Info PC INpact. La France veut dépoussiérer ses mesures d’hygiène informatique. Paris a notifié à Bruxelles son projet d’arrêté approuvant la nouvelle version du référentiel général de sécurité (RGS). Le document précise également les modalités de mise en œuvre de la procédure de validation des certificats électroniques.
« En matière de protection des systèmes d’information, la dissymétrie entre le glaive et le bouclier est flagrante : le défenseur doit veiller à verrouiller toutes les portes alors qu’il suffit aux attaquants de pénétrer à travers la cloison la plus fragile » annonce ce RGS remanié (le document Word notifié aux autorités européennes).
Le RGS 2.0 a été élaboré par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) en liaison avec la Direction interministérielle des systèmes d’information et de communication et la Direction générale de la modernisation de l’État (DGME). Depuis la loi du 9 décembre 2004, le gouvernement peut en effet prendre par ordonnance « les mesures nécessaires pour assurer la sécurité des informations échangées par voie électronique » entre les citoyens et les administrations, même indépendantes (comme la Hadopi). Ce nouveau RGS vient ainsi abroger la version de mai 2010. Il s’appuie sur le retour d’expérience et les nombreux guides publiés par l’Agence depuis lors.
Le document est ambitieux puisqu’il fixe les règles que les administrations doivent respecter lorsqu’elles recourent à des produits de sécurité et à des prestataires de services de confiance. Autant dire un document fondamental. L’objectif « est d’augmenter le niveau de sécurité des échanges électroniques des autorités administratives lorsqu’elles traitent de données sensibles, notamment les données personnelles des usagers ». La mise à jour de ce référentiel général, ajoute le document, « permettra de continuer d’harmoniser les niveaux de sécurité des autorités administratives et facilitera ainsi les échanges sécurisés entre ces autorités. De plus, un tel référentiel contribuera à faire émerger une offre de produits de sécurité et de services de confiance. »
Patrimoine informationnel des administrations
Ce RGS veut avant tout protéger le patrimoine informationnel des administrations en dressant les mesures d’hygiène informatique à suivre au regard d’un contexte international mouvant. Depuis la première version du RGS, les administrations doivent faire face à de nouveaux risques d'espionnage à des fins politiques ou économiques, des malwares comme Stuxnet ou Conficker, mais aussi des mouvements comme l’hacktivisme (Wikileaks, Anonymous, LulzSec).
Les détails des mesures se retrouvent dans les annexes qui traitent techniquement des certificats électroniques, de la question des algorithmes cryptographiques, des exigences de base ou encore les règles et recommandations concernant la gestion des clés utilisées dans les mécanismes cryptographiques. Le RGS 2.0 propose à cette fin une « refonte des annexes (…) relatives aux prestataires de services de certification électronique et aux prestataires de services d’horodatage électronique ». S'ajoute notamment « une annexe relative aux prestataires d’audit de la sécurité des systèmes d’information » tout en introduisant notamment « de nouveaux concepts de défense et de sécurité des SI. »
Alors que des failles ont été confirmées voilà peu dans plusieurs sites gouvernementaux, les auteurs de ce RGS 2.0 répètent que la sécurité absolue n’existe pas. « La règle dite du « 80-19-1 » peut être mise en avant » indiquent-t-ils, « 80% des attaques sont arrêtées par les mesures de sécurité préventives, 19% par des mesures de détection et de surveillance … et 1% des attaques passeront quelles que soient les lignes de défense. »
Commentaires (52)
#1
Ouch, avant de penser à se défendre des attaques venant de l’extérieur, il faudrait qu’ils finissent par admettre que le dépoussiérage devrait se faire à “l’intérieur”… " />
#2
Ca montre quand même que des gens compétents sont payés pour faire un boulot INtelligent… Mais j’ai moins d’espoir quant au fait que leurs travaux seront suivis " />
#3
#4
Le titre m’a mise en erreur.. je pensai que les informaticiens seraient désormais chargés de la propreté de leur clavier et de la souris . .. " />
(ce qui serait d’ailleur bien, quand je vois l’état de certains clavier surtout chez les garçons berk…)
#5
De nouvelles règles d’hygiène informatique pour les administrations
A un moment, j’ai cru qu’on voulait interdire la barbe aux vieux administrateurs Unix " />
#6
#7
est ce qu’ils vont rendre obligatoire l’application des maj de sécurité (dans un délai raisonnable) sous peine de sanction?
il y a quelques années c’était vraiment pas beau à voir (un grand nombre d’administrations n’appliquaient que les patchs nécessaires pour se protéger d’une attaque précise genre la faille RPC qu’exploitait Sasser). Les éventuels serveurs *nix n’étant eux jamais patchés.
#8
#9
Tant qu’on pourra échanger un clavier sur un terminal/PC sans que ça gueule de partout, la sécurité : bof (keygrabber).
#10
De nouvelles règles d’hygiènes ? J’approuve carrément, certains ne savent pas les dangers qu’encours les ordinateurs !
#11
#12
http://thumb.kweeper.net/10/11/19/20ebfb093fcb36d9b943393073a69a07_h.jpg
#13
#14
#15
ou là " />
#16
#17
#18
#19
#20
#21
Ah et après ça, les “puissances étrangères” et les cyber-terroristes ont bon dos pour justifier le niveau d’incompétence dans l’administration française… " />
Nota bene : ceci n’est naturellement que de la fiction… ^^ " />
#22
#23
Dire que je m’y connais plus en informatique que le service qui s’en occupe…
Et truc bizarre à mon boulot : les navigateurs basés sur autre chose que Trident et Webkit rament lamentablement : Firefox (Gecko) et Opera (Presto) sont purement et simplement inutilisables, pas IE (Trident) et Iron (Webkit), cherchez l’erreur…
#24
#25
Le RGS précise-t-il de former et sensibiliser tous les employés ? Parce que le problème est bien là.
Histoire véridique : une même informaticienne s’est faite avoir plusieurs fois par du fishing.
Je pense pas que ce soit un cas isolé.
#26
#27
#28
Un INpactien dont l’expertise en sécurité informatique égale celle de l’ANSSI pourrait-il m’expliquer l’intéret de soumettre ce document au format Word plutot que PDF ?
#29
C’est toujours la faute du manque de ddram (je le sais parce que j’avais un ami, gars, guru en méditation, jamais eu de problème, lent peut-être, mais fidèle, mais désastre en périphériques, incompatibilité parallèle d’humour, scusi, euh pardon !
" /> " />" />" />
#30
#31
#32
Le RGS est un formidable document plein de bonnes intentions :
“il faut chiffrer les communications”, “les pirates c’est pas bien”…
Ce sont des recommandations de politique de sécurité, à savoir qui les appliquent vraiment, ou qui a lu ce pavé (en tout cas, pas les directions gouvernementales qui n’ont jamais entendu parlu de ce truc)…
#33
Un peu HS, mais rigolo
Question sécurité, l’Etat est blindé.
Sur mon pc du boulot, je ne peux pas :
Obligé de mailer le service info à l’autre bout de la ville, pour qu’il prenne la main sur le PC pour régler les paramètres
#34
#35
#36
#37
#38
#39
#40
#41
un document… word? pas sérieux tout ça…
#42
#43
#44
#45
#46
#47
#48
#49
#50
#51
#52