La cyber sécurité au cœur des enjeux des décideurs de la sphère publique
Une prise de conscience tardive
Alors que la liste des sites des entreprises privées ayant subi une attaque ne cesse de s’allonger, c’est au tour des services de l’Etat d’être soumis aux nouvelles menaces qui frappent Internet.
La France, qui se sentait jusque-là épargnée, s’est réveillée avec le devoir de faire face à la réalité : nul n’est à l’abri. Avec plus de 20.000 sites compromis lors de la récente vague d’attaques dans le cadre de « l’OpFrance », le constat est indéniable : la sécurité doit devenir un enjeu.
Jusqu’ici, seuls les piratages internationaux (de sociétés privées) étaient médiatisés (récemment, Sony). Si rien n’était visible en France, ce n’était pas lié à l’invulnérabilité française, mais au fait qu’il n’y a pas (ou peu) d’obligation pour nos sociétés de communiquer si elles sont compromises.
Il en allait donc de même en France qu’ailleurs, mais dans un assourdissant silence.
Une surface grandissante d’attaque
Avec l’avènement de l’ère de l’hypercommunication, toutes les entreprises ainsi que les services étatiques se retrouvent à gérer des dizaines de sites, une présence sur les réseaux sociaux ou encore des accès Wi-Fi internes ou pour leurs visiteurs.
Cette explosion de la surface d’attaque complique la vie des DSI(1) et des RSSI(2), qui doivent faire face à des vecteurs d’attaques variés, du blocage de leurs sites à la compromission de leur Wi-Fi ou de leurs comptes Twitter.
Passer d’un état de quiétude à une guerre sur de multiples fronts ne peut se faire aisément. D’autant que parmi les victimes médiatisées auparavant, la plupart disposaient de moyens très importants pour se défendre. Si, comme le savent les acteurs de test d’intrusion informatique, les sociétés du CAC40 ne résistent pas à un test réalisé par des professionnels, comment le pourraient des collectivités moins bien dotées ?
Les services de l’état, un paradigme bien particulier
L’Etat à ce titre n’est pas le mieux loti. Les budgets sont serrés et ses services sont attrayants pour les pirates. Les sites des institutions, avec leur visibilité naturelle, sont de superbes vitrines à vandaliser pour des pirates du dimanche en mal de reconnaissance ou souhaitant exprimer une opinion politique.
Une autre catégorie de pirates cherche à se procurer des informations sur les administrés : nom, prénoms, code de sécurité sociale, etc. Les services de l’état sont, à ce titre, une mine d’or.
Du BYOD(3) (utilisation d’appareils privés au sein d’un réseau professionnel) aux sites web, en passant entre autres par les accès physiques, les DSI d’instances publiques vont devoir gérer de nombreux chantiers.
Face à cette tâche, il leur faudra prendre du recul et se placer en organisateur global pilotant des spécialistes plutôt qu’en opérationnel du terrain débordé et aux compétences inégalement réparties.
Une opportunité à saisir
Cette nouvelle tendance d’Internet n’est pas prête de changer et les attaques ne s’arrêteront pas du jour au lendemain. C’est une nouvelle ère qui s’ouvre, où chacun se doit d’être prudent et de changer ses habitudes.
Cependant, la sensibilisation globale au sujet de la sécurité informatique, jusque-là reléguée à « quand on aura les ressources », va devenir plus importante dans toutes les sphères, ce qui devrait accélérer le changement.
La France réagit souvent tard en matière technologique, mais avec force et talent ; espérons que le rattrapage en matière de cyber sécurité sera rapide et efficace. Les talents existent en France, il reste à espérer que l’on fera enfin confiance aux PME de qualité, spécialisées, compétitives et compétentes. Jusqu’ici moins visibles que les grands généralistes moins pointus, elles sont plus habituées aux procédures d’appels d’offre étatique.
L’époque reste néanmoins idéale pour refondre les bases de la cyber sécurité en France et permettre la sécurisation des infrastructures critiques de l’Etat par une meilleure collaboration public/privé.
Des méthodes et des solutions
A ce stade, le tableau peut paraître un peu sombre, mais il y a de bonnes nouvelles. Les attaquants des sites étatiques, à ce stade en tout cas, sont souvent des amateurs et non des groupes de pirates de haut vol. Les attaques menées sont donc assez simples par nature et touchent, la plupart du temps, des applicatifs en ligne mal sécurisés : un problème facilement adressable.
Ensuite, les solutions existent. Le mouvement qu’ont amorcé les entreprises privées vers des Clouds sécurisés, opérés par des tiers spécialistes en la matière, permet de se décharger d’une partie du fardeau, à moindre coût.
Enfin, bien qu’il y ait un retard à rattraper dans le public au niveau de la sécurité, les éditeurs de solutions, infogérants et spécialistes de la sécurité ont des solutions efficaces pour se protéger. Il faut maintenant y ajouter la volonté politique et les budgets pour franchir ce cap délicat.
Les challenges que devront affronter les dirigeants des institutions publiques restent présents, notamment le fait de concilier sécurité, exploitabilité et ouverture au public. Mais ces décideurs ne sont pas seuls et les autorités politiques devront aussi se saisir sérieusement du dossier pour les y aider.
(1) Directeur Systèmes d’Information
(2) Responsable Sécurité et Systèmes d’Information
(3) Bring Your Own Device
Commenter cet article