Organisations
La sécurité informatique dans les ministères, c'est l'affaire de tous
Virus, spams, attaques massives, vols de données professionnelles ou personnelles, gestion de mots de passe, sites bloqués etc. sont autant de menaces et de contraintes auxquelles chacun doit faire face.
Le poste de travail peut s’avérer être le talon d’Achille de la sécurité informatique et les dégâts peuvent être majeurs.
Le dernier numéro de la revue d'information des ministères économiques et financiers Échanges a consacré un dossier spécial à ce thême d'importance.
Dominique Lamiot, secrétaire général, haut fonctionnaire de défense et de sécurité y a exposé les enjeux de la sécurité des systèmes d'information. Il a bien voulu accepter que nous reprenions les principaux éléments de ses réponses aux principales questions que l'on peut se poser.
Quel est le rôle du HFDS en matière de sécurité informatique ?
Les missions du HFDS s’inscrivent dans le cadre des dispositions du code de la défense relatives à la stratégie de sécurité nationale et à la politique de défense. Le service prescrit les règles en matière de sécurité des systèmes d’information et tout incident de sécurité doit lui être signalé. Il travaille en collaboration avec la DSI qui intervient comme opérateur de la mise en œuvre de ces prescriptions. Globalement, mon rôle est donc de veiller à ce que l’ensemble des services des ministères économiques et financiers soit le mieux armé possible vis-à-vis des attaques informatiques.
Cette mission concerne également les opérateurs d’importance vitale (OIV), entreprises publiques ou privées d’importance nationale relevant de nos ministères, vis-àvis desquels nous devons nous assurer qu’ils mettent en œuvre les moyens nécessaires pour assurer la sécurité de leurs systèmes d’information.
Quels sont les enjeux majeurs de la sécurité informatique au sein des ministères économiques et financiers ?
L’un des risques les plus importants, pour une organisation comme la nôtre, est l’attaque en déni de service qui entraînerait une perte d’activité, voire une paralysie.
Or, nous sommes quotidiennement confrontés à ce type d’attaques et devons veiller à être bien armés pour y faire face. Le livre blanc sur la défense et la sécurité nationale publié fin avril dernier prescrit d’ailleurs d’augmenter le niveau de sécurité des systèmes d’information de l’État et des OIV et de renforcer notamment la capacité d’action de l’agence nationale de la sécurité des systèmes d’information (ANSSI).
Sur ces sujets, travaillez-vous avec d’autres ministères ?
Nous le faisons essentiellement au travers de l’ANSSI qui a pour vocation de coordonner les travaux de l’ensemble des ministères. Par ailleurs, dans le cadre des actions menées par le secrétaire général de la défense nationale, chargé d’animer le réseau des HFDS, nous conduisons des exercices de simulation. Par exemple, lors d’un exercice d’attaque des réseaux internet, nous avons été conduits à analyser comment les ministères étaient prêts à réagir tant sur le plan technique qu’en matière d’organisation et de réflexes des personnes concernées.
Quels sont vos dossiers prioritaires ?
L’enjeu majeur aujourd’hui est de mener à bien notre plan de renforcement de la sécurité informatique. C’est un chantier qui avance à un rythme soutenu, la démarche étant bien intégrée par les différents acteurs. Par ailleurs, nous avons d’autres sujets en cours. Par exemple, l’une des préoccupations de l’ensemble des directions informatiques, dans le secteur public comme dans le privé, est le traitement du BYOD1 (bring your own device). Nos collaborateurs souhaitent souvent utiliser leurs propres outils et c’est compréhensible. La question est donc de savoir comment se montrer tolérant et ouvert, sans pour autant compromettre la sécurité informatique. Certains penchent pour une posture radicale interdisant ce type de pratiques ; d’autres (et je suis de ceux-là) estiment que l’on ne peut empêcher nos collaborateurs d’utiliser leurs outils personnels et qu’il est préférable de trouver le moyen de les sécuriser.
La question est aujourd’hui en débat avec l’ANSSI, l’idée étant que les ministères adoptent une même approche.
1. BYOD, soit « apportez vos appareils personnels ». Cette pratique consiste à utiliser ses équipements personnels (téléphone, tablette, ordinateur…) dans un contexte professionnel.