Passé un peu inaperçu pour cause de loi sur le renseignement, un rapport parlementaire sur la sécurité numérique rappelle que l’humain est le maillon faible et porte une attention toute particulière aux OIV.
Suite aux affaires désormais connues de tous (révélations Snowden, affaires Target, Home Depot Orange et bien d’autres), le rapport Sécurité numérique et risques : enjeux et chances pour les entreprises sous la responsabilité de la député Anne-Yvonne Le Dain et le sénateur Bruno Sido tire le constat sans appel selon lequel « la confiance dans les acteurs du numérique et dans la sécurité numérique s’érode ». Ces affaires ont au moins le mérite de « faciliter l’imposition de nouvelles exigences de sécurité aux personnels des entreprises et un meilleur respect des consignes des services de sécurité édictées par les spécialistes » poursuivent les auteurs du rapport. « Pourtant, jusqu’alors l’accent était plutôt mis sur la séduction au service des extensions des usages du numérique au travers d’un mécanisme toujours identique : possibilités d’augmenter ses capacités, de soigner des maladies incurables, etc ».
Les rapports sur le numérique ont été nombreux ces dernières années[1] mais aucun d’eux n’avait comme objectif unique la sécurité numérique alors que les questions qu’ils abordaient étaient, bien évidemment, sous-tendues par l’existence voire l’exigence de ladite sécurité (Sécurité : différence entre perception et réalité). Et les auteurs se désolent « qu’ils reposent sur des raisonnements dans l’air du temps mais faisant trop peu de cas des exigences de la sécurité numérique. A signaler au passage que l’un de ces rapports est co-rédigé par l’actuelle Secrétaire d’Etat au Numérique.
200 OIV à suivre de près
Près de deux cents entreprises sont reconnues comme étant des opérateurs d’importance vitale (OIV) en fonction de leur rôle crucial au sein de l’économie et de la société en général. Selon les sources, le nombre de ces opérateurs varie assez sensiblement mais il s’agit toujours d’entreprises dont le fonctionnement ne saurait être interrompu par quelque événement que ce soit sous peine de compromettre sévèrement le fonctionnement économique du pays. D’où le choix de focaliser l’étude sur les acteurs publics ou privés classés dans cette catégorie.
Parmi ceux-ci, les opérateurs télécom et d’énergie jouent un rôle particulièrement important. En effet, le secteur des télécommunications est doublement sensible : d’abord en lui-même et comme support du maillage nécessaire au fonctionnement et au développement du numérique. Quant au secteur de l’énergie, il est évident que sa sauvegarde est particulièrement cruciale puisqu’il inclut aussi bien les centrales nucléaires que les raffineries, les oléoducs, les gazoducs, les éoliennes, les centrales solaires ou encore les barrages, les transformateurs, les lignes à haute tension et même, tout simplement, le réseau « cuivre », servant d’ailleurs aussi de réseau de transport « numérique ».
Rassemblant les grandes entreprises françaises, le Cigref est concerné directement par ce rapport et se félicite qu’il reprenne certaines de ses observations, propositions et recommandations. Numérique et sécurité ne sont finalement que les deux faces d’une même pièce, l’un ne peut aller sans l’autre. Si la cybersécurité exige une prise en compte rigoureuse des risques numériques, elle s’inscrit également comme une véritable opportunité de « développer une culture du numérique ».
Autre constat issu de la culture numérique est que toute organisation (organisme, institution, entreprise grande ou petite…) chacun, chacune se doit de « multiplier les partenariats… seul on ne peut plus rien » ! Bref, la sécurité est devenue l’affaire de tous. D’où la nécessité d’une formation et d’une information adaptées aux enjeux. Cela passe par l’intégration d’une éducation au numérique au sein du système éducatif de la maternelle à l’enseignement supérieur et par des campagnes de prévention sur en direction du grand public comme des professionnels
Les constats des rapporteurs pour orienter leurs travaux
- Une représentation mentale des frontières du numérique est difficile, voire impossible à imaginer et, alors même qu’il faudrait pouvoir connaître les limites du numérique pour mesurer la confiance à placer en lui, ses failles, son degré de sécurité et les moyens de la garantir. Ces limites, fluctuantes, ne correspondent pas aux frontières des États, elles sont inconnues du grand public, voire de beaucoup de professionnels du numérique.
- Les approches traditionnelles des évolutions techniques et économiques peinent à cerner la réalité du numérique car le contenu de notions comme celles de frontières, de confiance, de productivité et même de sécurité a évolué. Elles sont réinterprétées de façon extrêmement rapide tant par les usagers que par les fournisseurs de produits et/ou d’accès numériques.
- L’existence de failles de sécurité du numérique est inhérente à cette technologie. Elles sont inévitables à chaque degré d’évolution de la technique et à chaque niveau des systèmes informatiques. Ces failles sont multiples et souvent utilisées d’abord par les pirates qui les exploitent bien avant qu’elles soient explicitées par des analyses théoriques.
- Les utilisateurs du numérique, généralement mal informés des risques de celui-ci, négligent trop souvent la sécurité, par faiblesse de leurs connaissances ou oubli des précautions à prendre, et/ou ignorance des moyens pour y parer. En effet, la vigilance des services informatiques des entreprises est parfois perçue par les utilisateurs professionnels du numérique – même au plus haut niveau – comme un frein à l’activité et à la croissance de leur entreprise.
- La sécurité du numérique doit être réinventée chaque jour puisqu’elle est, par nature, impossible à penser à partir des risques avérés et des procédés de sécurité antérieurs mais doit prendre en compte, à la fois et également, les risques présents et ceux qui pourraient caractériser le futur.
- La dépendance au numérique des individus comme des entreprises et de la société en général ne cesse de s’accroître.
- L’omniprésence du numérique rime parfois avec l’ignorance de ses possibilités comme des risques pris. La dépendance au numérique des individus comme des entreprises et de la société tout entière, ne cesse de s’amplifier et le décalage s’accroît entre les possibilités techniques des outils numériques et les connaissances nécessaires à leur maîtrise.
- La nécessité de recourir à des tiers de confiance s’impose pour aborder ces questions sur le numérique, ses frontières, son caractère évolutif et sa complexité.
- La sécurité des entreprises face aux risques du numérique apparaît insuffisamment garantie, ce qui est d’autant plus regrettable qu’elle peut être un facteur de croissance économique.
- La vie quotidienne des entreprises est maintenant rythmée par des attaques informatiques de plus ou moins grande ampleur comme par des moments de crise liés à une attaque ciblée.
- La vulnérabilité des opérateurs d’importance vitale (OIV) peut résulter de celle de leurs nombreux sous-traitants, clients, et personnels et être aussitôt mise à profit par leurs concurrents.
- La confiance n’excluant pas le contrôle, pas plus que l’information n’exclut la formation, la sécurité informatique doit être un enjeu de performance dans toutes les entreprises.
- Les conditions de la sécurité de l’informatique en nuage semblent peu développées en France, et même les opérateurs les plus performants ne sont pas exempts de failles de sécurité, y compris internes.
[1] Parmi ces rapports récents sur le numérique, on relève, à l’Assemblée nationale :
– « La stratégie numérique de l’Union européenne » par Axelle Lemaire et Hervé Gaymard (2013).
Au Sénat :
– « La cyberdéfense : un enjeu mondial, une priorité nationale » rapport d’information de la commission des affaires étrangères, de la défense et des forces armées du Sénat, par M. Jean-Marie Bockel (2012) ;
– « Le numérique, le renseignement et la vie privée : de nouveaux défis pour le droit » par M. Jean-Pierre Sueur (2014);
– « La protection des données personnelles dans l’open data : une exigence et une opportunité » par M. Gaëtan Gorce et M. François Pillet (2014) ;
– « L’Europe au secours de l’Internet : démocratiser la gouvernance de l’Internet en s’appuyant sur une ambition politique industrielle européenne » par Catherine Morin-Desailly (2014).
Et, au Conseil d’État :
– « Le numérique et les droits fondamentaux » (2014).