PRÉSIDENCE DE LA RÉPUBLIQUE
M. Thiébaut Meyer, responsable de la sécurité des systèmes d'information
27 février 2014
La prise de conscience des risques de l'insécurité informatique s'est accrue depuis les incidents à l'Élysée et l'affaire Snowden.
Face aux attaques , il convient d'abord d' analyser la menace , en établissant contre qui était dirigée l'attaque, d' analyser les risques puis d'envisager des mesures appropriées .
L'adversaire peut-être un État disposant de moyens et de temps et désirant infliger des dégâts bien supérieurs à ceux de la défiguration d'un site web .
Lorsque l'attaque vise des opérateurs d'importance vitale (OIV), les attaquants se feront les plus discrets possible pour parvenir à résider un maximum de temps dans les sites attaqués. La discrétion est une question de moyens et il sera donc particulièrement important de repérer de simples traces d'un attaquant même si, de manière générale, la sécurité n'est jamais absolue.
Une fois la présence d'un attaquant détectée, il reste à déterminer son identité et cela est d'autant plus compliqué que l'attaque est souvent menée à partir de multiples postes informatiques situés dans divers pays du monde. Même si tout laisse des traces dans les réseaux, la multiplicité des rebonds complique la recherche de l'identité de l'attaquant.
En ce domaine, la coopération internationale n'est pas toujours évidente car elle requiert du temps alors que les traces d'attaques informatiques sont parfois très volatiles.
Tous les pays pratiquent de la même manière ; les Chinois comme les Américains dont l'ampleur de la surveillance systématique, notamment des courriels privés, n'avait pas été perçue jusqu'à récemment.
En France, un premier pas a été accompli avec la récente loi de programmation militaire qui va inciter les opérateurs d'importance vitale à effectuer un certain travail de cartographie, de recensement pour savoir où sont les données sensibles, qui y a accès, comment se protéger, comment faire remonter les incidents.
Derrière cela, il y a d'importants enjeux de sécurité nationale à défendre, des enjeux économiques également, par exemple dans l'aéronautique, le ferroviaire, le nucléaire, etc.
Plusieurs points sont importants : d'abord sensibiliser les personnes pour qu'elles aient conscience de l'importance du patrimoine des entreprises, de la présence de données sensibles dans leurs actifs et de la nécessité de les protéger . La direction centrale du renseignement intérieur (DCRI) effectue un travail de sensibilisation de tout ce qui est relatif aux ressources, au patrimoine scientifique.
Il faut également mettre en place des contre-mesures de protection , c'est-à-dire des mesures de sécurité. Il peut s'agir de filtrages de flux, de détections d'intrusions mais également d'un travail du côté des systèmes d'information pour maîtriser ces systèmes et leur sécurité.
Des questions doivent être posées : quels sont les flux de données importantes ? Qui a accès aux données ? Comment sont gérés l'arrivée et le départ des collaborateurs ? Comment la sous-traitance est-elle gérée ? Comment les venues de stagiaires, de coopérants étrangers sont-t-elles encadrées ? Bien voir comment circulent les données dans l'entreprise, qui a accès à ces données et comment les protéger.
Il y a un autre niveau de questions à poser, en termes de strates : sur quels supports se trouvent les données ? Où sont les serveurs ? Quels sont les logiciels installés dessus ? Sont-ils qualifiés ? A-t-on confiance dans les matériels, dans les logiciels, dans les équipements en général destinés à assurer la sécurité ? La maîtrise du système d'information est primordiale.
Des recommandations portées par l'ANSSI à propos des mesures de sécurité, notamment le guide intitulé « Les quarante règles d'hygiène », indiquent la base à respecter pour un système d'information protégé des attaques les plus courantes et comment réagir. Ce niveau est parfaitement atteignable.
Il y a également une politique de sécurité des systèmes d'information de l'État qui, actuellement, est en phase de finalisation - elle doit être à la signature du Premier ministre - qui reprend également les grands principes de sécurité à décliner ensuite selon les différents ministères et entités concernés.
À propos des mesures à mettre en place pour la sécurité de l'information, il faut rappeler que celles-ci ont des coûts en achat de matériels spécifiques, achat d'équipements, de licences et, également, des coûts en ressources car il faut mettre en oeuvre ces systèmes. Les projets informatiques doivent être dotés de budgets conséquents.
Il y a également des problèmes de délais surtout quand on a pensé un peu tard à la sécurité. D'ailleurs, les projets ont tendance à s'étaler dans le temps. Et, quand les projets sont livrés, ces mesures deviennent des contraintes pour les utilisateurs.
La politique de sécurité des systèmes d'information de l'État (PSSIE ) impose l'utilisation des moyens d'authentification forte (dont la carte à puce) dans le cas de données sensibles, ce qui est plus sûr qu'un simple mot de passe. Il faut ensuite gérer tous les cas usuels et quotidiens de perte de la carte, ne pas l'oublier, penser à la récupérer, etc. Cette vraie contrainte doit être intégrée avec son coût initial et ses contraintes quotidiennes d'absence, de perte et de procédures à mettre en oeuvre, notamment pour retrouver sa carte d'accès lorsqu'elle a été perdue.
De même, les mesures de sécurité informatique vont contraindre les utilisateurs à une certaine ergonomie et alourdir les projets.
Ensuite, on peut définir les risques, les objectifs de sécurité et penser aux mesures associées très en amont dans les projets pour faciliter la mise en place du processus de sécurisation mais il est impossible de faire une sécurité transparente qui ne coûterait rien et ne serait pas perçue par l'utilisateur .
Un arbitrage est donc à rendre au niveau des autorités entre le niveau de sécurité souhaité et les ressources à y allouer qu'il s'agisse de personnels ou de budgets compte tenu du niveau de service à rendre aux utilisateurs.
À la Présidence de la République , l'organigramme est à peu près le même que dans les ministères, à savoir que la sécurité du système d'information est rattachée à l'organe qui s'occupe de sécurité au sens large. À la présidence, c'est le commandement militaire qui intègre la sécurité des systèmes d'information dans tous ses aspects : sécurité des personnels, sécurité physique des locaux, etc., c'est une des composantes de la sécurité. C'est un découpage que l'on voit ailleurs dans les ministères avec le haut fonctionnaire de défense et de sécurité (HFDS), le haut fonctionnaire de défense adjoint, auxquels est rattaché un fonctionnaire de la sécurité des systèmes d'information.
Il est vrai que, au quotidien, je travaille avec les équipes informatiques. Le problème est que la sécurité physique et la sécurité de l'information sont très imbriquées : par exemple, lorsqu'un ordinateur commande une climatisation ou un générateur électrique qui commande lui-même une ouverture de porte ou autre chose.
Pour que le fonctionnaire en charge de la sécurité de l'information puisse être efficace, cela dépend moins de sa position dans l'organigramme que du service qu'il rend à l'autorité ou à l'institution ; pour sa part, la Direction des systèmes d'information (DSI) rend un service quotidien à travers des services de messagerie, de gestion documentaire ou d'application métier quel qu'il soit. Il est vrai que le responsable de la sécurité des systèmes d'information est un petit peu l'empêcheur de tourner en rond qui vient régulièrement aiguillonner la DSI sur les aspects de sécurité. Les objectifs poursuivis par chacun sont parfois un peu antagonistes car la DSI travaille à budget constant avec des ressources contraintes pour rendre un service, parfois d'importance vitale, et, d'un autre côté, il y a le service en charge de la sécurité qui veut que le service soit rendu en respectant certaines règles.
De toute façon, un dialogue est nécessaire entre les deux pour que cela se passe bien. Plus qu'un rapport hiérarchique, même si les directeurs des systèmes d'informations sont à des postes élevés dans les organigrammes, c'est plutôt par rapport aux autorités et aux services rendus que les situations s'apprécient. Il y a une autorité qui attend un service de la direction informatique qui, elle-même, est contrainte par une gestion budgétaire de ses ressources et qui, parfois, a tendance à mettre de côté les aspects de sécurité pour justement arriver à atteindre l'objectif qu'elle s'est fixé.
Il est important de sensibiliser les autorités, de leur expliquer les menaces sans les exagérer mais sans, non plus, les édulcorer. Ensuite, le choix leur revient mais il faut qu'elles soient capables de l'effectuer en connaissance de cause.
Pour cela, il y a une démarche d'homologation qui est en train de se mettre en place - qui existe déjà dans certains ministères mais qui va être mise en oeuvre à la présidence - qui est une formalisation, pour toutes les étapes d'un projet, de la sécurité des systèmes d'information. En amont, on va faire une analyse des risques qui pèsent sur un projet . Le but étant d'aboutir, à la fin de l'étude, lorsqu'on a mis en place des mesures pour contrer ces risques, à identifier les risques résiduels puisqu'il y en aura toujours. Ce peut être le comportement d'un utilisateur ; ce peut être des risques qu'on n'a pas su couvrir, que la technologie ne permet pas de couvrir, à cause de problèmes budgétaires ou autres. Mais qu'au moins l'autorité qui va mettre le réseau ou l'application en service soit consciente des risques qui existent encore.
Les pare-feu restent une brique essentielle de la sécurité : tous les flux sont interrompus sauf ceux qui sont spécifiquement autorisés. Dans les réseaux, il y a plusieurs flux d'informations qui circulent. Même si ce n'est pas l'alpha et l'oméga de toute la sécurité.
Aujourd'hui, ce n'est pas cette brique-là qui pose le plus de problème car c'est une technologie bien maîtrisée et, de plus, il existe en France des produits de confiance qualifiés par l'ANSSI et fabriqués par des acteurs français . Cette technologie a vocation à perdurer.
Ce qui a évolué ces derniers temps, c'est la vision de la sécurité ; elle n'est plus périmétrique avec un intérieur et un extérieur de l'entité à protéger. À la frontière, il y avait des pare-feu qui bloquaient les flux passants. On a évolué par rapport à ce schéma, notamment avec tous les besoins de mobilité. Aujourd'hui, on a du mal à faire comprendre à une autorité qu'une fois sortie de l'institution, elle n'a plus d'accès à l'Intranet, à sa messagerie ou à ses fichiers. Or, les gens bougent et, même depuis chez eux, ils veulent encore avoir accès à leur messagerie professionnelle. C'est pour cela que, aujourd'hui, c'est plus diffus en termes de périmètre.
Les données de l'entreprise ne vont plus être physiquement uniquement sur les terminaux situés dans ses locaux mais seront diffusés sur des terminaux dont il faudra avoir la maîtrise et qui seront disséminés partout.
On ne peut pas interdire toute communication avec des services de courriel, Google, Yahoo ou autres, mais il est possible d'interdire la redirection systématique des courriels. Toutefois, si un salarié s'écrit un courriel à lui-même dans sa messagerie, une fois par jour, il n'y a pas moyen de l'en empêcher. En revanche, il faut le sensibiliser aux risques qu'il fait courir à l'institution. Cette sensibilisation commence à se mettre en place.
Si l'on revient à l'affaire Snowden, on a vu l'ampleur de l'agressivité des services étrangers, ce qui a donné matière à sensibiliser les gens aux différentes menaces. Il y a quelques semaines, j'ai effectué une présentation à tous les conseillers de la Présidence de la République. Je me suis contenté de leur montrer ce qu'on trouve partout sur Internet. Par exemple, on y trouve les stations d'écoute de la NSA où l'on voit Paris en première place. Ici, ce sont des photos de l'ambassade américaine en Allemagne : on voit une superstructure sur le bâtiment et, à l'intérieur de cette superstructure, il y a ce type d'équipements qui sont des antennes captant les réseaux hertziens et qui vont récupérer les communications à partir d'un traitement de signal.
L'affaire Snowden a aidé à une prise de conscience notamment par les autorités politiques. Maintenant, c'est dans la presse, dans Le Monde , Spiegel , le New York Times , ce qui rend le discours beaucoup plus facile ; on n'est plus entre personnes autorisées pour parler de réception hertzienne ou d'autres questions techniques. On peut avoir un débat avec les autorités politiques qui ne sont ni techniciennes ni d'anciens ingénieurs des télécoms.
On n'arrivera pas à avoir sur les produits de sécurité une ergonomie équivalente à celle des produits grands publics. Le téléphone Teorem de la société Thales peut être utilisé pour des conversations jusqu'au niveau « secret défense ». Il existe aussi une version pour la mobilité, offrant un chiffrement sûr par rapport à l'extérieur comme à l'intérieur, allant jusqu'au niveau « confidentiel défense ».
Il est parfois difficile de convaincre l'interlocuteur que le produit est suffisamment bien fait pour qu'il n'y ait aucune interception des conversations.
En revanche, ce téléphone ressemble aux téléphones portables de la fin des années 1990 ; il n'est pas tactile ; ce n'est pas ce qu'on a l'habitude d'avoir entre les mains depuis sept ou huit ans.
Ces téléphones sont fabriqués en petites séries qui coûtent cher. Il existe aussi des solutions qui permettent d'équiper des smartphones à un niveau de diffusion restreinte qui offrent un canal sécurisé entre ces téléphones et le réseau de l'administration.
Les téléphones actuels sont de petits ordinateurs moins sécurisés que ceux qu'on a l'habitude d'avoir à la maison ou au bureau. Moins sécurisés parce que les éditeurs veulent être les premiers sur le marché ils sont conçus d'abord pour leur ergonomie. Ils ne sont donc pas ou peu sécurisés. On trouve sur Internet, pour quelques centaines d'euros, des logiciels qui permettent d'installer sur les ordinateurs des dispositifs permettant d'avoir des copies de vos messages, d'activer des micros à distance, de géolocaliser les déplacements d'une personne. Ces téléphones sont devenus des sources d'information extraordinaires. En plus, l'utilisateur en prend soin, le garde toujours avec lui et pense à le recharger. Lorsque l'on voulait espionner dans les années 1970, il fallait penser à alimenter le micro, changer la pile, la récupérer, maintenant, la victime s'occupe de tout .
Peu à peu les gens en prennent conscience. Depuis le mois de novembre 2013, à l'entrée des conseils des ministres britanniques, les ministres déposent leurs smartphones .
Dans certaines administrations, c'est ce que l'on demande. Par exemple, au SGDSN, vous déposez votre téléphone à l'entrée dans un petit coffre. Les gens prennent peu à peu conscience de cette nécessité.
La difficulté qui demeure dans les entreprises, dans les administrations, c'est que les utilisateurs aiment bien avoir leur téléphone personnel sur lequel ils aimeraient bien récupérer les données de l'entreprise ou leurs fichiers personnels, ce qui pose de vrais problèmes en matière de sécurité car on n'est pas capable d'assurer la sécurité d'un téléphone qu'on ne maîtrise pas totalement. À l'inverse, si on maîtrise le téléphone, on ne va pas pouvoir laisser l'utilisateur installer ce qu'il veut dessus et l'utiliser comme un équipement personnel.
Il est important d'arriver à bien sensibiliser les autorités et les collaborateurs pour distinguer le monde personnel du monde professionnel. Mais c'est une utopie de croire que les collaborateurs pourraient installer les données de l'entreprise sur leurs téléphones personnels et qu'elles y seraient en sécurité .
Thales a un produit, Teopad , qui permet d'isoler certaines applications de l'entreprise, néanmoins vous resterez toujours sur un socle grand public avec des couches sous-jacentes de votre téléphone dans lesquelles vous ne pourrez pas avoir confiance. Mélanger sur le même objet deux degrés de confidentialité, cela paraît compliqué.
Il y a une quinzaine de jours, une diplomate américaine en Ukraine a parlé avec l'ambassadeur américain à Kiev, en termes peu diplomatiques, de l'Union européenne. La conversation a eu lieu sur un téléphone tout-venant et s'est retrouvée sur Internet. Aujourd'hui, on n'a pas de certitude mais on a de fortes suspicions sur les services russes qui ont écouté la conversation et se sont empressés de la mettre à disposition de tout le monde.
Cela illustre le fait que l'autorité doit être sensibilisée à la sécurité informatique et en accepter les contraintes .
À cet égard, il existe une différence culturelle entre la France et les États-Unis d'Amérique où les services de sécurité peuvent imposer au président nouvellement élu de renoncer à l'utilisation de son téléphone personnel.
Maintenant, le téléphone Teorem est largement déployé dans les administrations centrales, dans les cabinets, dans les administrations territoriales, dans les rectorats et dans toutes les préfectures.