Le blog TIC

Archive pour la catégorie ‘Sécurité’

Dans le contexte d’une carte nationale d’identité électronique toujours en stand by, d’un portail national de téléservices (mon.service-public.fr) qui a du mal à décoller et d’une relance du projet IDnum le gouvernement a décidé de lancer un débat national sur l’identité numérique. Le Secrétariat Général pour la Modernisation de l’Action Publique (SGMAP) a en effet publié une consultation publique pour clarifier la stratégie de l’Etat. L’objectif du gouvernement est de mettre en œuvre « une plateforme de service d’identité de confiance » mais dont les contours restent largement à préciser. Le document soumis à consultation est organisé autour de 11 questions auxquels collectivités et acteurs privés sont invités à répondre. Et ce ne sont pas les questions qui manquent : Quelles passerelles entre l’identité « régalienne » et les identités privées ? Comment simplifier la réalisation de téléservices sans menacer la vie privée des utilisateurs ? Comment concilier sécurité et diversité des usages / besoins de sécurité ? Que penser des « porte-clefs » ou wallet mutualisant les dispositifs de sécurité ? L’Etat ou les collectivités peuvent-ils confier l’enrôlement des profils utilisateurs à des entités privées ? Comment répondre aux nouveaux besoins comme la mobilité ? quelles synergies/mutualisation pour la gestion des identités numériques des fonctionnaires de l’Etat et des collectivités territoriales ? (…)

Les contributions sont à adresser au SGMAP avant le 15 juin.

Selon l’arrêté du 6 mai 2010, l’application du référentiel général de sécurité (RGS) devient obligatoire pour toutes les administrations, dont les collectivités territoriales, à compter du 19 mai 2013. Lors de la dernière réunion de l’instance nationale partenariale (INP, structure de concertation qui réunit associations d’élus et représentants des différentes administrations de l’Etat) il a été confirmé que cette échéance ne serait pas remise en cause. Il a été en effet précisé « qu’à compter du 19 mai 2013 la conformité au RGS doit être effective et les Autorités Administratives qui ne seraient pas en mesure de se soumettre à cette exigence sont appelées à se faire connaître et à indiquer à leurs usagers les dispositions prises pour assurer une mise en conformité au plus tôt ». Une circulaire co-rédigée par l’ANSSI et le SGMAP devrait cependant préciser les modalités d’application du RGS.

Un texte particulièrement attendue car la période s’annonce compliquée : un règlement européen en cours de rédaction pourrait en effet remettre en cause sensiblement les prescriptions du RGS… Ce règlement, d’application immédiate à la différence des directives, ne sera cependant pas finalisé avant avril 2014. Par ailleurs l’Etat (ex Disic, SGMAP…) a exprimé a plusieurs reprises le souhait de faire évoluer le RGS tel qu’il existe  – jugé trop complexe et parfois inadapté… – et a mis en place un groupe de travail sur ce sujet associant les collectivités. Une concertation menée en parallèle des discussions européennes et ayant pour objectif d’aboutir en 2014 à un RGS compatible avec le règlement européen et intégrant les remarques des administrations françaises.

Cyberespionage, cyberdélinquance, cyberattaques… à l’heure du tout numérique, notre société est de plus en plus vulnérable aux attaques informatiques. Le conseil d’analyse stratégique (CAS), faisant écho aux alertes de l’Enisa ou encore du Cigref,  estime dans une note d’analyse récente que les organisations (grandes entreprises, PME, TPE comme administrations) sont globalement  mal préparées à ces attaques qui se font de plus en plus fréquentes avec des conséquences qui se chiffrent en millions d’euros pour l’économie française. Le CAS avance ainsi que « la plupart des grandes entreprises et des administrations ont très probablement été victimes d’intrusions à des fins d’espionnage » citant notamment l’exemple de Bercy qui a vu 150 ordinateurs infectés par un logiciel espion en 2010 lors du G20.

Pour le CAS, il convient notamment de se préoccuper des nouvelles menaces que constituent l’informatique dans les nuages (cloud computing), la mobilité et les smartphones et l’internet des objets. Le CAS  met en garde contre le phénomène du BYOD (BYOD, « Bring your own device » = apportez votre propre appareil) qui permet de réduire les couts d’équipement des salariés tout en développant la productivité des salariés en mobilité. Il estime que la sécurité de ces terminaux est difficile à garantir (diversité des OS, des mobiles…) et qu’ils sont potentiellement des portes d’accès aux informations sensibles des organisations.

Estimant qu’il y a là un enjeu de souveraineté nationale, le CAS invite les organisations à pratiquer systématiquement des analyses de risques et à déployer de solutions adaptées. Il appelle également à la structuration d’une offre nationale en matière de solutions de sécurité et à une meilleure valorisation des compétences technologiques françaises.

Les quatre propositions du CAS

1. Renforcer les exigences de sécurité imposées aux opérateurs d’importance vitale (OIV dont font partie les transports, la gestion de l’eau ou encore les services état civil), sous le contrôle de l’Agence nationale de la sécurité des systèmes d’information (ANSSI).
2. Développer et mettre à la disposition des petites et moyennes entreprises des outils simples pour gérer les risques.
3. Élargir les missions de l’ANSSI pour accompagner le développement de l’offre française de solutions de cybersécurité.
4. Revoir le cadre juridique afin de conduire, sous le contrôle de l’ANSSI, des expérimentations sur la sécurité des logiciels et les moyens de traiter les attaques.

L’Anssi a  publié récemment  une recommandation pour sécuriser les dispositifs de vidéosurveillance. Si l’avènement d’internet et du Wifi a contribué à diminuer les coûts d’installation de ces dispositifs, ils en ont également favorisé le piratage par rapport à des réseaux qui étaient jusqu’alors fermés et fondés sur des standards propriétaires. Interception de flux d’images, injection de flux vidéos indésirables, mise hors services des caméras tout en laissant penser aux superviseurs que le système fonctionne, utilisation de ce réseau pour pénétrer le SI de la collectivité… les menaces sont multiples souligne l’Anssi.

Pour faire face à ces risques, l’agence propose une série de mesures techniques comme l’utilisation de technologies filaires plutôt que hertziennes et l’usage de systèmes cryptographiques pour protéger les données transmises. Elle recommande en outre d’avoir un réseau dédié, non relié au SI de la collectivité et de cloisonner le réseau pour éviter qu’une caméra piratée ne se transforme en cheval de Troie donnant accès à l’ensemble du système. Elle fait enfin des recommandations organisationnelles sur l’accès physique aux serveurs et centres de contrôles et appelle à la vigilance sur la sous-traitance de ces questions.

On soulignera que cette recommandation s’inscrit dans un contexte où il est très difficile de connaitre la sinistralité et la nature réelle des attaques. L’Europe pourrait contribuer à y remédier à cette situation en imposant aux administrations et autres services clefs des états membres de transmettre des informations sur les attaques dont elles font l’objet (sous réserve de les connaître).

Les administrations publiques ont jusqu’au 13 mai 2013 pour mettre en œuvre le référentiel général de sécurité (RGS). Ce référentiel pourrait cependant se voir amputé de toute une partie des dispositions que devront impérativement respecter les administrations, notamment en matière de signature électronique.

En juin 2012, la Commission européenne a en effet soumis aux instances européennes, une proposition de règlement sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur. Ce texte vise à développer les échanges dématérialisés au sein de l’UE en favorisant l’interopérabilité des systèmes de sécurité mis en œuvre par les États membres.Le texte proposé instaure un cadre juridique unifié pour les signatures électroniques, l’horodatage, les documents électroniques, les cachets électroniques, la fourniture de services en ligne et l’authentification des sites web.

Ce texte pourrait par exemple imposer aux États membre des exigences techniques minimales et des niveaux de sécurité ne correspondant pas à ceux prescrits par les réglementations nationales comme le RGS. Il pourrait également remettre en cause certains principes en matière de protection des données personnelles, de marchés publics et d’open data.

Or la particularité des règlements européens est – contrairement aux directives – de s’appliquer directement aux états membres et d’être élaboré en grande partie par des experts à Bruxelles, notamment pour ce qui concerne les dispositions annexées au règlement… Plusieurs administrations de l’État dont l’ANTS, l’ANSSI, le MAE et la DGME sont mobilisées pour faire évoluer les textes en cours de discussion mais il apparaît d’ores et déjà que quel que soit l’issue des discussions, le RGS sera fortement impacté…

Le Clusif a mené une enquête auprès de 205 collectivités (dont 34 agglos) sur leur politique en matière de sécurité informatique. Le premier constat de cette enquête est une baisse de la sinistralité, reflet des efforts faits par les collectivités pour sécuriser leur système d’information. Ainsi les pertes de services essentiels sont passées de 44 % en 2008 à 27 % en 2012 avec des chiffres identiques en matière d’infections virales.

Des efforts restent cependant à faire car plus d’une collectivité sur deux (54 %) ne dispose d’aucun processus de gestion de la continuité d’activité  et à peine 40% d’entre elles pratiquent une fois par an un audit de sécurité. Seule une collectivité sur 10 a un tableau de bord de suivi de la sécurité informatique. Par ailleurs, si la sécurité des postes et réseaux fixes est globalement bien appréhendée (anti-virus, firewall, détection des intrusions…) de gros efforts restent à faire sur la mobilité (smartphone, accès distant au SI) .

Selon le rapport, le principal moteur de la mise en place d’une politique en matière de SSI reste l’existence d’obligations réglementaires avec en particulier l’application du référentiel de sécurité (RGS, obligatoire à partir de mai 2013) et la protection des données personnelles. A cet égard on notera que 39% des collectivités ont désormais un correspondant informatique et liberté (CIL). La dématérialisation des procédures – marchés publics, ACTES, HELIOS… -  a par ailleurs eu un fort impact dans l’utilisation de systèmes de contrôle d’accès et de certificats pour sécuriser les échanges de données, désormais utilisés dans 60% des collectivités interrogées.

Malgré ces efforts, le chemin reste encore long, notamment pour les petites collectivités qui ne disposent pas de compétences en matière de SSI. Ainsi, en matière de conformité au RGS, seulement 37% affirment avoir un SI conforme ou partiellement conforme, un tiers ne l’étant pas et un autre tiers…l’ignorant.

Le 6 Juin 2012, les principales organisations high-tech et leaders du Web tels que Google, Facebook et Yahoo! mais aussi Free, OVH ou Bouygues  ont basculé vers le nouveau protocole Internet lors du lancement mondial officiel (voir worldipv6launch.org). Le protocole actuel IPv4 n’est en effet plus suffisant pour fournir une adresse à l’ensemble des machines (dont les mobiles, smartphones mais aussi capteurs, voitures…) connectées au réseau.

Pour les utilisateurs, cette bascule vers IPv6 n’a aucune conséquence dans la grande majorité des cas, la plupart des machines récentes fonctionnant aussi bien avec IPV6 qu’IPV4.  Les ordinateurs et logiciels anciens pourraient en revanche s’avérer plus vulnérables aux attaques informatiques (voir cet article).

Il n’a pas été fixé de date butoir au passage à IPV6 néanmoins le gouvernement précédent avait encouragé par voie de circulaire les administrations à accélérer la migration vers le nouveau protocole en intégrant IPV6 à l’ensemble des appels d’offre publics.

L’Agence nationale de la sécurité des systèmes d’information a publié fin avril un projet de modification du Référentiel Général de Sécurité (RGS) dont la V1 date du 6 mai 2010.

On rappellera que les règles de sécurité du RGS s’imposent à l’ensemble des administrations publiques, dont les collectivités locales. Dans un contexte de cybermenaces toujours plus importantes, le RGS vise avant tout à proposer aux administrations une méthodologie pour évaluer les risques et trouver des solutions techniques adaptées à chaque service / contexte pour garantir la sécurité (confidentialité, disponibilité, intégrité des données) de leur système d’information. Le RGS insiste en outre  plus particulièrement sur la nécessité d’une politique de prévention des risques et de sensibilisation des personnels à la SSI.

La V2 du RGS publiée par l’ANSSI vise à permettre la qualification de nouveaux types de prestataires (notamment en matière d’audit de sécurité des SI), à harmoniser les annexes avec les nouvelles versions des normes européennes de l’ETSI, à corriger ou préciser certaines inexactitudes de la V1 et à prendre en compte les textes législatifs et réglementaires liés à la sécurité des systèmes d’information publiés depuis mai 2010.

A l’issu de la consultation en cours (à adresser à : rgs [at] ssi.gouv.fr) l’ANSSI détaillera les modifications apportées par cette seconde version et précisera les conditions d’application (délais de mise en œuvre, période de transition, etc.). Un nouvel arrêté officialisera enfin le nouveau RGS.

A l’occasion des assises de la sécurité et des systèmes d’information, le directeur de l’Agence nationale de la sécurité des systèmes d’information, Patrick Pailloux, a tiré la sonnette d’alarme. Déplorant un « nombre très important d’attaques d’administrations ou d’entreprises à des fins d’espionnage » le directeur de l’ANSSI a dénoncé en vrac les mots de passe de deux caractères sur des postes administrateurs ou en évidence sur un post-it placé sur l’écran, les ordinateurs dont les logiciels n’ont pas été « patchés » et les postes clients avec des droits sur l’ensemble du réseau qui constituent encore des pratiques courantes y compris dans les administrations sensibles… La généralisation de l’informatique mobile, les smartphones et les réseaux sociaux n’arrangent rien et la situation seraient de l’avis des spécialistes de la SSI « apocalyptique… ». Face à l’urgence, l’ANSSI a appelé les administrations comme les entreprises à revenir à « des principes élémentaires de sécurité souvent oubliés : limitation des droits d’accès, analyse des mouvements suspects sur les systèmes d’information, sanctuarisation des éléments les plus critiques comme les dispositifs de gestions des droits d’accès, application régulière des correctifs de sécurité… »

On rappellera que l’ANSSI est désormais l’interlocuteur des collectivités dans le domaine de la sécurité des systèmes d’information. L’Agence a en effet la charge de la mise à jour du référentiel général de sécurité (RGS) l’un des trois référentiels (avec le RGI et le RGAA) qui s’appliquent à l’ensemble des administrations dont les collectivités territoriales.

Bordeaux, Rennes, Paris, Pessac, Tours… font partie des sites internet de collectivités à avoir été récemment piratés selon le site Zataz.com qui réalise une veille sur l’actualité de la cybersécurité et du hacking. Si ce n’est pas la première fois que des sites communaux sont victimes de pirates, jusqu’à présent ces attaques se traduisaient par le remplacement de la page d’accueil par un message-signature du pirate.

Or, cette fois-ci, le pirate a eu accès à des bases de données utilisateurs. Dans le cas de Pessac, Zataz indique ainsi que « le pirate informatique a diffusé sur la toile la méthode pour ponctionner de ses informations privées un des services électroniques de cette commune. Pour parfaire sa démonstration malveillante, il en a profité pour diffuser un échantillon de logins, mots de passe et emails volés sur ce site web ». Voila qui est ennuyeux.

On rappellera que l’article 38 de l’ ordonnance 2011-1012 du 24 août 2011 (JO du 26 août 2011) oblige  les fournisseurs de services de communications électroniques accessibles au public à prévenir les utilisateurs de leurs services en cas de fuite de données. L’absence de notification est punie d’une peine pouvant aller jusqu’à 5 ans de prison et 300.000 euros d’amende (le détail des obligations créées par ce texte ici).

Même si ces attaques ne peuvent qu’inciter les collectivités à faire la chasse aux failles de sécurité (serveurs, mise à jour des logiciels et protocoles…) elles sont malgré tout un signe positif. Elles montrent en effet l’arrivée à maturité des téléservices publics locaux et de l’administration électronique : c’est parce que les sites internet des villes offrent des services riches et nombreux, qu’ils sont perçu comme aynat de la valeur et donc  attaqués. Il faudra désormais faire avec… comme le font tous les sites de e-commerce.