Archive pour la catégorie ‘Sécurité’

postheadericon Homologation de sécurité, un guide de l’ANSSSI

L’agence nationale pour la sécurité des systèmes d’information (ANSSI) a publié un guide pour aider les responsables informatique à « homologuer* » leur système d’information, c’est-à-dire valider le fait que les risques sont identifiés et maîtrisés. L’enjeu est à la fois de répertorier de manière exhaustive l’ensemble des risques (matériels, humains, juridiques, perte de données…) sur le ou les systèmes d’informations de l’entité concernée, de lister les mesures mises en œuvre pour les maîtriser et d’établir la liste des « risques résiduels », le zéro risque n’existant pas. Ce guide s’inscrit dans la droite ligne du référentiel général de sécurité (RGS) que doivent respecter toutes les administrations et les collectivités territoriales.

Le guide, écrit dans un langage accessible, est organisé autour de neuf étapes, neufs questions permettant l’auto-évaluation, sans nécessairement recourir à une analyse externe.

  1. Quel système d’information dois-je faire homologuer et pourquoi ?
  2. Quel type de démarche dois-je mettre en oeuvre ?
  3. Qui contribue à la démarche ?
  4. Comment s’organise-t-on pour recueillir et présenter les informations ?
  5. Quels sont les risques pesant sur le système ?
  6.  La réalité correspond-elle à l’analyse ?
  7.  Quelles sont les mesures de sécurité supplémentaires pour couvrir ces risques ?
  8.  Comment réaliser la décision d’homologation ?
  9. Qu’est-il prévu pour continuer d’améliorer la sécurité ?

 Qui homologue ?
L’homologation est « l’acceptation explicite des risques résiduels et l’engagement de veiller à la bonne mise en œuvre de mesures de sécurité prévues, permettant ainsi la mise en service du système. C’est donc une décision prise au nom de l’autorité administrative, par un responsable de niveau suffisant désigné à cet effet comme autorité d’homologation (par exemple le responsable métier ou son supérieur hiérarchique) » selon l’ANSSI. On soulignera donc que l’homologation est un processus interne et non une validation de la politique de sécurité par une entité extérieure. Elle peut toutefois s’appuyer sur une commission ad’hoc, des expertises externes et dans tous les cas, la validation ne peut s’appuyer que sur un diagnostic détaillé.

postheadericon Publication imminente de l’arrêté téléservices, un guide à venir

En instance depuis plus d’un an, le projet d’arrêté devrait être très prochainement publié. Ce texte vise à faciliter le déploiement des téléservices des collectivités en simplifiant les formalités liées à la protection des données personnelles. A partir du moment où le service est listé dans l’arrêté, où le téléservices respecte les règles usuelles en matière de protection des données personnelles (consentement, proportionnalité, droit d’accès et de rétractation, durée de conservation…) et celles du référentiel général de sécurité (RGS) les collectivités seront dispensées de formalités déclaratives. L’arrêté a vocation à prendre la forme d’une autorisation de traitement unique de la CNIL, sur le même mode que ce qui existe en matière de transports publics,

Les téléservices concernés par l’arrêté sont regroupés dans 10 catégories : Fiscalité, travail/social, santé, transports, état civil/citoyenneté, relations avec les élus, scolaire et périscolaire, économie et urbanisme, polices spéciales et voirie, relation avec les usagers. Les trois derniers, étaient initialement regroupés dans une seule (« vie quotidienne), ont été séparés dans des catégories différentes à la demande le CNIL. Ce texte, imaginé à l’origine pour les téléservices « classiques » (déclarations, formulaires en ligne…) s’applique à tous les services administratifs dématérialisés, ce qui inclut les services sur téléphone mobile ou cartes de vie quotidienne.

Les grandes villes, et en particulier celles engagées dans le déploiement d’un bouquet de services de vie quotidienne sur téléphone mobile sans contact / NFC, ont fait remonter un certain nombre de difficultés d’interprétation du texte qui impose une stricte étanchéité des bases de données et identifiants entre les 10 catégories. En clair, il et ainsi exclu que l’identifiant transport puisse servir pour offrir l’accès à la bibliothèque et encore moins que les agents chargés de ces deux services puissent mutualiser une base de données.

Si ces règles se justifient du point de vue de la protection de la vie privée, elles posent des questions très pratiques aux villes. Ce texte empêche-t-il par exemple la création d’une hot-line ou d’un SAV unique en mesure de répondre à l’ensemble des usagers quel que soit le secteur et ce SAV peut-il être géré par la collectivité elle-même ou doit-il être délégué à un tiers ? Certains services, comme le vélo partage ou l’accès à la piscine, sont ils considérés comme des téléservices au sens de l’arrêté ? Un pass tourisme associant un forfait transports et un accès aux sites et musées est-il possible ? et, plus généralement, dans quel mesure est-il possible d’utiliser un identifiant unique technique « déconnecté » des identifiants métiers ? L’arrêté associe en outre le déploiement des téléservices à la réalisation d’une étude de risque préalable dont le contenu reste à préciser.

Ces questions ont été transmises par les représentants des grandes villes au SGMAP et à la CNIL. Lors de la dernière réunion de l’instance nationale partenariale (INP), il a été convenu d’accompagner l’arrêté d’un guide de mise en œuvre co-conçu par la CNIL et le SGMAP qui sera notamment utile aux collectivités travaillant sur la mise en œuvre de portails de téléservices, de cartes de vie quotidienne ou de bouquet de services sur mobile .

postheadericon Les paradoxes de la confiance numérique

L’ACSEL et la Caisse des Dépôts ont publié la troisième édition de leur baromètre de la confiance numérique. Selon ses auteurs, ce baromètre* marque « une érosion de la confiance malgré la mise en place et le renforcement de leviers de réassurance multiples ». Ainsi le taux de confiance en matière d’eCommerce était de 56% en 2011 et passe à 53% en 2013, celui concernant les réseaux sociaux de 35% à 32% et celui de l’eadministratrion de 79% 69%… soit -10%. Des résultats qui s’expliquent notamment par les craintes sur les données personnelles avec 92% de répondants qui estiment que qu’il faut une limite à la conservation des données personnelles et 75% quirefusent d’être géolocalisés. Concernant les administrations, le premier risque perçu est celui d’une utilisation abusive des données (40%) devant le risque d’erreur sur l’identité et la consultation des données par un tiers.

Ce sondage appelle plusieurs remarques :

  • Le manque de confiance ne signifie pas un blocage des usages : l’ecommerce ne cesse de croitre et le « manque de confiance » n’a pas empêché cette année encore la télédéclaration de revenu de battre des records… Quant aux réseaux sociaux, alors que les craintes des internautes trouvent une réalité avec les récentes affaires (PRISM et autres), leur usage est loin de s’effondrer même si 41% estiment que « rien de peut leur donner confiance dans ces sites »
  • L’effritement de la confiance ne signifie pas que les personnes interrogées ne sont pas réceptives à l’innovation. Ils sont ainsi favorables à 62% à la transmission d’attributs d’identité entre administrations (21% entre secteur public et privé) et 72% estiment qu’il y a pas de différence entre le mobile et le PC en matière de sécurité.
  • La technique ne résout pas tout : ainsi les répondants sont 39% à estimer que qu’un des leviers de la confiance dans l’e-administration est… la confiance dans l’administration. Une tautologie qui en dit long sur la traditionnelle défiance de nombreux français dans l’administration et qui montre bien que la confiance ne se décrète pas mais se construit dans des relations qui ne passent pas que par le numérique.

*enquête réalisée en ligne auprès de 772 internautes en février 2013.

postheadericon Le SGMAP lance un débat national sur l’identité numérique

Dans le contexte d’une carte nationale d’identité électronique toujours en stand by, d’un portail national de téléservices (mon.service-public.fr) qui a du mal à décoller et d’une relance du projet IDnum le gouvernement a décidé de lancer un débat national sur l’identité numérique. Le Secrétariat Général pour la Modernisation de l’Action Publique (SGMAP) a en effet publié une consultation publique pour clarifier la stratégie de l’Etat. L’objectif du gouvernement est de mettre en œuvre « une plateforme de service d’identité de confiance » mais dont les contours restent largement à préciser. Le document soumis à consultation est organisé autour de 11 questions auxquels collectivités et acteurs privés sont invités à répondre. Et ce ne sont pas les questions qui manquent : Quelles passerelles entre l’identité « régalienne » et les identités privées ? Comment simplifier la réalisation de téléservices sans menacer la vie privée des utilisateurs ? Comment concilier sécurité et diversité des usages / besoins de sécurité ? Que penser des « porte-clefs » ou wallet mutualisant les dispositifs de sécurité ? L’Etat ou les collectivités peuvent-ils confier l’enrôlement des profils utilisateurs à des entités privées ? Comment répondre aux nouveaux besoins comme la mobilité ? quelles synergies/mutualisation pour la gestion des identités numériques des fonctionnaires de l’Etat et des collectivités territoriales ? (…)

Les contributions sont à adresser au SGMAP avant le 15 juin.

postheadericon RGS : l’échéance du 19 mai 2013 toujours d’actualité

Selon l’arrêté du 6 mai 2010, l’application du référentiel général de sécurité (RGS) devient obligatoire pour toutes les administrations, dont les collectivités territoriales, à compter du 19 mai 2013. Lors de la dernière réunion de l’instance nationale partenariale (INP, structure de concertation qui réunit associations d’élus et représentants des différentes administrations de l’Etat) il a été confirmé que cette échéance ne serait pas remise en cause. Il a été en effet précisé « qu’à compter du 19 mai 2013 la conformité au RGS doit être effective et les Autorités Administratives qui ne seraient pas en mesure de se soumettre à cette exigence sont appelées à se faire connaître et à indiquer à leurs usagers les dispositions prises pour assurer une mise en conformité au plus tôt ». Une circulaire co-rédigée par l’ANSSI et le SGMAP devrait cependant préciser les modalités d’application du RGS.

Un texte particulièrement attendue car la période s’annonce compliquée : un règlement européen en cours de rédaction pourrait en effet remettre en cause sensiblement les prescriptions du RGS… Ce règlement, d’application immédiate à la différence des directives, ne sera cependant pas finalisé avant avril 2014. Par ailleurs l’Etat (ex Disic, SGMAP…) a exprimé a plusieurs reprises le souhait de faire évoluer le RGS tel qu’il existe  – jugé trop complexe et parfois inadapté… – et a mis en place un groupe de travail sur ce sujet associant les collectivités. Une concertation menée en parallèle des discussions européennes et ayant pour objectif d’aboutir en 2014 à un RGS compatible avec le règlement européen et intégrant les remarques des administrations françaises.

postheadericon Sécurité des systèmes d’information : l’urgence à agir

Cyberespionage, cyberdélinquance, cyberattaques… à l’heure du tout numérique, notre société est de plus en plus vulnérable aux attaques informatiques. Le conseil d’analyse stratégique (CAS), faisant écho aux alertes de l’Enisa ou encore du Cigref,  estime dans une note d’analyse récente que les organisations (grandes entreprises, PME, TPE comme administrations) sont globalement  mal préparées à ces attaques qui se font de plus en plus fréquentes avec des conséquences qui se chiffrent en millions d’euros pour l’économie française. Le CAS avance ainsi que « la plupart des grandes entreprises et des administrations ont très probablement été victimes d’intrusions à des fins d’espionnage » citant notamment l’exemple de Bercy qui a vu 150 ordinateurs infectés par un logiciel espion en 2010 lors du G20.

Pour le CAS, il convient notamment de se préoccuper des nouvelles menaces que constituent l’informatique dans les nuages (cloud computing), la mobilité et les smartphones et l’internet des objets. Le CAS  met en garde contre le phénomène du BYOD (BYOD, « Bring your own device » = apportez votre propre appareil) qui permet de réduire les couts d’équipement des salariés tout en développant la productivité des salariés en mobilité. Il estime que la sécurité de ces terminaux est difficile à garantir (diversité des OS, des mobiles…) et qu’ils sont potentiellement des portes d’accès aux informations sensibles des organisations.

Estimant qu’il y a là un enjeu de souveraineté nationale, le CAS invite les organisations à pratiquer systématiquement des analyses de risques et à déployer de solutions adaptées. Il appelle également à la structuration d’une offre nationale en matière de solutions de sécurité et à une meilleure valorisation des compétences technologiques françaises.

Les quatre propositions du CAS

  1. Renforcer les exigences de sécurité imposées aux opérateurs d’importance vitale (OIV dont font partie les transports, la gestion de l’eau ou encore les services état civil), sous le contrôle de l’Agence nationale de la sécurité des systèmes d’information (ANSSI).
  2. Développer et mettre à la disposition des petites et moyennes entreprises des outils simples pour gérer les risques.
  3. Élargir les missions de l’ANSSI pour accompagner le développement de l’offre française de solutions de cybersécurité.
  4. Revoir le cadre juridique afin de conduire, sous le contrôle de l’ANSSI, des expérimentations sur la sécurité des logiciels et les moyens de traiter les attaques.

postheadericon Vidéosurveillance sur IP : le risque du piratage

L’Anssi a  publié récemment  une recommandation pour sécuriser les dispositifs de vidéosurveillance. Si l’avènement d’internet et du Wifi a contribué à diminuer les coûts d’installation de ces dispositifs, ils en ont également favorisé le piratage par rapport à des réseaux qui étaient jusqu’alors fermés et fondés sur des standards propriétaires. Interception de flux d’images, injection de flux vidéos indésirables, mise hors services des caméras tout en laissant penser aux superviseurs que le système fonctionne, utilisation de ce réseau pour pénétrer le SI de la collectivité… les menaces sont multiples souligne l’Anssi.

Pour faire face à ces risques, l’agence propose une série de mesures techniques comme l’utilisation de technologies filaires plutôt que hertziennes et l’usage de systèmes cryptographiques pour protéger les données transmises. Elle recommande en outre d’avoir un réseau dédié, non relié au SI de la collectivité et de cloisonner le réseau pour éviter qu’une caméra piratée ne se transforme en cheval de Troie donnant accès à l’ensemble du système. Elle fait enfin des recommandations organisationnelles sur l’accès physique aux serveurs et centres de contrôles et appelle à la vigilance sur la sous-traitance de ces questions.

On soulignera que cette recommandation s’inscrit dans un contexte où il est très difficile de connaitre la sinistralité et la nature réelle des attaques. L’Europe pourrait contribuer à y remédier à cette situation en imposant aux administrations et autres services clefs des états membres de transmettre des informations sur les attaques dont elles font l’objet (sous réserve de les connaître).

postheadericon Un règlement européen pourrait rendre caduc une partie du RGS

Les administrations publiques ont jusqu’au 13 mai 2013 pour mettre en œuvre le référentiel général de sécurité (RGS). Ce référentiel pourrait cependant se voir amputé de toute une partie des dispositions que devront impérativement respecter les administrations, notamment en matière de signature électronique.

En juin 2012, la Commission européenne a en effet soumis aux instances européennes, une proposition de règlement sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur. Ce texte vise à développer les échanges dématérialisés au sein de l’UE en favorisant l’interopérabilité des systèmes de sécurité mis en œuvre par les États membres.Le texte proposé instaure un cadre juridique unifié pour les signatures électroniques, l’horodatage, les documents électroniques, les cachets électroniques, la fourniture de services en ligne et l’authentification des sites web.

Ce texte pourrait par exemple imposer aux États membre des exigences techniques minimales et des niveaux de sécurité ne correspondant pas à ceux prescrits par les réglementations nationales comme le RGS. Il pourrait également remettre en cause certains principes en matière de protection des données personnelles, de marchés publics et d’open data.

Or la particularité des règlements européens est – contrairement aux directives – de s’appliquer directement aux états membres et d’être élaboré en grande partie par des experts à Bruxelles, notamment pour ce qui concerne les dispositions annexées au règlement… Plusieurs administrations de l’État dont l’ANTS, l’ANSSI, le MAE et la DGME sont mobilisées pour faire évoluer les textes en cours de discussion mais il apparaît d’ores et déjà que quel que soit l’issue des discussions, le RGS sera fortement impacté…

postheadericon Le niveau de sécurité informatique des collectivités s’améliore mais reste perfectible

Le Clusif a mené une enquête auprès de 205 collectivités (dont 34 agglos) sur leur politique en matière de sécurité informatique. Le premier constat de cette enquête est une baisse de la sinistralité, reflet des efforts faits par les collectivités pour sécuriser leur système d’information. Ainsi les pertes de services essentiels sont passées de 44 % en 2008 à 27 % en 2012 avec des chiffres identiques en matière d’infections virales.

Des efforts restent cependant à faire car plus d’une collectivité sur deux (54 %) ne dispose d’aucun processus de gestion de la continuité d’activité  et à peine 40% d’entre elles pratiquent une fois par an un audit de sécurité. Seule une collectivité sur 10 a un tableau de bord de suivi de la sécurité informatique. Par ailleurs, si la sécurité des postes et réseaux fixes est globalement bien appréhendée (anti-virus, firewall, détection des intrusions…) de gros efforts restent à faire sur la mobilité (smartphone, accès distant au SI) .

Selon le rapport, le principal moteur de la mise en place d’une politique en matière de SSI reste l’existence d’obligations réglementaires avec en particulier l’application du référentiel de sécurité (RGS, obligatoire à partir de mai 2013) et la protection des données personnelles. A cet égard on notera que 39% des collectivités ont désormais un correspondant informatique et liberté (CIL). La dématérialisation des procédures – marchés publics, ACTES, HELIOS… -  a par ailleurs eu un fort impact dans l’utilisation de systèmes de contrôle d’accès et de certificats pour sécuriser les échanges de données, désormais utilisés dans 60% des collectivités interrogées.

Malgré ces efforts, le chemin reste encore long, notamment pour les petites collectivités qui ne disposent pas de compétences en matière de SSI. Ainsi, en matière de conformité au RGS, seulement 37% affirment avoir un SI conforme ou partiellement conforme, un tiers ne l’étant pas et un autre tiers…l’ignorant.

postheadericon Le basculement vers IPV6 s’accélère

Le 6 Juin 2012, les principales organisations high-tech et leaders du Web tels que Google, Facebook et Yahoo! mais aussi Free, OVH ou Bouygues  ont basculé vers le nouveau protocole Internet lors du lancement mondial officiel (voir worldipv6launch.org). Le protocole actuel IPv4 n’est en effet plus suffisant pour fournir une adresse à l’ensemble des machines (dont les mobiles, smartphones mais aussi capteurs, voitures…) connectées au réseau.

Pour les utilisateurs, cette bascule vers IPv6 n’a aucune conséquence dans la grande majorité des cas, la plupart des machines récentes fonctionnant aussi bien avec IPV6 qu’IPV4.  Les ordinateurs et logiciels anciens pourraient en revanche s’avérer plus vulnérables aux attaques informatiques (voir cet article).

Il n’a pas été fixé de date butoir au passage à IPV6 néanmoins le gouvernement précédent avait encouragé par voie de circulaire les administrations à accélérer la migration vers le nouveau protocole en intégrant IPV6 à l’ensemble des appels d’offre publics.

TIC*