Sécurité des SI de l’Etat : des ambitions revues à la baisse

Si la sécurité des systèmes d’information de l’Etat est devenu un enjeu majeur, la posture actuelle semble encore loin d’être satisfaisante. Dans une annexe au projet de loi de finances pour 2015, la direction de l’action du gouvernement montre ainsi une Agence nationale pour la sécurité des systèmes d’information (Anssi) contrainte de revoir ses ambitions à la baisse.

Ainsi, la maturité globale en sécurité des SI de l’Etat aurait dû atteindre l’indicateur 3,8 à fin 2014 (sur une note de 0 à 5), mais il faudra se contenter d’un 3,4. La cible, pour 2017, n’est même que de 3,6. L’annexe précise que cet indicateur « reflète l’écart entre un niveau de maturité effectif et un niveau de maturité considéré comme adéquat en fonction de l’activité du ministère ». L’exigence est plus élevée pour les ministères régaliens, mais le détail n’est pas présenté.

Les explications apportées pour ces chiffres ne sont guères rassurantes. Ainsi, on apprend que « l’optimisme affiché » en 2013 pour cette année a du être révisé « au vu des dernières appréciations remontées à l’Anssi par les [RSSI] des départements ministériels ». En cause, en tout premier lieu, une « insuffisance de ressources financières et humaines », mais aussi « l’évolution de la menace, l’ouverture des systèmes d’information, et le fait que le critère de la sécurité passe généralement loin derrière ceux des coûts et de la facilité d’usage dans les investissements ou dans l’affectation des ressources humaine ». Et le niveau de maturité des SI ministériels est ainsi attendu à 1,7 pour 2014, contre 2,5 initialement prévu. D’où la « prudence » affichée pour 2017. En somme, après Patrick Pailloux, Guillaume Poupard, nouveau patron l’Anssi, risque de se sentir bien seul à prêcher dans le désert.

Les chiffres sont encore plus impressionnants pour « le niveau d’avancement des grands projets interministériels en matière de sécurité des systèmes d’information » : l’ambition était ainsi d’attendre un remarquable 105 % de taux d’avancement à fin 2014, mais il devrait falloir se contenter d’un modeste 81 %. Là, l’indicateur est établi à partir du « taux de connexion des passerelles des organismes de l’Etat au centre gouvernemental de détection des attaques informatiques », mais également du « taux de déploiement des systèmes d’information sécurisés par rapport à une cible », ou encore du « pourcentage de produits labellisés par l’Anssi par rapport à des objectifs pour chaque catégorie de produits ».

L'objectif pour 2017, en matière d'interconnexion de passerelles, apparaît encore là relativement modeste, avec seulement 50 équipements.