Etats-Unis : le parlement étrille le bureau de gestion du personnel

Entendue par la commission de surveillance du parlement américain sur la double intrusion dont a été victime son système d’information, la patronne du bureau de gestion du personnel a laborieusement tenté de défendre sa politique.

La commission de surveillance du parlement américain entendait, ce mardi 16 juin, Katherine Archuleta, directrice du bureau de gestion du personnel, l’OPM, au sujet du double vol de données personnelles dont il a été victime et dont l’ampleur reste à déterminer. Une audition qui été l’occasion de l’étriller.

Pour le président de la commission, le député Chaffetz, c’est bien simple, Katherine Archuleta a « totalement et complètement échoué » à atteindre tout objectif de sécurisation des systèmes d’information de l’OPM. Et de souligner que les avertissements n’ont pas manqués, de la part de l’inspecteur général, « incident après incident », jusqu’à la recommandation de fermer certains systèmes l’an passé : « et vous, vous avez pris la décision consciente de le garder ouvert, de laisser les informations vulnérables. Et les pirates les ont ».

Pas plus tendre, le député Mulvanet est revenu sur ces recommandations, dont la dernière avait été formulée en novembre 2014, et à laquelle Katherine Archuleta avait répondu en estimant de ne pas voir de risque concret. Et Mulvanet de lui demander si son avis sur la question a aujourd’hui changé.

Eludant la question, la patronne de l’OPM s’est défendue, soulignant la vétusté du système et assurant « travailler au mieux de nos possibilités ». Réponse sans ménagement de Mulvanet : « c’est bien cela qui me fait peur, Madame Archuleta, que ce soit le mieux de vos possibilités ».

Le problème de l’obsolescence

L’absence de chiffrement de certaines données, à commencer par les numéros de sécurité sociale des fonctionnaires américains, semble avoir particulièrement cristallisé les tensions. Mais pour Katherine Archuleta, le SI de l’OPM ne se prêtait pas à la mise en œuvre simple et rapide du chiffrement. En outre, selon elle, les droits d’accès obtenus par les attaquants leur auraient permis de passer outre cette protection.

Mais, surtout, pour elle, le défi, à la tête de l’OPM, est plus vaste. Et de rappeler qu’elle a pris ses fonctions il y a 18 mois et que, bien consciente des problèmes de sécurité du SI de l’OPM, elle a présenté un plan stratégique de modernisation en février 2014. Selon elle, ce système d’information, qu’elle décrit comme considérablement vétuste, est visé par 10 millions de tentatives d’intrusion confirmées chaque mois. Deux ont manifestement réussi. Le fruit de « décennies de négligence » ont reconnu certains membres de la commission.

Un regard plus compréhensible que Michael R. Esser, assistant de l’inspecteur général, aura du mal à contester. De fait, dans sa déclaration, il reconnaît les progrès réalisés à l’OPM en matière de sécurité informatique, depuis 2012. Et de souligner en outre l’existence d’un centre de sécurité opérationnelle fonctionnant en continu, à l’OPM, depuis 2014. Mais le bureau n’a toutefois « pas encore implémenté un programme de supervision continue mature ».

Alors pour lui, l’évolution de la structure de gouvernance IT de l’OPM produit des résultats positifs, mais « il apparaît que [la DSI du bureau] continue d’être affectée négativement par des années de gouvernance de la sécurité décentralisée », avec notamment une « infrastructure technique qui reste fragmentée et ainsi par construction difficile à protéger ».

Une question de priorités

Point négatif toutefois pour Katherine Archuleta, 21 systèmes de l’OPM – sur un total de 47 – devaient être audités avant de recevoir une autorisation, en 2014. Pour 11 d’entre eux, l’examen de passage n’a pas pu être fini à temps. Mais ils ont continué de fonctionner sans validation. Un point auquel la patronne du bureau répondu par une autre priorité : verser aux retraités leurs pensions, entre autres.

Mais pour Michael R. Esser, un autre point apparaît critique : plusieurs des 11 systèmes concernés « comptent par les applications les plus critiques et sensibles de l’agence » ; deux d’entre eux « sont des systèmes de support qui abritent plusieurs applications majeures ; plus de 65 % de tous les systèmes opérés par l’OPM s’appuient sur l’un de ces deux systèmes de support ».

Et si l’OPM a bien déployé de nouveaux outils de sécurité, pour l’inspecteur général, « tous ces outils ne sont pas utilisés au maximum de leurs capacités ». Des défauts de configuration qui préviennent par exemple l’analyse de certains serveurs à la recherche d’activités malicieuses.

En outre, le bureau est bien doté d’un système de gestion des informations et des événements de sécurité (SIEM)… « mais au moment de notre rapport Fisma 2014, cet outil ne collectait des données que sur 80 % des principaux systèmes IT de l’OPM ». Pire, le bureau semble incapable de réellement connaître son parc informatique : « nous avons également déterminé que l’OPM n’entretient pas un inventaire centralisé et actualisé de tous les serveurs et bases de données dans son réseau ».

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close