2. Entreprises & Finance
  3. Industrie

  4. Aéronautique & Défense

Cybersécurité : les groupes français sont des passoires

Par Michel Cabirol  |   |  847  mots
Copyright Reuters
Face à la montée des menaces sur les réseaux, le patron de l'Agence nationale de la sécurité des systèmes d'information (ANSSI), Patrick Pailloux, appelle à une prise de conscience des dangers. Il pousse le gouvernement à légiférer pour obliger les entreprises ayant des systèmes d'information critiques pour le pays à renforcer leur sécurité.

Tous nuls ou presque. C?est le constat sévère du directeur général de l?Agence nationale de la sécurité des systèmes d?information (ANSSI), Patrick Pailloux, sur le niveau des groupes français - à l?exception de ceux qui ont été victimes d?attaques informatiques - en matière de sécurité des systèmes d?informations. Et de préciser qu?il est pourtant "ultra simple" de pénétrer dans les réseaux d?une entreprise tant que les salariés se serviront entre autres de leur téléphone professionnel (iPhone, Android?) à des fins personnelles? comme télécharger toutes sortes d?applications. "A partir de là, le système d?une entreprise n?est plus sécurisé", insiste-t-il. Et de noter que les décideurs "pas sensibilisés" sur ces problèmes sont "assez désarmés" face à cette menace. "Ce n?est pas un message facile à faire passer" dans les entreprises, a conscience Patrick Pailloux mais "c'est un sujet dont il faut se préoccuper en renforçant les moyens" pour lutter contre les attaques des systèmes d'information. L'Estonie, victime d'une attaque à grande échelle en 2007, est là pour le rappeler à tous les hésitants.

Espionner, c'est facile

Espionner, rien de plus facile dans notre monde aujourd?hui. "C?est à la portée de n?importe qui, notamment des parents qui souhaitent surveiller leurs enfants", a-t-il rappelé dans le cadre d?un débat sur la cyberdéfense organisé par le cabinet de lobbying Défense et Stratégie, "mais nous n?avons pas toujours à faire à des bisounours", souligne Patrick Pailloux. Des logiciels iPhone espion sont en vente libre sur internet, a-t-il rappelé, tout en précisant que c?était illégal de s?en servir. "C?est une plaie considérable", regrette-t-il. Des attaques à des fins d?espionnage, et "le pire du pire", selon Patrick Pailloux, des opérations de sabotage avec des dysfonctionnements et/ou des destructions de réseaux. Comme en a fait récemment l?amère expérience le puissant pétrolier saoudien Aramco, qui a perdu toutes les données de ses 35.000 ordinateurs, rappelle-t-il. "Les entreprises ne sont pas préparées" à de telles attaques, regrette-t-il.

Légiférer ?

Comment faire pour protéger les entreprises, y compris celles qui ne jouent pas le jeu ? Le patron de l?ANSSI estime qu?il est temps de légiférer pour imposer des règles de sécurité aux entreprises ayant des infrastructures vitales ou critiques. Qui dit législation, dit sanction. "Il faut revenir à des positions plus dures que ce qu'il y a maintenant", estime-t-il. Aux Etats-Unis et en Allemagne, il existe un débat compliqué pour réguler les systèmes d?informations, explique-t-il. Car selon lui, la question des infrastructures critiques est "un sujet non traité". Et de rappeler qu?il n'y a pas de réglementation de protection des systèmes d?information, dont ceux des groupes financiers ou des groupes chimiques, qui disposent de sites classés Seveso? Ces derniers doivent pourtant déjà faire face à une réglementation très lourde pour tous les aspects sécuritaires et environnementaux. Patrick Pailloux souhaiterait donc une loi plutôt qu?un simple décret.

Des règles simples à respecter

Au-delà de l?aspect législatif, le patron de l?ANSSI rappelle qu?en dépit de la montée significative des menaces depuis la création il y a quatre ans de l?Agence, « on peut arriver » à se protéger. Comment ? En respectant toute une série de règles, qui limiteraient une grande partie des risques. L?ANSSI a d?ailleurs publié pour les entreprises 40 règles d?hygiène. "Nous sommes dans ce domaine ce que la médecine a connu au XIXe siècle à l?époque de Louis Pasteur avec la mise en place de protocoles d?hygiène dans les hôpitaux. Il y a tout un travail d?enseignement, d?éducation et de sensibilisation à faire", précise Patrick Pailloux. Et de marteler que "les gestes élémentaires doivent être l?affaire de tous, et d?abord des informaticiens. Ils ne les ont pas appris, ces gestes ne sont pas enseignés", regrette-t-il. "Un ordinateur professionnel et un ordinateur personnel, ce n?est pas la même chose. Il faut faire changer les comportements", insiste-t-il.

Des prestataires de confiance

C?est dans ce cadre que l?ANSSI développe actuellement tout un réseau de prestataires de confiance. Car rappelle-t-il, l?Etat n?a pas la capacité de surveillance de tous les systèmes d?information importants en France. L?Agence développe des partenariats public-privé avec des prestataires afin de les "alimenter sur les menaces" du moment. Et de préciser qu?en matière de sécurité informatique, "on ne trouve que ce que l?on cherche". Comment faire confiance à de tels partenaires ? En leur donnant un label. "Nous avons un taux d?échec de 50 % pour obtenir le premier niveau de certification" de ce label, indique-t-il. La confiance est à ce prix.