Professional Documents
Culture Documents
danalyse
stratgique
Mars 2013
no 324
LA NOTe
DANALySe
Dveloppement durable
PROPOSITIONS
avait ainsi consacr la scurit des systmes dinformation comme lune des quatre priorits stratgiques pour la France : cest un enjeu de comptitivit et de souverainet nationale.
Pour lever le niveau de scurit, tout en tirant profit
des avantages dun Internet ouvert et dcentralis,
les organisations doivent adopter une dmarche
rationnelle danalyse de risques afin de mettre en
uvre une rponse adapte sur le plan technique et
organisationnel. Loffre nationale de solutions de
scurit doit galement se structurer pour permettre une meilleure valorisation des comptences
technologiques franaises et garantir un plus haut
degr de souverainet. g
* Le prfixe cyber se rfre, dans son acception actuelle, aux systmes dinformation. Ainsi, le terme cyberscurit doit-il tre compris comme la scurit des systmes
dinformation.
www.strategie.gouv.fr
LeS eNjeux
Un cyberespace vUlnrable,
en proie Des actes Dlictueux
croissants
(1) Bockel J.-M. (2012), Rapport dinformation sur la cyberdfense, commission des Affaires trangres, de la Dfense et des Forces armes, Snat.
(2) Langner R. (2010), The big picture.
(3) ANSSI (2012), La cyberscurit des systmes industriels.
(4) Duluc P. (2012), Les menaces sur le cyberespace : une ralit, Revue de llectricit et de llectronique, n 2, p. 16-20.
Mars 2013
no 324
LA NOTe
DANALySe
encadr 1
(5) Gorman S. (2012), Chinese hackers suspected in long-term Nortel breach, The Wall Street Journal, 14 fvrier.
(6) Cf. le rapport Bockel (op. cit.) pour une description plus dtaille de lattaque.
(7) Norton (2012), 2012 Norton cybercrime report, juillet.
(8) Pour une prsentation exhaustive des menaces, consulter le guide de lANSSI : Menaces sur les systmes informatiques.
(9) http://www.securite-informatique.gouv.fr/gp_rubrique33.html
(10) http://fr.wikipedia.org/wiki/Hame%C3%A7onnage
(11) ANSSI (2011), Cyberconflits, quelques cls de comprhension.
(12) Ou informatique en nuage, en franais.
(13) Selon Gartner, le march du cloud computing devrait reprsenter 150 milliards de dollars en 2014.
www.strategie.gouv.fr
encadr 2
Le dplacement de tout ou partie du systme dinformation hors du champ de contrle de lorganisation cre un
risque de perte de gouvernance. Sur le plan technique, les
processus dauthentification des utilisateurs et de gestion
des droits daccs posent galement des problmes de
scurit. En juillet 2012, lentreprise Dropbox a ainsi
reconnu que des mots de passe vols sur dautres sites
Internet avaient permis des pirates daccder des
documents stocks sur les serveurs de lentreprise(14).
Enfin, lincertitude sur la localisation des donnes hberges sur le cloud est un facteur dinscurit juridique : il
est difficile de dterminer quel rgime juridique sera
applicable en cas de litige.
i La mobilit et les nouveaux usages gnrent des vulnrabilits dans les systmes dinformation
Le dveloppement des terminaux (ordinateurs portables,
smartphones, tablettes) et des rseaux mobiles (3G, 4G,
Wifi) offre aux membres dune organisation un accs
tendu ses systmes dinformation. Les directeurs des
systmes dinformation (DSI) constatent une forte
demande des employs pour ces outils de mobilit(15).
Cependant, en bouleversant les systmes dinformation
de lentreprise, la mobilit gnre des risques pour la
scurit :
i Procds industriels, Internet des objets : les vulnrabilits informatiques stendent au monde rel
Lutilisation massive des technologies de linformation
dans tous les secteurs de lconomie a gnr des interactions croissantes entre les mondes virtuel et rel. Les
infrastructures physiques sont dsormais trs souvent
contrles distance par des logiciels de supervision et
de contrle (SCADA, Supervisory control and data acquisition), qui peuvent tre vulnrables aux attaques informatiques pour plusieurs raisons :
(14) https://blog.dropbox.com/2012/07/security-update-new-features/
(15) Akella J. et al. (2012), Mobility disruption: a CIO perspective, McKinsey Quarterly (Traduction franaise dans la ParisTech Review).
(16) CIGREF (2010), Scurisation de la mobilit, octobre.
(17) Akella et al. (2012), op.cit.
(18) On parle de manire plus gnrale de consumrisation de linformatique lorsque des technologies adoptes par le grand public sont ensuite utilises dans le cadre de
lentreprise.
(19) ANSSI (2012) op. cit.
Mars 2013
no 324
Le dveloppement de lInternet des objets devrait multiplier les interactions entre mondes virtuel et rel et
tendre le risque dattaque. Selon Cisco, environ 50 milliards dobjets devraient tre connects Internet en
2020(20). Dans le secteur de la sant par exemple, les
stimulateurs cardiaques (pacemaker) connects permettent de transmettre des donnes relatives lactivit
cardiaque pour une surveillance distance en temps rel.
Un chercheur(21) a dmontr pouvoir prendre le contrle
dun pacemaker distance ( une dizaine de mtres) et
dclencher des chocs lectriques mortels (830 volts).
LA NOTe
DANALySe
i Les oprateurs dimportance vitale (OIV), livrs euxmmes, prsentent une grande disparit face aux
risques
Les dpenses de scurit informatique sont trop souvent considres comme une variable dajustement et
fortement contraintes dans le contexte de matrise des
cots. Le montant des investissements ncessaires pour
assurer la scurit des systmes dinformation(22) est
connu et immdiat : selon les chiffres communment
admis, il reprsenterait en moyenne entre 0,5 % et 2 %
du chiffre daffaires des entreprises(23). En revanche, le
cot conomique de linscurit numrique est incertain,
lointain, et souvent sous-estim. Pourtant, des attaques
informatiques peuvent entraner des pertes financires,
nuire limage de lorganisation et potentiellement mettre en pril son activit.
www.strategie.gouv.fr
mettre en uvre une vritable politique de scurit adapte au niveau de risque auquel les TPE/PME/ETI peuvent
parfois tre confrontes, en particulier si leur activit
appartient des secteurs critiques.
i La scurisation des terminaux individuels est un
enjeu majeur pour rduire le niveau gnral de la
menace
Les particuliers possdent de plus en plus de terminaux
connects Internet, que des attaques informatiques
(ver, cheval de Troie) peuvent infecter. Les pirates informatiques prennent le contrle de ces machines et peuvent alors former des rseaux dordinateurs (botnets)
destins mener des actions malveillantes de grande
ampleur (spam, phishing, dni de service, fraude au clic,
etc.). Des ordinateurs mal protgs permettent donc aux
pirates dtendre leurs capacits daction.
Le risque li aux terminaux mobiles est toujours mal
apprci : seulement 38 % des personnes interroges
par le CLUSIF (et 24 % des 15-24 ans) sont conscientes
que le tlchargement dapplications et dutilitaires sur
smartphones et tablettes est un facteur de risque supplmentaire.
Cependant, les risques relatifs aux systmes dinformation restent un objectif secondaire et ne font pas
lobjet dune lgislation contraignante en matire de
scurisation. LANSSI ne dispose, vis--vis des OIV, que
dun rle de conseil et la scurit de ces infrastructures
vitales est trs variable.
i La sensibilisation la scurit informatique est trs
variable selon les entreprises
La prise de conscience du niveau de la menace par les
grandes entreprises est galement trs variable. Selon
une enqute ralise par le Club de la scurit de linformation franais (CLUSIF), 63 % des entreprises de plus de
200 salaris(27) ont formalis une politique de scurit de
linformation, mais seulement 14 % dentre elles valuent
systmatiquement les impacts financiers des incidents
de scurit (25 % le font parfois). Selon les responsables
de la scurit des systmes dinformation (RSSI), les principaux freins la conduite de leurs missions sont le
manque de budget et les contraintes organisationnelles.
(26) Boutant M. et Garriaud-Maylam J. (2010), Rapport dinformation sur lutilisation des rserves militaires et civiles en cas de crise majeure, commission des Affaires
trangres, de la Dfense et des Forces armes, Snat.
(27) CLUSIF (2012), Menaces informatiques et pratiques de scurit en France.
(28) ANSSI (2013), Guide dhygine informatique.
(29) Lasbordes P. (2006), La scurit des systmes dinformation : un enjeu majeur pour la France, La Documentation franaise.
(30) Dfense et Scurit nationale : le Livre blanc (2008), La Documentation franaise.
(31) LANSSI dlivre aussi des labels de scurit des produits et des prestataires de services de confiance, participe au travail rglementaire et produit des guides de
recommandations et de bonnes pratiques en matire de SSI.
Mars 2013
no 324
De mme, lAllemagne renforce la rsilience de ses infrastructures critiques et augmente les moyens mis la disposition du BSI(38), quivalent de lANSSI (budget de 80 millions deuros et effectifs de 560 agents en 2012, pour un
ventail de missions plus rduit que celui de lANSSI).
le ministre de lIntrieur : la Direction centrale du renseignement intrieur (DCRI) et lOffice central de lutte
contre la criminalit lie aux technologies de linformation et de la communication (OCLCTIC) sont actifs dans
la lutte contre lespionnage et la cybercriminalit.
Malgr cette prise de conscience, le rapport parlementaire de juillet 2012(33) souligne les lacunes du systme
franais : la scurit des administrations et des OIV est
insuffisante et les effectifs et moyens consacrs la
scurit sont nettement infrieurs ceux dploys par
nos principaux partenaires.
LA NOTe
DANALySe
(32) Lagence est devenue Autorit nationale de dfense des systmes dinformation en 2011 et a vu ses pouvoirs renforcs vis--vis des oprateurs de communication
lectronique (OCE) en 2012 sous linfluence du droit europen (transposition du Paquet Telecom).
(33) Voir Bockel (2012), op. cit.
(34) Voir Bockel (2012), op. cit.
(35) Le lieutenant-gnral des Marines a reconnu au cours dune confrence avoir men des cyberattaques en 2010 lors de la guerre en Afghanistan, Huffington Post,
24 aot 2012.
(36) Discours de Leon Panetta, Secrtaire la Dfense, prononc le 11 octobre 2012.
(37) The UK cyber security strategy, Protecting and promoting the UK in a digital world, novembre 2011.
(38) Bundesamt fr Sicherheit in der Informationstechnik.
(39) La Commission europenne souhaite tout de mme semparer de ce sujet de manire plus active et a lanc en 2012 une consultation publique (Improving net-work and
information security in Europe) pour rformer lagence.
(40) Ce plan stratgique sintitule : Cybersecurity Strategy of the European Union: An Open, Safe and Secure Cyberspace.
www.strategie.gouv.fr
Ces dispositions ne doivent toutefois pas tre gnralises, au risque de se priver des avantages conomiques
dun Internet ouvert et dcentralis : diffusion de linnovation, dmocratisation des savoirs, libralisation des
changes, amlioration de la productivit, etc.
De mme, la scurit des systmes dinformation instrumentalise peut se transformer en scurit de linformation et mettre en pril les droits et les liberts individuels.
Dtourns, les outils de scurit utiliss pour la surveillance des rseaux et linterception des communications
peuvent comporter des risques pour la vie prive des
citoyens. En France, la Commission nationale de linformatique et des liberts (CNIL) value les mesures de
scurit laune de leurs consquences sur la protection
de la vie prive et des liberts individuelles.
La recherche de la scurit doit cependant tre considre paralllement dautres objectifs : louverture des
systmes dinformation et la protection des liberts individuelles.
(41) Les centrifugeuses denrichissement en uranium taient isoles physiquement mais ont t infectes par Stuxnet par des cls USB.
(42) Eudes Y. (2013), Eugne Kaspersky, M Cyberscurit, Le Monde, 10 janvier.
Mars 2013
no 324
strUctUrer lcosystme
inDustriel De la cyberscurit
lobligation de squiper de systmes de dtection dattaques labelliss : lobligation de dclarer des attaques
nest pas suffisante puisquune attaque non dtecte
ne peut de facto tre dclare ;
encadr 4
PROPOSITION
PROPOSITION
LA NOTe
DANALySe
La cration en avril 2012 dun bureau de Politique industrielle et assistance au sein de lANSSI marque toutefois
sa volont de dvelopper une vision industrielle de la
cyberscurit.
www.strategie.gouv.fr
LANSSI doit faire merger des partenariats (interentreprises, public-priv) lchelle nationale et europenne.
Des initiatives prives pourraient galement tre soutenues, par lANSSI sur le plan technique, et dans le cadre
des investissements davenir sur le plan financier (
limage du projet dantivirus DAVFI, cf. encadr 4).
PROPOSITION
lexception de lassociation Signal Spam (cf. encadr 5), on peut reprocher la France un manque de dialogue et une coopration insuffisante entre les diffrents acteurs de la scurit.
encadr 5
les entreprises touches par des attaques informatiques peuvent tre rticentes les rvler.
LOCDE conduit actuellement des travaux mthodologiques(52) destins amliorer la qualit des statistiques
relatives la cyberscurit. LANSSI, en liaison avec lOffice central de lutte contre la criminalit lie aux technologies de linformation et de la communication (OCLCTIC),
pourrait lui emboter le pas et participer la construction
dindicateurs statistiques fiables et reconnus pour valuer
le niveau de la menace (nombre, origine gographique et
typologie des attaques). Les quipes dintervention
durgence en informatique (CERT : Computer Emergency
Response Team) doivent tre sollicites pour partager
linformation dont elles disposent. Il serait galement
intressant davoir accs des donnes relatives aux
vulnrabilits(53) ainsi qu lvolution du march industriel de la cyberscurit(54).
10
Mars 2013
no 324
LA NOTe
DANALySe
PROPOSITION
CONCLuSION
Mars 2013
no 324
LA NOTe
et Dominique Auverlot,
dpartement Dveloppement durable.
Les auteurs tiennent remercier lensemble
des experts quils ont pu solliciter dans le cadre
de ce travail.
(55) Renforce par la loi pour la confiance dans lconomie numrique (LCEN) de 2004.
(56) Selon larticle L122-6-1 du Code de la proprit intellectuelle, seule la rtroingnierie pour motif dinteroprabilit est autorise.
(57) MTP, ou en anglais DRM : digital rights management.
(58) Cette convention est aussi appele Convention de Munich.
(59) Interview de Gilles Babinet : Il faut que nos lves apprennent coder ds lge de 8 ans, Lepoint.fr, 6 dcembre 2012.
11
www.strategie.gouv.fr
DeRNIReS
PuBLICATIONS
CONSuLTeR
sur www.strategie.gouv.fr, rubrique publications
notes danalyse :
n 323 g vieillissement et espace urbain. comment la ville peut-elle
accompagner le vieillissement en bonne sant des ans ?
(fvrier 2013)
n 322 g Formation professionnelle initiale : lallemagne est-elle un
modle pour la France ? (fvrier 2013)
n 321 g gestes de premiers secours : une responsabilit citoyenne
(fvrier 2013)
n 320 g comment limiter leffet rebond des politiques defficacit
nergtique dans le logement ? (fvrier 2013)
n 319 g pour un affichage environnemental obligatoire des produits de
consommation ? (fvrier 2013)
n 318 g quel est limpact des tic sur les conditions de travail dans la
fonction publique ? (janvier 2013)
Centre
danalyse
stratgique
La Note danalyse n 324 mars 2013 est une publication
du Centre danalyse stratgique
Directeur de la publication :
Vincent Chriqui, directeur gnral
Directeur de la rdaction :
Herv Monange,
directeur gnral adjoint
Secrtaires de rdaction :
Delphine Gorges
Valrie Senn
Dpt lgal : mars 2013
N ISSN : 1760-5733
Contact presse :
Jean-Michel Roull, responsable
de la communication
01 42 75 61 37 / 06 46 55 38 38
jean-michel.roulle@strategie.gouv.fr
www.strategie.gouv.fr
centredanalysestrategique
@Strategie_Gouv
Le Centre d'analyse stratgique est une institution d'expertise et d'aide la dcision place auprs
du Premier ministre. Il a pour mission d'clairer le gouvernement dans la dfinition et la mise
en uvre de ses orientations stratgiques en matire conomique, sociale, environnementale
et technologique. Il prfigure, la demande du Premier ministre, les principales rformes
gouvernementales. Il mne par ailleurs, de sa propre initiative, des tudes et analyses dans le cadre
d'un programme de travail annuel. Il s'appuie sur un comit d'orientation qui comprend onze
membres, dont deux dputs et deux snateurs et un membre du Conseil conomique, social et
environnemental. Il travaille en rseau avec les principaux conseils d'expertise et de concertation
placs auprs du Premier ministre.
www.strategie.gouv.fr
Centre danalyse stratgique - 18, rue de Martignac - 75700 Paris SP 07 - Tl. 01 42 75 60 00 - strategie@strategie.gouv.fr