II. LES ACTEURS DE LA SÉCURITÉ NUMÉRIQUE
Si l'ANSSI se situe à la pointe des avancées en faveur de la sécurité numérique des entreprises, d'autres initiatives viennent utilement compléter son action comme, par exemple, récemment, celle de la création du club des industriels de la cyberdéfense.
A. LES CONSEILS DE SÉCURITÉ DISPENSÉS AUX INDUSTRIELS PAR L'ANSSI
1. L'infogérance
L'apport et les limites des conseils donnés par l'ANSSI aux industriels ressortent de ses divers guides de bonnes pratiques, dont celui sur les règles d'hygiène informatique, dont les quarante préconisations sont rappelées dans les propositions des rapporteurs à la fin de la présente étude.
Un autre exemple est fourni par le guide de l'ANSSI intitulé « Maîtriser les risques de l'infogérance » relatif à l'externalisation des systèmes d'information .
Sans analyser l'ensemble de cet intéressant document, certains conseils dispensés par celui-ci situent bien l'équilibre à rechercher entre recours accru au numérique et sécurité, non seulement des systèmes d'information de l'entreprise mais encore de la sécurité de l'entreprise dans son ensemble, dans la mesure où, comme déjà souligné, un affaiblissement de son système nerveux numérique pourrait conduire à sa disparition.
Recourir à un tiers pour gérer son système d'information, telle pourrait être la définition de l'externalisation de l'infogérance.
Il peut s'agir de gérer des infrastructures, des applications ou encore de l'hébergement de service.
Pour vos rapporteurs, la question consiste à se demander si les risques inhérents à l'infogérance - du fait de la sous-traitance simple ou en cascade à laquelle le prestataire peut recourir, du fait de l' incertitude sur la localisation des données , notamment dans l'informatique en nuage, du fait, enfin, du risque de divulgation de données sensibles ... - excèdent ou non les avantages à attendre de cette infogérance.
Ce risque est particulièrement sensible en ce qui concerne les données à caractère personnel dont le responsable de traitement est comptable ; des sanctions pénales venant même sanctionner ses manquements éventuels.
L'ensemble de ces éléments doit inciter le chef d'entreprise qui a recours à l'infogérance à mûrement peser les termes du contrat le liant au prestataire d'infogérance sécurisée.
Ce contrat devrait préciser que le client a un droit de contrôle sur :
- le choix des sous-traitants ;
- les modalités de paiement de ceux-ci ;
- la sécurité des lieux d'hébergement de données proposés ;
- l'existence d'un contrat liant le prestataire à ses sous-traitants (comprenant des clauses relatives à la sécurité et à la confidentialité offertes par les sous-traitants) ;
- la valorisation pour le client de choix de nouvelles solutions matérielles ou logicielles par le prestataire, notamment s'il s'agit de recourir à des applications propriétaires peu répandues car le client doit pouvoir obtenir, à tout moment, la restitution de ses données dans un format standard et ouvert .
L'énumération des clauses protectrices indispensables à prévoir dans le contrat conduit à s'interroger sur la possibilité pratique de mettre en oeuvre un contrôle réel du client sur ces éléments multiples et très techniques si le rapport de force face au prestataire d'infogérance ne joue pas à son avantage.
Il convient de souligner également un risque particulier, celui des interventions à distance .
L'entreprise sera tentée de réclamer la possibilité de ce genre d'interventions dans l'espoir d'une réduction du coût et de la rapidité des délais d'intervention.
Mais il faut mettre en regard de ces deux gains espérés les nombreux risques propres aux interventions à distance .
Parmi ceux-ci, il est possible de citer : des mots de passe pas assez sécurisés , des failles dans les interfaces d'accès , des systèmes d'exploitation non mis à jour , l' absence de traçabilité des actions , sans parler de l'insuffisante prise en compte de la sécurité informatique en général par les personnels des dispositifs de télémaintenance .
Autant de risques de nature à faciliter les intrusions .
Il incombe alors au client de se prémunir contre ces risques en menant une véritable analyse de risques qui lui permettra d'exiger tout document de nature à le rassurer sur les mesures de sécurité techniques et organisationnelles proposées par le prestataire.
Pour l'ANSSI, les dispositifs de télémaintenance ne sauraient être considérés comme sûrs sans la mise en place d'une passerelle sécurisée , seule à même de garantir un niveau d'authentification, de prévention, de confidentialité et d'intégrité des données, de traçabilité des actions effectuées par le centre de support, etc.
Et ce recours à une passerelle sécurisée doit passer par un audit de celle-ci .
De plus, au risque lié à la perte de maîtrise de son système d'information , augmenté de celui résultant des interventions à distance, peut s'ajouter celui de l'hébergement mutualisé , c'est-à-dire de l'hébergement de plusieurs services sur un même serveur.
Dans ce cas, le service ayant la vulnérabilité la plus importante risque d'accroître la vulnérabilité des autres services .
Par exemple, une attaque par déni de service entraînant une perte de disponibilité d'un serveur peut compromettre du même coup d'autres services hébergés par le même serveur en les rendant également indisponibles.
En réalité, l'ANSSI estime que « Le fait de voir les services partager le même environnement physique peut conduire à des croisements d'information (contenu de fichiers clients de plusieurs sites dans la même base de données, ou le même sous-répertoire, etc.). Les risques auxquels s'expose un service cohébergé sont donc augmentés de façon significative dans un environnement non maîtrisé. »
De plus, l' ANSSI estime que l'hébergement mutualisé compromet une analyse rapide et pertinente des incidents - l'hébergeur refusera de communiquer les journaux d'événements du serveur et de ses équipements périphériques afin de ne pas nuire à la confidentialité des autres services hébergés.
Encore une fois, il est primordial que le contrat conclu entre le client et l'hébergeur soit extrêmement précis quant aux modalités de l'hébergement incluant sa réversibilité mais également la communication des journaux des événements , le suivi attentif du service hébergé (mises à jour, maintenance, etc.), les modalités de prévention des attaques et les réactions face aux incidents .
2. Une forme particulière d'infogérance : l'informatique en nuage
Dans cette forme d'infogérance, ni l'emplacement ni les modalités de fonctionnement du nuage informatique ( cloud computing ) ne sont portés à la connaissance du client .
Le nuage informatique peut proposer la fourniture :
- de machines virtuelles permettant d'installer à distance le système d'exploitation et les applications de son choix ( Infrastructure as a Service ) ;
- de plates-formes permettant le développement à distance d'applications ( Platform as a Service ) ;
- d' applications directement utilisables à distance ( Software as a Service ).
Les risques de l'infogérance décrits ci-dessus sont également présents dans l'informatique en nuage .
Les réserves émises précédemment sont encore bien plus pertinentes dans le cadre de l'informatique en nuage car il ne s'agit plus seulement de la difficulté de négocier un contrat mais de l'impossibilité d'y procéder puisqu'il s'agit généralement de souscrire à des offres par validation de contrats types !
La localisation des données à tout moment est impossible dans le nuage numérique, d'où une incertitude sur le droit applicable ; en l'absence de certitude sur cette localisation, le principe de territorialité est battu en brèche .
Et cela est contraire aux recommandations du rapport du Conseil d'État de 2014, analysées précédemment.
Dès lors, quelles sont les juridictions compétentes et le droit applicables ?
À ces incertitudes vient s'ajouter la perte de contrôle du client sur la gestion des incidents de sécurité .
En outre, il deviendra difficile de changer de prestataire car la portabilité des données n'est pas toujours garantie dans les contrats types .
Comme déjà souligné à propos de l'infogérance en général, l'intégrité et la confidentialité des données risquent d'être compromises en raison d'une importante dégradation du stockage et de la mémoire.
Enfin, en supposant que le client se soit décidé à quitter un prestataire de nuage ne lui donnant pas satisfaction, rien ne garantit l'effacement ou l'absence de duplication des données confiées .
Il convient d'être particulièrement attentif à la nationalité des prestataires de nuages informatiques et à la localisation de leurs serveurs dans l'Union européenne ou en France si l'on souhaite ne pas abandonner tout contrôle sur ses données à caractère personnel.
À noter, toutefois, que la localisation, en elle-même, ne constitue pas une garantie de sécurité mais seulement une présomption .
À l'opposé de ce saut dans l'inconnu, une analyse de risque devrait permettre de mieux cerner les objectifs de sécurité à poursuivre face aux risques acceptés, refusés ou éventuellement transférés à une assurance.
Une telle analyse devrait permettre de conclure le contrat avec le prestataire en toute connaissance de cause et en gardant à l'esprit que, en ce domaine, loin de figer totalement une situation, le contrat doit prévoir la prise en compte d'évolutions inhérentes au domaine du numérique.
Cette évolution peut être observée grâce à la mise en place d'un comité de suivi de la sécurité numérique permettant de favoriser la prise en compte de failles de sécurité nouvelles , par exemple.
Des audits de sécurité complèteraient utilement l'action de ce comité.
Tous les risques soulignés ci-dessus peuvent-ils être gérés, même de manière calculée, par des opérateurs d'infrastructures vitales ? Non.
D'autant moins que, depuis la loi de programmation militaire de 2013, face à des attaques, terroristes ou non, le Premier ministre a le pouvoir de décider de la mise en oeuvre de mesures spécifiques tendant à protéger notamment les systèmes d'information et les réseaux de télécommunications des opérateurs d'infrastructures vitales .
Il peut s'agir, par exemple, d'une augmentation de la sauvegarde des traces .