III. LA FRANCE A COMMENCÉ À COMBLER SON RETARD MAIS NOTRE DISPOSITIF CONNAÎT ENCORE D'IMPORTANTES LACUNES
S'il y a encore quelques années, la France enregistrait un important retard, le Livre blanc de 2008 a donné une réelle impulsion à la politique française en matière de protection des systèmes d'informations. Malgré plusieurs avancées significatives, comme la création d'une agence nationale de sécurité des systèmes d'information ou l'élaboration d'une stratégie, notre dispositif connaît encore d'importantes lacunes.
A. UNE PRISE DE CONSCIENCE TARDIVE
1. Le constat sévère du rapport Lasbordes de 2006
Dans un rapport remis au Premier ministre, le 13 janvier 2006, intitulé : « La sécurité des systèmes d'information - Un enjeu majeur pour la France », notre ancien collègue député Pierre Lasbordes dressait un constat sans complaisance des faiblesses de notre organisation et de nos moyens , notamment au regard de nos partenaires européens les plus proches.
Il estimait ainsi que « la France accuse un retard préoccupant face aux impératifs de sécurité des systèmes d'information, tant au niveau de l'Etat qu'au niveau des entreprises, quelques grands groupes mis à part ».
- Une organisation marquée par la dispersion et l'autonomie des différents acteurs au sein des services de l'Etat
L'une des principales faiblesses mise à jour par le rapport Lasbordes tenait à la conduite de la politique de sécurité des systèmes d'information, qui souffrait d'une grande dispersion des acteurs et à l'autorité insuffisante des structures chargées de la mettre en oeuvre.
La France a défini en 1986 une politique d'ensemble de la sécurité des systèmes d'information, avec l'adoption d'une série de textes réglementaires instituant une commission et une délégation interministérielles, ainsi qu'un service central de la sécurité des services d'information.
Cette organisation a été revue avec l'attribution en 1996 au Secrétariat général de la défense nationale (SGDN) d'une responsabilité particulière dans le domaine de l'identification et de la surveillance des risques affectant la sécurité des systèmes d'information. Une direction centrale de la sécurité des services d'information (DCSSI), partie intégrante du SGDN, avait été créée par un décret du 31 juillet 2001.
Le rapport Lasbordes estimait cependant que « la multiplication des acteurs publics, dont les missions se chevauchent et dont les textes fondateurs sont peu précis, donne une impression générale de confusion et d'éparpillement des moyens et des hommes. Dans cette nébuleuse, l'acteur public dédié, le SGDN et plus précisément la DCSSI, souffre d'un manque d'autorité et parfois de crédibilité auprès des publics concernés. Ces deux facteurs, l'éparpillement des moyens et le manque d'autorité du SGDN, nuisent à l'efficacité de l'Etat dans la définition et la mise en oeuvre de la politique globale de sécurité des systèmes d'information ».
- Des moyens insuffisants
Le deuxième constat principal du rapport Lasbordes tenait à l'insuffisance des moyens consacrés à la sécurité des systèmes d'information.
Il soulignait l' effectif très restreint de la DCSSI , limité à 100 personnes, qui ne lui permettait pas de répondre aux besoins identifiés dans le cadre de ses missions, que ce soit en matière de réalisation d'inspections au sein des ministères, de formation, de conseil aux administrations et aux entreprises.
- Des entreprises vulnérables
Une large partie du rapport Lasbordes est consacrée au monde de l'entreprise , qu'il considère comme étant au coeur de la menace et de la problématique de la sécurité des systèmes d'information.
Il estime que d'une manière générale, les entreprises françaises ont insuffisamment pris en compte la réalité de la menace et ne se sont pas mises en situation de s'en protéger, quelques grands groupes mis à part. Les raisons évoquées tiennent au manque d'implication des directions générales, à la formation insuffisante des personnels en matière de risques informatiques, à l'absence d'identification pertinente des données sensibles ou à l'insuffisance des budgets dédiés à la sécurité des systèmes d'information.
- Le rapport Lasbordes concluait sur six recommandations :
- sensibiliser et former à la sécurité des systèmes d'information ;
- responsabiliser les acteurs, par la généralisation des chartes d'utilisateurs et la labellisation des fournisseurs de produits sécurisés ;
- renforcer la politique de développement de technologies et de produits de sécurité et définir une politique d'achat public en cohérence ;
- rendre accessible la sécurité des systèmes d'information à toutes les entreprises ;
- accroître la mobilisation des moyens judiciaires ;
- assurer la sécurité de l'Etat et des infrastructures vitales.
Il préconisait également une réorganisation de la politique interministérielle de la sécurité des systèmes d'information en séparant les fonctions d'autorité, confiées au SGDN, et les fonctions opérationnelles qui s'appuieraient sur les moyens de l'ancienne DCSSI renforcés et regroupés dans une structure nouvelle à statut d'établissement public industriel et commercial.