2. La sécurité des systèmes d'information n'est pas toujours considérée comme une priorité par les différents ministères
Si certains ministères, comme le ministère de la défense, ont pris des mesures pour renforcer la protection de leurs systèmes d'information, beaucoup de ministères demeurent encore peu sensibilisés aux menaces liées aux attaques contre les systèmes d'information.
Selon les informations recueillies par votre rapporteur, dans de nombreux ministères, le renforcement de la sécurité des systèmes d'information n'est clairement pas une priorité et relève de la procrastination.
Ainsi, pour ne citer qu'un seul exemple, il ne sert à rien de classifier ou de chiffrer une note confidentielle ou un télégramme diplomatique si le contenu de cette note ou de ce télégramme se retrouve dans un courriel envoyé par l'Internet.
Peu de ministères disposent d'une véritable politique de sécurité des systèmes d'information . Bien souvent les systèmes informatiques utilisés par les administrations sont considérés comme immarcescibles, alors qu'ils présentent en réalité de nombreuses vulnérabilités.
Les fonctionnaires de la sécurité des systèmes d'information occupent en règle générale une place modeste dans la hiérarchie et ne parviennent pas à faire entendre leur voix, face aux directeurs des systèmes d'information ou aux responsables des différentes directions sectorielles, ignorant la réglementation, peu conscients des risques et soucieux avant tout de disposer à moindre coût d'outils informatiques efficaces et ergonomiques.
La sécurité informatique est souvent perçue par les responsables et les utilisateurs comme une contrainte inutile et coûteuse. Elle n'est pas suffisamment prise en compte dans les projets informatiques des ministères, qui ont tendance à minorer l'importance de cette question et à ne pas prendre en considération les avis des responsables de la sécurité des systèmes d'information.
Ainsi, comme cela a été confirmé à votre rapporteur, de nombreux ministères ne connaissent même pas la cartographie de leurs propres réseaux et ignorent souvent la finalité de leurs propres systèmes d'information.
Or, comment peut-on prétendre assurer une protection de ses systèmes informatiques, si l'on ne sait même pas localiser précisément l'un de ses ordinateurs qui a été infecté à la suite d'une attaque informatique ou si l'on ignore à quoi sert son serveur informatique ?
Afin de renforcer la sensibilisation des ministères, le précédent gouvernement a choisi de rendre publique l'attaque informatique massive dont a fait l'objet le ministère de l'économie et des finances découverte à la veille de la présidence française du G8 et du G20, et il convient de s'en féliciter.
Cette affaire ne représente cependant que « la pointe de l'iceberg », et il conviendrait, aux yeux de votre rapporteur, de poser le principe qu'à l'avenir l'ensemble des attaques informatiques contre les systèmes d'information de l'Etat devraient, sous réserve de quelques exceptions et une fois qu'elles auront été traitées, être rendues publiques.