Sécurité des Informations et nouvelle Loi de Programmation Militaire

Il y a quelques jours, lors d’un événement sur la sécurité Internet, un important opérateur télécom français, SFR pour le nommer, distribuait aux visiteurs de son stand un gadget publicitaire, des goodies comme on dit, un petit cadenas à code avec un mini logo, celui des douanes américaines. L’explication étant que ce cadenas est ouvrable par les autorités américaines qui possèdent la clé physique (les voyageurs à destination des USA reconnaîtront l’avantage de ce gadget : ne plus se faire casser les valises voyageant en soute lors des contrôles d’aéroport).

Ce petit gadget symbolise bien un aspect de ce que nous vivons actuellement dans la protection des informations, les vulnérabilités multiples auxquelles sont soumises nos informations personnelles mais surtout les données confidentielles de nos entreprises. Cela concerne le stockage des informations dans des datacenters couverts par le Patriot Act (datacenters sur le territoire américain mais aussi ailleurs dans le monde, du moment où ils sont exploités par du personnel de nationalité américaine) obligeant les entreprises à répondre aux requêtes des autorités US. Cela touche également les flux Internet (mails, applications métiers, web, etc.) transitant très souvent en clair, non-cryptés par des fibres optiques appartenant à des grands ISP internationaux (Level 3, Verizon, BT, notamment) potentiellement accessibles eux aux écoutes data (à travers notamment les fameuses sondes de DPI – Deep Packet Inspection, capables d’extraire à la volée puis de traduire, analyser, reconstituer, stocker des flux de trafic).

Il est bien sûr plus prudent pour une entreprise française ou européenne, à l’instar du petit gadget, d‘héberger ses données et applications en France et en Europe plutôt que dans un data-farm US, mais ce n’est pas tout, loin s’en faut. A l’heure où les entreprises doivent ouvrir leurs systèmes d’information à leurs clients et partenaires, à l’heure où l’Internet en mobilité est une obligation d’existence (voire de survie, La Redoute vient malheureusement de le démontrer…), la sécurité des informations et donc du patrimoine de l’entreprise, est crucial.

Nous sommes au coeur d’un paradoxe : d’un côté l’entreprise doit s’ouvrir « Internetement » parlant pour profiter de cette extraordinaire dimension, aspirée à vitesse grand V par les utilisateurs (générations Y, Z,…) et d’un autre côté, l’entreprise doit se protéger pour ne pas se faire totalement dépouiller et veiller à ce que ses clients ne le soient pas aussi. Ce que le grand public, non informaticien, à titre privé ou au sein des entreprises ne mesure pas totalement le haut degré de complexité des back-offices informatiques-télécoms ; accéder à son compte bancaire en ligne depuis son smartphone alors que l’on est dans le métro à Paris, paraît super normal mais est aussi super complexe ! Et complexité rime avec vulnérabilité !

La sécurité Internet ne se limite donc pas à l’hébergement des données et peut se comparer à une fleur dont chaque pétale comporte ses propres vulnérabilités, solutions et actions à mener : l’hébergement des données, le transport des informations, l’accès légitime aux données (en tant que simple utilisateur ou utilisateur privilégié comme les informaticiens), le monitoring des bases de données, la collecte et l’exploitation des logs pour prévenir et analyser les attaques, etc. Bien sûr des lois et procédures sont nécessaires pour lutter contre le terrorisme et le prévenir. Mais la sécurité des informations c’est aussi – et de plus en plus – une affaire de business, d’intelligence économique, d’espionnage ciblé et donc, de protection des données commerciales, métiers, financières, etc.

Ces enjeux tellement structurants pour les entreprises sont-ils compris par les Directions Générales à la hauteur des risques réels ? Pas par toutes et pas toujours.

Il est donc normal qu’enfin l’Etat Français, au travers notamment de l’ANSSI qui monte en puissance, propose une législation plus contraignante pour les entreprises  afin de les pousser à protéger leur patrimoine informationnel et à s’engager, à l’instar de ce qui existe déjà pour certains métiers tels que les données médicales ou les données de paiement par carte, à protéger les données de leurs clients, peu importe leur métier : e-commerçant, prestataire de services, banquier, etc. C’est entre autres l’objet de la LPM (proposition de Loi sur la Programmation Militaire) actuellement en discussion au Parlement. Elle couvre différents aspects, dont notamment la prise en compte et l’application par les entreprises, sous peine d’amendes, de la sécurité des informations.

Dans le projet de loi, le législateur a bien mesuré ce que nous constatons sur le terrain, auprès des grandes entreprises et administrations, comme l’indique M. Francis Delon, secrétaire général de la défense et de la sécurité nationale « la volonté du gouvernement est de ne pas rester passif face à des attaques informatiques qui portent aujourd’hui atteinte à notre compétitivité et qui demain pourraient mettre gravement en cause notre sécurité ou perturber gravement la vie des Français ». La proposition de loi vise clairement « à augmenter le niveau de sécurité des systèmes d’information des opérateurs d’importance vitale (OIV) », estimés à 200 opérateurs (EDF, les opérateurs télécoms, de distribution d’eau, les banques, La Poste, …).

Ce qui est sûr, c’est que grâce à la future loi combinée avec une maturité croissante des enjeux de la protection des données, la sécurité deviendra très vite un sujet grave de préoccupation pour les directions générales et pas seulement pour les DSI des entreprises, OIV ou pas. Par Théodore-Michel Vrangos, président et cofondateur d’I-TRACING.