Académique Documents
Professionnel Documents
Culture Documents
SSI Expose
SSI Expose
Remerciements
Introduction
Synthse
13
13
Chapitre 1
24
26
27
41
44
Chapitre II
49
49
61
62
63
74
89
90
Chapitre III
94
103
115
Recommandations
125
ANNEXES
135
Annexe I
Bibliographie
137
Annexe II
141
Annexe III
Glossaire
149
Annexe IV
157
Annexe V
Sensibilit de linformation :
exemples de la DCSSI et de lAFNOR
159
Annexe VI
161
Annexe VII
Exemples de menaces
163
Annexe VIII
Exemples de vulnrabilits
171
Annexe IX
175
Annexe X
179
Annexe XI
181
Annexe XII
183
Annexe XIII
185
Annexe XIV
189
Remerciements
Avertissement
Les noms des socits cites, en particulier dans le chapitre III du prsent
rapport, le sont titre exclusivement indicatif et ne sont en aucune manire
une recommandation de lauteur.
Introduction
Introduction
10
Synthse
11
12
Synthse
Synthse
13
14
Synthse
15
lance du territoire (DST) assure des prestations techniques et informatiques autour de trois volets : la prvention, la rpression et la scurit
informatique. LOCLCTIC 1 est une structure vocation interministrielle
place au sein de la Direction de la police judiciaire (DCPJ). Elle lutte
contre les auteurs dinfractions lies aux TIC, enqute la demande de
lautorit judiciaire, centralise et diffuse linformation sur les infractions
lensemble des services rpressifs. La Police parisienne dispose dun service similaire, le BEFTI.
La CNIL, en matire de scurit des systmes dinformation,
sintresse essentiellement la protection des donnes personnelles. La loi
du le 6 aot 2004 lui donne une mission de labellisation de produits et de
procdures. La CNIL a un pouvoir dimposer que na pas la DCSSI. La
CNIL et la DCSSI ont commenc travailler ensemble.
La multiplication des acteurs publics, dont les missions se chevauchent et dont les textes fondateurs sont peu prcis, donne une impression gnrale de confusion et dparpillement des moyens et des hommes.
Dans cette nbuleuse, lacteur public ddi, le SGDN et plus prcisment
la DCSSI, souffre dun manque dautorit et parfois de crdibilit auprs
des publics concerns. Ces deux facteurs, lparpillement des moyens et le
manque dautorit du SGDN, nuisent lefficacit de ltat dans la dfinition et la mise en uvre de la politique globale de SSI.
De plus, les disparits dans la mise en uvre dune organisation type, au sein de ladministration, des difficults mobiliser les ressources ncessaires et labsence dautorit des acteurs de la SSI, peuvent
rendre cette organisation inoprante. Face aux difficults de recrutement
de personnels, des ministres sont conduits recourir lexternalisation. Il
est frquent de constater que les services informatiques ne suivent pas les
recommandations des HFD 2 lors de choix de solutions pour des applications sensibles, sous couvert dune stricte application du code des marchs
publics. Toutefois certains ministres ont mieux intgr la problmatique
SSI et sappuient sur des quipes comptentes et motives.
Une analyse comparative de lorganisation, du budget consacr la SSI, de lexistence de schmas directeurs oprationnels, de la
classification des donnes sensibles et de la mise en place de chartes utilisateurs, effectue dans cinq ministres, rvle une htrognit pour chacun de ces domaines.
De plus, aucune politique produits globale nexiste dans le
domaine de la SSI.
Le rapport analyse la situation de plusieurs pays
(tats-Unis, Royaume-Uni, Allemagne, Sude, Core du Sud et Isral) et
aborde les initiatives multilatrales (Union europenne, OCDE, ONU, G8,
rseaux de veille et dalerte). On ne retiendra dans cette synthse que le
cas de lAllemagne.
1. Office central de lutte contre la criminalit lie aux technologies de linformation
et de la communication.
2. Haut fonctionnaire de dfense.
16
Synthse
17
18
teur nattire pas les investisseurs nationaux) ou par des crdits bancaires. Il
faudrait dvelopper des fonds dinvestissement spcifiques, adapts des
entreprises de croissance modre, mme dassurer un financement
stable sur une dure suprieure 10 ans.
Le financement public de la R&D est insuffisant dans les TIC
en gnral. Si diffrentes sources de financement existent, plus ou mois
accessibles aux PME : lAnvar, lANR (Agence nationale de la recherche),
lA2I (Agence de linnovation industrielle), les ministres chargs de
lIndustrie et de la Recherche et lUnion europenne, ces financements
sont insuffisants et mal coordonns.
Enfin, si lenvironnement juridique et fiscal des entrepreneurs
est en amlioration, il demeure perfectible.
Labellisation des produits de scurit. La France fait partie
des pays fondateurs des critres communs et des accords de reconnaissance mutuelle. Il est toutefois regrettable de constater que sa comptence
et son exprience particulire (en particulier de ses centres dvaluation)
sont trop peu connues et reconnues ltranger.
Une valuation est conduite par un laboratoire priv, CESTI,
agr par la DCSSI.
Le processus de certification est jug trop long et trop coteux par beaucoup dindustriels, a fortiori pour les PME.
La qualification par la DCSSI est donne un produit qui a t valu et
certifi partir dune cible de scurit quelle a approuve au pralable. 10 produits ont dj t qualifis et 7 sont en cours de qualification.
La moiti de ces produits est dveloppe par des PME.
Lagrment est lattestation dlivre par la DCSSI quun produit de chiffrement est apte protger des informations classifies de dfense, aprs
valuation par le Celar et par la DCSSI. Cest un label national.
La normalisation facilite les choix stratgiques de lentreprise, favorise la protection des consommateurs et lapplication de la
rglementation. La prsence de la France dans la normalisation et la standardisation est notoirement insuffisante.
Une des voies pour faciliter lacquisition des produits qualifis
est de donner des profils de protection le statut de normes franaises
homologues. Le projet de convention entre la DCSSI et lAFNOR pour
mener terme une action de normalisation est toujours en discussion. Il y
faudrait une nouvelle impulsion.
Six recommandations
Les six recommandations proposes correspondent une
double ambition : renforcer la posture stratgique de ltat en matire
de TIC et de SSI et assurer la mise en uvre oprationnelle des politiques et des dcisions de ltat en matire de SSI.
Synthse
19
20
Synthse
21
Il est noter que certaines recommandations du rapport rejoignent les mesures proposes dans le Plan de renforcement de la scurit
des systmes dinformation de ltat en 2004.
22
Chapitre 1
Laugmentation
des menaces et des
vulnrabilits pse
fortement sur la scurit
des systmes dinformation
Pour les besoins de ce document, on appelle systme dinformation un ensemble de machines connectes entre elles, de faon permanente ou temporaire et permettant une communaut de personnes
physiques ou morales dchanger des donnes (sons, images, textes, etc.).
Selon cette dfinition, des systmes aussi varis que le rseau
dun oprateur de tlphonie fixe ou mobile, le site Internet dune entit
(ministre, entreprise, institut de recherche, etc.), lordinateur individuel du
particulier tout comme linfrastructure de son fournisseur daccs, le rseau
de commandement des forces armes constituent des systmes dinformation.
Ainsi, une segmentation des systmes dinformation en trois
sous-systmes principaux permet de mieux apprhender les champs couverts et leur complexit (voir schma en annexe IV) et en corollaire les
enjeux de scurit sous-jacents :
Les rseaux informatiques :
Internet et donc corrlativement toutes les applications ou services qui y
sont associes (commerce lectronique, banques en ligne...) et les quipements ncessaires son fonctionnement (serveurs, routeurs...) ;
les rseaux locaux dentreprises et intra-entreprises ;
les rseaux de ltat et des organisations publiques ;
les rseaux des infrastructures critiques ;
les quipements individuels des particuliers.
les
les
les
les
les
23
la paire de cuivres, etc.) offrent de grandes possibilits techniques (amlioration des interconnexions, des dbits, etc.).
Couples la standardisation et lutilisation tendue de certains protocoles de transmission (IP), ces possibilits font natre des
offres de services qui rencontrent des opportunits dapplication ou
des demandes issues de nos modes de vie. Assez frquemment, les
opportunits ou les demandes sont motives par des considrations conomiques (rduction du cot de fonctionnement dun service existant) et pratiques (gain de rapidit, de commodit pour ce service).
Ainsi :
La dmatrialisation des relations entre une administration et ses administrs en donne un bon exemple. Lutilisation et lenvoi lectronique
dimprims administratifs sur Internet permettent de rduire significativement les cots de traitement des procdures manuelles (allgement de la
masse salariale des agents publics). Dans le mme temps, le traitement
central et automatis dune procdure permet descompter un gain defficacit (statistiques et prvisions quasi-immdiate pour ladministration).
Un programme darmement visant assurer un flux continu dinformation entre un tat-major de forces et des militaires uvrant sur un thtre
doprations est mme de donner au commandement une visibilit totale
et instantane des actions et des mouvements entrepris par le fantassin sur
le champ de bataille.
Quant lordinateur individuel connect Internet, il offre de nouveaux
loisirs et un confort de vie : parcourir un supermarch virtuel, payer et se
faire livrer domicile la commande.
Les risques qui psent sur la scurit des systmes dinformation sont fonction de la combinaison des menaces qui psent sur les ressources protger, des vulnrabilits inhrentes ces ressources et de la
sensibilit du flux dinformation qui passe dans ces ressources.
valuer sa scurit demande de savoir vers quoi on veut tendre
et contre quoi on cherche se protger. Il apparat que la scurit des systmes dinformation sapparente de la gestion de risques.
24
La scurit nest pas une fin en soi mais rsulte toujours dun compromis entre :
un besoin de protection ;
le besoin oprationnel qui prime sur la scurit (cooprations, interconnexions...) ;
les fonctionnalits toujours plus tentantes offertes par les technologies
(sans fil, VoIP...) ;
un besoin de mobilit (technologies mobiles...) ;
des ressources financires et des limitations techniques.
La scurit na de sens que par rapport ce quon cherche
protger. Ici, la cible principale des convoitises est linformation, quil
sagisse de la manipuler ou de la dtruire, de lextraire ou den restreindre
laccs, voire de la rendre inaccessible. On peut galement chercher protger des puissances de calcul, ou encore de la connectivit. La SSI a donc
pour objet de proposer des solutions organisationnelles et/ou techniques
susceptibles de protger les informations les plus sensibles en priorit mais
galement les autres.
La gestion du risque et la SSI participent dune mme
dmarche globale, fonde sur lidentification des attaques potentielles,
mais galement sur lide quaucun systme dinformation nest invulnrable car :
il nest pas possible denvisager de se protger 100 % des codes malveillants (comme par exemple les virus ou les chevaux de Troie) ;
les pare-feux protgent uniquement des attaques rsiduelles (i. e. qui ne
correspondent pas aux services offerts) 2 ;
les algorithmes cryptographiques secrets ne sont pas tous fiables ;
les solutions de dtection dintrusion peuvent tre trompes ;
la SSI repose sur des outils mais galement sur un facteur humain ;
il nest pas possible de tester les systmes et les applications dans des
dlais raisonnables au regard de leur dploiement auprs des utilisateurs.
La scurit des systmes dinformation vise gnralement
cinq objectifs :
la confidentialit : il sagit de garantir que laccs aux donnes nest
possible que pour les personnes dment autorises les connatre ;
lintgrit : il sagit de garantir que les fonctions et donnes sensibles
ne sont pas altres, et conservent toute leur pertinence ;
la disponibilit : il sagit de garantir quune ressource sera accessible
au moment prcis o quelquun souhaitera sen servir ;
lauthentification a pour but de vrifier quune entit est bien celle
quelle prtend tre ;
la non-rpudiation vise interdire une entit de pouvoir nier avoir pris
part une action (cela est fortement li la notion juridique dimputabilit).
1. Stanislas de Maupeou, in Revue Dfense nationale, novembre 2003
2. Lire ce propos la note du CERTA : Tunnel et pare feu : une cohabitation difficile (http://www.certa.ssi.gouv.fr/site/CERTA-2001-INF-003/) ;
25
La sensibilit de linformation
prendre en compte
Les informations qui doivent demeurer confidentielles, celles
qui doivent absolument tre disponibles ou celles qui peuvent reprsenter
un attrait pour une tierce partie, sont appeles sensibles (cf. Annexe V).
LAFNOR 1 distingue trois types dinformations :
Linformation aisment et licitement accessible que certains appellent linformation blanche est ouverte tous. Elle se trouve dans la presse,
sur Internet, etc.
Linformation licitement accessible mais caractrise par des difficults dans la connaissance de son existence et de son accs . Cette information grise, pour la trouver, il faut dabord savoir la chercher. Elle se
rapproche davantage du renseignement.
Linformation diffusion restreinte et dont laccs et lusage sont
expressment protgs . Il sagit ici de linformation noire qui est protge
par un contrat ou une loi. Seules quelques personnes sont autorises y
accder.
Les deux mentions prconises par la Directive 901 :
confidentiel et diffusion limite
Aux termes de lart. 4, portant sur les informations sensibles,
non-classifies Dfense, il est recommand que ces informations reoivent
une mention rappelant leur sensibilit en considration de la gravit des
1. Association franaise de normalisation.
26
27
logicielles : ces attaques regroupent lintrusion, lexploration, laltration, la destruction et la saturation des systmes informatiques par des
moyens logiques ;
humaines : lhomme est un acteur clef dun systme dinformation. Il
constitue ce titre une cible privilgie et peut faire lobjet de manipulation afin de lui soutirer de linformation via l ingnierie sociale 1 par
exemple ;
organisationnelles : un attaquant cherchera abuser des dfauts de
lorganisation et de sa scurit pour accder ses ressources sensibles.
Ces types dattaques sont des lments indissociables parfois
utiliss simultanment pour une attaque sophistique quil convient dintgrer dans un plan de scurit globale. Ne traiter quun seul de ces points
pourrait tre compar installer une porte blinde lentre dune maison, mais en laissant les fentres ouvertes.
28
Dfiguration ludique :
Le 16 juillet 2005, le site www.expatries.diplomatie.gouv.fr tait
dfigur 1 : une de ses pages tait remplace a priori par une rfrence au groupe de pirates.
29
30
Indispensables au bon fonctionnement du pays, elles constituent des cibles privilgies : il sagit de la distribution dnergie lectrique (auprs dautres infrastructures : hpitaux, etc.) ; la production
dnergie lectrique en particulier nuclaire ; les rseaux dalimentation et
de production des raffineries ; la distribution et production deau douce ;
les rseaux de transport (rservations billets davions, contrle arien,
rseaux de signalisation des voies ferres, etc.) ; les rseaux de communication (tlphone filaire, cellulaires, rseau Internet, etc.) y compris ceux
des forces de police et de la dfense.
Linterdpendance entre certaines de ces infrastructures gnre
galement des facteurs de risques en terme de raction en chane qui doivent conduire ltat en accord avec les oprateurs dinfrastructures vitales
dfinir des politiques de scurit qui envisagent la scurit de manire
globale et solidaire.
Ces attaques, si elles aboutissaient, pourraient avoir des consquences particulirement graves, quelles soient conomiques, sociales,
cologiques voire humaines.
31
Ainsi, en juin 2005, des rvlations 3 sur une entreprise isralienne qui louait un cheval de Troie ses clients ont
conduit larrestation de plusieurs dirigeants dentreprises
travers le monde. En sadressant cette socit, un client
demandait tout simplement ce que le produit soit install
dans le systme dinformation de la cible, et pouvait ensuite en
extraire en toute impunit les informations quil dsirait.
Si les entreprises ont davantage de moyens pour se protger, la
complexit croissante des systmes dinformation et les contraintes de
cots rendent dautant plus difficile la scurisation des systmes.
Les entits acadmiques, universits, centres de
recherche, coles dingnieurs
Moins sensibiliss la scurit des systmes dinformation, les organismes
de formation de recherche sont victimes de nombreuses attaques, comme
laffirment certains tmoignages recueillis au cours de la mission.
Les citoyens, des cibles vulnrables
Les donnes protger pour un citoyen sont de deux types : dune part celles quil produit lui-mme : e-mail, blogs, forums, et dautre part celles
quil ne matrise pas, comme ses connexions Web chez son fournisseur
daccs Internet ou travers une borne Wifi, la localisation de son mobile
travers les relais tlphoniques, son passage devant des camras de
vidosurveillance sur IP ou non.
De plus, les machines des citoyens peuvent servir de relais pour conduire
des attaques.
1. Source : auditions
2. Dfigurations spciales : http : //www.zone-h.com/en/defacements/special
3. http://solutions.journaldunet.com/0506/050603_espionnage_industriel_israel.shtml
32
Liaisons transatlantiques
Serveurs : ils assurent des services dune extrme importance au bon fonctionnement de toute structure utilisant les rseaux tels
que le service de messagerie lectronique devenu indispensable en tant
quoutil de communication, service Web portail de communication et
emblme de lorganisme vis--vis de lextrieur, service de fichiers aux
contenus sensibles ou pas. Il est noter le danger de rendre le service de
messagerie indispensable quand on songe quil ny a pas de garantie structurelle que le courrier est bien dlivr.
33
Postes clients : utiliss tout niveau de la hirarchie, ils permettent tous de sacquitter de ses tches quotidiennes et stockent des
informations potentiellement prcieuses. Ils sont surtout en premire ligne
face aux maladresses ou malveillances des employs sur leur lieu de travail ou des utilisateurs domestiques. Ils sont considrs, ltat actuel de
lart, comme trs difficiles scuriser.
quipements mobiles : dune utilisation croissante au sein
de lentreprise et de la vie quotidienne, les quipements mobiles constituent des lments du systme dinformation, et surtout des cibles en puissance : ordinateur portable, PDA, tlphone portable sont de plus en plus
vulnrables cause de technologies dangereuses (wifi, bluetooth, etc.) et
donc de plus en plus attaquables.
34
35
36
Royaume-Uni
Core du Sud
(Inconnu)
Brsil
Japon
Taiwan
Allemagne
France
Chine
tats-Unis
2 000
Au mois doctobre 2005, 104 219 sources distinctes ont sond des
machines sur le rseau RENATER 1.
Il peut sagir de tentatives de propagations virales, ou de phases de
reconnaissance pr-attaque de pirates ou encore de mauvaises
configurations systme.
37
38
Ils peuvent provoquer des redmarrages intempestifs ou empcher le tlchargement de correctifs tout en bloquant laccs certains sites Internet.
Pour ne pas tre dtects et prserver leur anonymat, les attaquants dont la motivation est souvent financire ont de plus en plus tendance
mettre en place un rseau de machines devant rester invisible et leur permettant, le moment venu, de relayer de manire massive partir des machines infectes lattaque dsire : des spams, des virus, ou des attaques en dni
de service. Les rseaux de robots (botnets) peuvent mettre en uvre entre
3 000 et 10 000 ordinateurs zombies. Au premier semestre 2005, en
moyenne 10 352 ordinateurs de rseaux de bots ont t actifs, par jour, soit
une augmentation de 140 % par rapport au semestre prcdent 1.
En 2002, pendant une heure, les treize serveurs de noms racine (dont
10 aux tats-Unis), qui permettent directement ou indirectement,
tous les navigateurs de trouver les pages Web demandes, tous les
e-mails darriver destination, ont t la cible dune attaque de dni
de service coordonne. Le problme nest pas tant la gographie
physique mais qui concrtement contrle ces serveurs (contenu,
mise jour, etc.).
Ces serveurs sont le centre nerveux dInternet et en mme
temps son talon dAchille.
39
Un spam est un courrier lectronique dexemplaires identiques, envoy en nombre, de faon automatique et non-sollicit 1.
En 2004, il y a eu une inondation graduelle du Net par les spams. De ce
fait, nombre de responsables scurit ont d mobiliser leurs quipes sur le
sujet des spam pour rpondre la pression de leur direction et des utilisateurs face la saturation de leurs messageries. titre dexemple un grand
groupe franais 2 dans lequel 500 000 mails sont changs chaque jour, en
rejette 60 000, dont 31 000 spams et 29 000 virus. Au premier semestre
2005 le spam a reprsent 61 % de la totalit du trafic de courriers lectroniques (51 % de tous les spams diffuss travers le monde provenaient
des tats-Unis) 3. Cependant, le spam occasionne plus de dsagrments
que de dgts, et sil est parfois qualifi dennemi logique numro un, ce
nest pas du fait de sa dangerosit.
Un spyware est un code qui permet de transmettre les habitudes dun internaute, que lon peut qualifier de logiciel espion avec des
objectifs de commerce et de renseignement (tudes marketing, etc.). Il peut
intgrer des programmes malveillants de toutes sortes mais galement
affecter la confidentialit des donnes de linternaute. En 2004, 50 % des
remontes Dr Watson (remonte des problmes informatiques Microsoft) taient dues des spywares ! Les logiciels espions et publicitaires
adware sont en expansion.
40
41
42
Une organisation trop permissive et insuffisamment structure, risque de ne pouvoir identifier linformation critique pour son fonctionnement ; ni cerner sa vraie valeur ; ni optimiser les changes
dinformations entre ses entits. Par construction, elle restera donc plus
vulnrable.
Lexternalisation favorise les vulnrabilits
Lentreprise qui recourt lexternalisation doit sassurer quelle dispose,
vis--vis de son prestataire, des moyens et garanties permettant dassurer
la scurit de son systme dinformation, notamment travers lventuelle
chane de sous-traitance...
Les principaux risques identifis sont de nature :
informationnelle : des donnes peuvent tre drobes ou manipules et
les systmes dinformation peuvent tre neutraliss ;
juridique : les socits utilisant des entreprises dinfogrance trangre
doivent prendre garde la lgislation en vigueur dans le pays qui hberge
leur informatique ainsi qu sa stabilit ;
conomique : un cot de transfert sous-valu et une baisse de la qualit de services. Une perte dfinitive de savoir-faire en matire dadministration de systmes ;
organisationnelle : la rversibilit ventuelle du transfert doit tre clairement prvue contractuellement et organise.
Les organisations qui externalisent leurs infrastructures informatiques et leur SSI doivent bien intgrer que lensemble des donnes de
leur systme dinformation sera accessible un tiers, dans le cadre
dun march pour lequel il ny a, ce jour, aucune contrainte rglementaire spcifique.
43
une ergonomie inadapte : elle peut avoir des consquences dramatiques (perte de donnes, diffusion dinformations secrtes, dcouragement
des utilisateurs).
Dune faon gnrale, linformatique actuelle est beaucoup
plus complexe que lide gnralement rpandue et diffuse : la formation
doit tre dveloppe.
44
45
Par exemple, dans le domaine militaire, le besoin dinteroprabilit entre allis conduit adopter des normes qui, jusqu prsent, sont
fortement influences par les tats-Unis. Si la matrise de la ralisation des
produits nest pas quitablement partage, il convient de sinterroger sur
les consquences induites sur la souverainet de notre pays en particulier.
Il en va de mme des systmes dinformation utiliss par les forces de
police et les services de renseignement.
Un enjeu conomique : un environnement scuris est
ncessaire afin daccompagner le rattrapage franais dans lusage des TIC,
indispensable pour la croissance franaise, par les citoyens et les entreprises franaises.
Selon le tableau de bord du commerce lectronique de
dcembre 2004 1, malgr un taux dquipements comparable pour les
entreprises, des retards persistants demeurent par rapport aux concurrents
en matire dusage. Retenons quelques donnes de cette tude de 2002 qui
reste cependant dactualit.
En juillet 2002, on comptait en moyenne 31,4 sites Web pour
1000 habitants contre 17,2 sites en juillet 2000. Des carts importants
entre pays peuvent tre constats.
90
84,7
80
72
70
64
64
60
50
45
15
Australie
Sude
Canada
Pays-Bas
tats-Unis
Royaume-Uni
Danemark
Allemagne
10
13
13
11
Espagne
20
France
28
Italie
33
30
Finlande
40
46
40
37,5
35
30
25
25
21,5
15,1
14,3
14
12,3
10
9,7
8,3
Pays Bas
Allemagne
Danemark
Sude
Finlande
Irelande
Royaume- Uni
Suisse
Canada
tats-Unis
5,6
4,2
France
17,1
15
Japon
20
47
Chapitre II
Les rponses
organisationnelles
et techniques
La rglementation en scurit
des systmes dinformation (SSI)
La rglementation en scurit des systmes dinformation (SSI)
nexiste pas sous la forme dun code lgislatif ou rglementaire. La SSI
nest dailleurs pas mme dfinie dun point de vue juridique. En fait, le
domaine de la SSI fait rfrence une multitude de textes de niveaux juridiques trs divers relatifs lorganisation institutionnelle, la protection
des systmes dinformation, au dveloppement de ladministration lectronique, la cryptologie, la signature lectronique ou la cybercriminalit,
(cf. Annexe IX).
49
Premier Ministre
SGDN / DCSSI
Veille alerte rponse
Labellisation / certification
Formation
Soutien la R&D
Conseil en SSI
Audit / Inspection
Minefi
DGE
Soutien la R&D
ADAE
Labellisation
CNIL
Protection des liberts
publiques
Labellisation
Etc.
Ministre de la Dfense
EMA
DGA
Financement
Expression des besoins
de produits
Financement de produits
Soutien la R&D
Dveloppement
OPVAR
des technologies
Veille alerte rponse
Protection des
entreprises darmement
DGSE
Analyse de la menace
venant de lextrieur
SGDN / IE
Protection des
entreprises sensibles
Ministre de lIntrieur
OCLCTIC
DST
Lutte contre
Lutte contre
la cybercriminalit la cybercriminalit
sensibilisation
50
Premier ministre
SGDN
IE
TTS
DAG
Direction de
lAdministration gnrale
DCSSI
110 personnes
SP-CIR
Direction centrale
de la scurit et des
systmes dInformation
AIS
Secrtariat permanent
du comit interministriel
du renseignement
Direction de la Protection
et de la scurit de ltat
PSE
353 personnes
51
52
53
Le ministre de la Dfense,
un acteur majeur distinguer
Le ministre de la Dfense assure deux missions SSI distinctes :
une mission de scurit interne, comme dans tous les ministres ;
une mission technique charge de la prise en compte de la scurit dans
les programmes darmement et de la ralisation de produits de scurit
vocation ministrielle ou interministrielle.
Contrairement aux autres ministres, le ministre de la Dfense
na pas de haut fonctionnaire de Dfense (HFD) 1 et la responsabilit de la
prise en compte de la SSI au ministre est dvolue aux autorits qualifies
(CEMA, DGA, SGA, CEMAT, CEMM, CEMAA, DGGN, DGSE, DPSD) 2,
aux bureaux centraux de SSI, aux officiers de scurit des systmes dinformation (OSSI) dorganismes centraux ou locaux et aux responsables de la
scurit des systmes dinformation (RSSI) de programmes ou de projets.
Une autorit qualifie est responsable devant le ministre de la
capacit des systmes mis en uvre traiter les informations protges (ou
sensibles) au niveau de scurit requis. Cette reconnaissance se traduit par
la dlivrance dune homologation par lautorit qualifie.
La politique SSI du ministre de la Dfense est intgre dans la
politique gnrale des systmes dinformation dfinie par le Secrtariat du
Directoire des systmes dinformation 3.
Les Armes et la DGA possdent chacune une entit constitue
de spcialistes de la SSI, charge en particulier de procder aux audits des
systmes dinformation dpendant de lautorit qualifie correspondante.
Chaque arme dcline sa voie fonctionnelle SSI jusqu chacune de ses entits lmentaires, et affecte des personnels lOPVAR,
organisation permanente de veille alerte rponse, au niveau de ladministration centrale.
Des missions particulires sont confies au ministre de la
Dfense en SSI, dpassant son propre primtre, cest--dire lemploi ou la
prparation des forces. Accompagne de linstruction [77], la recommandation [4201] prcise que le ministre de la Dfense :
est matre duvre des quipements ou moyens destins protger les
systmes dinformation gouvernementaux lorsque ces quipements ou
1. Cf. infra, p. 59.
2. Voir glossaire.
3. Bientt DGSIC.
54
55
56
des rseaux dentreprise (firewall, administration de rseaux privs virtuels, systme dinfrastructure de gestion de cls en logiciel libre install
dans la plupart des ministres) et de scurit des cartes puce.
Pour ce qui est dOppidum : le dernier appel proposition
en 2004, dot dun budget limit 4 millions deuros, a rencontr un vif
succs puisque 45 dossiers ont t dposs pour un total de 22 millions
deuros environ.
LADAE :
LAgence pour le dveloppement de ladministration lectronique, cre
par le dcret du 21 fvrier 2003, publi au JO du 22 fvrier, un service
interministriel rattach au ministre charg du Budget et de la rforme de
ltat.
Lagence pour le dveloppement de ladministration lectronique favorise
le dveloppement de systmes dinformation et de communication permettant de moderniser le fonctionnement de ladministration et de mieux
rpondre aux besoins du public.
Dans ce domaine :
Elle contribue la promotion et la coordination des initiatives, assure
leur suivi et procde leur valuation et apporte son appui aux administrations pour lidentification des besoins, la connaissance de loffre et la
conception des projets.
Elle propose au Premier ministre les mesures tendant la dmatrialisation des procdures administratives, linteroprabilit des systmes
dinformation, ainsi quau dveloppement de standards et de rfrentiels
communs.
Elle assure, pour le compte du Premier ministre, la matrise douvrage
des services oprationnels dinterconnexion et de partage des ressources,
notamment en matire de transport, de gestion des noms de domaine, de
messagerie, dannuaire, daccs des applications informatiques et de
registres des ressources numriques.
Parmi ses missions, le volet scurit regroupe toutes les activits ncessaires la mise en place, en liaison avec la DCSSI, de linfrastructure de confiance avec les outils, les rfrentiels, les guides
mthodologiques (FEROS) et lexpertise (EBIOS).
La coordination des autorits certifiantes et llaboration des
rfrentiels sont menes avec la DCSSI. La dfinition dune carte puce
gnrique est conduite en lien avec les partenaires europens.
Dans le cadre de cette mission, lADAE dveloppe des projets
tels que la carte agent , offrant des services de chiffrement et de signature, dont lappel doffres, en vue de son dploiement destination des
ministres, est prvu en novembre 2006. LADAE travaille la mise en
place dune offre de services de confiance mutualiss (mission de certificats, validation, gestion de la preuve...), dont la mise en production est
prvue en 2006.
Cette description des tches montre la difficult apprhender les responsabilits respectives de lADAE et de la DCSSI en matire
de scurit des systmes dinformation.
57
58
59
60
61
62
63
64
65
pour une dlivrance des premiers passeports lautomne 2006. Par ailleurs,
un nouveau programme de recherche (IADP 1) a t mis en place afin
doptimiser les efforts dans le domaine SSI, en partenariat avec lindustrie.
2005
2004
2003
2002
2001
2000
1999
1998
1997
1996
1995
1994
1993
1992
460
440
420
400
380
360
340
320
300
280
260
240
220
200
1991
66
Informer le pays :
en sensibilisant le public aux enjeux de la SSI par exemple par une information trimestrielle sur leur site Web et la production de CD-rom conus
pour les citoyens. Lindustrie supporte cette initiative du BSI et fournit
gratuitement des dmonstrateurs ;
en participant des campagnes de sensibilisation des PME en 2004
(Scurit de lInternet pour les PME) ;
le BSI ralise galement des analyses de tendance et des futurs risques
qui psent sur les systmes dinformation.
67
51
45
50
40
30
29
32
31
29
31
33
33
34
30
35
36
36
20
10
0
Divers
2%
Personnels
36 %
Etudes
17 %
Dveloppements
19 %
68
Investissements
14 %
Trs satisfait
15 %
Assez satisfait
22 %
Satisfait
49%
69
70
Les autorits israliennes, qui ont pourtant dans le pass montr leur clmence envers les pirates informatiques nationaux (cas du hacker Ehud Tenenbaum alias Analyzer par exemple), travaillent au
renforcement de larsenal juridique du pays en matire de lutte contre la
cybercriminalit.
Les socits israliennes dveloppent des capacits en matire
de tests dintrusion. Ainsi, Beyond Security a men, au cours du premier
trimestre 2004, un exercice de pntration de sites Internet dorganisations
sensibles. Cet exercice, qui a vis notamment la bourse du commerce de
Tel-Aviv, la compagnie nationale de leau, la police isralienne, des municipalits ou encore un vendeur de livres par Internet, tait limit des
actions de dfiguration de sites Internet (modifications du contenu mis en
ligne).
71
avec le secteur des entreprises, en vue de les aider satisfaire aux exigences en matire de scurit des rseaux et de linformation, [...] garantissant ainsi le bon fonctionnement du march intrieur . Elle doit en
particulier renforcer la coopration entre les diffrents acteurs dans le
domaine de la scurit des rseaux et de linformation, [...] en crant des
rseaux de contacts lusage des organismes communautaires, des organismes du secteur public dsigns par les tats membres, des organismes
du secteur priv et des organisations de consommateurs . Lune de ses
premires tches est dtablir un catalogue de comptences lchelle de
lUnion europenne pour toutes les professions et tous les acteurs concerns par la scurit des systmes dinformation. Outre ses fonctions de sensibilisation parmi les acteurs et la promotion des changes des
meilleures pratiques actuelles, y compris les mthodes dalerte des utilisateurs , lENISA doit fournir la Commission des conseils sur la
recherche en matire de scurit des rseaux et de linformation et
suivre llaboration des normes pour les produits et services en matire
de scurit des rseaux et de linformation . Dautre part, son domaine de
comptence ne sapplique nullement des activits lies la scurit
publique, la dfense, la scurit de ltat [...] ou aux activits de ltat
dans le domaine du droit pnal . Il ninclut pas dactivits oprationnelles ou de participation directe la lutte contre la criminalit informatique.
Enfin, lENISA devrait lancer une analyse moyen ou long terme sur les
risques actuels et mergents, amliorant ainsi la comprhension des questions de scurit des rseaux et de linformation, mais elle nest pas cense
agir comme un CERT dans le rglement des incidents au jour le jour.
Le directeur de lagence est un Italien, M. Pirotti, qui vient du secteur
priv.
ONU
Les Nations unies ont peru trs tt les nouveaux enjeux, lis la scurit
des systmes dinformation, dans leurs diffrentes composantes : juridiques, conomiques et de scurit nationale. Ainsi, depuis 1998,
lAssemble gnrale a adopt plusieurs rsolutions relevant de la
1re commission sur les consquences de lutilisation des technologies de
linformation et des communications (TIC) 1, de la deuxime commission
sur le dveloppement dune culture globale de la cyberscurit 2 et de la
troisime commission sur la lutte contre lutilisation criminelle des technologies de linformation 3. Ces rsolutions ont permis entre autres dlever
au niveau international des travaux mens par des organisations plus rgionales telles que lOCDE, le G8 ou le Conseil de lEurope. Elles ont galement mis en place un groupe dexperts gouvernementaux charg
dexaminer les menaces potentielles et existantes dans le domaine de la
scurit de linformation et les mesures possibles de coopration mettre
en place afin de mieux les contrer. En raison de fortes oppositions entre les
tats-Unis et la Russie sur la prise en compte de lutilisation des TIC des
1. Rsolutions no 53/70 of 4 dcembre 1998, 54/49 du 1er dcembre 1999, 55/28 du
20 novembre 2000, 56/19 du 29 novembre 2001, 57/53 du 22 novembre 2002, 58/32
du 8 dcembre 2003 et 59/61 du 3 dcembre 2004.
2. Rsolutions no 57/239 du 20 dcembre 2002 et 58/199 du 23 dcembre 2003.
3. Rsolutions no 55/63 du 4 dcembre 2000 et 56/121 du 19 dcembre 2001.
72
fins militaires, ces travaux nont pas abouti ce jour mais pourraient donner lieu moyen ou long terme une nouvelle convention rgissant lutilisation des TIC aux dpens de la scurit nationale et internationale et
compltant le droit international dans ce domaine.
SMSI (Sommet mondial sur la socit de linformation)
LUIT 1 et lassemble gnrale des Nations Unies ont dcid dorganiser
un sommet mondial sur la socit de linformation. La premire phase du
sommet, tenue Genve du 10 au 12 dcembre 2003, a permis ladoption
dune dclaration de principes et dun plan daction, dont une section est
ddie la scurit de linformation et des rseaux. La deuxime phase du
sommet, a eu lieu du 16 au 18 novembre 2005, et a consacr ses travaux au
problme pineux de la gouvernance de lInternet ; elle a notamment examin la possibilit dune internationalisation de la gestion des ressources
de lInternet.
OCDE
Le groupe de travail sur la scurit de linformation et la protection de la
vie prive (WPISP 2), qui dpend du comit PIIC (Comit de la politique
de linformation, de linformatique et des communications), se runit deux
fois par an Paris au sige de lOCDE. Il runit des experts des 30 tats
membres de lOCDE ainsi que des reprsentants du secteur priv et de la
socit civile. Il favorise le rapprochement des politiques publiques dans
ce domaine par lchange dinformation et la promotion de bonnes pratiques. LOCDE a mis en juillet 2002 des lignes directrices sur la scurit
des systmes dinformation et des rseaux 3 qui ont donn naissance un
nouveau concept : la promotion de la culture de la scurit. Depuis cette
date, le WPISP sefforce de mieux comprendre les stratgies nationales
mises en place pour rpondre ces lignes directrices et de cerner les nouveaux enjeux dans ce domaine, lis lvolution des technologies.
G8
Sous limpulsion de la prsidence franaise du G8 en 2003, le thme de la
protection des infrastructures critiques dinformation, considr
jusqualors comme un sujet sensible, enjeu de la souverainet nationale, a
fait lobjet de travaux dans un cadre multilatral. En mars 2003, une confrence ad hoc, co-parraine par la France et les tats-Unis, rassemblait pour
la premire fois des experts gouvernementaux et des grands oprateurs responsables des infrastructures dinformation. Ladoption de 11 principes
directeurs lors de la runion ministrielle Justice-Affaires intrieures le
5 mai 2003 marquait cette premire tape dans lmergence dune culture
de scurit face aux menaces informatiques. Les 11 Principes directeurs
encouragent les pays du G8 mieux protger leurs infrastructures vitales
en favorisant notamment la coordination internationale, la promotion dun
vritable partenariat entre le secteur public et priv ; le renforcement de la
coopration bi et multilatrale ; la mise en uvre des bonnes pratiques
dans le domaine de lalerte et de la veille informatique (CERT) ; la
1. Union internationale des tlcommunications.
2. Working party in information security and privacy.
3. www.oecd.org/sti/cultureofsecurity .
73
Le monde de lentreprise
au cur de la menace
et de la problmatique SSI
Le dplacement des enjeux
et des risques vers lconomique
Grer le paradoxe de louverture et de la protection
Le systme dinformation de lentreprise est dsormais dploy dans un
contexte dentreprise tendue permettant un travail en rseau avec ses clients
ou usagers, ses fournisseurs, ses donneurs dordre, ses partenaires ou les
reprsentants de ladministration. Ces changes gnrent des vulnrabilits
1. Forum of Incident Response and Security Teams.
2. Task Force to promote the collaboration between Computer Security Incident
Response Teams.
74
pour les systmes dinformation de lentreprise vis--vis dattaques potentielles contre lesquelles elle doit se protger.
En outre, la gnralisation des outils nomades (tlphones mobiles, PDA,
ordinateurs portables...) et le passage au tout numrique gomment la frontire entre espace professionnel et espace priv, accentuent trs significativement les risques.
De nombreux sinistres identifis dans les entreprises
Dans ltude Clusif 2003 1 qui met en vidence les principaux sinistres
chez les grandes et moyennes entreprises on notera que :
41 % des sonds dclarent avoir subi un sinistre dont 76 % nont procd aucune valuation de limpact financier ;
les facteurs dclenchant se rpartissent comme suit : infection par virus
(35 %), panne interne (18 %), vol (15 %), perte de services essentiels
(10 %), erreurs dutilisation (8 %), vnement naturel (3 %).
Il est noter que la menace stratgique, par exemple despionnage industriel, napparat jamais dans les enqutes, sans doute pour des
questions de confidentialit et dimage.
Des incidences conomiques considrables
Les incidents dus une dfaillance de la SSI peuvent affecter lensemble
des activits et du patrimoine de lentreprise et peuvent conduire :
des perturbations ou des interruptions des processus cls de production
de lentreprise ;
des pertes de parts de marchs (vol de technologies, de bases
clients/fournisseurs...) ;
des pertes financires directes :
cots dimmobilisation des installations de production ;
cot du temps pass la restauration des systmes ;
cots techniques de remplacement de matriels ou de logiciels... ;
une perte dimage et/ou de confiance des clients, partenaires et
employs ;
des actions contentieuses ou de mise en responsabilit lies la fraude
informatique ;
une remise en cause des assurances de perte dactivit.
De manire moins visible mais plus lourde de consquences,
les actions despionnage industriel relayes parfois par des moyens tatiques vont se traduire pour les entreprises franaises par une perte de substance ou de comptitivit et au final par des incidences ngatives sur
lemploi. Un parallle simpose avec les dommages causs par la contrefaon qui reprsente un cot en France valu 6 milliards deuros et le
nombre demplois perdus 30 000 par an 2.
75
76
77
Monde
France
45 %
51 %
31 %
51 %
42 %
49 %
31 %
45 %
30 %
43 %
27 %
40 %
26 %
37 %
35 %
35 %
Cette mme enqute souligne aussi les proccupations majeures des grandes et moyennes entreprises et met en vidence lattitude particulire des entreprises franaises dans de nombreux domaines par rapport
leurs homologues trangres :
Un manque dimplication des directions gnrales
La perception de limportance de la scurit par les directions gnrales
reste faible. 90 % des responsables de la SSI (DSI ou RSSI) considrent
que la SSI est directement lie latteinte des objectifs gnraux de
lentreprise et seuls 20 % considrent que la SSI est rellement une priorit
de leur direction gnrale.
Une prise en compte insuffisante des facteurs humains
Seulement 49 % des entreprises franaises ont conscience des risques de
complicit interne, contre 60 % au niveau mondial. Or, 35 % des incidents
ayant provoqu un arrt du systme dinformation, ont pour origine la
faute dun salari ou dun ex-salari. Ds lors, toute dmarche efficace en
matire de SSI doit saccompagner dun volet ressources humaines (sensibilisation, procdures, audits et contrles).
Seulement 20 % des entreprises franaises assurent leurs
salaris une formation rgulire sur la scurit et la matrise des risques,
contre 47 % des entreprises dans le monde.
1. La scurit des systmes dinformation dans les entreprises franaises en 2004,
vision compare de la France et du monde, Ernst&Young, dcembre 2004, Etude ralise auprs de 1230 entreprises dans le monde dont 50 en France.
78
79
Les organisations mises en place par les entreprises, en particulier les plus grandes, mritent lattention.
Quelques points cls se dgagent :
Gouvernance : prsence de comits des systmes dinformation qui rendent compte devant le comit excutif des groupes. Loprationnel est assur par des directions gnrales des systmes dinformation
qui assurent la coordination et la matrise duvre des systmes dinformation dans le groupe.
Politiques de scurit : en complment dune politique de
scurit gnrale, qui intgre des rgles, des instructions et des recommandations, mise en uvre de politiques complmentaires SSI ddies :
en cas de crises ;
1. Source : auditions.
2. Source : auditions.
80
Personnels :
des formations/sensibilisations pour tous les personnels ;
la signature de chartes (cf. annexe XI pour des exemples) dutilisation
des systmes dinformation par tous les salaris. Celles-ci peuvent tre
annexes au contrat de travail ou faire partie du rglement intrieur des
entreprises.
Aspects techniques :
existence de solutions redondantes pour les systmes critiques et des
volutions en cours pour disposer de solutions de secours gnral ;
scurisation des postes individuels et des nomades ;
scurisation de laccs aux rseaux privs des entreprises et Internet ;
la scurisation des donnes sensibles devient une priorit conduisant
lutilisation croissante du chiffrement de tous les flux changs pour
laccs aux donnes techniques, financires... stockes dans des banques
de donnes ;
renforcement croissant des contrles daccs (scurisation de lauthentification, gestion et contrle des habilitations, authentification forte...) ;
logique de hirarchisation : laccs aux systmes dinformation est possible de lintrieur ou de lextrieur selon des droits affects la personne,
sa fonction et au niveau de scurit de son poste au moment de la
connexion ;
scurisation en cours des donnes et des accs des partenaires ;
approches spcifiques pour les dirigeants.
Moyens spcifiques :
lutilisation de cartes puces pour les salaris dans leur accs au systme
dinformation se gnralise ;
la fonction PKI (Public Key Infrastructure) simplante de manire croissante dans les organisations.
81
82
83
de la Security and Exchange Commission (SEC), lorganisme de rgulation des marchs financiers US. Cette loi est guide par 3 grands principes : lexactitude et laccessibilit des informations, la responsabilit des
gestionnaires et lindpendance des vrificateurs/auditeurs.
Selon ltude CSI/FBI 2005, cette loi a eu comme consquences pour prs de 50 % des entreprises daugmenter le niveau dintrt pour
la scurit des informations.
En outre, linstar des dirigeants dentreprises, la responsabilit civile et pnale des DSI et RSSI est aussi de plus en plus invoque
devant les tribunaux qui peuvent infliger des peines de prison.
Si le dispositif lgislatif et rglementaire qui encadre la SSI sur
le primtre du territoire national est globalement satisfaisant, un effort
significatif doit tre engag pour le porter de manire pdagogique la
connaissance des entreprises. En effet, la conformit la rglementation
constitue un levier significatif de progrs pour convaincre les dirigeants de
mettre en uvre des plans daction SSI.
Cependant, il existe une disproportion de jugement chez les
magistrats, pour qui une intrusion physique au sein dun tablissement
bancaire sera considre comme plus grave quune intrusion par mode
informatique, alors que les prjudices financiers consquences de ce dernier peuvent tre plus significatifs 1.
Enfin la France ne dispose pas, comme par exemple les
tats-Unis, des moyens juridiques permettant des poursuites efficaces
contre des attaques exerces partir de territoires trangers notamment
contre de grandes entreprises.
84
Cette attente nimpose pas pour autant que lensemble des lments de la SSI soit produit par une filire franaise et certifie par une
autorit tatique franaise.
Le premier niveau dexigence pour lensemble des entreprises
concerne la qualit des produits du march destins faire face des
menaces gnriques (spams, virus, tentatives dintrusion standards ...).
Le souhait des RSSI est de disposer de produits labelliss par une autorit
(publique ou prive, nationale ou internationale) qui a pu vrifier quils
taient globalement bien construits et rpondaient aux fonctionnalits
avances par le fournisseur.
Le deuxime niveau dexigence couvre le cercle des grandes
entreprises internationales et des PME/PMI sensibles. Dans ce dernier cas, le
souhait des RSSI est de pouvoir disposer, dfaut dune offre complte, de
briques conues par des entreprises franaises ou europennes permettant,
associes des architectures de systmes spcifiques SSI, daccder une
scurit plus efficace et certifie par une entit digne de confiance, la DCSSI.
Le troisime niveau est de pouvoir disposer moyen terme :
doutils permettant didentifier clairement la personne lorigine dun
fichier donn ;
doutils offrant en temps rel une protection complte dun rseau ;
doutils permettant un suivi et un contrle efficace du niveau de scurit
du rseau ;
de moteurs de recherche indpendants des solutions anglo-saxonnes
type Google ou Yahoo.
La ncessit dindustrialiser la maintenance de la SSI et
la diffusion des correctifs logiciels
La maintenance au fil de leau 24 heures/24 et 7 jours /7 et la garantie de
dploiement des mises jour sur lensemble du parc dans des dlais gnralement de lordre de lheure ou de la demi-heure constituent un enjeu
majeur pour la majorit des responsables de SSI des grandes entreprises.
Cela exige des solutions techniques fiables et certifies, un processus rgulier de dploiement des correctifs de scurit et une quipe de supervision
en alerte permanente prte intervenir larrive de nouvelles failles de
scurit des systmes dexploitation et ragir aux dploiements de nouvelles menaces.
85
1. Source : auditions.
86
Espagne
France
Italie
UE-15
Royaume-Uni
Finlande
Allemagne
Danemark
Sude
88
80
72
64
56
48
40
32
24
16
8
0
Pays-Bas
Ces donnes sont confirmes par cette mme tude de la Mission pour
lconomie Numrique, selon laquelle la proportion des entreprises franaises disposant dun site Internet est de 65 % pour une taille suprieure
250 salaris et de 38 % pour les PME de 10 250 salaris.
1. Mission pour lconomie numrique tableau de bord du commerce lectronique
de dcembre 2004 6e dition Services des tudes et des statistiques industrielles
(SESSI) Ministre dlgu lIndustrie.
87
88
Ainsi, lAFNOR 1 constate un intrt croissant port la politique de scurit induit par la norme ISO 17799 (issue de la norme BS
7799).
Le dveloppement de linfogrance de scurit
Les tendances du march et surtout les positionnements pris par
de nombreux acteurs informatiques le dmontrent, les PME apparaissent
comme un futur march en croissance en matire dinfogrance et de
services de scurit informatique afin de compenser leurs dficiences
internes qui les obligent externaliser cette fonction.
Ainsi des oprateurs industriels, filiales de groupes trangers
asiatiques, sont en train de prparer des offres orientes sur les entreprises
disposant de 50 500 postes principalement des PME, laissant les entreprises de plus de 1 000 postes aux SSII 2. Les PME confiant des tiers le
cur de leur socit, sont dans une situation de faiblesse par rapport
loffre de socits de services bien plus importantes.
1. Source : auditions.
2. Source : 01 Informatique.
89
38
30
23
15
7,5
7
1998
32
27
29
2001
2002
33
18
10
1999
2000
2003
90
dans ce domaine ntant pas pleinement conscientes des consquences conomiques dune atteinte lintgrit de leurs systmes.
Pourtant la scurit des systmes dinformation est un enjeu
national caractre stratgique, politique et conomique.
Dans une logique de souverainet, la France et lEurope peuvent-elles aujourdhui se doter des moyens dassurer de manire autonome
la protection de leurs infrastructures et de leurs systmes ?
91
Chapitre III
93
94
Pour rpondre ces besoins, les attentes concernent des produits logiciels
(antivirus, pare-feux...), des matriels (cartes puces, systmes biomtriques...) et des services (architectures scurises, infogrance de scurit...).
Des clients aux exigences diversifies
La demande en scurit des systmes dinformation vient du secteur institutionnel et gouvernemental, des entreprises et du grand public.
Le secteur institutionnel et gouvernemental se distingue par des exigences
rglementaires voire lgales, la ncessit pour certains ministres de
prendre en compte la menace stratgique, des conditions de contractualisation complexes et lentes et des budgets contraints.
Les entreprises se distinguent par une sensibilit la scurit et des
moyens extrmement variables, des politiques dachat sous contraintes de
prix et de prennit, de standardisation des produits achets, et des exigences rglementaires de source nationale ou europenne (notamment les banques).
Le grand public se distingue par un systme dinformation souvent limit
une ou quelques machines, un niveau technique trs variable et une
connaissance de la scurit souvent limite aux virus et aux spams.
Les technologies de scurit
Elles sont le fondement du dveloppement des produits et conditionnent
ainsi directement la qualit de la SSI.
Les technologies essentielles de la scurit des systmes
dinformation sont par exemple :
les systmes dexploitation ;
la conception darchitectures de scurit, lingnierie logicielle sre, la
preuve logicielle, la preuve de protocoles et les mthodes dvaluation
associes ;
la cryptographie, pour fournir des mcanismes de confidentialit, intgrit, preuve et authentification ;
les dispositifs lectroniques de protection de secrets (cartes puces...) ;
les mthodes applicatives de filtrage (antispam, antivirus...), de modlisation du comportement et de dtection dintention (intrusions...) ;
le matriel avec des composants et circuits intgrs scuriss.
Il existe une gamme de produits et technologies pour rpondre
aux diffrents besoins de scurit. Ils ne constituent pas des alternatives,
mais doivent tre utiliss de faon combine pour assurer la protection
requise. Les technologies de base sont :
identification/authentification par mot de passe ( usage unique ou pas),
biomtrie, carte puce ou cl USB, combinaison de ces technologies ;
signature lectronique ;
chiffrement ;
effacement sr.
Ces solutions sont mises en uvre dans diffrents types de produits de scurit :
scurit des rseaux : VPN (Virtual Private Networks, en franais
Rseaux Privs Virtuels), matriel/logiciel de chiffrement de liaison (standardis ou non) ;
95
scurit du poste de travail : Firewall logiciels et/ou matriels, antispam, antivirus, Contrle parental ;
scurit des contenus : logiciel de chiffrement de fichier (standardis ou
non), Digital Right Management (DRM) pour le multimdia ;
contrle daccs : cartes puce et terminal associ, capteur biomtrique ;
Trusted Platform Module (TPM).
En complment des produits, il est ncessaire de prendre en
compte les services de scurit qui accompagnent la mise en uvre de ces
produits. Aux services traditionnels (gestion des cls et autres services de
certification) se sont ajouts des services plus commerciaux (conseil,
audit, exploitation de la scurit des rseaux). Comme dans le reste des
TIC, ils constituent une activit en croissance plus forte que celle des quipements et plus difficilement dlocalisable :
infrastructure de gestion de cls (IGC) ;
services de certification lectronique (horodatage...) ;
processus dvaluation et de certification ;
single Sign On et Fdration didentit ;
conseil en SSI (audit, recommandation, formation) ;
management et surveillance des rseaux.
Parmi ces technologies et produits certains sont critiques pour
la garantie dun haut niveau de scurit et devraient tre de source franaise ou europenne, par exemple : des composants cryptologiques, des
systmes dexploitation multi-niveaux, des processeurs de confiance, des
dispositifs de gestion de cls, les PKI...
En outre, il conviendrait dinitier des tudes complmentaires
visant largir les possibilits offertes par les logiciels libres (par exemple
les systmes dexploitation).
96
les appliances (botiers physiques intgrant de une plusieurs fonctionnalits : pare-feu/VPN, antivirus, antispam, prvention et dtection
dintrusion... (Cf. Annexe XII pour les dfinitions) reprsentent 96 M
(8,6 %) en hausse de 37,1 %.
Un taux de croissance moyen de 17,2 % est attendu pour le
march de la SSI sur la priode 2005-2009 pour atteindre 2 100 M (administrations et entreprises) :
pour les services, le taux de croissance annuel devrait atteindre 19 % en
2009 ;
pour les logiciels, il est prvu une baisse du taux de croissance partir
de 2007 qui ne serait plus que de 12,3 % en 2009.
En Europe, les marchs des produits logiciels de scurit les
plus attractifs en 2003 taient :
le Royaume-Uni avec 600 M$ de CA en croissance de plus de 20 % ;
lAllemagne avec 560 M$ en croissance de plus de 20 % ;
la France avec 353 M$ en croissance denviron 5 %.
La faible croissance du march franais pourrait sexpliquer
par un retard dans lusage des TIC et dune prise de conscience tardive des
enjeux de la SSI.
Concernant les matriels, la croissance est relle sur certains
produits :
les cartes puce, dont le taux de croissance en volume 1 attendu sur
2005 est de 18 % avec 1 727 millions dunit aprs une croissance de 12 %
en 2004 ;
les systmes biomtriques, qui devraient reprsenter environ 1 M$ au
niveau mondial en 2007.
97
Oui,
ClamAV
Non
Pare feux/VPN
(appliances)
2%
47
PME
Oui,
netfilter,
IP filter
Oui
Oui,
Snort
Oui
Pare-feux (logiciels)
5%
44
22 %
11
Symantec et Internet
PME
Security Services
(50 % du march 2)
Administration sre
(3A) (3)
13 %
88
IBM, Computer
GE (4)
Associates, Verisign... et PME
Criticit
des produits
Non
Produit logiciel
libre public
Symantec, Network
Associates (MC Afee),
Trend, Sophos...
Prsence
franaise
March national
(M) en 2004
157
Principaux
acteurs
Croissance du
march/an
(2004-2009)
16 %
Segment
Logiciels : Antivirus,
Antispam et Spyware
(segment SCM (2))
Oui
Oui
(1)
Enqute IDC Scurit 2005 -103 entretiens auprs dun panel de grandes entreprises et administrations en France composes 45 % de plus de 2000 salaris et 55 % de 1000 1999 salaris novembre
2005
(2)
Secure Content Management Cf. annexe 12
(3)
3A pour Authentification, Autorisation et Administration ou management des identits et de laccs
Cf. annexe 12
(4)
GE : Grande Entreprise
98
EU), Network Associates (EU), IBM (EU), Trend micro (EU), Sophos
(RU 1), Verisign (EU), Panda (EU), Microsoft (EU).
Cette situation globale de faiblesse europenne dans le
domaine des logiciels par rapport loffre amricaine est un fait tabli qui
voluera difficilement dans les annes venir et qui impose de facto de
concentrer leffort public et priv sur des segments cls en matire de
scurit permettant datteindre un niveau dautonomie acceptable.
Banque/
Finance
TV
Gouvernement/Sant
Transport
Scurit
Volumes en
millions dunits
% de croissance
Tlcoms
Concernant les matriels, par exemple les systmes biomtriques et cartes puces, la France dispose encore datouts faire valoir au
niveau mondial quil convient daccompagner de manire volontariste.
1 220
330
65
60
25
15
+ 16 %
+ 18 %
+ 18 %
+ 33 %
+ 67 %
+ 25 %
Dun volume relativement faible, les marchs gouvernementaux (cartes didentit, cartes vitales) et de la scurit (application
dauthentification forte, accs aux systmes dinformation) affichent des
taux de croissance importants. Les programmes venir de passeports et de
cartes didentit qui devraient gnrer un march de plusieurs centaines de
millions dunits seront un moteur de la croissance de ce secteur. En outre,
le dveloppement des cartes sans contacts, dj utilises pour les pages
dautoroutes, devrait tre significatif dans les annes venir avec, par
exemple, des applications de paiement sans contact avec un tlphone
mobile. Selon Gartner Dataquest, ce march devrait atteindre 500 millions
dunits en 2008.
Lindustrie franaise, qui fait partie des leaders mondiaux, doit
profiter de ces opportunits de croissance.
99
Segment
Croissance du
March
March
march/an national (M) national (M)
(2004-2009)
en 2004
en 2009
GE et PME
Oui
18,8 %
Conseil en scurit
17,8 %
152
345
GE et PME
Oui
17 %
211
463
GE et PME
Non
16,7 %
55
119
GE et PME
Non
Formation
267
Criticit
Gestion de la
scurit infogrance
Implmentation
113
Prsence
franaise
Parmi ces diffrents segments du march des services de scurit, le conseil et linfogrance mritent des prcisions complmentaires
compte tenu de leur criticit.
Le conseil en scurit dun systme dinformation est directement li son architecture. Les principales socits en informatique ont
donc dvelopp une activit forte en conception darchitecture de scurit
et quelques PME se sont spcialises dans le conseil en scurit des systmes dinformation.
Infogrance de la scurit
Les services infogrs dans ce domaine se sont dvelopps, en particulier
aux tats-Unis, car ils permettent de mutualiser lexpertise, de valoriser
des centres de recherche et de veille permanentes, afin doffrir une capacit danalyse et de raction 24 heures sur 24, 7 jours sur 7. Les niveaux de
service sont diffrencis, depuis un simple support aux quipes internes
jusquau management global de la scurit.
Le dveloppement de ces services est cependant frein par labsence de
critres objectifs de confiance indispensables puisque linfogrance de
scurit ouvre des tiers laccs au cur des entreprises.
Le dveloppement de cette activit, qui contribuerait largement amliorer la protection des entreprises et des organisations en la confiant des
professionnels comptents, passe donc par une labellisation des socits de
confiance.
Lexemple de la monte en puissance des oprateurs
dInfrastructures cls publiques (ICP)
Les ICP sont lensemble des moyens techniques, humains, documentaires
et contractuels mis la disposition dutilisateurs pour assurer avec des systmes cryptographiques asymtriques (cf. Annexe III glossaire pour les
dfinitions) un environnement scuris aux changes.
Certaines entreprises ou organisations choisissent de se doter de leur
propre infrastructure ICP (en anglais PKI 1) et de lexploiter en interne.
Mais beaucoup prfrent recourir des services externes dlivrs par des
socits spcialises. Ainsi sont apparus des Oprateurs de Services de Confiance qui oprent une ICP multiclients et peuvent fournir une multitude de
services associs : gestion du cycle de vie des certificats, horodatage, coffrefort lectronique, personnalisation de cartes puces pour porter les certificats. Des offres nationales de qualit existent.
1. Public Key Infrastructure ; on utilise en franais la terminologie de IGC pour
Infrastructure de Gestion de Cls.
100
Le dveloppement de ce march en croissance compte tenu du dveloppement de la dmatrialisation des changes est cependant contraint par le
cot et les processus mettre en place.
101
NGSCB donne un droit de regard aux constructeurs de matriels et de logiciels, de lusage fait des ordinateurs personnels. Il permet de contrler
laccs des logiciels aux ressources matrielles.
Cette mergence dune informatique de confiance conduirait un
nombre trs limit de socits imposer leur modle de scurit la plante, en autorisant ou non, par la dlivrance de certificats numriques, des
applications sexcuter sur des PC donns. Il en rsulterait une mise en
cause de lautonomie des individus et des organisations (restriction des
droits dun utilisateur sur sa propre machine).
Cela constitue une menace vidente la souverainet des tats.
Il est noter que le BSI allemand dispose dune quipe travaillant sur le
sujet.
102
Sans une intervention volontaire de ltat, par le biais principal de la commande publique, une offre strictement nationale ne pourra se
dvelopper en attendant que les segments du march deviennent suffisamment importants.
Les principaux moteurs de cette transformation seront :
la meilleure dfinition des objectifs et des politiques de scurit ;
la volont de recourir des produits de confiance ;
lacceptation de standards et normes de protection ;
le recours aux services, type infogrance, pour confier la scurit des
spcialistes habilits et comptents dans le cadre dun march rglement.
La base industrielle
et technologique nationale de SSI,
notamment les PME-PMI :
un effritement en cours qui risque
dtre irrversible sans politique
volontariste
Les grandes entreprises fournisseurs
de produits et services de SSI
sont dans un contexte peu favorable
et nont pas la taille critique
En France, les grandes entreprises voluent dans un march de
la scurit des systmes dinformation dispers, faible en volume et peu
mature.
De plus, un niveau de sensibilisation infrieur devant nos partenaires europens et une certaine rsignation face aux Amricains, voire
aux Asiatiques, suite notre incapacit fdrer une industrie informatique europenne font que les grands acteurs sont peu nombreux.
En fait, deux marchs le monde de la finance, et plus spcifiquement les moyens de paiement et les rseaux interbancaires, et la
dfense nationale et la scurit intrieure ont favoris lclosion de ples
industriels diffrents, les uns tourns vers le march concurrentiel, les
autres ancrs dans lindustrie de dfense. Ce nest que trs rcemment,
avec la rduction de la croissance de ces marchs, que les industriels ont
cherch se diversifier.
Nos grandes entreprises doivent affronter la concurrence des
entreprises anglo-saxonnes, mais le march qui leur est accessible est
rduit.
103
Le march amricain de la scurit est marqu par une politique protectionniste forte sur le march intrieur et un contrle strict
lexportation. Cette stratgie de domination technologique prsente le
double avantage de servir la fois les intrts des industriels et ceux de
ladministration. Comment viter en France que, sous couvert dun appel
la concurrence impos par le code des Marchs Publics, les quipes techniques de certaines administrations marquent leur indpendance en choisissant un produit de PKI ou une carte cryptographique amricains quand des
produits franais quivalents existent ?
Une vritable politique dachat des administrations pour
consolider une industrie nationale serait ncessaire.
En outre, il nexiste pas actuellement assez dincitation pour
constituer une offre de confiance pilote par de grandes entreprises ayant
une capacit dintgration de systmes, et valorisant les produits innovants
des PME. Le Pacte PME pourrait favoriser cette approche, sous rserve
dtre accompagn par une politique dachat des administrations, voire des
grandes entreprises.
La France possde de grandes entreprises de services informatiques capables dintervenir sur le domaine de la SSI. Pour des raisons videntes attenantes la prservation de leur intgrit , il conviendrait
dattribuer un label de confiance sous certains critres.
Loffre nationale et europenne clate : de ncessaires
rapprochements
La dispersion des forces est patente aussi bien en France quau
niveau europen. On retrouve ainsi des activits SSI disperses dans plusieurs groupes qui nont pas individuellement la taille critique pour tre
rellement performantes au niveau mondial et qui sont isoles au sein de
ces groupes. En outre, les grands industriels leaders privilgient dsormais
de plus en plus le mtier dintgrateur.
Si cette situation se poursuit, les risques deffritement de la
qualit et de la comptitivit de loffre de ces groupes deviendront de plus
en plus dlicats grer pour ltat.
Cest pourquoi, des actions visant au rapprochement de ces
activits, en sinspirant de ce qui a t fait dans la Dfense et lAronautique, apparaissent ncessaires.
Un financement public de la R&D dispers et insuffisant
devant les enjeux de la SSI
Diffrentes sources de financement existent, plus ou mois accessibles aux PME galement : lANR (Agence nationale de la Recherche), lA2I
(Agence de linnovation industrielle), le Minefi et lUnion europenne.
En ce qui concerne ltat :
ANR : la scurit est un des thmes des RRIT (Rseaux de
recherche et dinnovation en technologie) communs aux ministres de
lIndustrie et de la Recherche, notamment ceux sur les tlcommunications
104
2002
Medea (composants)
2,7
3,7
Itea (logiciel)
4,9
RNRT (tlcoms)
2,1
1,6
2,3
Oppidum (applications)
1,4
4,7
3,4
9,5
11,2
10,0
12,7
34
Programme en M
Total
2003
Total
4,2
10,7
2,9
7,8
105
106
rgulation.
107
1. Source : auditions.
108
109
de ses volutions venir. Ils auront de ce fait un temps de retard par rapport des PME et laboratoires installs proximit des grands donneurs
dordres amricains.
Monte en puissance de lAsie
La croissance de lAsie sur ces diffrents segments de march est forte et
sappuie dsormais sur sa propre expertise technique. La volont de la
Chine de verrouiller ses systmes dinformation privs et publics et de
contrler lensemble de la chane laisse augurer dans le futur la monte en
puissance dune offre indpendante asiatique qui cherchera simplanter
en Europe, comme cest le cas pour lautomobile.
Prises en tenaille entre les tats-Unis et lAsie, les PME europennes
devront faire preuve dune grande agilit et dun appui sans failles de la
puissance publique et de quelques donneurs dordres privs pour exister et
se dvelopper.
110
111
112
Enfin, les dcrets rcents relatifs au contrle des investissements trangers sur des secteurs sensibles, risquent de gner les volonts
de certains fonds qui peuvent voir dans cette rglementation une nouvelle
contrainte forte la sortie et ce, dans un contexte difficile. La situation aux
tats-Unis est diffrente : la taille du march intrieur et les sources de
financement disponibles leur permettent de se dispenser de financements
trangers.
Un march restreint et plus contraignant en dure, une commande publique et prive insuffisamment oriente, une rglementation qui
contrle les investissements trangers, un manque en capital dveloppement et la difficult daller en bourse en Europe continentale, rendent ce
march de la SSI peu attractif pour des investisseurs europens.
Des fonds dinvestissement spcifiques adapts aux profils de
ces entreprises spcifiques, dune dure de vie de 12 15 ans, seraient un
complment ncessaire aux fonds de capital investissement actuels.
On peut noter lexistence en 2005 dun dispositif de fonds
dinvestissement stratgiques sur linitiative du Haut Responsable
lIntelligence conomique orient vers les PME sensibles franaises qui
traduit la mise en place dun systme de suivi interministriel des secteurs
stratgiques, par la mise en place de fonds ddis aux entreprises relevant
de ces secteurs, dsormais oprationnel.
Un financement public et priv de la R&D insuffisant
Les PME des secteurs technologiques et notamment des TIC, sont confrontes une volution en ciseau avec, dune part, une trs forte croissance
des besoins de financement de la R&D et, dautre part, un plafonnement
des ressources traditionnelles que sont les financements gouvernementaux
et des grandes entreprises europennes continentales.
En effet, pour tre en mesure de suivre lvolution technologique permanente de ces marchs, les entreprises doivent consacrer en
moyenne jusqu 15 % de leur CA en R&D. Or, la France et ses entreprises ne sont pas suffisamment actives dans le domaine des TIC 1 :
en 2003, le financement de la R&D en TIC tait de 90 $ par habitant en
France, contre 220-240 $ aux tats-Unis ou au Japon ;
la mme anne, leffort de R&D global en TIC ramen au PIB tait de
0,31 % en France, contre 0,65 % aux tats-Unis et 0,76 % au Japon. Pour
leffort de R&D des entreprises, les ratios sont similaires ;
leffet de levier de la dpense publique en TIC sur les entreprises,
cest--dire le ratio entre la R&D excute par les entreprises et les fonds
publics qui y sont consacrs, est trs nettement infrieur en Europe (5,2)
quaux tats-Unis (7,1), la France tant encore en retrait avec 4,3, loin
derrire des pays o le ratio se situe entre 10 et 12 (Canada, Core, Finlande et Sude notamment).
113
114
cration du statut de JEI (Jeune Entreprise Innovante) intgrant des exonrations de charges sociales et dimpts (mme si le rachat dune JEI par
une JEI a pu aboutir des redressements fiscaux) 1 ;
cration du statut de SUIR (Socit Unipersonnelle dInvestissement
Risque).
Quant la simplification des processus administratifs pour
faciliter laccs des marchs publics aux PME, elle relve pour linstant
encore des intentions...
La certification de produits
et les normes de scurit sont
insuffisamment prises en compte en
France : un frein au dveloppement
de loffre nationale de SSI
Le dveloppement de loffre nationale fournisseur de produits
de SSI se ralisera de manire plus efficace si, en parallle dune politique
dachat approprie, les produits pourront tre certifis et quils seront pris
en compte en amont dans le cadre des processus qui aboutissent la mise
au point de normes.
1. Source : auditions.
115
1. Enqute IDC Scurit 2005 march professionnel -103 entretiens auprs dun
panel de grandes entreprises et administrations en France composes 45 % de plus
de 2000 salaris et 55 % de 1000 1999 salaris novembre 2005.
2. La National Information Assurance Acquisition Policy promulgue en janvier
2000, impose qu partir du 1er juillet 2002 les agences amricains nachtent que des
produits certifis (critres communs pour le produits et FIPS 140 pour les modules
cryptographiques).
116
1. Source : auditions.
117
Certificats
2004
Certificats 2005
(prvisionnel)
Nombre
de CESTI
Effectif du Centre
de Certification
France
36
45
Allemagne
38
40
13
20
12
8 fin octobre
27
Royaume-Uni
tats-Unis
(1)
Canada
Core
5
10
30 en 2002
9 dbut aot.
20
16 fin octobre
(1)
Le grand nombre de certifications en cours aux tats-Unis sexplique en partie par une politique volontariste du gouvernement fdral
CC
118
119
Le processus dagrment est trait par le bureau rglementation de la sous-direction rgulation de la DCSSI. Les valuations sont
ralises par le CELAR. Il est de comptence national, et nest pas soumis
aux accords internationaux de reconnaissance mutuelle.
La normalisation
La normalisation : une source denjeux
pour les standards des marchs
La normalisation est un outil douverture des marchs, damlioration de la transparence, ainsi quun mode de preuve de conformit au
service des conomies mondiales. Elle facilite les choix stratgiques de
lentreprise. Elle favorise la protection des consommateurs et lapplication
de la rglementation.
Le terme de normalisation conserve souvent limage de
rgles dorganisation imposes par lextrieur qui brident la capacit
dadaptation des entreprises et leur ractivit lvolution de lenvironnement. Elles sont donc souvent perues comme contraignantes. Pourtant, les
normes sont reconnues dans le monde des produits industriels o elles gouvernent les changes entre partenaires, crent la confiance et font vivre les
contrats.
La norme propose ainsi les conditions dans lesquelles une opration sera effectue, un objet excut, un produit labor ou un service
rendu et prend la forme dun document de rfrence sur un sujet donn
dont il reflte ltat de lart, de la technique et du savoir-faire.
120
121
dans lesquels la logique de lobby est trs forte et o chacun dfend ses
intrts pouvant aller jusqu sopposer au processus de normalisation.
tre absent de cette phase amont revient ne pas pouvoir rellement peser
sur les orientations prises par les futures normes.
Standarmedia 1 un outil de veille collaborative, cr par lAFNOR avec
le soutien du ministre charg de lIndustrie et avec des partenaires industriels
a identifi 63 instances actives en matire de scurit, dont 38 compltement ddies la scurit, lauthentification, la biomtrie et les cartes puce.
17 sont des groupes de travail consacrs la scurit au sein dorganisations
gnralistes comme OASIS 2 ou IETF 3 qui regroupent des industriels.
Les questions de scurit se retrouvent galement dans des thmes voisins
comme la traabilit, notamment sous langle des tiquettes radiofrquence (RFID).
La monte en puissance de la Chine ou la force du march : le cas de la scurit des rseaux sans fil Wifi
Les systmes de rseaux de donnes sans fil illustrent les difficults rencontres avec la Chine. Sa tentation de crer des standards divergents est
impute aux brevets occidentaux, jugs exorbitants, qui portent sur des
technologies essentielles pour la mise en uvre.
Les tats-Unis ont tabli une srie de spcifications travers lorganisme
IEEE qui couvre les aspects de scurit qui ont t proposs lISO. Dans le
mme temps, la Chine a cr un autre standard WAPI pour la scurit
des rseaux Wifi, et le propose galement lISO qui doit donc prendre une
dcision sur le standard qui aura valeur de rfrence mondiale.
Cela apparatrait comme un mauvais signe pour le march si deux standards
taient dvelopps en parallle, comme ce fut le cas sur la tlphonie mobile
de seconde gnration avec le CDMA et le GSM.
Cependant le march intrieur chinois reprsentant lui seul un potentiel
norme, lISO ne peut prendre une position excluant a priori lun des deux
standards. En cas de coupure en deux du march, ce qui semble assez vraisemblable vu la situation lISO 4 aujourdhui, les perdants seraient probablement les Europens du fait dun march intrieur assez troit qui les
obligeraient choisir lune ou lautre technologie, sans doute le Wifi IEEE.
Le management de la scurit des systmes dinformation, ISO 17 799 : la russite dune rfrence britannique
La premire partie de la norme britannique BS7799 constitue de recommandations est devenue norme internationale sous le numro ISO17799.
La seconde, fixant des exigences, est reste quelques annes dans les limbes, sous linfluence de grandes compagnies internationales opposes la
certification en gnral. La seule certification qui existe aujourdhui est
lattestation de conformit la norme britannique BS7799-2 qui na donc
pas le caractre dune norme internationale.
1. www.standarmedia.com
2. OASIS : Organisation for the Advancement of Structural Information Standards
localisation USA diffrents thmes traits dont PKI, biomtrie et signature lectronique.
3. IETF : Internet Engineering Task Force localisation USA groupe spcialis
dans larchitecture et le fonctionnement de lInternet.
4. Source : auditions.
122
Selon cette source, plus de 1 700 certificats auraient t attribus dont plus
de 1 000 des entreprises japonaises, 200 au Royaume-Uni et, semble-t-il
un seul en France.
Normes nationales
et internationales de scurit
des systmes dinformation
Exigences
Recommandations
BS 7799-2
BS 7799-1
ISO 17 799
ISO 27 001
ISO 27 002
123
Recommandations
protger.
Six recommandations
La scurit des systmes dinformation, sans laquelle la souverainet nationale seffrite, doit tre considre comme une priorit nationale par les plus hautes autorits de ltat.
Pour traduire cette priorit, le prsent rapport prconise 6 axes
stratgiques mettre en uvre et une proposition dorganisation.
Recommandations
125
126
Recommandations
127
128
Recommandations
129
identifier les lments constitutifs des systmes dinformation qui doivent imprativement faire appel, pour leur ralisation, des
produits qualifis ou des prestataires labelliss ;
faire contrler par une autorit centrale lapplication de ces
prescriptions par des inspections sur site et des tests dintrusion sans
pravis ;
pour disposer de spcialistes, mettre en place puis animer
une filire SSI transverse dans laquelle la mobilit sera organise, tant
lintrieur de la fonction publique quau travers de passerelles avec les
entreprises et les centres de recherche ;
dfinir les profils de poste des responsables (HFD 1, FSSI,
AQSSI...) intgrant des formations spcialises et renforcer leur autorit et
leur responsabilit au sein de leur ministre pour dcliner leur niveau la
politique gouvernementale ; ils devront tre indpendants des directions
des systmes dinformation.
Pour ce qui est des oprateurs dinfrastructures vitales :
valider la politique de scurit par lautorit centrale ;
conduire des inspections et des tests dintrusion.
Pour les entreprises sensibles, faire la demande des audits et
des tests dintrusion.
* * *
Il est noter que certaines recommandations du rapport rejoignent les mesures proposes dans le Plan de Renforcement de la Scurit
des Systmes dInformation de ltat en 2004.
Ces recommandations ont t formules partir des lments
recueillis lors des nombreuses auditions qui ont t conduites.
130
Recommandations
131
Les missions de la structure oprationnelle rattache au Premier ministre pourraient tre notamment les suivantes :
Informer, sensibiliser, communiquer, veiller
linformation et les actions de sensibilisation et de formation de tous les
publics (administrations, entreprises, monde acadmique, citoyens...) ;
la veille technique et mthodologique : animation dun rseau de veille
SSI...
la capitalisation et la diffusion des informations technologiques et
mthodologiques (fiches techniques, guides, recommandations...) ;
les changes dinformation entre les domaines SSI et IE ;
la communication (portail, brochures, guides mthodologiques...) ;
la promotion de la SSI (sminaires, colloques, prix...).
Conseiller, supporter, auditer, inspecter
le conseil et le support aux organisations gouvernementales, aux tablissements publics, aux grands rseaux dinfrastructure vitale et aux entreprises sensibles (au sens de lIE) ;
lanimation, le conseil, le support et le suivi de lactivit des HFD en ce
qui concerne le volet SSI de leurs activits ;
le support technique et mthodologique aux services de scurit et de
justice ;
le premier niveau daccueil PME/PMI (guichet unique daiguillage) ;
la promotion de dmarches mthodologiques, darchitectures solides et
de plans de raction en cas dincident ;
audits et inspections (organisation, continuit dactivit...) et tests
dintrusion.
Certifier, standardiser et normaliser
la responsabilit des plans dactions de standardisation et de normalisation avec un rle actif dans les comits nationaux et internationaux ;
la responsabilit de la certification et des actions de labellisation (fournisseurs, produits et services).
Alerter et ragir
la gestion de crise SSI (supervision et coordination des services, ressources ddies...) en liaison avec les cellules de crise tatiques (COSSI) ;
la consolidation des diffrents rseaux dalerte (CERTs) ;
la supervision de dispositifs rgionaux dalerte PME/PMI crer et qui
pourraient tre hbergs par exemple par les CRCI.
Mettre en uvre la politique industrielle et dachats publics
la responsabilit des plans dactions didentification, dvaluation et de
dveloppement des technologies et de produits sensibles (cryptologie, biomtrie, cls publiques, carte puces...) ;
la responsabilit des plans daction de renforcement (financement...) du
tissu industriel et des laboratoires de recherche spcialiss en SSI (matriels et services) ;
le suivi du respect des impratifs des politiques SSI dans la commande
publique (sensibilisation des instances rglementaires la dmarche SSI).
132
Recommandations
133
Annexes
Annexe I
Bibliographie
Sites Web
Franais
Gouvernementaux
www.certa.ssi.gouv.fr : site du centre dexpertise gouvernemental de
rponse et de traitement des attaques informatiques (CERTA).
www.adae.gouv.fr : site de lagence de dveloppement de ladministration lectronique.
cfssi@sgdn.pm.gouv.fr et www.formations.ssi.gouv.fr
www.club.senat.fr : laboratoire dides du Snat en amont des processus
lgislatifs.
www.internet.gouv.fr : site ddi laction de ltat et socit de
linformation.
www.interieur.gouv.fr/rubriques/c/c3_police_nationale/c3312_oclctic :
site de la Police nationale (OCLCTIC).
www.legifrance.gouv.fr : service public de la diffusion du droit.
www.ssi.gouv.fr : site gouvernemental dinformation sur la SSI.
www.telecom.gouv.fr : site de la direction gnrale de lindustrie, des
technologies de linformation et des postes au ministre en charge de
lconomie, des Finances et de lIndustrie (DIGITIP).
Autres sites
www.adit.fr : site de lagence pour la diffusion de linformation technologique (ADIT).
www.afnor.fr : site de lassociation franaise de normalisation
(AFNOR).
www.clusif.asso.fr : site du club de la scurit des systmes dinformation franais (CSSIF), association qui sest fix lanalyse de la sinistralit
dans le monde informatique.
www.cnil.fr : site de la commission nationale de linformatique et des
liberts (CNIL).
www.cigref.fr : site du club informatique des grandes entreprises franaises (CIGEF).
www.fing.org : site de la fondation Internet nouvelle gnration (FING).
www.foruminternet.org : site du forum des droits sur Internet.
www.idc.com ou www.idc.com/france/index.html : sites dIDC, spcialiste du conseil dans le domaine des technologies de linformation.
www.journaldunet.com : site du Journal du Net, journal en ligne comportant de nombreuses rubriques ddies la scurit notamment sur Internet et des tmoignages dentreprises et de prestataires.
Annexes
137
trangers
www.bsi.bund.de : site du Bundesamt fr Sicherheit der Informationstechnik du Gouvernement allemand.
www.cert.org : site du Cert Coordination Center, organisation mondiale
animant lensemble des CERT nationaux.
www.cesg.gov.uk : site du Communications Electronics Security Group,
the National Technical Authority for Information Assurance du RoyaumeUni.
www.cse.dnd.ca : site du centre de la scurit des tlcommunications
du Canada.
www.dsd.gov.au : site du Defence Signals Directorate Australian Government Department of Defence.
www.enisa.eu.int : site de lEuropean Network and Information Security
Agency (ENISA).
www.issaireland.org : site de lIrish Information Security Organisation.
www.nist.gov : site de lagence amricaine National Institute of Standards and Technology.
www.nsa.gov : site de la National Security Agency/Central Security Service des tats-Unis.
www.raingod.com/angus/Computing/Internet/spam/index.html : site de
spammers Live in Vain, association anglophone ddie la lutte contre les
spams.
www.securitystats.com : site anglophone cr en avril 2000 afin de disposer de statistiques mondiales sur la scurit informatique.
www.sophos.fr/virusinfo/analyses/w32sassera.html
http://Webdomino1.oecd.org/COMNET/STI/IccpSecu.nsf?OpenDatabase site de lOCDE ddi la scurit des systmes dinformation.
www.xesic.com : certification, normes.
Bibliographie
01 Informatique -01 DSI.
Cybersecurity Curricula in European Universities, Gabriel Clairet,
Observatoire des sciences et des techniques Fondazione Rosselli, janvier
2003.
Politique de scurit des systmes dinformation et sinistralit en France,
enqute intersectorielle, Clusif, 2003.
Plan Safer Internet Plus , Commission europenne, 2005.
Computer Crime and Security Survey, CSI/FBI, 2005.
Dynamique de la relation entre direction gnrale et direction des systmes dinformation dans les grandes entreprises franaises, Livre blanc
CIGREF/MacKinsey&Company, novembre 2002.
138
Annexes
139
140
Annexe II
Annexes
141
Ministre de la Dfense
tat-major des Armes
Monsieur Le gnral darme Henri Bentegeat, chef dtat-major
Direction gnrale de la scurit extrieure
Monsieur Pierre Brochand, directeur
Monsieur le gnral Mathian, directeur technique
Gendarmerie nationale
Direction gnrale de la Gendarmerie nationale
Monsieur le gnral Christian Brachet, sous-directeur des tlcommunications et informatique
142
Autorits administratives
AMF
Direction gestion interne et ressources humaines
Madame Florence Roussel, secrtaire gnrale adjointe
Service des systmes dinformation
Monsieur Franois Paysant, chef du service
CNIL
Monsieur Christophe Pallez, secrtaire gnral
Direction de lexpertise informatique et des contrles
Monsieur Jean-Luc Bernard, expert informaticien
Forum des droits sur Internet
Madame Isabelle Falque-Pierrotin, prsidente
Grandes entreprises
Aroports de Paris
Direction de la Sret
Monsieur Jean-Louis Blanchou, prfet, directeur
Direction de linformatique et tlcommunications
Monsieur Jean Verdier, directeur
Monsieur Guy-Pierre Rodriguez, responsable ple infrastructures et architectures techniques
Direction de la Stratgie
Monsieur Jean-Pierre Roche, manager des risques
Monsieur Jacques Demeuzoy, responsable scurit systmes informatiques
Annexes
143
Air France
Direction gnrale des systmes dinformation
Monsieur Jean-Christophe Lalanne, directeur stratgie, architecture, technologie, scurit
Monsieur Bruno Chambrelent, responsable de la scurit des systmes
dinformation
AFNOR
Monsieur Pascal Poupet, chef du dpartement transports, nergies et communications
AXA
Monsieur Pascal Buffard, directeur AXA France services
AXALTO
Monsieur Laurent Vieille, VP Business dveloppement
Monsieur Philippe Bouchet, responsable scurit
Monsieur Pierre Franois, business manager governement
Banque de France
Monsieur George Peiffer, adjoint au secrtaire gnral, directeur de
lorganisation informatique
Direction de la prvention des risques
Monsieur Jean-Pierre Delmas, responsable de la scurit de linformation
CDC
Monsieur Jean-Jacques Delaporte, directeur gnral informatique
Monsieur Serge Bergamelli, responsable du dpartement des quipements
numriques des territoires et du programme FAST
CISCO
Monsieur Alain Fiocco, directeur Europe stratgie technologique
Monsieur Olivier Esper, responsable affaires publiques
Crdit Agricole
Monsieur Robert Zeitouni, responsable du ple scurit et continuit
dactivit
EADS
Monsieur J.P. Quemard, directeur de la scurit DCS/EADS
Monsieur I. Lahoud, directeur scientifique CCR/EADS
Monsieur Jean-Pierre Philippe, secrtaire gnral marketing/international/stratgie
EDF
Madame Dominique Spinosi, directrice de la scurit
Monsieur Renaud de Barbuat, directeur des systmes dinformation
France Tlcom
Monsieur Philippe Duluc, directeur de la scurit, direction de la scurit
de linformation
Groupement des cartes bancaires
Monsieur Yves Randoux, administrateur
144
IBM
Monsieur Jean Grevet, IGS/Responsable scurit et Risk management
KEYNECTIS
Monsieur Thierry Dassault, prsident
Monsieur Pascal Colin, directeur gnral
La Poste
Direction de la qualit et de la scurit du groupe
Service de la sret du groupe
Monsieur Eric Le Grand, directeur scurit du groupe
Monsieur Herv Molina, superviseur de laudit informatique
Michelin
Monsieur Jean-Pierre Vuillerme, directeur des services environnement et
prvention du groupe
Microsoft
Monsieur Bernard Ourghanlian, directeur technique et scurit
Monsieur Stphane Senacq, responsable affaires publiques et relations
institutionnelles
OSEO BDPME
Monsieur Xavier de Broca, directeur de lorganisation et des systmes
dinformation
FIEEC
Monsieur Pierre Gattaz, vice-prsident, prsident de Radiall
RIM
Monsieur Don Morrison, directeur gnral des oprations de RIM
Monsieur Pierre Bury, directeur des relations avec le secteur public en
Europe
Madame Valrie Wang, ingnieur
Sagem Dfense Scurit
Groupe Safran
Division scurit
Monsieur Jean-Paul Jainsky, directeur gnral adjoint, directeur de la
division scurit
Dpartement systmes dinformation et de commandement
aroterrestre
Division optronique et systmes aroterrestres
Monsieur Laurent Dupas, directeur
Monsieur le gnral Patrice Sartre, conseiller militaire Terre
SNCF
Direction des finances, des achats et des systmes dinformation et de
tlcommunication
Monsieur Michel Baudy, directeur des systmes dinformation et tlcommunication
Annexes
145
Suez
Monsieur Jean-Michel Binard, directeur des systmes dinformation
Monsieur Henry Masson, directeur central risques, organisation et services centraux
Monsieur Rgis Poincelet, directeur dpartement scurit groupe
Thales
Monsieur Dominique Vernay, directeur de la recherche
Monsieur Jacques Bidaut, direction scurit groupe, scurit des systmes
dinformation
Monsieur Marko Erman, directeur de la recherche et de la technologie,
systme terre et interarmes
Monsieur Jacques Delphis, directeur des relations extrieures et institutionnelles
Total
Monsieur Philippe Chalon, directeur des systmes dinformation et tlcommunication
Monsieur Christophe Cevasco, charg des relations avec le Parlement et
les lus
PME
Arkoon
Monsieur Thierry Rouquet, prsident
Ercom
Monsieur Jean Lacroix, prsident
Everbee Networks
Monsieur Patrick de Roquemaurel, prsident
Ideal X
Monsieur Olivier Guilbert, prsident-directeur gnral
NETASQ
Monsieur Jean-Pierre Tomaszek, directeur gnral
LSTI
Madame Armelle Trotin, prsidente
OPPIDA
Monsieur Olivier Mary, directeur technique
SISTECH
Monsieur Roger Simon, prsident-directeur gnral
Monsieur Jrme Chappe, directeur gnral
Fonds dinvestissement
ACE Management
Monsieur Thierry Letailleur, managing partner
Alven Capital
Monsieur Charles Letourneur, partner
146
Ventech
Monsieur Eric Huet, general partner
Iris Capital
Monsieur Pierre de Fouquet, managing partner
coles/instituts
cole Polytechnique
Monsieur Maurice Robin, directeur de la recherche
ENST Bretagne
Monsieur Gilles Martineau, directeur dtudes, dlgu du directeur, responsable du campus ENST Bretagne Rennes
EPITECH
Monsieur Sbastien Benot, professeur, responsable Intranet/site Web
EPITECH
INRIA
Monsieur Claude Kirchner, directeur de recherche, responsable du projet
Protho
Monsieur Laurent Kott, executive advisor INRIA Transfert
INT
Monsieur Jean-Louis Ermine, professeur, directeur du dpartement des
systmes dinformation
SUPELEC
Monsieur Alain Bravo, directeur gnral
Associations/organisations professionnelles
Comit richelieu
Monsieur Buselli, prsident
Monsieur Emmanuel Leprince, dlgu gnral
CIGREF
Monsieur Jean-Franois Pepin, dlgu gnral
Monsieur Ludovic tienne, charg de mission
Monsieur Stphane Rouhier, charg de mission
Madame Sophie Bouteiller, charge de mission
Monsieur Janick Taillandier, RATP, dpartement ses systmes dinformation et de tlcommunication, directeur du dpartement
Monsieur Franois Blanc, VALEO, directeur des systmes dinformation
Monsieur Zbigniew Kotur, NEXANS, responsable de la scurit
CLUSIF
Monsieur Pascal Lointier, dlgu gnral
FEDERATION SYNTEC
Monsieur Bruno Carrias, dlgu gnral
Annexes
147
MEDEF
Madame Catherine Gabay, directrice innovation, recherche, nouvelles
technologies
Droit
Monsieur David Benichou, magistrat
Monsieur Jean-Louis Bruguire, magistrat
Monsieur Alain Bensoussan, avocat la Cour
tranger
Responsables/BSI
148
Annexe III
Glossaire
Technique (source DCSSI)
Agent de scurit : Il a pour mission dappliquer les mesures de scurit
aux documents classifis trs secret et den assurer la gestion. Il est dsign par le chef de lorganisme o est implante lantenne ; ses missions ne
doivent pas tre confondues avec celles qui sont dvolues lagent de
scurit dans une entreprise titulaire dun march class de Dfense qui est
dsign par le responsable de lentreprise aprs agrment de lAdministration ayant contract le march.
Agrment : Reconnaissance formelle que le produit ou systme valu
peut protger des informations jusqu un niveau spcifi dans les conditions demploi dfinies.
Agrment dun laboratoire : Reconnaissance formelle quun laboratoire
possde la comptence pour effectuer des valuations dun produit ou dun
systme par rapport des critres dvaluation dfinis.
Analyse cryptologique : tude des moyens de chiffrement pour en dceler
et mettre en vidence les faiblesses de conception ou les fautes ventuelles
dutilisation.
Architecture fonctionnelle : Dcrit les objets du systme essentiel : traitements, donnes, contrles. Larchitecture fonctionnelle constitue le premier niveau niveau conceptuel dans le cycle dabstraction de la
conception.
Architecture technique : Dcrit les ressources ncessaires au systme de
traitement de linformation : transformation, mmorisation/acquisition/visualisation, communication. Larchitecture technique constitue le
deuxime niveau niveau logique dans le cycle dabstraction de la
conception.
Archivage : Ds quils ne font plus lobjet dune utilisation habituelle,
les documents classifis prsentant un intrt administratif et historique
doivent tre verss aux dpts darchives suivants : soit les services historiques des armes pour le dpartement ministriel de la Dfense et les services rattachs, soit les archives du ministre des Relations extrieures,
pour ce qui les concerne, soit la direction des Archives de France Archives Nationales pour toutes les administrations et organismes civils grant
des archives publiques, ces services tant seuls quips, en effet, pour
recevoir des documents classifis, jusquau niveau Secret Dfense
inclus...
Annexes
149
150
Autorit de scurit (AS) : Entit responsable de la dfinition, de limplmentation et de la mise en uvre dune politique de scurit.
Besoin de scurit : Expression a priori des niveaux requis de disponibilit, dintgrit et de confidentialit associs aux informations, fonctions
ou sous-fonctions tudies.
Besoins de scurit : Dfinition prcise et non-ambigu des niveaux de
confidentialit, dintgrit et de disponibilit quil convient dassurer
une information.
Biens sensibles : lments du systme quil est indispensable de protger
pour satisfaire les objectifs de scurit. Ils sont identifis par une analyse
propre chaque systme, qui prend en compte en particulier les conditions
denvironnement et les menaces auxquelles celui-ci est soumis. Les rsultats de cette analyse sont consigns dans le dossier de scurit et doivent
prciser si les biens sensibles font lobjet dune classification. Dans le cas
prsent, les biens sensibles incluent au minimum les donnes
denregistrement.
Bi-cl : Couple cl publique, cl prive (utilises dans des algorithmes de
cryptographie asymtriques).
Certificat : Dclaration formelle confirmant les rsultats dune valuation,
et le fait que les critres dvaluation ont t correctement utiliss.
Chiffrement : Transformation cryptographique de donnes produisant un
cryptogramme. [ISO 7498-2]
Chiffrement de bout en bout : Chiffrement de donnes lintrieur ou au
niveau du systme extrmit source, le dchiffrement correspondant ne se
produisant qu lintrieur, ou au niveau du systme extrmit de destination. [ISO 7498-2]
Chiffrement de liaison : Application particulire du chiffrement chaque
liaison du systme. Le chiffrement de liaison implique que les donnes
soient du texte en clair dans les entits relais. [ISO 7498-2]
Cible dtude : Systme dinformation ou partie de celui-ci qui est soumis
ltude de scurit EBIOS.
Cible de scurit : Spcification de la scurit qui est exige dune cible
dvaluation et qui sert de base pour lvaluation. La cible de scurit doit
spcifier les fonctions ddies la scurit de la cible dvaluation. Elle
spcifiera aussi les objectifs de scurit, les menaces qui psent sur ces
objectifs ainsi que les mcanismes de scurit particuliers qui seront
employs. [ITSEC]
Cible dvaluation : Systme dinformation ou produit qui est soumis
une valuation de la scurit. [ITSEC]
Cl de base : Cl utilise pour chiffrer/dchiffrer les cls de trafic transmises sur le rseau ou mmorises dans les moyens de cryptophonie.
Cl de chiffrement : Srie de symboles commandant les oprations de
chiffrement et de dchiffrement. [ISO 7498-2]
Annexes
151
152
Annexes
153
154
Organismes
ADAE : Agence pour le dveloppement de ladministration lectronique.
BRCI : Brigade centrale de la rpression de la criminalit informatique.
CCSDN : Commission consultative du secret de la Dfense nationale.
CEMA : Chef dtat-Major des Armes.
CEMAA : Chef dtat-Major de larme de lair.
CEMAT : Chef dtat-Major de larme de terre.
CMM : Chef dtat-Major de la marine.
CERT-RENATER : centre dalerte et de rponse aux attaques informatiques ddi aux membres de la communaut GIP-RENATER Rseau
national de tlcommunication pour la Technologie, lEnseignement et la
Recherche.
CERTA : Centre dexpertise gouvernemental de rponse et de traitement
des attaques informatises reli au DCSSI.
CESTI : Centres dvaluation de la scurit des technologies de linformation reconnus par la DCSSI.
CFSSI : Centre de formation la scurit des systmes dinformation.
CIGREF : Club informatique des grandes entreprises franaises.
CIRT-IST : CERT priv ralis par Alcatel, le CNES, Total et France
Tlcom.
CISI : Comit interministriel pour la socit de linformation.
CISSI : Commission interministrielle pour la scurit des systmes
dinformation.
CLUSIF : Club de la scurit informatique des systmes dinformation
franais.
CNIL : Commission nationale informatique et liberts.
CNIS : Commission nationale de contrle des interceptions de scurit.
COSSI : Centre oprationnel de la scurit des systmes dinformation.
DCSSI : Direction centrale de la scurit des systmes dinformation.
DGA : Dlgation gnrale pour larmement.
DGGN : Direction gnrale de la gendarmerie nationale.
DGSE : Direction gnrale de la scurit extrieure.
DPSD : Direction de la protection et de la scurit de la dfense.
DST : Direction de la surveillance du territoire.
DSTI : Direction des systmes terrestres et dinformation.
INHES : Institut national des hautes tudes de scurit (ex IHESI).
Annexes
155
156
Annexes
157
DNS : permet deffectuer la corrlation ebntre les adresses IP (82.64.52.31) et le nom de domaine associ (xxx.gouv.fr)
Serveur : ordinateur grant laccs aux ressources et aux priphriques et les connexions des diffrents utilisateurs :
un serveur de fichiers prpare la place mmoire pour des fichiers ;
un serveur dimpression gre et excute les sorties sur imprimantes du rseau
un serveur dapllications rend disponible sur son disque dur des programmes partags .
Intranet : rseau strictement local et priv qui utilise les technologies de lInternet : web, e-mail, non ouvert aux connexions publiques
IDS : systme combinant logiciel et matriel, qui permet de dtecter en temps rel les tentatives dintrusion sur un rseau interne
SSO : permet un utilisateur daccder des services en ne devant sidentifier quune seule et unique fois via LDAP
Serveur LDAP : annuaire dentreprise scuris permettant de grer les autorisations daccs
DMZ ou zone dmilitaris est un espace intermdiaire scuris entre le rseau extrieur et intrieur.
Le WEP et le WPA sont deux des mthodes de cryptage du trafic sans fil entre clients et point daccs sans fil.
Annexe IV
Annexe V
Sensibilit de linformation :
exemples de la DCSSI
et de lAFNOR
Classifier linformation
o
La recommandation N 901 de la DCSSI sattache quant elle distinguer 2 niveaux dinformations pour tout ce qui concerne les informations non-classifies dfense :
Les informations sensibles, qui englobent tous les documents dont
la consultation ou la communication mettrait en cause la responsabilit pnale du propritaire ou du dpositaire, ou causerait un prjudice eux-mmes ou des tiers matrialiss par :
les informations numres larticle 6 de la loi no 78-753 du
17 juillet 1978, modifie par la loi 2000-321 du 12 avril 2000 ;
les informations qui ne prsentent pas un caractre de secret,
mais qui restent soumises lobligation de rserve ou de discrtion
professionnelle ;
les informations constitutives du patrimoine scientifique, industriel et technologique ;
Les informations vitales pour le fonctionnement dun systme.
Le traitement des donnes par un systme ncessite la mise en
uvre dune suite dactions lmentaires internes dont lassociation assure les fonctionnalits du systme dinformation.
Ainsi, un site Internet est un ensemble de documents (fichiers.
php, fichiers. sql qui sont interprts par le serveur ou le navigateur et permettent dafficher une page Web). Laccs certains de ces documents mal protgs (droits tendus sur un
fichier config. php par exemple) permet dobtenir rapidement
un contrle total sur un site internet.
Annexes
159
Niveau
3 : secret
2 : confidentiel
1 : diffusion contrle
Prjudice potentiel
Prjudice inacceptable
Prjudice grave
Prjudice faible
Risques tolrs
Aucun risque mme r- Des risques trs limisiduel nest acceptable ts peuvent tre pris
Protection
La frquence et le
cot du prjudice potentiel dterminent les
mesures prises
Prise en compte de la
notion de probabilit
doccurrence
Recommandations
Une attente particulire est apporte aux possibilits de compilation ou de croisement des donnes. En effet, la consolidation de donnes,
a priori peu sensibles lorsquelles sont prises sparment, peut constituer
une information confidentielle.
Afin dassurer un niveau de protection homogne et juste
ncessaire ni trop, ni pas assez il est recommand de dsigner explicitement les personnes responsables de la classification des informations 1,
de leur fournir un vade-mecum pour les aider dans cette mission et dactualiser rgulirement ce document.
160
Annexe VI
Profils dtaills
des attaquants
de systmes dinformation
Les scripts kiddies
Script kiddie est un terme familier dsignant les pirates informatiques nophytes qui, dpourvus des principales comptences en
matire de gestion de la scurit informatique, passent lessentiel de leur
temps essayer dinfiltrer des systmes, en utilisant des scripts ou autres
programmes mis au point par dautres.
Malgr leur niveau de qualifications faible, les script kiddies
sont parfois une menace relle pour la scurit des systmes. En effet,
outre le fait quils peuvent, par incomptence, altrer quelque chose sans
le vouloir ou le savoir, dune part les script kiddies sont trs nombreux et,
dautre part, ils sont souvent obstins au point de passer parfois plusieurs
jours essayer toutes les combinaisons possibles dun mot de passe, avec
le risque dy parvenir.
Les hacktivistes
Lhacktivisme est une contraction de hacker et activisme. Ici
lon retrouve deux concepts rassembls. Le hacktiviste infiltre les rseaux
en mettant son talent au service de ses convictions politiques, thiques ou
religieuses et pratique des piratages, dtournements de serveurs, remplacement de pages daccueil par des tracts, spamming...
Chacune de ces catgories peut rpondre une ou plusieurs
motivations comme par exemple la cration dun cheval de Troie commandit par une entreprise qui correspond une motivation stratgique (accs
frauduleux aux informations) et une menace cupide (gagner des parts de
march).
Si loutil est mis en libre disposition sur Internet il pourra par
la suite rpondre galement une menace ludique ou une menace
terroriste.
Les hackers
Le jargon informatique dfinit diffrentes catgories de hackers en fonction de leur champ dimplication (lgal ou illgal) ou de leur
impact sur les rseaux informatiques :
Annexes
161
les chapeaux blancs ou white hats : consultants en scurit, administrateurs rseaux ou cyber-policiers ; ils ont un sens de lthique et de la
dontologie ;
les chapeaux gris ou grey hats : sils nhsitent pas pntrer dans les
systmes sans y tre autoriss, ils nont pas pour but de nuire. Cest souvent lexploit informatique qui les motive, une faon de faire la preuve de
leur habilet ;
les chapeaux noirs ou black hats : crateurs de virus, cyber-espions,
cyber-terroristes et cyber-escrocs, sont, eux, dangereux et nont aucun sens
de lthique. Ils correspondent alors la dfinition du pirate telle que
conue par les journaux.
Ces catgories peuvent elles-mmes tre divises en sous-catgories en fonction de leur spcialit :
le cracker soccupe de casser la protection des logiciels ;
le carder soccupe de casser les systmes de protections des cartes
puces comme les cartes bancaires, mais aussi les cartes de dcodeur de
chane payante ;
le phreaker soccupe de casser les protections des systmes tlphoniques.
On peut enfin, dans cette typologie, tenir compte dun phnomne dinterpntration : ainsi, le pirate au dbut joueur, acquiert un
savoir-faire en matire dattaque de systmes dinformation, dont il peut
ensuite chercher tirer un profit financier (menace cupide). Du par la
socit, il peut ensuite accepter des propositions de recruteurs de rseaux
terroristes ou dagents de renseignement (menace ludique devenant terroriste ou stratgique).
162
Annexe VII
Exemples de menaces
Menaces lectroniques
La menace Tempest
Les tiquettes didentification radio (ou RFID) sont des puces sans
contact transmettant des donnes distance par moyens radiolectriques. On les appelle aussi tiquettes intelligentes, ou encore parfois tiquettes-transpondeurs. Cest, par exemple, ce type de puces
qui est utilis dans le systme Navigo dans les transports en
le-de-France ou pour le marquage des animaux. Les utilisations
potentielles de ce genre de technologie sont nombreuses : gestion de
stocks, grands magasins, tlpages dautoroutes, jusquaux nouveaux passeports...
Avec des moyens de dtection un peu sophistiqus, la distance
daccs effective aux tiquettes RFID peut atteindre plusieurs dizaines, voire centaines de mtres. La plupart des dispositifs ne chiffrant
pas (ou mal) les donnes transmises, les informations peuvent donc
tre interceptes cette distance.
Annexes
163
Menaces logicielles
Les chevaux de Troie
Des chevaux de Troie discrets
164
Les vers
Utilisant une technique dingnierie sociale (tromper les internautes par un message damour), le ver I love you subtilisait les codes
daccs, et, une fois install, lanait des attaques par dni de services sur
des serveurs Web distants.
En 2001, les vers se sont multiplis. Code Rouge (Red Code), la diffrence de ces prdcesseurs, sappuyait, pour se dplacer, sur une faille
dans les serveurs IIS (Internet Information Server) de Microsoft. Il engendrait une modification de la page daccueil des sites tournant sous
plate-forme Windows.
Des menaces de plus en plus polymorphes
Pour mieux djouer les tentatives de blocage et les contremesures, les menaces sont dsormais conues polymorphes. Ce
sont des blended threats, cest--dire capables de se transformer dun type lautre, en utilisant diffrents modes de transport et en exploitant plusieurs vulnrabilits la fois. Ce fut
par exemple le cas du ver Nimda, qui se propagea via le protocole HTTP (pages Web) en exploitant une faille sur les serveurs IIS, via la messagerie SMTP et aussi via le systme de
partage de fichiers de Microsoft.
En 2002, cest au tour de Slammer et Blaster de faire leur apparition. Des dizaines de milliers de serveurs ont t touchs en 10 minutes.
Quant Blaster, il utilisait comme moyen de transport, le module DCOM
RPC dappel distance de Windows (2000 et XP). Les attaques passaient
notamment par le dispositif de mise jour distance de Microsoft (Windows Update).
Lexemple du ver Sapphire 1 montre galement laugmentation
croissante de la vitesse de propagation de ce type de ver corrlative au
dveloppement des systmes dinformation dans le monde entre 2001 et
2003.
1. Source : www.caida.org
Annexes
165
Virus
Selon Sophos et Clusif, les meilleurs scores de propagation des
virus ont t les suivants en 2004 :
Clt
166
Nom
Type
Netsky-P
Mass Mailer
Zafi-B
Mass Mailer
Netsky-B
Mass Mailer
Netsky-D
Mass Mailer
Netsky-Z
Mass Mailer
MyDoom
Mass Mailer
Type dattaque
Dsactive certaines scurits
Les antivirus
Annexes
167
168
Annexes
169
Annexe VIII
Exemples de vulnrabilits
Vulnrabilits organisationnelles
Comment btir un plan de continuit
de lactivit ?
Annexes
171
Vulnrabilits techniques
Celles qui sont publies peuvent ltre de manire officielle et
donner alors lieu des alertes, via des CERT (Computer Emergency Response Team) ou des CSIRT (Computer Security Incident Response Team),
qui les caractrisent et les valident travers 3 ou 4 niveaux de gravit
( critique , leve , moyenne et faible ). Elles peuvent aussi
ltre de manire non-officielle, au sein de communauts de hackers.
partir du moment o une vulnrabilit est publie, le facteur
temps joue de faon cruciale pour viter des exploitations malveillantes.
172
Ainsi, la socit 3Com a-t-elle rachet lacteur TippingPoint, spcialis dans la recherche de vulnrabilits logicielles, pour 430 millions de dollars, et vient-elle dannoncer son projet Zero Day
Initiative : selon le niveau de dangerosit de la vulnrabilit dcouverte, 3Com offrira jusqu 20 000 dollars de prime aux chercheurs
indpendants. Mme modle conomique pour VeriSign, qui vient de
racheter mi-2005 pour 40 millions de dollars iDefense, autre acteur
connu dans le milieu, qui proposait en moyenne 2 000 dollars par
faille dcouverte aux acteurs indpendants. Mme schma enfin
pour la fondation Mozilla, responsable du navigateur Web Firefox,
pour lui permettre dtre informe en priorit sur les bugs affectant
ses logiciels, mais cette fois pour 500 dollars seulement (lordre de
grandeur nest pas le mme, on est dans le monde des logiciels
libres).
Cette stratgie denchres a le double avantage dpauler le
manque de comptences internes et de stimuler, en thorie au
moins, la recherche de failles sur un produit donn. Mais la
contrepartie est quelle risque dengendrer une inflation des
cours , qui, une fois encore, devrait plutt profiter aux riches.
Annexes
173
Annexe IX
Annexes
175
176
Annexes
177
Annexe X
Quelques principes
gnraux de scurit
Besoin dune approche globale : afin que le dispositif ne
prsente pas de possibilits de contournement.
La politique de scurit doit tre apparente : lexistence de
mesures de protection doit tre perue sans pour autant tre connue de
faon dtaille.
Ncessit dune gestion dynamique du risque.
Le risque doit tre gr de faon continue et dynamique dans
un monde qui change trs vite dans le domaine des technologies de linformation et de la communication.
Pour une entit donne, il faut, tout moment, tre inform des
menaces les plus probables et des vulnrabilits publies et prparer un
certain nombre de plans : ractions, de continuit des oprations... applicables en cas dincident, ou en cas dattaque.
Enfin, au-del de ces plans, il peut savrer judicieux de faire
appel, pour la gestion des incidents informatiques, des spcialistes capables de caractriser lattaque, dvaluer les dgts, et de prendre des mesures de confinement et de raction.
On voit donc quune gestion dynamique du risque ncessite un
minimum dorganisation. Il faut bien sr constamment avoir des spcialistes de la question, capables dexposer aux dcideurs les enjeux, les parades, les mesures prendre, mais aussi disposer dune structure de prise de
dcision rapide.
Enfin, pour amliorer la connaissance du niveau de scurit du
systme dinformation, il est ncessaire de faire mener priodiquement des
audits et des tests dintrusion.
Principe de minimalit, ou tout ce qui nest pas autoris
est interdit .
Seuls les protocoles et les services ncessaires lexcution du mtier ou
de la mission seront autoriss. Toute ouverture de nouveau service ou toute
modification du routage des flux sera tudie et donnera lieu analyse de
risque.
Annexes
179
180
Annexe XI
Annexes
181
182
Annexe XII
Exemples de chartes
dutilisateurs dans les
entreprises et ltat 1
Les chartes dutilisation des systmes dinformation, dont quelques points cls sont indiqus ci-aprs, se diffusent dsormais de manire
croissante dans les entreprises et au sein de ltat.
Quelques points cls :
Les objectifs de ces chartes : dfinir les bonnes pratiques
comportementales devant tre respectes et qui relvent :
du comportement loyal et responsable de chacun. La responsabilit individuelle est la base de la SSI ;
de rgles dontologiques et de lgislations applicables ;
de rgles principales de scurit.
Bases juridiques des chartes :
elles peuvent faire lobjet dune consultation des comits dentreprises
(CE) et dune dclaration auprs de la CNIL ;
elles peuvent engager, pour certaines, les salaris des sanctions en cas
dusage abusif ;
elles sont annexes dans certains cas au contrat de travail ou au rglement intrieur de lentreprise ;
dans certaines administrations, lutilisateur peut tre amen signer une
reconnaissance de responsabilit.
Quelques principes directeurs :
les chartes sappliquent tous les utilisateurs quel que soit leur
niveau hirarchique : dirigeants, salaris, intrimaires, stagiaires, consultants, prestataires... ;
les utilisateurs doivent prendre connaissance des rgles qui sont dfinies dans les documents de politique de scurit des entreprises destins
garantir la bonne gestion ainsi que la scurit des ressources informatiques
et de communication ;
un rappel de la lgislation en vigueur relative par exemple la fraude
informatique, aux atteintes la personnalit et aux mineurs et les infractions la proprit intellectuelle (copies illicites...) est fourni avec les chartes. Les utilisateurs doivent en prendre connaissance et sengager user des
ressources informatiques dans le respect de ces lois et rglementations ;
1. Sources auditions.
Annexes
183
184
Annexe XIII
Exemples de produits
logiciels et matriels
de SSI
Antivirus
Les logiciels contre les codes illicites doivent permettre de
dtecter les codes malveillants, virus et vers. Les antivirus doivent tre
acquis avec un service de mise jour sur abonnement pour tre efficaces.
Les antivirus, qui constituent le premier march de la scurit en chiffre
daffaires, sont donc classer plus encore dans le march de services que
dans celui de produits. Les logiciels antivirus font parties du segment SCM
(Secure Content Management).
Leffet de lapparition rcente de Microsoft est la seule incertitude sur ce
segment qui reste promis quelques fructueuses annes.
Antispam
Comme les logiciels antivirus, des versions pour les serveurs
dorganisation et des versions pour les particuliers ont t dveloppes.
Ce segment de march, qui appartient au segment SCM, compte tenu de la
baisse du volume du spam, pourrait entrer en dflation.
Scurit de messagerie
Le chiffrement applicatif des messages est la mesure de scurit
ncessaire pour protger des mails dune interception durant leur transfert.
ct des logiciels gratuits ou intgrs, les solutions spcifiques nont pas
encore trouv un segment de march viable. Ce segment fait partie du segment SCM.
En dehors de solutions haut niveau de confiance dveloppes pour le
ministre de la Dfense, sans doute faute de besoins, aucune offre nationale ne subsiste dans le domaine.
Annexes
185
Administration sre
Les logiciels dadministration srs doivent permettre en centralisant la gestion des identits, des droits, des secrets, de la configuration
dquipements de scurit doffrir une version synthtique de la scurit
dun systme dinformation. Ces logiciels sont souvent dsigns en anglais
sous le vocable Security 3A Software (3A pour Authentification, Autorisation et Administration) que lon peut rsumer en management des identits
et de laccs. Ces produits sont plus destins des organisations qu des
particuliers.
Authentification renforce
Une amlioration notable de la scurit dun systme dinformation vient aussi de la mise en place de moyens dauthentification des
utilisateurs plus sophistiqus que le mot de passe. Ce segment est li au
segment prcdent. Parmi les types de solutions qui existent on retiendra :
les cartes puces, les tokens stockant des cls secrtes ou cls USB ;
la biomtrie.
Ce march devrait connatre une croissance soutenue, lidentification et
lauthentification restant un pralable toute tentative de scurisation.
VPN/chiffrement IP
Pour relier en toute scurit deux parties dun mme systme
dinformation, en complment dun coupe-feu, afin de parer aux risques
186
Chiffrement de fichiers
Le segment de march du chiffrement de fichiers avant leur
envoi comme pice jointe par messagerie ou simplement pour leur stockage souffre des mmes maux que le march de la messagerie scurise,
des fonctions de chiffrement de fichiers sont soit incluses dans les principaux systmes dexploitation, soit disponibles assez largement en logiciel
libre.
Il existe toutefois une offre franaise manant de PME.
Loffre insuffisante a conduit ladministration dvelopper des solutions
en interne.
Mmoires de masse chiffrante
Le chiffrement dun disque dur est indiscutablement la meilleure solution aux risques de pertes ou de vol dordinateurs portables par
exemple.
Sans appui de la commande publique, le risque est rel cependant
quaucune socit franaise noffre ce type de produits avec un haut
niveau dassurance. Ce segment devrait rester confidentiel en labsence de
prise de conscience par les grands comptes.
Tlphones chiffrants
Le tlphone, soit fixe, soit mobile, sera bientt le dernier vestige de lanctre du systme dinformation, le rseau de tlcommunications. Les rseaux de tlcommunications sont principalement menacs du
point de vue de lutilisateur par linterception.
Bien que cette menace soit relle, sa perception nest pas suffisante pour
inciter les organisations sen proccuper. Il en rsulte un segment de
march restreint aux applications gouvernementales principalement.
Annexes
187
Annexe XIV
Normalisation et principes
de lvaluation/certification,
de la qualification
et de lagrment
La normalisation
Les organismes de normalisation
Niveau international
Niveau europen
Instance nationale
Gnraliste
Filire
ISO
CEN
AFNOR
Tlcoms
UIT
ETSI
AFNOR
lectrique
CEI
CENELEC
UTE
Annexes
189
190
Annexes
191
192
Annexes
193
194
Annexes
195
Conclusions
Lvaluation de la scurit selon des critres normaliss est
aujourdhui loutil le plus labor pour certifier le niveau de confiance dun
produit ou dun systme, en particulier, dans le cas o lon a besoin de faire
partager cette confiance. Son cot le rserve aujourdhui des produits de
diffusion telle quun retour sur investissement est possible ou des organisations qui ont les moyens de leurs ambitions en matire de scurit.
Lvaluation nest pas antinomique avec lexpertise. En particulier, une organisation qui veut se convaincre de la scurit dun produit
sans avoir besoin de faire partager cette confiance dautres utilisera ce
moyen pour obtenir cette conviction moindre cot. Dautant plus que certaines officines proposant ce type de prestation ont elles-mmes fait voluer leur pratique en intgrant les critres communs dans leur dmarche
danalyse.
Les CC, ITSEC et autres documents dapplication des critres
sont tlchargeables sur le site www.ssi.gouv.fr. On y trouve galement la
liste des CESTI agrs, la liste des produits certifis en France et des liens
sur des sites dorganismes homologues la DCSSI ltranger.
196
La qualification
Les administrations souhaitent disposer de produits de scurit
dans lesquels elles peuvent avoir confiance et qui rpondent leurs
besoins de scurit. La certification offre un lment de rponse au premier point mais pas au second.
Il faut en effet se rappeler quun produit est valu selon sa
cible de scurit (sa spcification de besoin de scurit). Cette cible est
ralise sous la responsabilit du dveloppeur qui y met ce quil veut.
Ainsi, deux pare-feux peuvent tre valus au mme niveau de
confiance mais sur des spcifications de besoins diffrentes. Et peut-tre
quaucune des deux ne rpondra aux besoins dune certaine catgorie de
client.
Ce quintroduit le processus de qualification cr par la DCSSI
est de sassurer que les cibles de scurit des produits (en terme notamment de primtre et de profondeur de lvaluation) rpondent aux besoins
des administrations.
On distingue trois niveaux de qualification : standard, renforc
et lev.
Les deux premiers niveaux ont t dfinis et leurs processus
sont rendus publics. Ils correspondent respectivement, en matire de
niveau dassurance des critres communs, une certification EAL2+ pour
le niveau standard et EAL4+ pour le niveau renforc. La qualification fait
aussi appel la cotation des mcanismes cryptographiques par la DCSSI et
lvaluation des signaux compromettants ( partir de niveau renforc).
Ce qui est galement primordial, cest de dfinir les usages de
la qualification : ainsi, la DCSSI et lADAE rfrencent la qualification
dans le rfrentiel scurit de ladministration lectronique (Politique de
rfrencement intersectorielle de scurit, PRIS), et la DCSSI exploite la
qualification en vue de la dlivrance des cautions et agrments.
La caution et lagrment
La caution est lattestation dlivre par la DCSSI quun produit
offrant des services de chiffrement est apte, dans certaines conditions,
protger de linformation sensible non-classifie de dfense au sens de la
rglementation (recommandation 901). Cette caution sappuie directement,
pour la protection des informations sensibles de niveau diffusion limite,
sur la qualification de niveau standard, les conditions correspondant aux
restrictions dusage du produit figurant dans le rapport de certification.
Lagrment est lattestation dlivre par la DCSSI quun produit de chiffrement est apte dans certaines conditions, protger des informations sensibles classifies de dfense au sens de la rglementation
(instruction interministrielle 900). Lexploitation de la qualification pour
un agrment fait lobjet de procdures spcifiques.
Annexes
197