IV. RENFORCER LES CAPACITÉS D'ACTION DE L'ANSSI
L'article L. 2321-3 du code de la défense, adopté par la loi de programmation militaire 2014-2019 32 ( * ) dispose que les agents de l'ANSSI pourront obtenir des opérateurs de communication électronique, « l'identité, l'adresse postale et l'adresse électronique d'utilisateurs ou de détenteurs de systèmes d'information vulnérables, menacés ou attaqués, afin de les alerter sur la vulnérabilité ou la compromission de leur système ».
Jusqu'au décret du 27 mars 2015 relatif à l'ANSSI, l'agence « ne disposait pas du cadre légal et règlementaire lui permettant de demander aux opérateurs de communications électroniques d'identifier à partir de données techniques [...] les victimes d'une attaque ou les utilisateurs de systèmes vulnérables à une attaque » 33 ( * ) .
Ce décret a également renforcé les relations entre l'ANSSI et les OIV : ainsi « chaque opérateur communique sa liste de systèmes d'information d'importance vitale et les mises à jour de celle-ci à l'Agence nationale de la sécurité des systèmes d'information », selon l'article R. 1332-41-2 du code de la défense. Les OIV sont également dans l'obligation de communiquer à l'agence « les informations relatives aux incidents affectant la sécurité ou le fonctionnement de leurs systèmes d'information d'importance vitale » 34 ( * ) .
Surtout, ce décret affirme la légitimité de l'ANSSI en matière de cyberdéfense puisqu'il fait d'elle « l'autorité nationale de sécurité des systèmes d'information » 35 ( * ) .
1. La nécessaire responsabilisation des opérateurs de communications électroniques
L'ANSSI souhaiterait améliorer la coordination avec les opérateurs de communications électroniques.
Le nouvel article L. 2321-3 du code de la défense (issu de la loi de programmation militaire précitée) prévoit désormais que l'agence peut « obtenir des opérateurs de communications électroniques l'identité, l'adresse postale et l'adresse électronique d'utilisateurs ou de détendeurs de systèmes d'information vulnérables, menacés ou attaqués afin de les alerter sur la vulnérabilité ou la compromission de leur système ».
Toutefois, selon l'ANSSI, « les opérateurs devraient avoir pour obligation d'identifier et de prévenir, avec les moyens à leur disposition, leurs clients victimes de compromission ». Cela permettrait d'augmenter « de manière significative la sécurité des systèmes d'information des entreprises (en particulier des PME) et des particulier, en responsabilisant les opérateurs et en les incitant à assumer un rôle dans le domaine de la détection d'attaques informatiques ».
2. Inciter les ministères à renforcer la sécurité de leurs systèmes d'information
La faiblesse des ressources consacrées par les ministères à la sécurité de leurs systèmes d'information (à l'exception des ministères de la défense et de l'intérieur) constitue une difficulté importante pour l'ANSSI : « ce manque de ressources peut notamment être constaté au niveau des services chargés des systèmes d'information ministériel. Les ministères peinent à maîtriser leurs propres systèmes d'information, ce qui rend difficile la mise en oeuvre des préconisations de l'ANSSI » 36 ( * ) .
De plus, les audits de l'ANSSI concluent que le niveau de sécurité des systèmes d'information des ministères est décevant. En effet, « le niveau de sécurité constaté est hétérogène, mais généralement faible [et] de nombreuses règles élémentaire « d'hygiène informatique » restent souvent inappliquées ».
Les principales conclusions des audits menés par l'ANSSI en 2013 et 2014 Les sources de vulnérabilités des systèmes d'information proviennent : - d'une connaissance insuffisante des systèmes d'information utilisés ; - de la persistance de pratiques à risques ; - d'une gestion des accès logique défaillante voire inexistante ; - d'utilisation de systèmes non mis à jour, voire obsolètes ; - du non-respect de règles élémentaires de renforcement de la sécurité ; - d'une protection insuffisante des fonctions sensibles ; - d'un manque de gouvernance de la sécurité des systèmes d'information, rendant incertain le maintien dans la durée des mesures de sécurité efficaces mises en place, alors même que l'on perçoit une certaine prise de conscience des enjeux de sécurité des systèmes d'information. Source : réponses du SGDSN |
Afin de permettre à l'ANSSI de centrer son travail sur la détection de cybermenaces de grande ampleur, il conviendrait que les ministères soient en mesure de prendre en charge un certain niveau de sécurité de leurs systèmes d'information.
Il faut d'ailleurs signaler que l'ANSSI n'a aucun pouvoir d'injonction auprès des administrations, qui lui permettrait de s'assurer de la bonne mise en oeuvre de ses recommandations.
Les ministères ne peuvent saisir l'importance des enjeux liés à leur cybersécurité puisque « aucune évaluation fiable de la sécurité des systèmes d'information des ministères ne parvient aux ministres ou est rendue publique », ce qui « ne favorise pas la prise des mesures budgétaires, humaines et techniques nécessaires » 37 ( * ) .
La PSSIE a, certes, fixé de nouveaux objectifs en matière d'audits des systèmes d'information des ministères - l'objectif 34 de la PSSIE prévoit ainsi la mise en place de contrôles réguliers locaux, par le biais des responsables de la sécurité des systèmes d'information de chaque entité.
Un bilan annuel mesurant la maturité de la sécurité des systèmes d'information globale pourrait utilement être produit par les ministères, consolidé par l'ANSSI et il pourrait même être envisagé qu'il soit porté au niveau politique.
3. Créer un service de proximité et approfondir les relations entre l'ANSSI et la DINSIC
Les attaques terroristes cybernétiques menées contre la France en 2015 sont, pour l'ANSSI, la confirmation du manque d'un dispositif de proximité. Un tel service aurait pour but de porter assistance aux victimes et d'assurer la défense et la sécurité des systèmes d'information des entreprises hors opérateur d'importance vitale, des collectivités territoriales et des particuliers.
Les services déconcentrés gérant les systèmes d'information pourraient devenir le « bras armé » de l'ANSSI sur le territoire.
L'ANSSI et la direction interministérielle du numérique et du système d'information et de communication de l'État (DINSIC) - anciennement direction interministérielle des systèmes d'information et de communication (DISIC) - ont déjà coopéré dans le cadre de deux projets d'ampleur : la politique de sécurité des systèmes d'information de l'État (PSSIE) et le réseau interministériel de l'État (RIE).
La politique de sécurité des
systèmes d'information de l'État (PSSIE)
La politique de sécurité des systèmes d'information de l'État (PSSIE), entrée en vigueur le 17 juillet 2014, « contribue à assurer la continuité des activités régalienne, prévenir la fuite d'information sensible et renforcer la confiance des citoyens et des entreprises dans les téléprocédures ». Elle concerne l'ensemble des agents de l'État puisqu'elle s'applique à tous les systèmes d'information de l'État. La PSSIE détermine des mesures techniques générales, constituant un socle minimal. Les ministères s'appuient sur la PSSIE, mais également les normes et guides l'ANSSI pour adapter les mesures à leurs services. Inauguré le 27 janvier 2015, le réseau interministériel de l'État a trois objectifs principaux : favoriser les échanges interministériels, renforcer la sécurité des échanges ministériels et interministériels et renforcer la mutualisation. Afin de créer ce nouveau réseau, l'ANSSI a apporté son expertise en amont afin de s'assurer de la sécurité de ce nouveau réseau. L'opération a été pilotée par la DINSIC. Source : www.modernisation.gouv.fr . |
Le décret du 21 février 2011 portant création de la DISIC prévoit la coopération avec l'ANSSI dans la mesure où la DISIC « o rganise et anime le cadre de concertation nécessaire à l'évolution des référentiels généraux d'interopérabilité et d'accessibilité, des modèles de données de référence et des modèles d'échange et, en liaison avec l'Agence nationale de la sécurité des systèmes d'information, du référentiel général de sécurité » 38 ( * ) .
Le partenariat entre l'ANSSI et la DISIC est essentiel pour créer des systèmes d'information robustes tout en fournissant aux ministères de bons outils et protocoles en la matière.
Le bilan consolidé de la sécurité des systèmes d'information des ministères devrait donc être effectué avec la DISIC afin que des propositions concrètes d'évolution des réseaux soient mises en oeuvre le plus rapidement possible.
* 32 Loi n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale.
* 33 Communiqué de presse de l'ANSSI lors de la publication du décret n° 2015-349 du 27 mars 2015 relatif à l'habilitation et à l'assermentation des agents de l'autorité nationale de sécurité des systèmes d'information et pris pour application de l'article L. 2321-3 du code de la défense.
* 34 Article R. 1332-41-10 du code de la défense.
* 35 Article R. 2321-1 du code de la défense.
* 36 Réponses au questionnaire de la commission des finances du Sénat, SGDSN.
* 37 Réponses du SGDSN au questionnaire.
* 38 Décret n° 2011-193 du 21 février 2011 portant création d'une direction interministérielle des systèmes d'information et de communication de l'État, article 4 II 3