Le nouveau livre blanc D\u00e9fense et S\u00e9curit\u00e9 Nationale 2013 a \u00e9t\u00e9 publi\u00e9 en avril dernier. Si ses pr\u00e9c\u00e9dentes \u00e9ditions abordaient d\u00e9j\u00e0 la cyberd\u00e9fense, elle appara\u00eet de plus en plus pr\u00e9gnante dans la strat\u00e9gie de protection de l\u2019\u00c9tat\u00a0: le cyberespace est plus que jamais consid\u00e9r\u00e9 comme un champ de confrontation aussi important que l\u2019air, la terre, la mer et l\u2019espace extra-atmosph\u00e9rique.<\/p>\n
Le constat n\u2019est pas nouveau\u00a0: nos soci\u00e9t\u00e9s reposent de plus en plus sur les syst\u00e8mes d\u2019information pour leurs activit\u00e9s c\u0153ur de m\u00e9tier et sur les r\u00e9seaux qui les interconnectent, rendant les crises qui les touchent de plus en plus globales et complexes \u00e0 g\u00e9rer. Leurs vuln\u00e9rabilit\u00e9s sont bien souvent la cons\u00e9quence d\u2019un d\u00e9veloppement v\u00e9loce, qui a laiss\u00e9 de c\u00f4t\u00e9 les d\u00e9marches de s\u00e9curisation ou les a sous-estim\u00e9es. En revanche, depuis le livre blanc de 2008, les menaces se sont largement accrues, tant en probabilit\u00e9 qu\u2019en impact. Il en r\u00e9sulte une exposition critique pour de nombreux syst\u00e8mes cruciaux pour les activit\u00e9s fran\u00e7aises.<\/p>\n
Les menaces du cyberespace se situent aujourd\u2019hui \u00e0 deux niveaux. D\u2019un c\u00f4t\u00e9, on retrouve la cybercriminalit\u00e9 qui ne remet pas en cause la s\u00e9curit\u00e9 nationale mais met en p\u00e9ril la comp\u00e9titivit\u00e9 des entreprises et leur image\u00a0: vol de propri\u00e9t\u00e9s intellectuelles ou de donn\u00e9es personnelles, indisponibilit\u00e9 ou d\u00e9facement de sites web\u2026 De l\u2019autre, des attaques relevant de la cyberguerre \u00e0 des fins d\u2019espionnage, de destruction ou prise de contr\u00f4le d\u2019infrastructures d\u2019importance vitale.<\/p>\n
Si aujourd\u2019hui les cyberattaques semblent, aux yeux de l\u2019opinion publique, moins graves que les actes terroristes qui causent des morts, elles n\u2019en restent pas moins une des pr\u00e9occupations premi\u00e8res de l\u2019\u00c9tat tant c\u2019est une menace \u00e0 forte probabilit\u00e9 et fort impact potentiel.<\/p>\n
Afin de franchir une \u00e9tape n\u00e9cessaire dans sa capacit\u00e9 de protection, l\u2019\u00c9tat souhaite donc lancer des actions sur quatre axes compl\u00e9mentaires. Le premier est celui des ressources humaines. Il s\u2019agit de d\u00e9velopper les comp\u00e9tences dans ce domaine et de former des experts \u00e0 m\u00eame de r\u00e9pondre \u00e0 ces nouvelles situations. Au-del\u00e0 de sp\u00e9cialistes, il est n\u00e9cessaire de faire de la s\u00e9curit\u00e9 de l\u2019information un incontournable de tout cursus informatique afin d\u2019assurer les comp\u00e9tences, mais aussi l\u2019app\u00e9tence, des informaticiens de demain face \u00e0 ces sujets. En outre, la volont\u00e9 de constitution d\u2019une r\u00e9serve de sp\u00e9cialistes de la cyberd\u00e9fense est rappel\u00e9e. L\u2019ANSSI, qui a d\u00e9j\u00e0 annonc\u00e9 des objectifs de recrutement ambitieux pour les prochaines ann\u00e9es devrait donc poursuivre dans cette trajectoire.<\/p>\n
Favoriser l\u2019investissement dans des produits de s\u00e9curit\u00e9 ma\u00eetris\u00e9s est le second axe de travail, qui, compl\u00e9t\u00e9 par un renforcement des politiques d\u2019achats devrait permettre \u00e0 l\u2019\u00c9tat d\u2019avoir toute confiance dans ses fournisseurs.<\/p>\n
Le troisi\u00e8me axe s\u2019attache aux comportements humains puisque le livre blanc souligne une fois encore l\u2019importance de la sensibilisation \u00e0 la s\u00e9curit\u00e9 de l\u2019information. Sensibilisation des employ\u00e9s bien s\u00fbrs, pour pr\u00e9venir au maximum les incidents, mais aussi sensibilisation plus large de tous les utilisateurs d\u2019Internet.<\/p>\n
Enfin et non des moindres, un dispositif l\u00e9gislatif et r\u00e9glementaire fixant des standards de s\u00e9curit\u00e9 pour les op\u00e9rateurs d\u2019importance vitale va se dessiner\u00a0: il s\u2019agit ainsi d\u2019imposer des mesures de d\u00e9tection et traitement des incidents touchant les syst\u00e8mes sensibles, incluant notamment la notification des incidents.<\/p>\n
Ce sont principalement ces deux derniers axes qui vont entra\u00eener le plus d\u2019impacts pour les entreprises.\u00a0 En effet, ce nouveau livre blanc leur rappelle l\u2019importance de la sensibilisation, d\u00e9marche d\u00e9j\u00e0 lanc\u00e9e dans de nombreuses organisations, et qui n\u00e9cessite encore et toujours des actions r\u00e9guli\u00e8res. Mais ce sont les projets de loi qui am\u00e8neront certainement le plus de nouveaut\u00e9s\u00a0!<\/p>\n
\u00c0 l\u2019image du projet de r\u00e8glement Europ\u00e9en qui \u00e9largirait la notification de fuite d\u2019informations personnelles du paquet T\u00e9l\u00e9coms \u00e0 toutes les entreprises, cette loi imposerait la notification des atteintes \u00e0 la s\u00e9curit\u00e9 de son SI \u00e0 tous les op\u00e9rateurs d\u2019importance vitale et donnerait \u00e0 l\u2019ANSSI des responsabilit\u00e9s associ\u00e9es (capacit\u00e9 d\u2019audits\u2026). De nombreuses entreprises publiques et priv\u00e9es seront alors concern\u00e9es, sur un p\u00e9rim\u00e8tre plus large que la fuite de donn\u00e9es \u00e0 caract\u00e8re personnel et m\u00eame au-del\u00e0 du p\u00e9rim\u00e8tre des op\u00e9rateurs d\u2019importance vitale d\u00e9j\u00e0 suivi par l\u2019Etat. Une r\u00e9ponse attendue depuis plusieurs ann\u00e9es dont les modalit\u00e9s d\u2019application resteront \u00e0 appr\u00e9cier quand le texte sera r\u00e9dig\u00e9. Rendez-vous fin 2013\u00a0!<\/p>\n
<\/p>\n