Sécurité : les sociétés critiques pour l'économie française de la cyber-défense nationale

Créée cette semaine, l'Agence nationale de la sécurité des systèmes d'information (Anssi) reprendra une des missions de l'organisme auquel elle succède, la Direction centrale de la sécurité des systèmes d'information (DCSSI) : la coordination des directives nationales de sécurité (DNS).

Un sujet très confidentiel abordé lors d'un débat organisé par le Cercle européen de la sécurité et des systèmes d'information, fin juin à Paris. La démarche, initiée en 2006, consiste à identifier les secteurs critiques pour le fonctionnement du pays, puis, pour chacun, à donner des consignes de sécurité à des opérateurs, publics ou privés, vus comme essentiels et chargés de les mettre en œuvre, avec souvent un volet système d'information. "Douze secteurs ont été définis, raccrochés à sept ministères coordinateurs, qui écrivent les textes des DNS. Ces dernières sont ensuite adressées aux opérateurs d'importance vitale, qui sont chargés de financer les mesures afin de respecter les exigences du gouvernement", a expliqué le député UMP de l'Essonne Pierre Lasbordes lors du débat. 241 organisations ont ainsi été identifiées. "Les premières désignations d'opérateurs d'importance vitale datent de début janvier 2007", ajoute Pierre Lasbordes dans un mail à la rédaction du MagIT. "L'identification de ces opérateurs est considérée comme achevée à 90 % à ce jour; elle devrait être terminée dans les prochains mois". Sans surprise, les systèmes de type Scada (Supervisory Control And Data Acquisition, système de pilotage d'infrastructures industrielles) font l'objet d'une surveillance particulière.

Le confidentiel-défense, un frein pour le projet

Une fois les DNS reçues, les opérateurs ont six mois pour soumettre un plan de sécurité opérationnelle et deux ans pour définir un plan particulier de sécurité aux autorités de tutelle. Des plans qui pourront être audités "sûrement par la DCSSI (donc désormais par l'Anssi, ndlr)", a expliqué Pierre Lasbordes lors des débats du Cercle. Un cheminement bien connu de Sylvain Thiry, le RSSI de la SNCF, opérateur qui a reçu sa DNS en novembre 2007. "Dès qu'on touche aux DNS, on entre dans le confidentiel-défense", a expliqué le responsable de la sécurité des systèmes d'information. "En interne, c'est donc un projet que j'ai mené seul et pour lequel il est difficile d'avoir l'adhésion des collaborateurs." Autre difficulté : le cloisonnement. "Je suis habilité en tant que RSSI. Je ne connais donc que la partie des DNS qui me concerne", a raconté Sylvain Thiry.

En pratique, si la mise en œuvre part d'une analyse des risques assez classique, il s'agit d'un projet déconnecté du plan de sécurité interne de l'entreprise. "On ne peut pas piloter la sécurité d'une entreprise par les DNS", a tranché Sylvain Thiry. Principalement, parce que le plan particulier de sécurité part d'une logique de sites à protéger, des sites baptisés points d'importance vitaux (PIV). "Un datacenter peut par exemple devenir un PIV", selon le RSSI.

Des exigences trop coûteuses ?

La conséquence logique ? La mise en place des DNS engendre un surcoût pour les opérateurs désignés, y compris une enveloppe supplémentaire pour le budget sécurité des SI. Sylvain Thiry a expliqué par exemple avoir eu besoin de 6 mois pour "avoir une vision d'ensemble du sujet. Il faut un bon niveau et une méthodologie d'analyse des risques bien en place. Pour une PME, c'est relativement lourd". D'ailleurs, lors du débat du Cercle, un responsable d'Orange, qui expliquait avoir plusieurs centaines de PIV à protéger, a évoqué une distorsion de concurrence par rapport aux autres opérateurs téléphoniques échappant, eux, aux DNS. Tout en rétorquant que la mise en œuvre des DNS conférait aussi un avantage aux sociétés concernés - en sécurisant leurs offres -, Pierre Lasbordes a reconnu que le SGDN (secrétariat général de la défense nationale, dont dépend l'Anssi) devrait évaluer la mise en œuvre des DSN. "Si l'implémentation est trop coûteuse, il faudra assouplir le dispositif", a reconnu le député.

Des affaires de piratage qui font tâche

Rappelons que plusieurs affaires, ces dernières années, (comme la cyberattaque contre les sites gouvernementaux de l'Estonie en 2007, celle contre les systèmes d'information français la même année ou le piratage des systèmes Scada de pilotage de l'infrastructure électrique américaine en avril dernier) ont attiré l'attention des états sur leurs lacunes en matière de défense contre ces agressions électroniques. Les effectifs de l'Anssi doivent ainsi passer à 250 personnes d'ici à trois ans, alors que la DCSSI ne comptait que 110 fonctionnaires. Et le sujet de la cyberguerre figure parmi les priorités du Livre blanc sur la défense. Une préoccupation reprise un mois plus tard dans un rapport du Sénat.

Hier, la presse américaine révélait que plusieurs sites officiels américains - dont la Maison Blanche - et sud-coréens étaient victimes d'attaques par déni de service (DDoS) concertées et bien organisées.