Délégation parlementaire au renseignement - rapport d'activité 2019-2020

B. LA PROTECTION PHYSIQUE DES EMPRISES

La plupart des emprises des services de renseignement sont classées en « zones protégées » telles que définies à l'article 73 de l'IGI 1300 et à l'article 413-7 du code pénal. Elles sont toutes équipées de systèmes de contrôle centralisé (lecteur de badges, vidéosurveillance) pour filtrer les visiteurs extérieurs et tracer les entrées et les sorties de leurs agents.

*****

C. LA SÉCURITÉ INTERNE DES SYSTÈMES D'INFORMATION

La sécurité des systèmes d'information concerne tant les directions informatiques pour la sécurité logique, que les directions métiers pour la définition des droits d'accès aux informations, et les responsables de la sécurité physique des locaux.

Placée sous l'autorité du HFDS ou d'une structure de sécurité équivalente, la chaîne fonctionnelle de sécurité des systèmes d'information est chargée de prescrire, d'appliquer et de contrôler les mesures de sécurité nécessaires. Ces mesures doivent être proportionnées aux enjeux des informations et des systèmes concernés et doivent avoir pour objectif la disponibilité, la confidentialité et l'intégrité de ces informations.

L'autorité qualifiée en sécurité des systèmes d'information (AQSSI) est responsable de la sécurité des systèmes d'information pour une structure donnée (service, direction d'un ministère, organisme ou établissement relevant d'un ministère, etc. ). Elle est désignée par le ministre et ne peut déléguer sa responsabilité. Elle peut néanmoins se faire assister par un ou plusieurs agents, responsables ou officiers de sécurité des systèmes d'information (ASSI, RSSI ou OSSI) qui assurent principalement des fonctions opérationnelles en ce domaine.

Après une évaluation des risques, l'autorité responsable procède à l'homologation du système d'information qui certifie que sa protection, et celle des informations qu'il contient, sont assurées au niveau requis :

- pour le niveau « très secret-défense », l'autorité d'homologation est le SGDSN ;

- pour les niveaux inférieurs, l'autorité d'homologation est désignée par l'autorité qualifiée. Il s'agit en principe de l'autorité chargée de l'emploi du système d'information, mais l'autorité qualifiée peut se désigner elle-même.

L'autorité d'homologation met en place une commission ad hoc à laquelle l'ANSSI peut participer en sa qualité d'autorité nationale en matière de sécurité des systèmes d'information.

1. À la DGSE

Afin d'assurer la protection des données informatiques sensibles, les agents bénéficient de droits d'accès définis suivant les fonctions qu'ils occupent et leur besoin d'en connaître. Chaque agent accède au système d'information du service à l'aide d'une carte à puce individuelle, ce qui permet à la direction technique de tracer les actions qu'il effectue.

S'agissant des prestataires du service, ils font l'objet d'une enquête administrative préalable, suivant le type de prestations à réaliser. Leurs prestations peuvent nécessiter des interventions sur site ou la manipulation d'informations classifiées (administration de systèmes industriels et techniques classifiés, par exemple) ; le cas échéant, des postes informatiques dédiés sont mis à leur disposition, et ce uniquement dans l'enceinte du service. En outre, l'introduction de supports informatiques sur site doit être préalablement déclarée au service de sécurité.

Compte tenu de la sensibilité de leurs fonctions, les administrateurs réseaux font l'objet d'une attention accrue. À l'issue de l'enquête d'habilitation, ils signent un engagement de responsabilité et un stage de sensibilisation leur est dispensé. Dans l'exercice de leurs missions, leurs actions sont particulièrement surveillées grâce à une « gestion de comptes à privilèges » traçables par rebonds ^{120 ( * )} .

Des outils ont été développés en interne pour détecter l'extraction massive de données. Par ailleurs, l'ANSSI participe à la sécurité des systèmes d'information de la DGSE grâce à la mise à disposition, depuis l'été 2019, de sondes sur les accès extérieurs du réseau. L'exploitation et le traitement des alertes restent toutefois de la compétence du service.

2. À la DRSD

La plupart des données informatiques sont classifiées au niveau « confidentiel-défense » et stockées au sein du réseau et du socle applicatif IntraRSD , support de Sirex , fichier souverain de la DRSD, qui gère le besoin d'en connaître dans l'accès aux informations relatives aux enquêtes administratives. Les données classifiées au niveau « secret-défense » sont quant à elles stockées au sein du réseau Troie .

Ces systèmes bénéficient de protections contre l'accès et la fuite de données ; l'export de données est ainsi tracé par un système dédié dénommé Cerbère , et la fuite massive de données est surveillée par le système de contrôle du bureau de surveillance. À terme, le service prévoit la mise en place d'une infrastructure de gestion de clés.

Le socle applicatif du service IntraRSD est isolé et protégé par la DRSD elle-même, avec des chiffreurs Crypsis administrés par le service. Les systèmes sont déployés dans toutes les emprises de la DRSD, y compris à l'étranger et en opérations extérieures. Les administrateurs réseaux sont habilités à un niveau supérieur à celui de l'exploitation.

3. À la DRM

Les mesures adoptées par le service sont celles du ministère des armées. Elles assurent et réglementent un cloisonnement logique et/ou physique, la gestion des droits d'accès, l'authentification forte ^{121 ( * )} , l'édiction des décisions d'accès, le verrouillage des ports, le filtrage des pièces jointes, la visualisation distante des données sans rapatriement sur le disque, etc.

Le système de « double-clés » est fréquemment utilisé. À titre d'illustration, le système d'information de base est accessible à l'aide d'une carte à puce qui permet d'identifier l'agent et d'un hexagramme. Un accès avec une clé unique ^{122 ( * )} reste possible (mode dégradé) mais il empêche la consultation des données sensibles.

Les administrateurs systèmes reçoivent une habilitation spécifique. Comme à la DRSD, ils doivent obtenir un niveau d'habilitation supérieur à celui du système qu'ils administrent. Pour les réseaux ministériels utilisés par le service et administrés par la direction interarmées des réseaux d'infrastructure et des systèmes d'information (DIRISI), cette contrainte a contribué à une réduction drastique - de l'ordre de plusieurs centaines à plusieurs dizaines - des personnels disposant de droits étendus sur les systèmes, ce qui a permis de renforcer les investigations de la DRSD pour la production des avis de sécurité concernant ces personnels qui font l'objet de revues périodiques de leurs droits d'administration.

Les prestataires externes disposent quant à eux de comptes spécifiques à l'accès limité, et sont systématiquement accompagnés et surveillés. Ils doivent se conformer aux dispositions contractuelles ^{123 ( * )} , inscrites dans les cahiers des clauses particulières, et destinées à assurer la sécurité des données.

Le service utilise plusieurs systèmes d'information ministériels, gouvernementaux, internationaux ou de partenaires dont la DRM n'est pas l'opérateur. Leur sécurité est assurée par le fournisseur d'accès, c'est-à-dire la DIRISI ou un prestataire extérieur. En revanche, la sécurité des systèmes métier propres à la DRM est quasiment de son seul ressort (développement et implémentation technique, corpus documentaire, etc. ).

La DIRISI informe systématiquement la chaîne de sécurité des systèmes d'information de la DRM des blocages de mails utilisant la passerelle du réseau ministériel Intradef vers l'internet, ce qui a permis de dissuader et même de sanctionner des compromissions de documents classifiés. En revanche, la DRM ne semble pas disposer d'alertes pour son propre système d'information. Le service met en avant le coût humain, financier et organisationnel induit par l'implémentation de systèmes d'alertes et de blocages des données.

4. À la DGSI

*****

5. À la DRPP

Les données sensibles de la DRPP sont abritées dans un réseau privé (LAN) auquel les agents du service accèdent avec des données de connexion qui leurs sont propres. Les informations auxquelles ils ont accès sont déterminées par leur unité d'affectation et leur positionnement hiérarchique. Les serveurs possèdent tous un outil de traçabilité.

La sécurité des systèmes d'information est confiée à un responsable de direction et à un responsable zonal ^{124 ( * )} qui dépendent directement du préfet, secrétaire général pour l'administration. La gestion des équipements actifs du réseau (interventions sur site et à distance sur les équipements de la DRPP) et le chiffrement des liens intersites sont du ressort de la préfecture de police, contrairement à la sécurisation des postes de travail et des serveurs qui est du ressort de la DRPP.

Le centre de cyberdéfense du ministère de l'intérieur est en mesure d'alerter la DRPP en cas d'anomalies constatées sur le réseau public du service, adossé au réseau interministériel de l'État. Les anomalies sont alors transmises au bureau de la sécurité des systèmes d'information qui rédige des billets de sensibilisation à destination des personnels ; les manquements sont passibles de sanctions administratives.

Les « logs » des agents du service informatique font l'objet d'une analyse hebdomadaire, et ce pour tous les serveurs du réseau privé. Leur procédure d'habilitation est identique à celles des autres agents du service, à l'exception des cyber-patrouilleurs qui disposent d'une habilitation spéciale justifiée par la mise en oeuvre de techniques de renseignement.

Dans le cadre de la refonte de son système d'information et de sa classification au niveau « confidentiel-défense », un système de gestion globale des authentifications sera mis en place sur la base d'une application utilisée au sein d'un service de renseignement du premier cercle ; la remontée des alertes sur le nouveau système d'information sera automatisée ^{125 ( * )} . En outre, la gestion des équipements actifs sera internalisée.

Dans son rapport d'octobre 2019, l'ISR pointait le manque de revue des droits accordés aux personnels, et en particulier aux techniciens de maintenance informatique. Aussi Mickaël Harpon disposait-il de droits d'accès trop étendus au regard de ses fonctions : accès à plusieurs fichiers de police, et habilitation générale à mettre en oeuvre des techniques de renseignement. Le service doit donc procéder à des revues plus régulières des droits d'accès de ses agents, surtout en l'absence d'outils permettant de tracer leurs actions.

En outre, nul ne sait si des données ont été récupérées par Mickaël Harpon sur un support USB ; la DRPP doit être en mesure de détecter et de contrôler la connexion de périphériques externes à son système d'information.

Un rapport d'audit SSI de la DRPP, en date du 21 février 2019, a fait apparaître plusieurs fragilités :

- intervention de personnes non identifiées sur le système d'information ;

- pas de politique de sauvegarde des données informatiques ;

- présence de serveurs obsolètes, dépourvus d'antivirus ;

- enregistrement de documents classifiés sur des postes de travail non protégés.

Ce service n'est pas le seul à présenter des faiblesses dans la sécurité de ses systèmes d'information. En effet, d'autres services ont fait part à la DPR de lacunes en la matière, ce qui témoigne à la fois d'une volonté de transparence vis-à-vis du contrôleur, mais également d'une prise de conscience des points à améliorer, ce qui est heureux.

La DPR ne dispose toutefois ni des ressources ni des compétences pour entreprendre de tels audits, mais sollicite des services compétents - en l'espèce l'ANSSI et le GIC pour les techniques de recueil de renseignement - la conduite de telles missions qui permettront aux services de mieux protéger les informations et les supports classifiés dont ils disposent. Le CNRLT pourrait veiller à ce qu'un plan d'audits soit établi au bénéfice des services qui n'ont pas encore reçu d'homologation.

6. À la DNRED

*****

7. À Tracfin

*****

8. Dans les services du second cercle (SNRP, SCRT et SDAO)

Au SNRP, la sécurité des systèmes d'information n'est pas assurée en interne. Les services des ministères de la justice et de l'intérieur (principalement ceux de la DGSI), ainsi que le groupement interministériel de contrôle (GIC), y participent. L'ensemble des accès au système d'information et des modifications apportées aux données est tracé. En revanche, aucun système d'alerte n'a été mis en place pour prévenir la fuite de données.

Le SCRT est quant à lui soumis à la politique du ministère de l'intérieur en matière de sécurité de ses systèmes d'information. Le service n'a pas de mesures propres en ce domaine.

Enfin, à la SDAO, les accès et actions techniques sont tracés et un suivi des actions des administrateurs systèmes est actuellement en cours de mise en place. La gestion des accès des personnels de la gendarmerie nationale au fichier de renseignement est assurée par le niveau central. La maintenance logicielle est en revanche assurée par une société privée qui n'a techniquement pas accès aux données ; *****. Les différents réseaux (internet, intranet, réseaux isolés) sont cloisonnés et étanches. Les flux sortants hors des systèmes d'information de la gendarmerie sont fortement bridés pour éviter les fuites massives de données.

---

* ¹²⁰ Le rebond est un serveur à l'accès limité, défini comme point de passage obligatoire. Toutes les requêtes (flux entrants et sortants) sont archivées.

* ¹²¹ Utilisation d'au moins deux facteurs d'authentification de nature distincte (par exemple un login et un mot de passe, ainsi qu'une carte à puce ou un élément biométrique) afin de compliquer la tâche d'un éventuel attaquant.

* ¹²² Login et mot de passe.

* ¹²³ Elles font l'objet d'une « annexe de sécurité ». Les dispositions sont plus ou moins contraignantes suivant la sensibilité de la prestation fournie.

* ¹²⁴ Le responsable zonal effectue des audits et émet des préconisations en matière de sécurité du système d'information.

* ¹²⁵ Acquisition d'un SIEM (Security Information and Event Management, ou gestion des informations et des évènements de sécurité).