postheadericon Sécurité des systèmes d’information : l’urgence à agir

Cyberespionage, cyberdélinquance, cyberattaques… à l’heure du tout numérique, notre société est de plus en plus vulnérable aux attaques informatiques. Le conseil d’analyse stratégique (CAS), faisant écho aux alertes de l’Enisa ou encore du Cigref,  estime dans une note d’analyse récente que les organisations (grandes entreprises, PME, TPE comme administrations) sont globalement  mal préparées à ces attaques qui se font de plus en plus fréquentes avec des conséquences qui se chiffrent en millions d’euros pour l’économie française. Le CAS avance ainsi que « la plupart des grandes entreprises et des administrations ont très probablement été victimes d’intrusions à des fins d’espionnage » citant notamment l’exemple de Bercy qui a vu 150 ordinateurs infectés par un logiciel espion en 2010 lors du G20.

Pour le CAS, il convient notamment de se préoccuper des nouvelles menaces que constituent l’informatique dans les nuages (cloud computing), la mobilité et les smartphones et l’internet des objets. Le CAS  met en garde contre le phénomène du BYOD (BYOD, « Bring your own device » = apportez votre propre appareil) qui permet de réduire les couts d’équipement des salariés tout en développant la productivité des salariés en mobilité. Il estime que la sécurité de ces terminaux est difficile à garantir (diversité des OS, des mobiles…) et qu’ils sont potentiellement des portes d’accès aux informations sensibles des organisations.

Estimant qu’il y a là un enjeu de souveraineté nationale, le CAS invite les organisations à pratiquer systématiquement des analyses de risques et à déployer de solutions adaptées. Il appelle également à la structuration d’une offre nationale en matière de solutions de sécurité et à une meilleure valorisation des compétences technologiques françaises.

Les quatre propositions du CAS

  1. Renforcer les exigences de sécurité imposées aux opérateurs d’importance vitale (OIV dont font partie les transports, la gestion de l’eau ou encore les services état civil), sous le contrôle de l’Agence nationale de la sécurité des systèmes d’information (ANSSI).
  2. Développer et mettre à la disposition des petites et moyennes entreprises des outils simples pour gérer les risques.
  3. Élargir les missions de l’ANSSI pour accompagner le développement de l’offre française de solutions de cybersécurité.
  4. Revoir le cadre juridique afin de conduire, sous le contrôle de l’ANSSI, des expérimentations sur la sécurité des logiciels et les moyens de traiter les attaques.

Les commentaires sont fermés.

TIC*