Archive pour la catégorie ‘Sécurité’

postheadericon Une nouvelle version pour le référentiel général de sécurité (RGS) en consultation

L’Agence nationale de la sécurité des systèmes d’information a publié fin avril un projet de modification du Référentiel Général de Sécurité (RGS) dont la V1 date du 6 mai 2010.

On rappellera que les règles de sécurité du RGS s’imposent à l’ensemble des administrations publiques, dont les collectivités locales. Dans un contexte de cybermenaces toujours plus importantes, le RGS vise avant tout à proposer aux administrations une méthodologie pour évaluer les risques et trouver des solutions techniques adaptées à chaque service / contexte pour garantir la sécurité (confidentialité, disponibilité, intégrité des données) de leur système d’information. Le RGS insiste en outre  plus particulièrement sur la nécessité d’une politique de prévention des risques et de sensibilisation des personnels à la SSI.

La V2 du RGS publiée par l’ANSSI vise à permettre la qualification de nouveaux types de prestataires (notamment en matière d’audit de sécurité des SI), à harmoniser les annexes avec les nouvelles versions des normes européennes de l’ETSI, à corriger ou préciser certaines inexactitudes de la V1 et à prendre en compte les textes législatifs et réglementaires liés à la sécurité des systèmes d’information publiés depuis mai 2010.

A l’issu de la consultation en cours (à adresser à : rgs [at] ssi.gouv.fr) l’ANSSI détaillera les modifications apportées par cette seconde version et précisera les conditions d’application (délais de mise en œuvre, période de transition, etc.). Un nouvel arrêté officialisera enfin le nouveau RGS.

postheadericon L’Anssi appelle à la mobilisation sur la sécurité des systèmes d’information

A l’occasion des assises de la sécurité et des systèmes d’information, le directeur de l’Agence nationale de la sécurité des systèmes d’information, Patrick Pailloux, a tiré la sonnette d’alarme. Déplorant un « nombre très important d’attaques d’administrations ou d’entreprises à des fins d’espionnage » le directeur de l’ANSSI a dénoncé en vrac les mots de passe de deux caractères sur des postes administrateurs ou en évidence sur un post-it placé sur l’écran, les ordinateurs dont les logiciels n’ont pas été « patchés » et les postes clients avec des droits sur l’ensemble du réseau qui constituent encore des pratiques courantes y compris dans les administrations sensibles… La généralisation de l’informatique mobile, les smartphones et les réseaux sociaux n’arrangent rien et la situation seraient de l’avis des spécialistes de la SSI « apocalyptique… ». Face à l’urgence, l’ANSSI a appelé les administrations comme les entreprises à revenir à « des principes élémentaires de sécurité souvent oubliés : limitation des droits d’accès, analyse des mouvements suspects sur les systèmes d’information, sanctuarisation des éléments les plus critiques comme les dispositifs de gestions des droits d’accès, application régulière des correctifs de sécurité… »

On rappellera que l’ANSSI est désormais l’interlocuteur des collectivités dans le domaine de la sécurité des systèmes d’information. L’Agence a en effet la charge de la mise à jour du référentiel général de sécurité (RGS) l’un des trois référentiels (avec le RGI et le RGAA) qui s’appliquent à l’ensemble des administrations dont les collectivités territoriales.

postheadericon Les attaques de sites des grandes villes, signe d’une maturité des téléservices

Bordeaux, Rennes, Paris, Pessac, Tours… font partie des sites internet de collectivités à avoir été récemment piratés selon le site Zataz.com qui réalise une veille sur l’actualité de la cybersécurité et du hacking. Si ce n’est pas la première fois que des sites communaux sont victimes de pirates, jusqu’à présent ces attaques se traduisaient par le remplacement de la page d’accueil par un message-signature du pirate.

Or, cette fois-ci, le pirate a eu accès à des bases de données utilisateurs. Dans le cas de Pessac, Zataz indique ainsi que « le pirate informatique a diffusé sur la toile la méthode pour ponctionner de ses informations privées un des services électroniques de cette commune. Pour parfaire sa démonstration malveillante, il en a profité pour diffuser un échantillon de logins, mots de passe et emails volés sur ce site web ». Voila qui est ennuyeux.

On rappellera que l’article 38 de l’ ordonnance 2011-1012 du 24 août 2011 (JO du 26 août 2011) oblige  les fournisseurs de services de communications électroniques accessibles au public à prévenir les utilisateurs de leurs services en cas de fuite de données. L’absence de notification est punie d’une peine pouvant aller jusqu’à 5 ans de prison et 300.000 euros d’amende (le détail des obligations créées par ce texte ici).

Même si ces attaques ne peuvent qu’inciter les collectivités à faire la chasse aux failles de sécurité (serveurs, mise à jour des logiciels et protocoles…) elles sont malgré tout un signe positif. Elles montrent en effet l’arrivée à maturité des téléservices publics locaux et de l’administration électronique : c’est parce que les sites internet des villes offrent des services riches et nombreux, qu’ils sont perçu comme aynat de la valeur et donc  attaqués. Il faudra désormais faire avec… comme le font tous les sites de e-commerce.

postheadericon Services sans contact : le cadre de déploiement avance

Neuf grandes villes ont été labellisées territoires leader du sans contact mobile par le gouvernement en janvier dernier. La mise en œuvre effective des services mobiles sur le terrain passe cependant par un certains nombre de préalables techniques nationaux qui ne sont pas du ressort des collectivités. On signalera à cet égard trois avancées récentes :

  • La première concerne les transports publics, la billetterie sans contact sur mobile faisant partie des services plébiscités par les grandes villes. Après avoir travaillé sur la rédaction d’un Document Fonctionnel Commun (DoFoCo Mobile NFC), le GART a sorti en janvier avec l’UTP les spécifications techniques associées. Ce document décrit précisément les conditions du déploiement de la billetterie sans contact (émission de l’application, distribution, validation, contrôle, SAV, etc.) dans les transports publics.
  • La seconde concerne le paiement sur mobile NFC. L’Association Européenne Payez Mobile (AEPM), qui réunit quatre opérateurs mobiles et plusieurs banques françaises, a publié début mai les spécifications techniques du paiement par mobile NFC. Ces spécifications, qui portent sur l’interopérabilité et la sécurité du système, vont permettre la déploiement du téléphone mobile comme moyen de paiement à l’échelle nationale « à partir du printemps 2012 » affirme l’AEPM. En outre, les premiers terminaux de paiement électroniques (TPE) sans contact ont obtenu l’agrément du Groupement des cartes bancaires pour être utilisés pour le paiement sans contact à l’aide d’une carte bancaire sans contact ou d’un téléphone mobile NFC.
  • Enfin, l’arrivée des premiers téléphones mobiles NFC se confirme avec la multiplication des annonces ces dernières semaines de la part des constructeurs (Nokia, Samsung, Blackberry…) ou de certains poids lourds du numérique comme Google (le Nexus S est compatible NFC).

Il restera maintenant la partie la plus difficile : déterminer le modèle économique pour que chacun y trouve son compte : opérateurs, industriels, collectivités et usagers. A cet égard, les grandes villes sont toujours dans l’attente d’une aide de la part de l’Etat dans le cadre du « grand emprunt », notamment pour mettre aux normes leurs valideurs de transport. L’appel à projet est annoncé comme imminent…

 

postheadericon Le texte sur la CNIE, modifié par la commission des lois du sénat, discuté le 27 avril

La proposition de loi du sénateur Jean René Lecerf sur la protection de l’identité sera examinée le 27 avril sur la base du texte modifié par la commission des lois. La principale disposition du texte concerne l’institution d’une carte d’identité électronique (CNIE) qui sera dotée de deux puces distinctes et « étanches »

  • La première, dite régalienne, sera réservée à la vérification de l’identité du porteur et contiendra notamment les données biométriques parmi lesquelles 8 empreintes digitales
  • La seconde, dite puce de« vie quotidienne », contiendra des données d’identité classiques (nom prénom, adresse) et pourra être lue par des dispositifs diffusés dans le commerce  raccordés à un ordinateur personnel. Cette puce sera un moyen de s’authentifier en ligne et permettra de signer des documents.

La seconde disposition importante concerne la création d’un fichier central contenant l’ensemble des données requises pour la délivrance du passeport et de la carte nationale d’identité, notamment celles qui seront inscrites sur le composant électronique de ces titres d’identité (état civil du titulaire, données biométriques, domicile).

La commission des lois du Sénat a apporté plusieurs amendements visant à renforcer la protection des libertés :

  • Le fichier central biométrique ne pourra pas être utilisé à des fins de recherches criminelles. La base biométrique sera par ailleurs « à lien faible », c’est-à-dire interdira qu’un lien univoque soit établi entre une identité civile et les empreintes digitales de l’intéressé.
  • La vérification de l’identité via les empreintes digitales (puce régalienne) ne pourra être effectuée que par des agents habilités
  • Le porteur du titre pourra sélectionner les données qu’il souhaite transmettre lors de l’utilisation de son titre pour des formalités /transactions en ligne
  • L’utilisation d’une CNIE pour un téléservice ne pourra être rendu obligatoire, la CNIE restant un document facultatif.

Enfin on signalera que les modifications d’actes d’état civil (mentions) opérées à l’aide d’une identité se révélant a posteriori usurpée seront distinguées des autres mentions.

Ce texte – sensible du fait de la création d’une base de données centrale, ce qui est nouveau et reste très sensible après l’épisode vichyssois – doit maintenant faire l’objet de deux lectures dans chacune des deux chambres. L’objectif affiché est d’adopter le texte avant la fin de l’année, les premières CNIE étant délivrées fin 2011 / début 2012. Un pari compte tenu du calendrier parlementaire chargé et de cette année préélectorale ?

postheadericon L’Etat se dote d’une DSI interministérielle : un nouvel interlocuteur pour les collectivités territoriales

Un récent décret a créé une « direction interministérielle des systèmes d’information et de communication de l’État » rattachée au Premier ministre ayant pour missions « d’orienter, d’animer et de coordonner les actions des administrations de l’Etat visant à améliorer la qualité, l’efficacité, l’efficience et la fiabilité du service rendu par les systèmes d’information et de communication ».

Cette DSI veille à ce que ces systèmes « concourent de manière cohérente à simplifier les relations entre les usagers et les administrations de l’Etat et entre celles-ci et les autres autorités administratives » (expression qui inclut les collectivités). Cette DSI devra aussi œuvrer pour favoriser la mutualisation, la compétitivité et l’innovation.

Outre l’élaboration d’un cadre stratégique pour le développement des systèmes d’information et de communication des administrations de l’État, cette super DSI devra assurer « la mise en cohérence des systèmes d’information et de communication des administrations de l’Etat avec ceux des autres autorités administratives » et portera la vision française des normes TIC dans les instances internationales. La direction hérite du reste du pilotage des référentiels généraux (RGI, RGAA et RGS), ce dernier étant piloté avec l’Agence nationale de la sécurité des systèmes d’information (ANSI).

Voila une DSI qui vient à point – voir les rapports du sénat sur Copernic et celui de la cour des compte sur les bugs de Chorus- et qui réduit singulièrement le rôle de la DGME en matière d’administration électronique.

postheadericon Sécurité et mobilité : le Cigref met en garde sur les risques liés aux smartphones

Au début des années 2000, les responsables de la sécurité des systèmes d’information des grandes organisations ont eu fort à faire avec la préférence exprimée par de nombreux cadres pour des ordinateurs portables. Car avec la mobilité – des cadres ou des élus pour les collectivités – sont apparus de nouveaux risques :

  • Risque de vol ou de pertes de données sensibles,
  • Risque d’intrusion dans le système d’information de la collectivité via l’intranet,
  • Problème de maintenance du parc nomade.

Selon le Cigref, qui vient de publier une petite étude sur ce sujet, ces risques existent toujours, en particulier dans les organisations de petite dimension. Mais le marché a désormais des solutions à proposer : cryptage de tout ou partie des données des portables, utilisation de clefs USB pour verrouiller l’ordinateur, utilisations de réseaux privés virtuels… Selon le Cigref, le danger provient désormais des Smartphones dont les systèmes d’exploitation sont le plus souvent propriétaires (iphone, blackberry, windows mobile…) et dépendant de fabricants américains. Le document appelle de ses vœux la structuration d’une offre française en matière de sécurité mobile. On peut penser que le développement des systèmes d’exploitations mobiles ouverts (Symbian et surtout Android) devrait faciliter cette émergence.

postheadericon Hadopi : bientôt une information à destination des collectivités locales

L’association des maires des grandes villes de France a rencontré les représentants de la nouvelle Hadopi. Les collectivités locales sont en effet directement concernées – au même titre que les autres personnes morales – par le risque de voir leur connexion utilisée pour le téléchargement d’œuvres protégées par les droits d’auteurs. Les collectivités risquent – après les mises en demeure prévue par les textes – de se voir infligée une contravention  pour négligence caractérisée (amende de 7500 à 15000 euros). Pour assurer la « protection » de leur connexion les internautes pourront recourir aux logiciels labellisé par l’Hadopi, mais dont la liste n’est toujours pas arrêtée à ce jour (une consultation est en cours et un décret est attendu). L’Hadopi précise cependant que cette liste vise d’abord les particuliers utilisateurs de « box ADSL » et dépourvus de connaissances techniques.  Pour les entreprises et collectivités, en cas d’adresse IP utilisée à des fins de piratage, la commission de protection des droits sera surtout attentive à l’existence d’un dispositif de sécurité (firewall, proxy…) et d’une charte d’usage responsabilisant les salariés. Pour la « sécurisation » des points d’accès publics à internet (wifi…), les choses ne semblent pas arrêtées mai l’autorité devrait proposer un mini guide pratique à destination des collectivités sur ces questions.

Par ailleurs, l’Hadopi ne veut pas être perçue exclusivement comme un « gendarme » : elle s’est dite ouverte à travailler avec les collectivités sur des sujets tels que la protection de leur patrimoine numérisé. A suivre donc…

postheadericon Puces RFID dans les crèches : ce n’est pas pour maintenant

En septembre dernier, le journal Le parisien avait évoqué la possibilité que les bambins d’une crèche parisienne soient équipés de puces RFID pour détecter rapidement les enfants sortant d’un périmètre surveillé, voire les suivre à la trace. Aussitôt, cette initiative avait suscité une polémique et un démenti de la mairie de Paris. En fait, comme le souligne Arrêt sur image, les journalistes avaient pris leurs fantasmes pour des réalités : il ne s’agissait que d’une étude de marché lancé par l’une des sociétés leader en matière de RFID. Et la polémique semble avoir conduit ladite société à arrêter ce projet si l’on en croit Le Monde. Définitivement ? Rien n’est sûr : les puces RFID équiperaient d’ores et déjà 50 000 nouveaux nés dans les hôpitaux. Et après les bracelets électroniques pour prisonniers en liberté conditionnelle, ce type de dispositif est de plus en plus évoqué pour équiper les malades d’Alzheimer… La CNIL suit du reste le sujet de près.

postheadericon Une proposition de loi pour créer la CNIE

Objet d’un projet de loi toujours dans les cartons du ministère de l’Intérieur, la carte nationale d’identité électronique (CNIE) est une véritable arlésienne : à chaque rentrée, on l’évoque pour l’année prochaine… Il avait été évoqué des amendements à la LOPSSI mais si celle-ci crée le délit d’usurpation d’identité sur les réseaux de communications électroniques, elle ne dit pas un mot de la CNIE. Sa création pourrait venir du Parlement. La CNIE a en effet fait l’objet cet été d’une proposition de loi signée du sénateur René Lecerf. Le texte liste les données que contiendra la CNIE – dont des données biométriques – et confie aux officiers d’état civil des communes la mission de vérifier l’identité des demandeurs. La puce de la CNIE sera susceptible de contenir, si le demandeur la souhaite, une signature électronique permettant de s’authentifier sur internet et de signer numériquement des documents. Déposée le 27 juillet, la proposition de loi n’est cependant pour le moment pas inscrite à l’ordre du jour du Sénat. Coté ministère on signalera que la est au moins virtuellement dans l’organigramme de la place Beauvau avec la création, dans le cadre de la réorganisation du ministère, d’une mission « titres sécurisés » chargée de la définition de la politique et de la mise en œuvre des programmes  (passeports biométriques, visas, cartes grises… CNIE) ayant sous sa tutelle l’Agence nationale des titres sécurisés (ANTS).

TIC*