CHAPITRE VII - LA CULTURE DU NUMÉRIQUE ET L'ÉDUCATION À SA SÉCURITÉ
À ce stade de la présente étude, vos rapporteurs entendent insister sur le décalage existant entre le recours permanent à l'outil numérique en perpétuel devenir et le manque de maîtrise de cet outil, doublé d'une absence de recul quant au recours plus ou moins opportun à son usage.
Comme les entreprises peuvent être désemparées face à cette situation dont les évolutions s'inscrivent dans des calendriers multiples et parfois contradictoires, l'ANSSI et des groupements d'entreprises ont élaboré des méthodes et conçu des guides pour aider les entreprises à bâtir leur sécurité numérique de manière rapide, cohérente et efficace.
Cela s'impose particulièrement face à l'extension de l'infogérance et à sa déclinaison dans l'informatique en nuage.
I. TEMPS ET CONTRETEMPS DE LA SÉCURITÉ NUMÉRIQUE
A. HYPERCONNEXION ET HYPORÉFLEXION
Le numérique a commencé par révéler qu'il permettait d'agir, le plus souvent de travailler, « en temps réel », ce qui voulait signifier immédiatement, ravalant les actions effectuées sans lui à une sorte d'irréalité singulière.
Puis les techniques ont permis non seulement une accélération des possibilités accompagnant ce « temps réel » mais également une ubiquité permanente accompagnée d'un accès illimité à l'information et au savoir .
Pour illustrer la véracité et la supériorité de ces nouveaux concepts et techniques, la création rapide de nouveaux empires économiques venait rendre très tangibles les promesses de ce monde supposé immatériel et sans limites.
Plongé très rapidement dans ce nouvel univers de la fin du XX e siècle, la meilleure preuve de l'adaptation de l'homme connecté a semblé être l' hyperconnexion .
Cependant, en suivant ce tempo soutenu, le temps a manqué pour une observation, voire une réflexion, a fortiori pour une éducation et la construction d'une culture du numérique .
La nécessité d'une telle construction se fait particulièrement sentir dans les entreprises qui ont toutes non simplement besoin du numérique mais d'un numérique sûr . Sinon, c'est leur système nerveux qui risque d'être atteint jusqu'à compromettre leur existence.
Cette construction nécessite des matières fiables : matériels, logiciels, routeurs assortis de protocoles divers. Cela est rendu difficile par le caractère encore récent de l'usage du numérique et l'inadaptation plutôt prononcée des personnels quant à l'édification de la sécurité numérique. En effet, utiliser quotidiennement toute la gamme des outils numériques, même avec brio, ne suffit pas à rendre les usagers responsables, c'est-à-dire conscients des impératifs rigoureux de la sécurité numérique .
D'autant que cette sécurité ne pourra, souvent, être assurée qu'au prix de l'abandon de deux principes admis comme supérieurs à tous les autres sans avoir été discutés : la connexion immédiate et permanente, l'accélération de la rapidité.
Or, il ressort de nombre d'auditions que la sécurité implique d'abord, par exemple, une analyse de la confidentialité des données à protéger, de celles pouvant être stockées ou transmises de telle ou telle manière, sans oublier de se préoccuper des conditions de sécurité offertes par le ou les destinataires du message.
Toutes les données ne sont pas à protéger de la même manière . Il convient donc de les hiérarchiser par degré de confidentialité sans pour autant consacrer un temps excessif à ce classement.
Une fois classées, les catégories de données subiront des traitements numériques différents . Tout ne pourra être stocké dans les nuages informatiques ; la question du recours à des nuages souverains se posera aussi à cette occasion.
Le canal de transmission devra également être sélectionné après réflexion sur les garanties de sécurité qu'il offre.
Cela posera aussi la question de l' homogénéité de la sécurité tout au long du canal de transmission du message . Ainsi, le recours à un téléphone crypté n'offre de sécurité que si l'interlocuteur est équipé d'un appareil de même niveau technique.
Pour illustrer de manière très concrète les précautions élémentaires évoquées ci-dessus, il suffit de passer en revue des situations, très courantes, de la vie quotidienne des entreprises , d'en déduire des règles de prudence pratiques avant d'en tirer des principes généraux constituant l'hygiène informatique.
Le Réseau de Grandes Entreprises (CIGREF) - association regroupant cent trente grandes entreprises et organismes français ayant pour mission de « promouvoir la culture numérique comme source d'innovation et de performance » - a eu l'excellente idée de mettre en scène, de manière ludique, à travers un jeu sérieux appelé Keep eye ou « Aie l'oeil » , des situations affrontées par les personnels des entreprises, en transformant chaque joueur, maillon faible supposé de la sécurité numérique, en « ange gardien d'un salarié de l'entreprise ».
Le scénario de ce jeu est consultable sur le site du CIGREF et en annexe du présent rapport .
Par exemple : que faire lorsque l'on trouve une clé USB ? Peut-on emporter un ordinateur à l'étranger, le recharger dans les aéroports, le laisser dans le coffre-fort de sa chambre d'hôtel ?
Certaines personnes entendues ont indiqué, par exemple, que pour se rendre dans certains pays, il était prudent d'emporter un ordinateur et un téléphone n'ayant jamais servi et de ne plus l'utiliser au retour.
Les plus prudents perfectionnent leur mot de passe, cryptent leurs messages, évitent de se connecter à tous les réseaux Wi-Fi proposés. Mais, souvent, les mots de passe choisis sont trop simples, le cryptage peu fiable et la confiance en des réseaux, des équipements autres ou en des interlocuteurs plus ou moins habituels conduit à adopter une attitude globalement imprudente alors même qu'elle revêt certaines apparences de la prudence.
Il peut s'agir aussi de simples règles de comportement à observer et dont le non-respect peut être constaté chaque jour dans tous les moyens de transports (trains, avions, etc.), dans les restaurants, les hôtels, au téléphone, etc.
Certains entreprises estiment utiles de recommander à leur personnel de veiller à ce que nul ne lise, en même temps qu'eux, les messages affichés sur l'écran de leur ordinateur.
Mais, là encore, souvent, la priorité accordée à la permanence de la connexion nuit à la sécurité de celle-ci.
La conscience de ces divers risques numériques progresse mais sans aller jusqu'à se traduire en actes réfléchis de prévention et de précaution érigés en règles de conduite permanentes ... et à adapter en permanence . Ces contraintes sont mal vécues et ressenties comme antagonistes par rapport à la liberté qui semble caractériser le numérique.
Une anecdote, rapportée par plusieurs personnes entendues, illustre la difficulté de concilier efficacité et sécurité ainsi que le fait que l'efficacité immédiate risque de compromettre les buts qu'elle est censée viser.
« Un exemple bien connu, en matière de vente d'avions, dans la concurrence entre Airbus et Boeing , quand M. Édouard Balladur était Premier ministre : il a pris l'avion pour l'Arabie Saoudite et il n'y avait que deux personnes connaissant le prix qui allait être proposé pour cette vente qui allait être signée. Le Premier ministre a passé une communication téléphonique depuis l'avion avec une des deux personnes en charge de la négociation mentionnant ce prix et, à l'atterrissage, il été constaté qu'une offre financière juste un peu meilleure venait d'être effectuée par Boeing . À l'époque les communications chiffrées n'existaient pas ou étaient très peu efficaces. Et la NSA avait déjà mis en place Echelon . Maintenant elles existent mais ce n'est pas forcément pour autant que les hommes politiques les utilisent . Teorem existe : ce téléphone sécurisé permet de chiffrer les données, de chiffrer la voix, de tout chiffrer. Mais il reste dans la boîte à gant des voitures des autorités. »
M. Jérôme Notin
|
À partir de ces observations quotidiennes et de ses connaissances techniques, l' ANSSI a élaboré des règles d'hygiène informatique rassemblées dans un guide consultable sur le site de l'ANSSI. Le résumé de ces quarante règles figure en annexe du présent rapport.
Là encore, comme pour le jeu sérieux mis au point par le CIGREF, nombre de ces règles, ou leur utilité, ont été rappelées par les personnes entendues par vos rapporteurs.
Dans les propositions de recommandations, la plupart des règles d'hygiène informatique imaginées par l'ANSSI sont rappelées pour mieux mettre en perspective par rapport à elles les recommandations proposées.