|
Texte de la QUESTION :
|
M. Thierry Lazaro attire l'attention de Mme la ministre de l'économie, de l'industrie et de l'emploi sur la multiplication des virus informatiques dont la conception relève de plus en plus du domaine de la cybercriminalité. De nombreux pays se sont déjà penchés sur les conséquences dramatiques qui pourraient résulter d'une attaque menée par des cyberterroristes contre les systèmes informatiques de leurs administrations. Aussi, il lui demande de bien vouloir lui faire part des réflexions menées au sein de son ministère ainsi que des services et administrations qui en dépendent, et de le rassurer sur l'efficacité des parades mises en oeuvre en la matière, de façon à éviter que les systèmes informatiques concernés ne puissent être détruits, ou que des données confidentielles ne puissent être transmises à ces cyberterroristes.
|
|
Texte de la REPONSE :
|
D'une façon générale, la sécurité des systèmes d'information (SSI) repose sur l'application de règles de comportement prudentes, d'une réglementation et de méthodes efficaces et, enfin, sur la mise en place et l'exploitation de dispositifs techniques de protection et de surveillance ; cet ensemble doit être soutenu par une organisation adaptée et une veille permanente sur les menaces et modes d'attaque. Le décret n° 2009-834 du 7 juillet 2009 a créé l'Agence nationale de la sécurité des systèmes d'information (ANSSI), placée sous l'autorité du secrétaire général de la défense nationale ; elle se substitue à la direction centrale de la SSI, en renforçant ses compétences, ses effectifs et ses moyens ; elle a notamment pour missions : de mettre au point, en concertation avec les ministères, la réglementation et les méthodes à appliquer en sécurité des systèmes d'information ; de détecter les attaques informatiques et de réagir au plus tôt, grâce à un centre opérationnel renforcé de cyberdéfense, actif 24 heures sur 24, chargé de la surveillance permanente des réseaux les plus sensibles de l'administration et de la mise en oeuvre de mécanismes de défense adaptés ; de prévenir la menace : l'agence contribuera au développement d'une offre de produits et de services de confiance pour les administrations et les acteurs économiques ; de jouer un rôle permanent de conseil et de soutien aux administrations et aux opérateurs d'importance vitale ; d'informer régulièrement les entreprises et le grand public sur les menaces et les moyens de s'en protéger, en développant une politique de communication et de sensibilisation active ; d'entretenir des liens étroits avec ses homologues étrangers, une coopération internationale étant indispensable, compte tenu de l'absence de frontières dans l'espace numérique. Le livre blanc prévoit que cette agence soit relayée, sur l'ensemble du territoire national, par des observatoires zonaux de la sécurité des systèmes d'information (OZSSI), placés sous l'autorité du préfet de zone et travaillant au profit des échelons déconcentrés de l'État (en étroite liaison avec les ministères concernés), les collectivités territoriales les organismes ayant une mission de service public les entreprises et opérateurs privés, etc. Cinq observatoires zonaux ont été créés avant l'été 2009, les deux derniers étant prévus à l'automne. Ils ont déjà commencé à animer un réseau largement ouvert à l'ensemble des acteurs concernés. Le décret n° 2007-207 du 19 février 2007 charge le haut-fonctionnaire de défense et de sécurité « d'animer la politique de sécurité des systèmes d'information et de contrôler l'application de celle-ci ». Il fait appel pour cela aux compétences de l'ANSSI en tant que de besoin et s'appuiera sur un réseau de correspondants dans chacune des directions du ministère, dont il assure la coordination et à qui il apporte ses conseils et son appui pour la déclinaison de la politique de sécurité ministérielle, l'application des méthodes de l'ANSSI, la prise en compte de la sécurité dans l'architecture des systèmes, le choix des produits de sécurité (dans le respect du code des marchés publics), la sensibilisation des personnels, les audits, les enseignements des incidents éventuels, les exercices, etc. Cette organisation fonctionne correctement depuis plus de neuf ans. Les équipes du ministère en charge de la mise en place et de l'exploitation des moyens techniques s'appuient sur des dispositifs techniques de bonne qualité et adaptés au mieux aux besoins. Le niveau de sécurité des systèmes d'information du ministère apparaît donc, à ce stade, adapté aux enjeux que constituent ces systèmes et aux menaces qui pèsent sur eux. Il est naturellement constamment revu et continuellement renforcé, ne serait-ce qu'en fonction de l'évolution des menaces, sans préjudice des adaptations indispensables aux évolutions tant des systèmes eux-mêmes et des technologies utilisées que des modes de travail des agents. Enfin, les modifications de l'organisation, comme la réorganisation actuellement en cours de l'administration territoriale de l'État, conduisent également à adapter l'organisation et les moyens techniques de la sécurité.
|