Non pas que les mesures élémentaires de sécurité informatique soient désormais appliquées partout, mais les entreprises se sont globalement appropriées le concept, remarque-t-il. Il faudra, bien entendu, plusieurs années avant que tout cela n’entre en pratique. Le chemin sera encore très long, cependant le principe même des règles d’hygiène informatique est entré dans les esprits et inspire d’ores et déjà quelques sociétés de conseil, DSI... Certaines entreprises ont également commencé à les mettre en œuvre. Afin de les aider dans cette démarche, notamment les entreprises à portée internationale, le guide est d’ailleurs désormais disponible en anglais.

La mise en pratique de ces règles essentielles de sécurité se doit, selon lui, d’être une priorité, d’autant que leur application est tout à fait réalisable, même si ce n’est pas à 100%.

Concernant la résistance au BYOD, sa position n’a pas changé par rapport à l’an passé. Pour lui, il reste impensable de laisser l’employé définir les règles de sécurité qui doivent s’appliquer aux données informatiques de l’entreprise qu’il manipule. C’est avant tout une question de souveraineté de l’entreprise.

À titre d’exemple, il cite le cas concret d’une application disponible dans tous les magasins d’applications de smartphones. Il s’agissait d’une simple application gratuite d’annuaire, via laquelle vous pouviez directement, en tapant les nom et prénom, obtenir le numéro de téléphone de la personne. Toutefois, une fois installée sur votre smartphone, elle accédait à tous vos contacts et les rendait disponibles à qui le voulait sur la planète. Nous ne sommes même pas là en présence d’un cas d’attaque informatique. De plus, les conditions d’utilisation de cette application précisaient clairement l’accès aux contacts, mais bien sûr dans les petites lignes que personne ne lit jamais... Imaginez que ce soient tous vos contacts clients qui s’envolent ainsi dans la nature...

Systèmes industriels : des risques d’espionnage et de sabotage bels et bien réels

Outre les règles d’hygiène informatique et le BYOD, Patrick Pailloux a choisi de mettre l’accent, pour cette édition 2013, sur un sujet qui va nécessiter une attention toute particulière dans les années à venir : la sécurité des systèmes industriels, des systèmes de contrôle-commande, SCADA. Nos sociétés dépendent aujourd’hui de plus en plus de l’informatique et des communications électroniques pour vivre, y compris dans le milieu médical, les transports, l’énergie...

Beaucoup reste à faire dans ce domaine. Il faut que les équipementiers qui fournissent des systèmes industriels introduisent des dispositifs de sécurité, de chiffrement... Malheureusement c’est encore trop rarement le cas.

En ce sens, l’ANSSI a constitué un groupe de travail avec les représentants des industriels du domaine afin de définir, d’ici la fin de cette année, un ensemble de règles de sécurité qui devra être mis en place au sein des systèmes de contrôle-commande industriels.

Le livre blanc sur la défense et la sécurité nationale publié le 29 avril dernier en fait d’ailleurs également une priorité. C’est aussi le cas du projet de loi de programmation militaire, déposé sur le bureau du sénat par le gouvernement le 2 août dernier. Ce texte cible les opérateurs d’importance vitale, répartis dans douze secteurs d’activité, et leurs systèmes critiques. Si ce projet de loi est approuvé, l’Etat aura la possibilité de fixer les règles de sécurité à appliquer impérativement. Il pourra également auditer ou faire auditer ces systèmes afin de vérifier la bonne application des règles édictées. Les opérateurs devront, enfin, signaler à l’ANSSI tout incident affectant le fonctionnement de ces systèmes critiques. Ces règles contraignantes seront toutefois discutées secteur par secteur, les obligations n’étant pas les mêmes selon le domaine activité.

L’État ne peut et ne doit se désintéresser de la sécurité de ce qui est consubstantiel pour la survie et la vie de ses concitoyens. D’autant que les risques d’espionnage et de sabotage de tels systèmes ne devraient que s’accroître dans les années à venir.