L’ANSSI publie son précis d’hygiène informatique

En direct de Monaco. « Plus personne n’aura d’excuses pour ne pas appliquer ces mesures ! » Lors de la conférence d’ouverture des Assises de la sécurité à Monaco, Patrick Pailloux, numéro 1 de l’Agence nationale des systèmes d’informations, est revenu sur le thème qui lui est cher, celui de l’hygiène informatique.

L’agence vient ainsi de publier un « précis d’hygiène informatique en 13 étapes qui regroupent 40 règles pour assainir votre système d’information ». (le guide) Des cas très concrets que Patrick Pailloux estime nécessaire d’appliquer systématiquement. Cartographie du système informatique, inventaire des comptes privilégiés, interdiction de connecter des équipements personnels, interdiction de connecter des supports amovibles, en passant par le chiffrement des données sensibles.

Appel à commentaires

Devant un parterre de professionnels de la sécurité réuni dans la capitale monégasque, l’intéressé estime qu’ « appliquer ces règles garantira une résilience aux cyberattaques et protègera l’entreprise qui vous a fait confiance ». Cette version est cependant appelée à évoluer, par un appel à commentaire. A l’issu de cette consultation, une première version officielle sera publiée. « Je ne veux plus qu’il soit possible qu’on me dise qu’on ne savait pas quoi faire !  Il va y avoir désormais en France une liste publique compréhensible par - presque – tout le monde, et en tout état de cause par les informaticiens. Ceux qui ne les auront pas appliquées ne pourront s’en prendre qu’à eux-mêmes».

Pour pousser à la prise de conscience, le directeur de l’ANSSI joue la comparaison : « je me suis forgé la conviction qu’on a dans l’univers immatériel des raisonnements qu’on n’a pas dans le monde matériel ».  Si quiconque ferme ses portes à clef et ses fenêtres en quittant son domicile, dans l’univers matériel, trop souvent, on laisse ses données non sécurisées, on considère que les mots de passe sont une perte de temps, là où règne l’hyper connectivité et où on mélange les données confidentielles avec celles qui ne le sont pas. « Dans le monde immatériel comme ailleurs il y a pourtant des règles, des contraintes, ce n’est pas la jungle et ceux qui ne les respectent sont sanctionnés d’une manière ou d’une autre ».

Et si la mauvaise hygiène était sanctionnée ?

Sanctionner ? « Aujourd’hui les responsables sont sanctionnés car ils sont victimes d’attaques informatiques mais on pense qu’il faudra aller probablement un peu plus loin que cela. Pendant longtemps j’ai dit qu’il ne doit pas y avoir de sanction dans le domaine de la sécurité car le niveau de maturité est tel que cela ne sert à rien. Je pense qu’on est en train d’élever ce niveau et cela commence à se savoir qu’il faut faire de la sécurité informatique ! »

Le terme de sanction ne vise pas nécessairement la sanction pénale, mais peut viser aussi la sanction du marché, celle d’une compagnie d’assurance, en passant par l’instauration d’une obligation de déclarations d’incident, l’intervention d’un régulateur sans écarter la sanction individuelle.  « Un jour ou l’autre, il faudra une sanction » répète encore Pailloux.

Éviter les fourches caudines d’Apple ou de Google

Difficile cependant d’assumer cette pleine responsabilité quand l’acteur n’a pas l’entière maitrise de l’information. Le patron de l’ANSSI évoquera pour le coup les systèmes Apple ou Google. « Une bagarre contre une technologie est perdue d’avance, reconnaît-il, une technologie est ce qu’elle est. Cependant, quand on connecte une tablette à un système d’information, doit-on pour l’utiliser passer par les fourches caudines de la gestion d’identité d’Apple ou Google ? » Lorsqu’on manipule des données sensibles, la réponse est clairement non pour l’ANSSI qui l’assure,  « des solutions commencent à pointer leur nez pour répondre aux besoins de mobilités, mais évidemment, elles sont moins conviviales et plus difficiles à gérer pour les équipes informatiques et forcément coutent un peu d’argent ». Soit autant de bonnes raisons pour ne pas les utiliser…

Entrez en résistance

Le directeur de l’ANSSi appelle du coup « à entrer en résistance contre la liberté totale dans l’usage des technologies de l’information » face à des utilisateurs qui veulent du confort et « des iPad ». « Dans une entreprise, non, on ne travaille pas avec son terminal privé. Non, on ne connecte pas un terminal contrôlé par un tiers, non, on n’installe pas le dernier joujou à la mode. Non, je ne mets pas les données de mon entreprise dans le cloud gratuit. Non je ne mets pas au même endroit les données sensibles et les autres. Non je ne laisse pas connecter mon ordinateur si je ne suis pas présent. Etc. »

Pour Pailloux, « la sécurité c’est aussi avoir le courage de dire non ». A charge pour le dirigeant de l’entreprise d’assumer ces règles en les expliquant avant de les imposer. « Il est autorisé d’interdire ! », assène-t-il, « la demande doit répondre à un besoin,  non à une envie, il faut arriver aux mêmes résultats, même si c’est moins convivial ». Une telle hygiène, estime-t-il, devrait dans le même temps favoriser les industriels qui essayent de fournir des solutions sécurisées. Du cercle vicieux au cercle vertueux.

La fragilité des systèmes industriels

Un autre sujet d’inquiétude tambourine entre les murs de cet organisme, c’est celui de la sécurité des systèmes industriels.  L’ANSSI a en mémoire l’attaque informatique d’un raffineur saoudien, où 30 000 ordinateurs ont été effacés, secteur de boot compris. « Ce genre d’attaque est très facile à mener, bien plus facile à faire que de l’espionnage ». Les causes d’inquiétudes sont multiples. Informatisation croissante des systèmes industriels à l’aide de technologies réseaux classiques (IP, etc.), interconnexion avec les systèmes d’informations liés aux exigences de productions en temps réel (contrôle des stocks, logistiques, etc.).

Pire, « on voit de plus en plus de personnes s’intéresser à l’attaque de ces dispositifs » constate l’ANSSI. Celle-ci demande ainsi aux entreprises de vérifier l’isolation de leur système industriel tout en recommandant la déconnexion. « Et s’il est impossible de les déconnecter pour des raisons de fonctionnement, il est urgentissime de travailler à des solutions alternatives. Quant aux industriels qui installent ces dispositifs, il est presque criminel de ne pas respecter les règles d’hygiène informatique. Il est par exemple intolérable que l’on retrouve sur un système industriel des mots de passe par défaut ! »