Il suffit d’évoquer quelques exemples pour mesurer la vulnérabilité des systèmes d’information de l’État. Le rapport Romani sur la Cyberdéfense, daté de 2008, pointe les faiblesses structurelles de ses systèmes : « Les structures en charge de la politique de la sécurité des systèmes d'information ne disposent ni de l'autorité, ni des moyens qui leur permettraient d'en assurer efficacement la mise en oeuvre», «Leurs effectifs sont cinq fois inférieurs à ceux des services équivalents de l'Allemagne ou du Royaume-Uni. La France ne possède pas de capacité centralisée de surveillance des flux informatiques dirigés vers les réseaux de l'État. »
Pour l'administration, chargée de veiller au bon fonctionnement des institutions, les NTIC ont été immédiatement perçues de manière positive comme un outil de modernisation et de rationalisation. Mais si elles ont aujourd’hui, pour la plupart, relevé le défi des nouvelles technologies, elles ont par là même multiplié les sources de vulnérabilité et de fuite d’informations sensibles.
Là encore comme dans le cas des entreprises la question de la vulnérabilité du Système d’Information s’impose, tant face aux problématiques d’administration interne que dans le cas d’une externalisation partielle. Les risques politiques peuvent être importants en fonction de l’administration touchée.
« De l'invocation des risques de “guerres cybernétiques”, à la volonté d'écarter un concurrent sur un marché important, de nombreuses failles pourront être exploitées par ceux qui aurons la maitrise de l'accès aux serveurs, aux codes sources, aux données. » (Professeur Jean-Jacques Lavenue, L'E-sécurité au risque de l'externalisation dans la société numérisée, Université de Lille II.)
Les prestataires informatiques tant internes qu’externes sont au premier chef les personnels visés par une politique de sécurité active visant à protéger les intérêts nationaux, puisqu’ils disposent d’informations confidentielles permettant l’accès au SI.
Les exemples de piratages des systèmes étatiques sont nombreux : L'Estonie, a été le premier pays de l'OTAN touché en 2007 par de telles attaques alors qu’elle était en pleine crise diplomatique avec la Russie voisine. La Chine s’est également rendu coupable de tentatives d’intrusions dans les infrastructures informatiques américaines, françaises et allemandes. Mais les tentatives d’intrusions ne sont pas les seuls dangers. En effet, que dire également des logiciels utilisés par ces mêmes administrations et dont l’absence de maîtrise du code source rend encore plus vulnérable le Système d’Information? La question de l’externalisation de la sécurité des SI gouvernementaux, notamment pour des raisons de coût, a bien sûr été évoquée. Il est certain cependant qu’elle ne ferait qu’ajouter, en raison de la dépendance au prestataire, une vulnérabilité supplémentaire aux infrastructures existantes.
Comme dans le cas des entreprises, la question de la sauvegarde de l’intégrité des données sensible au sein des systèmes d’information de l’Etat demeure posée. Elle demande la mise en œuvre de solutions appropriées pour garantir le contrôle et la traçabilité des opérations, quel que soit le niveau d’accès aux données contenues dans le Système d’information, qu’il s’agisse de l’administrateur interne, d’un utilisateur quelconque dans l’entreprise ou d’un prestataire extérieur.
Les principes de la Gouvernance IT ne sont pas réservés au domaine de l’entreprise. Les DSI d’organismes publics répondant la plupart du temps aux mêmes schémas d’organisation.
En effet, si l’on considère une collectivité territoriale, un ministère, la mairie d’une ville de plus de 10000 habitants, une université, un hôpital,… on constate que ces institutions diffèrent peu d'une entreprise au niveau de leurs systèmes d'information. Ils sont gérés par une DSI qui dispose d'un budget et rend des comptes auprès d’une direction. Dans le cadre de son activité, cette DSI doit permettre à l'ensemble de l'organisation d'être opérationnelle. Mais les niveaux de prise en considération des problématiques de sécurité de l’information diffèrent.
D'après une étude du cabinet d'audit Mazars réalisée en 2007, le degré de sensibilisation du secteur public aux questions de sécurité informatique dépend de la taille des administrations concernées. Ce phénomène résulte de l‘hétérogénéité des systèmes d’information et de leur complexité qui va s’accentuant avec la taille de l’institution. La question du budget alloué aux DSI intervient également dans la prise de conscience des vulnérabilités du système et dans le choix des réponses à apporter.
La question du référentiel de gouvernance choisi soulève des questions. Les modèles existants ont été prévus et construit pour l’entreprise. Sont ils applicables à l’administration ?
Comme l’indique le Rapport sur la maturité des outils de gouvernance IT :
« Il n'y a pas de différences entre les missions des DSI, privées ou publiques. Cependant, dans le cadre d'une bonne gouvernance IT, on veille à aligner son SI à la stratégie de l'entreprise. Dans le cas des collectivités, cette stratégie évolue au rythme des choix politiques définis par des élus dont le mandat est souvent plus court que celui des membres d'une direction d'entreprise. » ( In Livre Blanc, « Maturité des outils de Gouvernance IT », Université Claude Bernard, Lyon 1, page 10.)
Cette relative versatilité des choix politiques intervenant dans l’administration pose problème quant à la mise en place de politiques de sécurité cohérentes et durables et d’aboutir à une véritable gouvernance IT répondant à des standards et à des modèles communs.
Il est donc nécessaire pour l’administration de se doter d’outils de contrôle et de traçabilité permettant, quels que soit les référentiels choisis, d’être conforme aux exigences de maintien d’un haut niveau de confidentialité et de sécurité au sein du SI.
Le Ministère de l’Ecologie, à la suite de plusieurs administrations, a choisi d'installer la solution Wab (Wallix Admin Bastion) de Wallix pour renforcer la sécurité de son système d'information. En savoir plus...
PoC to generate Reverse TCP backdoors, running Auto[run|play]/[LNK|PDF|EXE] USB infections, but also dumping all USB files remotely on multiple targets at the same time. USBsploit works through Meterpreter sessions with a light (27MB) modified version of Metasploit. The interface is a mod of SET (The Social Engineering Toolkit). The Meterscript script usbsploit.rb of the USBsploit Framework can otherwise be used with the original Metasploit Framework.
USBsploit: PoC for dumping files from remote USB drives on multiple targets at the same time. It works through Meterpreter sessions with a light (24MB) modified version of Metasploit. The interface is a modified version of SET. usbsploit.rb can be used with the original Metasploit Framework.
La "guerre contre le terrorisme" n'est plus de mise avec l'Administration Obama. Elle définit spécifiquement Al Qaïda comme l'adversaire principal des Etats-Unis, et ne fait plus référence à la guerre contre le terrorisme. Selon le site suisse www.romandie.com www.romandie.com, la Maison-Blanche va publier jeudi la "stratégie de sécurité nationale". "Ce n'est pas une guerre mondiale contre une tactique - le terrorisme - ou une religion -l'islam-, "précise le texte, qui abandonne "la (...) - Tribunes
Toit de la Grande Arche En présence de John Day, pionnier du projet arpanet et Professeur à l'université de Boston, de Michel Riguidel, Louis Pouzin, inventeur du projet Cyclades, et de Michel Riguidel, Professeur à Télécom Paris Tech. renseignements et inscriptions : www.forumatena.org - Agenda
Sur le thème : "la veille environnementale, informelle et stratégique. Plus value pour la SSI". Hôtel Park Hyatt Paris Renseignements : www.lecercle.biz - Agenda
