La France se dote d’une politique globale de sécurité

C’est par une circulaire datée du 17 juillet et signée du Premier Ministre que la France a été officiellement dotée de sa première politique globale de sécurité des systèmes d’information (PSSIE). Elaborée par l’Agence nationale de la sécurité des systèmes d’information (Anssi), cette politique concerne tous les systèmes informatiques de l’Etat et « chaque ministère est désormais responsable de [son] application ».

Le témoignage d’une situation préoccupante ?

Comme rappelé en préambule, la PSSIE doit contribuer à « assurer la continuité des activités régaliennes [de l’Etat], prévenir la fuite d’informations sensibles, renforcer la confiance des citoyens et des entreprises dans les téléprocédures. » Elle définit pour cela un large éventail de mesures de sécurité en partant de dix principes dits « stratégiques ». La pertinence de certains d’entre eux n’est pas forcément évidente de prime abord – « lorsque la maîtrise de ses systèmes d’information l’exige, l’administration fait appel à des opérateurs et des prestataires de confiance » - quand d’autres conduisent à s’interroger sur la posture de sécurité actuelle des systèmes d’information de l’Etat – « tout système d’information de l’Etat doit faire l’objet d’une analyse de risques permettant une prise en compte préventive de sa sécurité, adaptée aux enjeux du système considéré » ou encore « les opérations de gestion et d’administration des systèmes d’information de l’Etat doivent être tracés et contrôlées. »

La PSSIE prévoit l’adoption de systèmes d’authentification forte des agents, ainsi que leur formation et sensibilisation à la cybersécurité. Et « les mesures techniques mises en place par l’Etat dans ce domaine doivent être connues de tous. » Et l’on comptera sur les administrateurs de systèmes pour « appliquer, après formation, les règles élémentaires d’hygiène informatique. »

Sans surprise, les deux derniers principes fondateurs de la PSSIE disposent que les « produits et services acquis par les administrations et destinés à assurer la sécurité des systèmes d’information de l’Etat » doivent être labellisés par l’Anssi, et que les informations considérées comme « sensibles […] sont hébergées sur le territoire national. »

Quelle mise en pratique ?

La PSSIE donne trois ans aux administrations de l’Etat pour se mettre « en conformité totale » avec ses dispositions. Et toutes les entités concernées – « ministères, établissements publics sous tutelle d’un ministère, services déconcentrés de l’Etat, et autorités administratives indépendantes » - devront « au premier janvier 2015 avoir mis en conformité leur politique de sécurité des systèmes d’information et défini un plan d’action », lequel devra indiquer « les mesures à prendre dans l’immédiat puis à court et à long terme. » De quoi laisser une latitude significative aux « entités » concernées, quitte à limiter au passage la portée réelle du texte.

Dommage car le point apparaît d’autant plus crucial que, selon le texte, la PSSIE « s’adresse à l’ensemble des agents de l’Etat » et « énonce des mesures techniques générales, qui constituent un socle minimal. » Dès lors, sa mise œuvre semble largement dépendre d’efforts de sensibilisation et de formation qui devront indubitablement être planifiés. Mais là, pas plus de précision quant au calendrier attendu.

Et si, très logiquement, la PSSIE est conçue comme vivante et appelée à évoluer dans le temps, elle pêche encore par l’absence d’échéancier fixant des rendez-vous réguliers pour travailler à son évolution.