Indépendance technologique et sécurité économique
Par Mozinet,
mercredi 23 juin 2004 à 08:53 :: Sécurité
:: #249
:: 
Alors que la sécurité occupe les avant-postes politiques et médiatiques depuis maintenant plusieurs années, on a du mal à croire le rapport du député Bernard Carayon quand il révèle que seuls six informaticiens contrôlent la sécurité informatique de l'Etat. Dans un pays où l'Etat assume lui-même tant de fonctions et contrôle pratiquement tout le reste, le rapport d'information sur la stratégie de sécurité économique nationale du député UMP du Tarn s'émeut du peu de moyens que les pouvoirs publics consacrent à la sécurité de leurs systèmes d'informations. Ainsi, « il n'y a que six personnes, certes toutes très bons spécialistes en informatique, pour effectuer l'audit de l'ensemble des systèmes d'information de l'Etat au sein du secrétariat général de la Défense nationale (SGDN). (…) C'est tout simplement dérisoire » Tout aussi inquiétant est la faible prise en compte, par les élites ministérielles, des menaces liées aux intrusions informatiques.
Données sensibles compromises par des vols et confiscations de PC
Le rapport dénonce le risque croissant de compromission d'informations sensibles constitué par le vol ou la confiscation d'ordinateurs. Ainsi « des cadres de l'industrie aéronautique, en voyage professionnel au Proche-Orient, se sont vus confisquer leurs ordinateurs portables par les autorités chargées de la sécurité de l'aéroport du pays visité. Cette pratique, justifiée officiellement par la lutte anti-terroriste, semble être devenue courante dans cet aéroport et dissimule assez mal des opérations d'espionnage économique et scientifique. » Le rapport signale les soupçons pesant sur un laboratoire américain dans le vol d'ordinateurs contenant « des données confidentielles relatives à un médicament révolutionnaire, pour un chiffre d'affaire évalué à plusieurs milliards de dollars. » Des vols de portables de dirigeants industriels qui compromettent gravement le secret des affaires sont aussi donnés en exemple.
Le rapport rappelle alors : « Ces différents exemples montrent à quel point le facteur humain reste essentiel pour la protection des données informatiques. Dans chacun de ces cas, les vols ou confiscations sont le fait d'imprudences ou de négligences ou bien sont liées à une protection insuffisante contre les vols. »
Le LL pour lutter contre l'égémonie américaine dans les TIC
Dans les chapitre sur la vulnérabilité de l'Etat et des entreprises dans le domaine des TIC le rapport prévient des risques que représentent les microprocesseurs qui « sont au cœur des systèmes d'information et en constituent le facteur déterminant de puissance. » :
Les microprocesseurs peuvent être également à la source de vulnérabilités importantes pour les systèmes qui les embarquent. L'intégration toujours plus grande de fonctions « dans le silicium » conduit à la mise en place de microcodes non maîtrisés (et difficilement détectables) avec des risques latents de backdoors (failles du système) ou d'autres dispositifs de surveillance et de prise de contrôle à distance. Récemment, la polémique au sujet de la Trusted Computing Platform Alliance (TCPA) visant à intégrer au processeur, une partie cryptée directement utilisée par le système d'exploitation a mis en lumière ces enjeux. Les sociétés Microsoft et Intel comptaient ainsi pouvoir maîtriser le piratage des logiciels. Cependant, ces fonctionnalités pourraient également permettre à des personnes malintentionnées ou des services de renseignement étrangers, de disposer d'un moyen de contrôler à distance l'activation de tout ou partie des systèmes à l'insu de leurs utilisateurs.
Il rappelle la main-mise américaine sur le secteur des processeurs, des mémoires et périphériques de stockage et le quasi-monopole de Microsoft sur « les systèmes d'exploitation (qui) constituent le cœur des systèmes d'information. » Et le logiciel libre pourrait être appelé à la rescousse :
La montée en puissance des logiciels libres – notamment Linux – pourrait constituer un nouvel espoir pour ceux qui souhaiteraient amoindrir l'hégémonie de Microsoft.
Les systèmes d'exploitation, constituent une des sources de vulnérabilité majeure des systèmes d'information : c'est par leur intermédiaire qu'il est possible de pénétrer les systèmes, en utilisant les backdoors et des « vers » (chevaux de troie). La France, comme la plupart des autres pays européens, présente une forte vulnérabilité technologique dans ce domaine et seule l'utilisation des logiciels libres de droit peut aujourd'hui encore constituer une parade possible.
Après avoir passé en revue les risque planant sur le contrôle d'accès, la transmission d'informations avec les routeurs, les réseaux sans fil de type « WiFi », le rapport insiste sur le risque des formats de documents que les applications bureautiques américaines établissent comme standards de fait. Là encore le salue pour l'Europe pourrait selon le rapport venir du logiciel libre :
Les applications bureautiques constituent une cible privilégiée pour accéder à l'information.
La productivité des entreprises dépend, pour une large part, de ces logiciels. Microsoft a réussi à imposer un standard – Microsoft Office – et les grands acteurs, comme Adobe, sont américains. Comme pour les systèmes d'exploitation, l'alternative à l'hégémonie américaine pourrait venir des logiciels libres. La France, pourtant fortement présente dans ce secteur avec Dassault Systèmes, reste technologiquement très vulnérable. Il conviendrait peut-être d'avancer l'idée d'une industrie nationale ou européenne du logiciel. En tout cas, il serait intéressant de mener une réflexion spécifique sur le mode de description des documents élaborés par ces logiciels pour faire émerger un format « neutre » de stockage, c'est-à-dire indépendant de l'applicatif ayant servi à le concevoir.
Les pouvoir publics doivent réagir
Le rapport s'attache à renforcer l'implication de l'Etat français et la coopération active des Etats européens pour soutenir et protéger les industriels européens face à la menace clairement identifiée : les concurrents américains soutenus par leur puissance publique lancée dans une politique offensive tout-azimut de puissance. La très forte implication publique du gouvernement fédéral et de ses émanations est l'exemple à suivre pour relever les défits de l'indépendance technologique nationale et européenne.
La définition de la sécurité nationale devrait être revue pour incorporer la sécurité économique. Le rapport voit un nouveau conseil de sécurité économique placé auprès du chef de l'Etat donner « une impulsion politique forte ». Le député préconise ensuite de mutualiser les ressources publiques consacrées à la sécurité des systèmes d'information, en partenariat avec les grands industriels français, au sein d'un Commissariat aux technologies de l'information, de la communication, et de la sécurité sur le modèle du CEA créé par le général de Gaulle le 18 octobre 1945 pour assurer l'indépendance nucléaire de la France.
Une véritable politique industrielle en faveur de la sécurité économique doit s'appuyer sur un service de programmes de sécurité jouant pleinement son rôle, capable de spécifier des besoins en intégrant dès l'origine la volonté d'exporter la solution ainsi développée, et par l'organisation de la commande publique.
Le rapporteur annonce finalement le dépôt d'une proposition de loi relative à la protection des informations économiques visant à redéfinir le secret des affaires.
Assemblée nationale, Rapport d'information sur la stratégie de sécurité économique nationale (M. Bernard Carayon), n° 1664
01net., Vers un CEA de la sécurité ?, 22 juin 2004, Nicolas Arpagian (01 Informatique)
Fils
Fils d'actu
MozillaZine-fr
Commentaires
1. Le mercredi 23 juin 2004 à 09:07, par FantasioMagazine
Ajouter un commentaire
Les commentaires pour ce billet sont fermés.