Introduction à la sécurité du numérique

modifié le Samedi 11 Novembre suite aux retours critiques et constructifs des lecteurs – merci.

Dans le rapport du député Labordes de 2004, le rapport de Jean-Marie Bockel rendu au sénat en 2012, le rapport de 2015 de M. Bruno SIDO, sénateur et Mme Anne-Yvonne LE DAIN, député, le constat est récurrent. La France, malgré toutes ses énergies et ses talents, accumule un retard préoccupant souligné par une actualité grandissante des cyberattaques ou incidents de sécurité numérique, par le discours du 1er ministre en octobre 2015 sur la sécurité du numérique et par les discours d’ouverture de Guillaume Poupard, directeur de l’ANSSI, aux Assises de la Sécurité. Alors que le marché, la recherche et l’enseignement sont envahis à grande vitesse par le numérique, notre sécurité attenante en est restée au stade d’une perception toujours trop technicienne et éloignée des enjeux humains et sociétaux grandement sous-estimés.

Guillaume Poupard aux Assises de la Sécurité 2017 : « A l’heure où le numérique est partout, les attaques ne cessent de s’accroitre en nombre, en efficacité et en complexité. Faut-il freiner cette révolution digitale ? La question ne se pose pas : aujourd’hui tout est numérique et ce qui ne l’est pas le sera bientôt. Nous devons instaurer les conditions de sécurité indispensables à l’accompagnement de cette transition. »

Le retard n’est pas dans la technique, même s’il peut être budgétaire et que des progrès restent à faire. Il est dans l’organisation, la structuration, la sensibilisation, la formation et l’accompagnement nécessaires à tout univers technologique, en particulier pour cette révolution numérique. Les textes dépeignant cet état de fait ne manquent pas. Les méthodologies, démarches et cadres règlementaires permettant d’y palier et de construire une sécurité du numérique à la hauteur des enjeux sont disponibles. Ils attendent d’être mis en œuvre, d’être conjugués au terrain de l’enseignement, de la recherche, de l’administration, d’être articulés avec les différents métiers de nos établissements.

La société ne peut concevoir une aviation civile, une infrastructure routière, une offre de transports, une évolution de la ville, une distribution de l’énergie sans une gouvernance éclairée. Ce ne sont pas les constructeurs automobiles ou les garagistes qui définissent la politique des transport ou la sécurité routière. Cette mission de gouvernance est dévolue à un ministère. De même, la sécurité du numérique doit devenir un axe majeur de la gouvernance de nos organisations qui traversent cette révolution. Leurs processus métiers se dématérialisent sans qu’elles y mesurent le changement radical de paradigme, les conséquences à long terme pour le citoyen. Lors des Assises de la Sécurité 2017, Guillaume Poupard le souligne à nouveau. Dans une époque marquée par cette révolution, la sécurité du numérique est un sujet transverse devant être porté par la gouvernance.

Universités et grandes écoles, tout comme le ministère de l’enseignement supérieur et recherche (MESR), ont à mettre en conformité leur système d’information au regard des différents cadres règlementaires ; le Référentiel Générale de Sécurité (RGS) depuis 2010, la Prévention du Potentiel Scientifique et Technique (PPST) depuis 2014, la Politique de Sécurité des Systèmes d’Information de l’Etat (PSSIE) depuis 2014, la loi informatique et libertés depuis 1978. Il reste peu de temps pour se préparer à l’échéance de mai 2018, date de la mise en application du Règlement Générale de Protection des Données de l’EU (RGPD) (cf. Textes règlementaires à l’ANSSI).

Le législateur européen, en constituant le G29 pour harmoniser les lois européennes de protection de nos données personnelles, a pris en compte le changement de paradigme, la nature particulière de ce nouvel « or noir », les abus et violations que subissent nos concitoyens depuis un certain nombre d’années déjà. Le documentaire « Democracy, la ruée vers les datas » diffusé sur Arte relate les trois années ardues pour faire adopter ce nouveau règlement, montre l’intense lobbying subi de la part des acteurs hyper-puissants du « marché », un lobbying sans équivalent et à la hauteur des immenses enjeux insoupçonnés (cf. article L’Homme Nu). Le documentaire montre clairement comment le scandale révélé par l’affaire Snowden y a mis soudainement un terme. Il a été révélé au grand jour comment ces acteurs sont totalement impliqués dans les écoutes systématiques des flux d’informations circulant sur l’Internet.

La PSSI de l’Etat (PSSIE) est un cadre d’amélioration continue de la sécurité du numérique et des processus dématérialisés des métiers. La PSSIE doit être pleinement opérationnelle en 2017. Depuis 2010, l’homologation RGS permet de cadrer par un acte réglementaire chacun des télé-services que l’on opère à destination de nos citoyens. La PSSIE est un outil de gouvernance et un prérequis du RGS. Avec le nouveau règlement européen sur la protection des données, la loi informatique et libertés a pris une nouvelle dimension européenne et a considérablement fait évoluer le droit de nos concitoyens à la protection de leurs données. La charge de la preuve s’inverse et ce sera aux organismes de prouver leur conformité et d’effectuer l’analyse des risques que font porter sur nos données leurs nouveaux traitements numériques (cf. article EBIOS et PIA). En mai 2018, la CNIL n’est plus en charge de faire ces analyses de risques et de délivrer les autorisations. Son rôle sera d’effectuer les contrôles et de signifier la sanction lourde assortie. Au sein des organismes, une nouvelle fonction aux responsabilités étendues doit être assurée par un « data protection officer » (DPO). La protection des données personnelles et leur sécurisation est au centre de la sécurité du numérique comme cela apparaît dans le dernier rapport d’activité de la CNIL (cf. RGPD à la CNIL). La dernière évaluation de la mise en œuvre de la PSSIE dans nos établissements amène le haut fonctionnaire de défense et de sécurité (HFDS) du MESR à conclure que la sécurité des systèmes d’information est restée trop technique et qu’il est impératif que la sécurité du numérique devienne un axe pour la gouvernance et les métiers. Dans sa dernière note de Septembre 2017, la PSSIE est présentée comme un outil indispensable de la protection des données de la recherche (cf. PPST)

Face à l’émergence de l’open data, du big data, des objets connectés, des solutions « nuageuses » non maîtrisées, à la multiplication de plus en plus préoccupante des « cyberattaques », la prolifération des données personnels, des données confidentielles, des algorithmes qui les sondent pour en tirer profit, au pillage de notre patrimoine scientifique, médical et technique, il est impérative de s’emparer des stratégies, méthodologies et outils afin de mettre en œuvre une gouvernance, une organisation et une conformité aux standards et cadres règlementaires nationaux, européens et internationaux. Ainsi, le rapport d’activité 2015 de la CNIL évoque dans une de ses analyses « la protection des données personnelles au cœur de la cybersécurité ».

Devant l’accélération de l’accélération du numérique, le perfectionnement industriel des cyberattaques et de la cyber intelligence économique avec un « business model » mouvant de la cybercriminalité, l’une des responsabilités fondamentales de la gouvernance et de la maîtrise d’ouvrage de l’université est de développer, améliorer, perfectionner et rendre plus efficient la résilience globale de son offre numérique et de son système d’information. Cette résilience est la capacité qu’a une structure de résister, répondre à une agression et recouvrir ses capacités initiales. L’université doit maintenir, faire progresser le degré de confiance, autant dans ses relations et partenariats de recherche, que dans son image auprès de la communauté nationale ou régionale, des étudiants métropolitains ou internationaux. Plus encore, il convient de structurer en amont et anticiper toute future évolution du SI par un pilotage et une organisation de la sécurité numérique nécessaires à la mise en œuvre d’un processus d’amélioration continue, de résilience et de confiance. Il convient dans une première étape de faire évoluer de manière concertée son niveau de maturité en sécurité du numérique.

Il s’avère donc nécessaire de mettre en place dans nos structures une assistance à maîtrise d’ouvrage afin d’accompagner les métiers et la gouvernance dans la sécurisation de leur offre numérique par un processus d’amélioration continue de la protection des données personnelles et de la gestion des risque avec son corollaire, la réduction des impacts juridiques, médiatiques, économiques et scientifiques en cas d’incident.

Laissons conclure Nicolas Arpagian sur France Culture : Quelle posture de cybersécurité ?.

 

Cordialement,

Philippe Werle.