Suivez-nous également sur Twitter @RSLNmag
Entreprise

Quelle place pour l'Etat dans la sécurité informatique ?

1

Qui s’occupe de notre sécurité en ligne ? Si les internautes français font plutôt confiance à leurs pairs et aux logiciels anti-virus, ils ne pensent pas vraiment que l’Etat les protège sur la Toile. C’est du moins ce qui ressort d’une enquête réalisée par l’école Epitech, et présentée lors d’une journée de conférences dédiée à la sécurité informatique et organisée le 26 janvier dernier, chez Microsoft France [NDLR : l’éditeur de RSLN].

 

Une des conférences a particulièrement attirée notre attention : « La place de l’Etat dans la sécurité numérique » qui cherchait à comprendre dans quelle mesure l’Etat peut assurer la sécurité des données et des systèmes sur Internet, et, éventuellement, inspirer davantage confiance.

Pour y répondre, trois personnes autour de la table :

  • Laure de la Raudière, député et secrétaire nationale de l’UMP en charge des médias nouveaux médias et du numérique
  • Isabelle Tisserant, professeur à l’INSEEC et coordinatrice du cercle européen de la sécurité et des systèmes d’information
  • Bernard Ourghanlian, directeur technique et sécurité de Microsoft France

> De la prise de conscience à la responsabilisation

Isabelle Tisserand commence par un rapide rappel historique : elle montre que l’informatique, en investissant toutes les sphères de la société, a pu être vécu « comme un cheval de Troie », notamment par les structures traditionnelles comme l’Etat, déstabilisées par la montée et la puissance d’Internet.

Aujourd’hui, de nombreuses étapes ont été franchies selon elle, et l’Etat s’est doté de moyens pour appréhender ce nouveau monde. La création d’organismes dédiés en est l’illustration, à l’image de l’Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC) créé en 2000, qui lutte contre la cybercriminalité, ou encore l'Agence nationale de la sécurité des systèmes d'information (ANSSI) en 2009, qui permet la mise en place de normes de sécurité pour les systèmes d’information.

Ces nouvelles structures ne peuvent cependant pas assurer la sécurité informatique tout le temps, pour tous, et dans tous les domaines, analyse la sociologue :

« Il faut sortir du modèle paternaliste, l’Etat ne nous protège pas à 150%. Il faut penser à notre part de responsabilité et que nous coopérions à notre sécurité. »

Les presque 40 millions d’inscrits à un réseau social en France ont-ils toutefois toutes les cartes en main pour comprendre les enjeux de la sécurité de leurs données personnelles ?

Pour Laure de la Raudière, la sensibilisation aux risques est toujours fondamentale :

« Il y a encore besoin de rappeler aux Français que ce n’est pas un geste anodin de laisser des informations sur Internet. Il faut que les gens aient conscience qu’elles sont disponibles pour tous ». Et la député UMP de prôner « une pédagogie de la cyber citoyenneté pour tous, comme on apprend à traverser la route. »

Une enquête de la CNIL, publiée en décembre 2011, montre que la prise de conscience est un travail en cours. Pourtant, si 65% des Français ont conscience que les données contenues sur leurs téléphones ne sont pas bien protégées, 30% n’utilisent aucun code de protection, bien qu’ils y stockent de précieuses informations (vidéo, photos, coordonnées bancaires, codes secrets etc.)

Alors, où et comment apprendre aux citoyens une meilleure connaissance des enjeux de la sécurité informatique ? Dès l’école, grâce à l’Education nationale, propose Isabelle Tisserand :

« Véhiculons cette culture, que la sécurité des patrimoines informationnels sensibles fassent partie des sujets au BAC. »

> Dans les entreprises, un constat sévère

Des individus plus au fait de ces sujets permettraient peut-être aux entreprises d’arborer une situation un peu plus reluisante en matière de sécurité informatique.

« Souvent, les internautes à la maison sont plus protégés qu’en entreprises, grâce aux mises à jour automatique », pointe Bernard Ourghanlian. « Cela fait longtemps que nous n’avons pas constaté de situation virale importante chez les particuliers, comme il y a 6 ou 7 ans. En revanche, la sécurité n’a jamais été aussi mauvaise en entreprises. »

Comment un patron peut-il améliorer la situation ? Si une petite entreprise, de moins de 50 salariés, ne pourra pas s’offrir les services d’un responsable de la sécurité des systèmes d’information (RSSI), confier sa sécurité au cloud peut être une solution, car cela « externalise une partie des risques » continue le directeur technique de Microsoft.

Pour autant, dans les grands groupes, la sécurité n’est pas forcément optimale, notamment à cause de la « consumérisation de l’informatique ». Concrètement, les salariés ont importé leurs usages domestiques au sein de leurs entreprises. Des pratiques qui ne sont pas toujours anticipé par les RSSI, pour qui la tentation est grande de multiplier les blocages de sites Internet. Ce qui peut parfois être contre-productif : les salariés cherchant à contourner les filtres, ils peuvent faire prendre des risques encore plus grands à la sécurité des systèmes.

Aucune « forteresse informatique » n’est de toute façon imprenable. L’exemple de l’attaque du Ministère des finances, en mars 2011, est à ce titre un exemple révélateur, mais aussi utile, veut croire Laure de la Raudière :

« Il y a eu une transparence de la part de l’ANSSI sur cette attaque. C’est bien, ça nous a permis de montrer que cela peut arriver à tous, y compris aux plus haute sphères de l’Etat. »

> Une solution : légiférer au niveau européen

Si le pouvoir législatif reste « par nature, à la traîne de l’évolution des technologies », la député UMP précise que toutes les lois s’appliquent à Internet :

« Il ne faut cependant jamais légiférer sur un usage précis ou une technologie particulière, cela doit se faire sur des objectifs précis, et au niveau européen. » explique l’auteur d’un rapport sur la neutralité d’Internet.

Une proposition de révision de la directive européenne de 1995 qui encadrait jusqu’à présent la réglementation des données personnelles, présentée le 25 janvier par la commissaire européenne à la justice, Viviane Reding, et déclinée en un projet de règlement, va dans ce sens.

Elle précise plusieurs points sur lesquels il existe à l’heure actuelle un flou juridique, difficile à éclaircir quand la plupart des acteurs du web dépassent le cadre des frontières nationales. Deux mesures importantes sont donc sur la table : établir un droit à l’oubli pour les internautes, et obliger les entreprises qui subissent une « fuite de données » en ligne à informer ses clients, sous peine d’amendes.

> Pour découvrir l’intégralité de la table-ronde, c’est ici :


Jason Wiels le 01/03/2012
jason
Jason Wiels le 01/03/2012

1 Comments


Anne Kerhys

Mais nous ne souhaitons pas être protégés par l'Etat sur la toile. D'abord c'est impossible car internet transcende les frontières des états, ensuite je préfère payer un professionnel pour blinder mon ordi contre les virus et assurer moi même la sécurité de mon image sur le net.

L'état me protégerait moins bien que je ne le fais et porterait atteinte à ma liberté.

Il faudrait peut être que les politiciens cessent de nous infantiliser et de vouloir contrôler chaque secteur de nos vies. Cela devient réellement étouffant.

le 14 June 2012

Pingbacks and trackbacks (2)+

Ajouter un commentaire


Loading
biuquote
  • Comment
  • Preview

S'abonner à la newsletter

Votre adresse email sera uniquement utilisée pour vous envoyer la newsletter de RSLN. Microsoft ne l'utilisera pour aucune autre communication, qu'elle soit commerciale ou institutionnelle. Microsoft ne vend ni ne loue ses listes d'abonnées à des tiers.