, puisque selon lui la France, en matière de sécurité informatique était «sous-dimensionnée par rapport à ses voisins européens». Le constat serait-il le même aujourd’hui ?

Un effort important a depuis été réalisé avec le doublement des moyens de la DCSSI en ingénieurs et en chercheurs. Une priorité particulière a été accordée au renforcement des moyens opérationnels, notamment avec la création du CERTA (Centre d’expertise gouvernemental de réponse et de traitement des attaques informatiques), qui joue aujourd’hui un rôle préventif très important en diffusant des alertes et des avis à l’ensemble du secteur public. Ses avis sont également à disposition du public sur notre site www.ssi.gouv.fr. Nous avons aussi mis en place une capacité d’audit des systèmes d’information. Considérant l’ampleur des enjeux, ce mouvement est à confirmer et à amplifier en relation avec l’ensemble de nos partenaires, avec les administrations naturellement, mais aussi avec un certain nombre d’entreprises dont le bon fonctionnement est essentiel à la continuité de l’Etat, comme celles opérant dans les secteurs des télécoms, de l’énergie, des transports, de la santé, etc. Un effort supplémentaire doit également être fait dans le sens de la décentralisation. De plus en plus d’infrastructures vitales sont réparties sur l’ensemble du pays et le travail de formation et de sensibilisation au niveau central doit être relayé dans l’ensemble des établissements. Pour autant, la sécurité informatique n’a aujourd’hui de sens que dans un monde de réseaux et doit être une action européenne et internationale. Les autres pays européens en sont bien conscients et ont eux aussi accru leurs moyens. Pour revenir au 11 septembre, les événements ont d’ailleurs conduit à une accélération du cadre juridique français et communautaire en matière de sécurité des systèmes d’information.

En matière de dangers, quelles sont les principales différences entre le secteur public et le secteur privé ?

Fondamentalement, il y a beaucoup de points communs entre les deux secteurs ! On peut tout de même pointer quelques particularités. D’une part, sur le plan de l’exposition aux risques, puisque de par sa visibilité et son côté symbolique, le secteur public est une cible plus tentante. D’autre part, le secteur public rencontre peut-être plus de difficulté que le secteur privé à recruter et à assurer la carrière de ses spécialistes de la sécurité informatique. Nous nous concentrons donc plus particulièrement sur la formation et sur le renforcement des compétences en sécurité des exploitants mais aussi de l’ensemble des utilisateurs, qui sont partie prenante de la chaîne de sécurité, en rappelant sans cesses les règles de base : bien choisir ses mots de passe, en changer régulièrement, mettre à jour ses anti-virus, assurer une bonne gestion des annuaires de droits, etc. Le secteur public a fait depuis quelques années un effort important d’équipement, de connexion de ses agents à Internet. Les questions de sécurité sont dès lors très proches de celles des grandes entreprises, qui à la fois doivent gérer des informations internes, sur leurs intranets par exemples, et expriment un besoin d’interconnexion avec les réseaux mondiaux pour leurs relations avec leurs partenaires. La nature du patrimoine est bien sûr différente, mais la sensibilité de certaines informations à l’intérieur d’une entreprise peut être aussi grande qu’une information classifiée «confidentiel défense» dans une administration. Dans les deux cas, le niveau de protection doit être ajusté à la valeur de l’information à protéger.

On observe des tentatives de normalisation ou d’évaluation des produits de sécurité, sanctionnées par l’obtention d’agréments. L’une des illustrations est fournie par le ratio McDonough, né de la réforme du ratio Cooke, qui édicte des règles de sécurité auxquelles doivent scrupuleusement se conformer les organismes financiers qui souhaitent se prévaloir de ce label. La DCSSI a-t-elle une politique de labellisation ?

La première mission de la DCSSI porte sur la protection des informations de l’Etat, et il existe une réglementation relative aux informations classifiées, faisant obligation aux administrations d’utiliser des matériels agréés pour leur traitement. Mais la DCSSI anime aussi une démarche volontaire d’évaluation et de certification de produits et de systèmes de sécurité pour les entreprises. Ces certificats sont reconnus par un certain nombre de pays étrangers. CSC World cite d’ailleurs la norme ISO 15408 qui contribue à la base de ces critères communs. Ces certificats sont certainement un élément de différenciation sur les marchés, voire un argument commercial, à tel point que certains utilisateurs les exigent explicitement lors de leurs appels d’offre. C’est le cas des banques, par exemple, pour les cartes à puce destinées aux systèmes de paiement. C’est vrai aussi pour des applications dans le domaine de la santé, comme la carte des professionnels de santé. Cette certification est également demandée par la directive communautaire sur la signature électronique sécurisée.

Certaines entreprises commencent à assumer publiquement le recrutement de spécialistes recrutés parmi quelques hackers assagis ou repentis. La société eEye Digital Security a nommé officiellement un Chief Hacking Officer, l’éditeur d’antivirus @Stake a recruté le célèbre hacker Peiter Zatko, plus connu sous le surnom de Mudge, au poste de directeur scientifique. Pourriez-vous suivre cette tendance ?

Dans la logique du secteur public, un tel recrutement est difficilement concevable. Notre objectif reste avant tout la formation de spécialistes. Au sein du réseau international des CERTs (Computer Emergency Response Teams), nous mettons en commun les évaluations des différentes attaques et chaque membre de cette communauté contribue à l’approfondissement du savoir-faire global. Nous assumons néanmoins très publiquement… la mise en place d’une cellule d’audit, comparable à ce que vos collègues américains nomment «ethical hackers», qui n’intervient uniquement que si la DCSSI est sollicitée.

---

Liens associés

En savoir plus sur les solutions offertes pas CSC en matière de sécurité informatique.