Bienvenue

Depuis le premier rapport Labordes, produit à la demande du 1er ministre Raffarin en 2004 jusqu’au dernier rendu au sénat, le constat est récurrent. La France, malgré toutes ses énergies et ses talents, accumule un retard préoccupant souligné par l’actualité des incidents de plus en plus grave, le discours d’ouverture du directeur de l’ANSSI aux assises de la sécurité de 2015, le discours sur la sécurité du numérique du 1er ministre en octobre 2015. Alors que le marché, la recherche et l’enseignement sont envahis à grande vitesse par le numérique, la cybersécurité en est au stade des annonces et à la mise en œuvre d’une sécurité toujours trop technicienne loin de enjeux humains et sociétaux toujours grandissant.

Universités et grandes écoles comme le ministère de l’enseignement supérieur et recherche (MESR) ont à mettre en conformité leur système d’information au regard des différents cadres règlementaires comme le Référentiel Générale de Sécurité (RGS) de 2010, la Prévention du Potentiel Scientifique et Technique (PPST) de 2014, la Politique de Sécurité des Systèmes d’Information de l’Etat (PSSIE) de 2014, la loi informatique et libertés de 1978 et se préparer à l’échéance de mai 2018, date de la mise en application du Règlement Générale de Protection des Données de l’EU (RGPD) (cf. Textes règlementaires à l’ANSSI). La PSSI de l’Etat (PSSIE) est un processus d’amélioration continue de la sécurité du numérique et des processus dématérialisés des métiers qui doit être pleinement opérationnel en 2017. Avec le nouveau règlement européen sur la protection des données, la loi informatique et libertés a pris une dimension européenne et a considérablement évoluée dans les garanties offertes aux citoyens sur la protection de leurs données, sur le rôle de la CNIL en France, avec l’avènement d’une nouvelle fonction aux responsabilités étendues, le « data protection officer » (DPO). La protection des données personnelles et leur sécurisation est au centre de la SSI comme cela apparaît dans le dernier rapport d’activité de la CNIL (cf. RGPD à la CNIL). L’évaluation de la PSSIE dans nos établissements amène le haut fonctionnaire de défense et de sécurité (HFDS) du MESR à conclure que la SSI est restée technique, en amélioration par la DSI, mais cela doit devenir un axe de la gouvernance et des métiers.

Le retard n’est pas technique, même si les progrès restent à faire. Il est dans l’organisation, la structuration, la sensibilisation, la formation et l’accompagnement, nécessaire à toute univers technologique, à tout ensemble d’outils techniques. Si les textes dépeignant cet état de fait ne manquent pas, les méthodologies, démarches et cadres règlementaires permettant d’y palier et de construire une sécurité du numérique à la hauteur des enjeux sont disponibles et attendent d’être mis en œuvre (cf. note du Directeur de l’ANSSI), d’être conjugués au terrain de l’enseignement, de la recherche, de l’administration, d’être articulés avec les différents métiers de nos établissements. La société ne peut concevoir une aviation civile, une sécurité routière, une politique des transports ou de la ville, une distribution de l’énergie sans une gouvernance éclairée, la sécurité du numérique doit devenir un axe majeur de la gouvernance de nos organisations parce que leurs processus métiers se dématérialisent sans qu’elles y mesurent, le changement radical de paradigme, les conséquences à long terme.

Face à l’émergence de l’open data, du big data, des objets connectés, des solutions « nuageuses », à la multiplication de plus en plus préoccupante des « cyber-incidents » et la prolifération des données personnels, des données confidentielles, des algorithmes qui les sondent et auscultent pour en tirer les meilleurs profits sans le consentement de nos concitoyens et en pillant notre patrimoine scientifique, médical et technique, il est impérative de s’emparer des stratégies, méthodologies et outils afin d’implémenter une gouvernance, une organisation, une conformité aux standards et cadres règlementaires nationaux, européens et internationaux. Tout récemment, le dernier rapport d’activité 2015 de la CNIL évoque dans une de ses analyses « la protection des données personnelles au cœur de la cybersécurité ». Cette analyse rejoint celle présente dans l’étude prospective et stratégique : « Réseau Internet et sécurité – Quel impact du progrès des TICs sur la capacité de l’Etat français, de maîtrise du réseau et de sa sécurité d’ici 15 à 20 ans ? » réalisée début 2015 par OBS pour le compte du Ministère de la Défense Nationale.

Une des responsabilités fondamentales de la gouvernance, de la maîtrise d’ouvrage de l’université est de développer, améliorer, perfectionner et rendre plus efficient la résilience globale du numérique et son système d’information. La résilience est la capacité qu’a une structure de résister, répondre à une agression et recouvrir ses capacités initiales. L’université doit maintenir, faire progresser le degré de confiance dans nos relations et partenariats de recherche, dans notre image auprès de la communauté nationale ou régionale, nos étudiants métropolitains ou internationaux. Plus encore, il convient de structurer en amont et anticiper toute futur évolution du SI par la gestion, plus particulièrement de piloter sa sécurité par un Comité de Pilotage de la SSI, condition nécessaire à la mise en œuvre d’un processus d’amélioration continue, de résilience et de la confiance.

Il s’avère donc nécessaire de mettre en place dans nos structures une assistance à maîtrise d’ouvrage pour accompagner les métiers et la gouvernance vers la sécurisation de la révolution du numérique dans un processus d’amélioration continue de la protection des données personnelles, la gestion des risques et notamment la réduction de leurs impacts juridiques, économiques et scientifiques.

Laissons conclure Nicolas Arpagian sur France Culture : Quelle posture de cybersécurité ?.

Cordialement,

Philippe Werle.