Les deux principaux responsables de la sécurité informatique de l'Etat, Louis Gautier, secrétaire général de la défense et de la sécurité nationale et Guillaume Poupard, directeur général de l'Agence nationale de la sécurité des systèmes d'information, ont insisté lundi sur les nouvelles menaces qui pèsent sur les entreprises françaises. Pour eux, 99% des cyberattaques concernent des vols de données. Elles sont susceptibles d'avoir un impact dramatique sur les entreprises, leur infrastructure, leur patrimoine informationnel et leur activité commerciale. Mais il y a pire.
Selon Guillaume Poupard, « on voit entrer de plus en plus d'attaquants dans des réseaux informatiques ». Ils ne viennent pas pour voler des informations mais pour infiltrer les entreprises et rester à l'état dormant. C'est ce que l'ANSSI observe depuis plusieurs mois. « Ils prennent pied progressivement (...) et on les retrouve très profond au sein des réseaux d'entreprises, à des endroits où il n'y a même plus d'informations secrètes à voler, par exemple sur les systèmes de production de contrôle qualité », ajoute le DG de l'Agence.
S'infiltrer et faire le mort
Guillaume Poupard a également expliqué qu'il devenait plus facile de s'infiltrer et de faire le mort que d'agir rapidement pour voler des données. « On craint qu'un jour devienne possible, si on ne durcit pas suffisamment les systèmes de sécurité, le déclenchement de sabotages notamment industriels et de prises en mains de systèmes de sécurité », a indiqué Louis Gautier. Guillaume Poupard observe que les terroristes ont les moyens financiers mais pas les compétences techniques pour perpétrer des attentats numériques mais pourraient faire appel, moyennant rétribution, à des mercenaires numériques. « Daech a montré (qu'il) est tout à fait capable d'acheter des ingénieurs informatiques ».
Le deux responsables de la sécurité ont également souligné que l'industrie leur paraissait particulièrement vulnérable à ces menaces dormantes. La banque, l'aérospatiale et l'automobile sont rompues à de bonnes règles de sécurité. Les PME sont évidemment une autre cible assez facile, Guillaume Poupard voit dans le recours au cloud computing une bonne parade.
Louis Gautier et Guillaume Poupard s'exprimait en marge d'une présentation des trois premiers arrêtés pris en matière de sécurité des OIV (Opérateurs d'importance vitale). Ils entreront en vigueur au 1er juillet en imposant des normes de sécurité élevées aux produits de santé, à la gestion de l'eau et à l'alimentation. Les arrêtés suivants, publiés au 2ème semestre, permettront de couvrir la totalité des 12 secteurs reconnus d'importance vitale, ils représentent 249 opérateurs (entreprises privées et publiques ou organismes publics).
"logiciels libre" (ie gratuits) : relisez la définition d'un logiciel libre sur gnu.org. Un logiciel libre n'est pas un logiciel gratuit, ça n'a absolument rien à voir.
Signaler un abus@Visiteur9038: donc en fin de compte pour vous ce n'est pas tant "Microsoft" qui pose problème mais l'ensemble des éditeurs ? Il fallait le préciser car à lire votre premier commentaire "Visiteur9031" on aurait pu croire à un ressentiment particulier contre le firme de Redmond.
Signaler un abusJe crois cependant que vous confondez plusieurs choses.
D'une part quand vous dites "Seuls les logiciels permettant l'accès aux connaissances (logiciels libres) sont dignes de confiance", vous confondez "logiciels libre" (ie gratuits) et "open source" (ie dont les sources sont publics). Certains freeware ne sont pas Open Source, et quelques Open Source ne sont pas gratuits.
D'autre part il existe depuis superbe lurette des contrats qui permettent à l'acheteur d'un logiciel d'avoir accès au source même si ledit logiciel n'est pas Open Source.
Je partage cependant votre point de vue sur le fait qu'il devrait être possible d'accéder au code source d'un logiciel, comme aux plans de montage d'une voiture ou d'une maison.
Ce n'est pas du dénigrement, simplement un énoncé de faits.
Signaler un abusGuillaume POUPARD a fait mettre en place l'obligation de fournir un accès au code source des logiciels commerciaux.
Un logiciel dont on n'a pas accès au code source peut contenir des fonctions malveillantes, un accès caché ou fonctionner différemment dans un contexte particulier sans que personne ne le sache jamais. Dernier exemple en date avec Volkswagen.
Seuls les logiciels permettant l'accès aux connaissances (logiciels libres) sont dignes de confiance. pour les autres (dont les produits de Microsoft, Adobe, Oracle etc.), il y aura toujours un doute. Et les révélations de Snowden sur les pratiques de la NSA et du GCHQ ont surpris, tout le monde se croyant à l'abri et se reposant sur les discours lénifiants des éditeurs. La sécurité ne repose pas sur des arguments commerciaux (on empêche l'accès au code source pour mieux sécuriser notre produit) mais sur de la transparence (on accède au code source pour vérifier la qualité du logiciel).
Pour l'instant, la France ne s'en inquiète pas trop car étant dans l'OTAN et alliés des USA, elle ferme plus ou moins les yeux sur l'interception et le stockage des données personnelles et des entreprises et l'intrusion furtive et à long terme des réseaux (logiciels et matériels).
Dernière joyeuseté en date chez Intel, cherhcez sur le net « Management Engine backdoor».
La sortie du Royaume-Unis de l'UE et peut-être un jour la sortie de la France de l'OTAN, ou l'élection de TRUMP qui ne nous veut pas du tout du bien nous ferons un jour peut-être réveiller avec la gueule de bois et tout nos réseaux dans les choux, y compris ceux hébergés dans le cloud.
Visiteur9031, où est-il question de Microsoft dans cet article ? Vous êtes mandaté pour dénigrer cette société ?
Signaler un abusUne des rares personnes en France à comprendre les risques encourus par les entreprises à utiliser les produits de Microsoft et à ne pas avoir une bonne politique de sécurité.
Signaler un abus