Cybersécurité : les groupes français sont des passoires

Face à la montée des menaces sur les réseaux, le patron de l'Agence nationale de la sécurité des systèmes d'information (ANSSI), Patrick Pailloux, appelle à une prise de conscience des dangers. Il pousse le gouvernement à légiférer pour obliger les entreprises ayant des systèmes d'information critiques pour le pays à renforcer leur sécurité.
Copyright Reuters

Tous nuls ou presque. C?est le constat sévère du directeur général de l?Agence nationale de la sécurité des systèmes d?information (ANSSI), Patrick Pailloux, sur le niveau des groupes français - à l?exception de ceux qui ont été victimes d?attaques informatiques - en matière de sécurité des systèmes d?informations. Et de préciser qu?il est pourtant "ultra simple" de pénétrer dans les réseaux d?une entreprise tant que les salariés se serviront entre autres de leur téléphone professionnel (iPhone, Android?) à des fins personnelles? comme télécharger toutes sortes d?applications. "A partir de là, le système d?une entreprise n?est plus sécurisé", insiste-t-il. Et de noter que les décideurs "pas sensibilisés" sur ces problèmes sont "assez désarmés" face à cette menace. "Ce n?est pas un message facile à faire passer" dans les entreprises, a conscience Patrick Pailloux mais "c'est un sujet dont il faut se préoccuper en renforçant les moyens" pour lutter contre les attaques des systèmes d'information. L'Estonie, victime d'une attaque à grande échelle en 2007, est là pour le rappeler à tous les hésitants.

Espionner, c'est facile

Espionner, rien de plus facile dans notre monde aujourd?hui. "C?est à la portée de n?importe qui, notamment des parents qui souhaitent surveiller leurs enfants", a-t-il rappelé dans le cadre d?un débat sur la cyberdéfense organisé par le cabinet de lobbying Défense et Stratégie, "mais nous n?avons pas toujours à faire à des bisounours", souligne Patrick Pailloux. Des logiciels iPhone espion sont en vente libre sur internet, a-t-il rappelé, tout en précisant que c?était illégal de s?en servir. "C?est une plaie considérable", regrette-t-il. Des attaques à des fins d?espionnage, et "le pire du pire", selon Patrick Pailloux, des opérations de sabotage avec des dysfonctionnements et/ou des destructions de réseaux. Comme en a fait récemment l?amère expérience le puissant pétrolier saoudien Aramco, qui a perdu toutes les données de ses 35.000 ordinateurs, rappelle-t-il. "Les entreprises ne sont pas préparées" à de telles attaques, regrette-t-il.

Légiférer ?

Comment faire pour protéger les entreprises, y compris celles qui ne jouent pas le jeu ? Le patron de l?ANSSI estime qu?il est temps de légiférer pour imposer des règles de sécurité aux entreprises ayant des infrastructures vitales ou critiques. Qui dit législation, dit sanction. "Il faut revenir à des positions plus dures que ce qu'il y a maintenant", estime-t-il. Aux Etats-Unis et en Allemagne, il existe un débat compliqué pour réguler les systèmes d?informations, explique-t-il. Car selon lui, la question des infrastructures critiques est "un sujet non traité". Et de rappeler qu?il n'y a pas de réglementation de protection des systèmes d?information, dont ceux des groupes financiers ou des groupes chimiques, qui disposent de sites classés Seveso? Ces derniers doivent pourtant déjà faire face à une réglementation très lourde pour tous les aspects sécuritaires et environnementaux. Patrick Pailloux souhaiterait donc une loi plutôt qu?un simple décret.

Des règles simples à respecter

Au-delà de l?aspect législatif, le patron de l?ANSSI rappelle qu?en dépit de la montée significative des menaces depuis la création il y a quatre ans de l?Agence, « on peut arriver » à se protéger. Comment ? En respectant toute une série de règles, qui limiteraient une grande partie des risques. L?ANSSI a d?ailleurs publié pour les entreprises 40 règles d?hygiène. "Nous sommes dans ce domaine ce que la médecine a connu au XIXe siècle à l?époque de Louis Pasteur avec la mise en place de protocoles d?hygiène dans les hôpitaux. Il y a tout un travail d?enseignement, d?éducation et de sensibilisation à faire", précise Patrick Pailloux. Et de marteler que "les gestes élémentaires doivent être l?affaire de tous, et d?abord des informaticiens. Ils ne les ont pas appris, ces gestes ne sont pas enseignés", regrette-t-il. "Un ordinateur professionnel et un ordinateur personnel, ce n?est pas la même chose. Il faut faire changer les comportements", insiste-t-il.

Des prestataires de confiance

C?est dans ce cadre que l?ANSSI développe actuellement tout un réseau de prestataires de confiance. Car rappelle-t-il, l?Etat n?a pas la capacité de surveillance de tous les systèmes d?information importants en France. L?Agence développe des partenariats public-privé avec des prestataires afin de les "alimenter sur les menaces" du moment. Et de préciser qu?en matière de sécurité informatique, "on ne trouve que ce que l?on cherche". Comment faire confiance à de tels partenaires ? En leur donnant un label. "Nous avons un taux d?échec de 50 % pour obtenir le premier niveau de certification" de ce label, indique-t-il. La confiance est à ce prix.

Sujets les + lus

|

Sujets les + commentés

Commentaires 19
à écrit le 30/11/2012 à 11:29
Signaler
Cela fait quelques années déjà que des universités chinoises, sous le contrôle du gouvernement, produisent des armées de geek et hackers, destinés à attaquer les entreprises et organismes du monde entier. Tout cela dans un but de conquérir des donnée...

à écrit le 18/11/2012 à 0:11
Signaler
Les 2 plus grosses failles de sécurité dans les entreprises françaises: Lotus Notes et Microsoft Outlook... deux applications éditées par le plus grand espion de la planète (the USA)

à écrit le 10/11/2012 à 12:29
Signaler
Cf Cybersécurité Je trouvais étrange, quelques minutes après avoir visité un site de le voir "débouler" sur mon mail,soi sous forme de publicité,soit sous forme de courrier. je m'auto flagellais en m'accusant de paranoïa... Jusqu'au moment où quelqu...

le 10/11/2012 à 15:46
Signaler
Indect a été lancé confidentiellement le 1er Janvier 2009 grâce au soutien financier de la Commission Européenne qui a déjà investi 15 millions dans l'offre pour s'établir jusqu'en 2014. http://www.u-p-r.fr/videos/conferences-en-ligne/leurope-securit...

le 11/11/2012 à 18:17
Signaler
Si vous recevez des mails ciblés juste après avoir visité des sites commerciaux, vous avez tout intérêt à : utiliser un bon antivirus, à supprimer les barres de recherches de votre navigateur (oui, même les barres google/yahoo...), à vous déconnecter...

à écrit le 10/11/2012 à 10:38
Signaler
tant que les collaborateurs utiliseront leur propre materiel ' mobile' et non securise, forcement, ca posera souci...

à écrit le 10/11/2012 à 8:21
Signaler
Encore des "extrémistes" de la technologie qui veulent à tout prix confier leurs petits secrets a la machine...Ne dit on pas que le meilleur secret est celui dont on ne connait pas l'existence...! Plus vous vous protégez, plus les curieux affluent!

à écrit le 09/11/2012 à 18:43
Signaler
Et si cette Europe qui n'est pas capable de faire un pc, faisait un système global? C'est bête, mais c'est comme la lune.

le 10/11/2012 à 10:40
Signaler
ca s'appelle linux et ca a ete developpe par un scnadinave... ( et ca equipe 95% des serveurs web)

à écrit le 09/11/2012 à 18:41
Signaler
Normal, la France et la technologie, c'est une oxymore.

le 11/11/2012 à 17:58
Signaler
*un

à écrit le 09/11/2012 à 15:14
Signaler
Le plus gros danger depuis ces dix dernières années est le mercantilisme autour des logiciels de sécurité (anti-virus), qui éclipsent deux problèmes assez évidents. Le premier, est que si on a besoin d'un tel logiciel, c'est que le système n'est intr...

le 09/11/2012 à 16:17
Signaler
Un 1er exemple parmi d'autres : Les fonds d'amorçages se voient confiés des fonds publics par la Caisse des Dépôts et Consignation, la CDC ... ces fonds d'amorçage interviennent sur les dossiers nouvelles technologies, sur l'innovation ... A quelques...

à écrit le 09/11/2012 à 15:08
Signaler
Allez expliquer à une direction générale l'intérêt d'une politique sécurité, pilotée par un Responsable de la Sécurité des Systèmes d'Informations indépendant de la Direction des Systèmes Informatiques...vous aurez toute la DSI à dos ! Ayant travaill...

le 09/11/2012 à 18:49
Signaler
Pas d'accord les anglais sont encore pire que nous sur les investissements de recherche, pourtant, l'europe n'a pas d'autre ressource. Alors pourquoi nous rayer de la carte? Sommes-nous suicidaires ou bien humanicides!

à écrit le 09/11/2012 à 15:05
Signaler
Pourtant c'est aussi les sociétés publiques et l'état qui font appel a se genre de services. Par exemple chez Areva ils avaient mandaté un cabinet Suisse pour espionner Greenpeace, Transparency, etc.. Plus étonnant ils espionnaient même leur propre p...

à écrit le 09/11/2012 à 14:31
Signaler
Il a raison Patrick Pailloux d?alerter sur cette déplorable situation. Il faut ajouter les TRèS NéGLIGENTES structures parapubliques, qui s?occupent de près ou de loin, qui confient des fonds, mandats, des missions d?accompagnement à toutes ces agenc...

le 09/11/2012 à 14:57
Signaler
Complément : il s'agit des TRèS NéGLIGENTES structures parapubliques, qui s'occupent de près ou de loin de l'innovation, c'est une gabegie ...et le désordre le plus total ... les porteurs de projets se font bernés ...

à écrit le 09/11/2012 à 14:10
Signaler
D'accord... C'est donc bien par intérêt.. Ils auraient pu donner directement donner leurs tarifs ET nous indiquer ce que cela coûtait EN PLUS aux contribuables.

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.