Contribuez à SecuObs en envoyant des bitcoins ou des dogecoins.
Nouveaux articles (fr): 1pwnthhW21zdnQ5WucjmnF3pk9puT5fDF
Amélioration du site: 1hckU85orcGCm8A9hk67391LCy4ECGJca

Contribute to SecuObs by sending bitcoins or dogecoins.



L'ANSSI durcit le ton

Par Ludovic Blin, secuobs.com
Le 04/11/2013


Résumé : Suite au livre blanc sur la défense et la sécurité nationale, puis à la loi de programmation militaire, l'agence gouvernementale continue sa montée en puissance, au niveau de ses effectifs, mais aussi de ses prérogatives.



Comme l'année dernière et l'année précédente, la conférence d'ouverture des assises de la sécurité, qui avaient lieu au début du mois d'octobre, revenait au directeur de l'ANSSI, Patrick Pailloux. Depuis quelques années, en effet, les plus hautes autorités de l'état ont pris conscience de la situation potentiellement problématique sur le plan de la sécurité informatique de nombreuses entreprises. Celles-ci, quant à elles évoluent plus lentement, beaucoup de chemins restant à faire, même si quelques unes commencent à appliquer les règles d'hygiène informatique qui sont nécessaires (rappelées notamment dans un guide édité par l'ANSSI).

Le livre blanc sur la défense et la sécurité nationale, récemment publié, définit ainsi que l'état fixera les standards en terme de cybersécurité pour les opérateurs d'infrastructures vitales, mais aussi veillera à ce que ces derniers prennent les mesures indispensables. En effet, c'est dans le rôle de l'état de protéger les systèmes indispensables à la survie de la nation. L'ANSSI pourra donc fixer des règles impératives, et les incidents de sécurité devront obligatoirement lui être signalé. Des sondes opérées par des prestataires de confiance pourront également être posées.

Le domaine de l'informatique industrielle, aussi dénommée SCADA est particulièrement concerné. Dans ce type de secteur, si la sûreté de fonctionnement des installations est en générale maîtrisée, la sécurité l'est beaucoup moins. En effet, il faut prendre en compte les actes de malveillances, qui peuvent leurrer les capteurs des systèmes de sûreté (voir par exemple l'affaire Stuxnet).

La labellisation des prestataires d'audit de sécurité est également lancée, avec une vingtaine de sociétés candidates, dont 5 qui ont obtenu le label PASSI. Comme pour la labellisation des produits, l'objectif est de mettre en place un cadre de confiance qui garantira la fiabilité.

Si les menaces n'ont pas réellement évolué depuis quelques années (sabotage, espionnage, cybercriminalité), une prise de conscience des dirigeants s'opère progressivement. La médiatisation de ce type de sujet, par exemple lors de l'affaire NSA (qui continue d'ailleurs son effet boule de neige médiatique), n'y est pas étrangère.

Ainsi, les dirigeants semblent faire plus attention à la localisation de leurs solutions "cloud" et des sociétés qui les administrent. De la même manière, la certification par l'ANSSI des produits et sociétés de sécurité est particulièrement intéressante face à ces problématiques d'espionnage (qui peut être économique).

Le dispositif national pour faire face aux cybermenaces continue donc son adaptation, avec des moyens humains qui devraient être encore en augmentation, l'ANSSI recrutant toujours (80 postes sont à pourvoir).

Par ailleurs la réserve citoyenne cyberdéfense, qui joue un rôle de réflexion et de sensibilisation semble rencontrer un certain succès puisque de nombreux volontaires l'ont rejoint. Une réserve opérationnelle cyber devrait également voir le jour, rassemblant des profils plus "techniques", qui pourraient notamment jouer un rôle en cas de manque de moyens suite à une attaque importante.

Signe des temps, peu de temps après l'adoption par le Sénat de la loi de programmation militaire 2014-2019, qui valide, entre autres, ces nouveaux pouvoirs de l'ANSSI, on apprenait que plusieurs opérateurs allaient devoir retirer de leurs coeurs de réseaux des équipements des constructeurs chinois Huawei et ZTE.