La remise du Rapport à Dominique de Villepin
|
|
Axe 1 : Sensibiliser et former à la sécurité des systèmes d’information
Organiser une grande campagne de communication s’inscrivant dans la durée à destination de tous ;
Mettre en place un portail Internet pour mettre à la disposition des utilisateurs - citoyens, administrations et entreprises - des informations d’actualité, des guides de bonnes pratiques, des contacts, des alertes sur les menaces,... ;
Proposer au système éducatif - du primaire à l’enseignement supérieur - et au système de formation continue, des canevas modulaires de formation en SSI ;
Informer l’utilisateur : à l’instar du port de la ceinture pour l’utilisation d’un véhicule automobile, imposer que la documentation utilisateur qui accompagne les produits personnels de communication mentionne les risques principaux encourus vis-à-vis de la protection des informations, les points de vigilance pour l’utilisateur et les recommandations types à mettre en œuvre (exemple : activer un pare-feu, protéger et changer régulièrement son mot de passe, ...).
Axe 2 Responsabiliser les acteurs
Etablir de manière obligatoire des chartes à l’usage des utilisateurs, annexées au contrat de travail - public et privé - ou aux règlements intérieurs des entreprises ;
Labelliser les entreprises fournisseurs de produits ou services de SSI qui respectent un cahier des charges à établir.
Axe 3 Renforcer la politique de développement de technologies et de produits de SSI et définir une politique d’achat public en cohérence
Identifier les maillons des systèmes d’information qui exigent des produits qualifiés ;
Etablir et tenir à jour un catalogue des produits de sécurité nationaux qualifiés et des produits européens adaptés aux différents niveaux de sécurité à assurer ;
Développer les financements publics de R&D ;
favoriser le développement des PME innovantes dans la SSI et renforcer les fonds d’investissement en capital développement ;
Développer la politique de certification et de qualification par une augmentation des produits certifiés et qualifiés et une réduction des délais et des coûts de certification ;
Accroître la présence et l’influence française dans les groupes de standardisation et les comités de normalisation ;
Définir et mettre en œuvre une politique d’achat public, fondée sur le principe d’autonomie compétitive. Inciter les grandes entreprises à travers le pacte PME à faire confiance aux PME SSI.
Axe 4 Rendre accessible la SSI à toutes les entreprises
Inciter les entreprises à assurer leur SSI par la mise en place d’aides publiques ;
Créer un centre d’aide et de conseil dans une logique de guichet unique ;
Diffuser aux PME sous une forme adaptée les informations de veille, d’alerte et de réponse disponibles au niveau des CERT nationaux ;
Initier et animer des forums thématiques public - privé favorisant la circulation d’informations, les retours d’expériences, le partage des bonnes pratiques,...
Axe 5 Accroître la mobilisation des moyens judiciaires
Reconnaître la spécificité des contentieux liés aux systèmes d’information ;
Aggraver les peines prévues au Code pénal en matière d’atteinte à la SSI ;
Introduire une exception au principe d’interdiction de la rétro-conception dans le Code de la Propriété intellectuelle pour des motifs de sécurité ;
Assurer la sensibilisation des magistrats et des forces de sécurité par la formation initiale et continue ;
Constituer d’un pôle judiciaire spécialisé et centralisé de compétence nationale ;
Renforcer les coopérations internationales.
Axe 6 Assurer la sécurité de l’Etat et des infrastructures vitales
Mettre à jour les politiques de SSI et les schémas directeurs de chaque ministère et les valider par une autorité centrale ;
Conseiller en amont les maîtrises d’ouvrage de l’Etat pour des projets sensibles tels que par exemple la carte nationale d’identité ou le dossier médical ;
Confier à une autorité centrale le rôle d’approuver formellement le lancement de ces projets sensibles ;
Faire contrôler par une autorité centrale l’application de ces prescriptions par des inspections sur site et des tests d’intrusion sans préavis ;
Mettre en place et animer une filière SSI transverse dans laquelle la mobilité sera organisée, tant à l’intérieur de la fonction publique qu’au travers de passerelles avec les entreprises et les centres de recherche ;
Définir les profils de postes des responsables SSI. Renforcer leur autorité et leur responsabilité ; ils devront être indépendants des directions des systèmes d’information ;
Pour les opérateurs d’infrastructures vitales : valider la politique de sécurité par l’autorité centrale et conduire des inspections et des tests d’intrusion ;
Pour les entreprises sensibles, faire à la demande des audits et des tests d’intrusion.
***
Il est à noter que certaines recommandations du rapport rejoignent les mesures proposées dans le Plan de Renforcement de la Sécurité des Systèmes d’Information de l’Etat en 2004.
UN IMPERATIF
En complément aux six axes de recommandations, afin d’amener notre pays à un niveau de sécurité et d’autonomie, il faut renforcer l’action de l’Etat et ses moyens humains et financiers en matière de SSI, rationaliser l’organisation des services de l’Etat et accroître la cohérence des actions des différents acteurs.
Le renforcement significatif des missions actuelles de la DCSSI qui en découlent, en particulier les plus opérationnelles, amène également à remettre en cause l’organisation mise en place en 1995, qui ne semble plus adaptée aux enjeux actuels.
Il est proposé :
de recentrer le dispositif étatique sous l’autorité du Premier ministre afin de garantir la mise en œuvre des axes stratégiques et d’assurer la dimension interministérielle du dispositif ;
de séparer les fonctions opérationnelles des fonctions d’autorité :
les fonctions d’autorité resteraient au sein du SGDN qui pour le compte et sous l’autorité du Premier ministre, seraient notamment en charge de l’élaboration de la politique nationale de la SSI, de la validation des politiques SSI des ministères et des organismes sous tutelle, d’évaluer les résultats de la mise en œuvre opérationnelle, d’assurer une veille stratégique sur l’évolution des risques, d’initier le renforcement de la dimension judiciaire et les actions interministérielles en matière de politique d’achat.
A partir des fonctions opérationnelles de la DCSSI renforcées, une structure opérationnelle rattachée au Premier ministre, dédiée et centralisée, ayant une culture de résultats pourrait être mise en place.
Cette structure assurerait la mise en œuvre opérationnelle des politiques SSI et constituerait un centre d’expertises et de moyens au service des fonctions d’autorité. Constituées autour des équipes de l’actuelle DCSSI les ressources de la structure opérationnelle seraient renforcées par des compléments de ressources pluridisciplinaires permanentes et des apports d’expertises ponctuelles externes publiques ou privées.
La structure opérationnelle pourrait bénéficier d’un statut de type EPIC. Comme le BSI allemand, elle pourrait être dotée de principe de gouvernance garantissant la confiance, l’implication des personnels, la transparence et la neutralité et évaluée sur ses activités, notamment de support, de communication et de formation, selon des critères de performance et de qualité.
Rapport Lasbordes
|
|