Sécurité informatique du gouvernement: "On ne peut plus évoquer l'ignorance"

Matignon met en garde les ministres contre l'espionnage et le piratage numériques. Une note a été envoyée par le Premier ministre aux membres du gouvernement. Mais ces recommendations sont-elles efficaces? Nous avons posé la question à Nicolas Arpagian, directeur scientifique du cycle "Sécurité numérique" à l'Institut National des Hautes Études de la Sécurité et de la Justice (INHESJ) et auteur de La Cybersécurité (Presses Universitaires de France).

Que pensez-vous des recommandations diffusées par le cabinet du Premier ministre dans la note révélée par L’Express?

Ces directives sont les bienvenues. Car elles montrent l'implication des autorités dans l'application des règles essentielles de cybersécurité. La consigne vient du haut de la hiérarchie et témoigne de la prise de conscience de l'ampleur de la menace. L'information est bien un actif stratégique qu'il convient de protéger. Qui constitue un élément différenciateur dans la compétition économique ou les négociations diplomatiques. Pris dans le flot d'un travail de cabinet ministériel qui jongle avec les horaires, les déplacements et les urgences, certains collaborateurs ont sans doute par le passé fait preuve de légèreté quant au respect des règles de sécurité numérique: recours à des clés USB, transferts de fichiers sur des comptes personnels de messagerie...

Ces directives sont-elles suffisantes?

Au regard des révélations d’Edward Snowden, on a l’impression que toutes ces actions sont vaines... En tous les cas, cette note identifie les menaces. Ce qui signifie que toute personne qui y contreviendrait ne peut plus évoquer l'ignorance. L'erreur dans ce domaine devient désormais une faute.

Les responsables ministériels ne peuvent pas se reposer sur les seuls experts de l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) pour assurer l'intégrité de leur communication numérique, il leur faut adopter un comportement individuel responsable. L'ANSSI est là pour leur fournir les outils et les procédures ad hoc.

Cette expertise est vaine si on persiste à avoir son application Facebook sur son ordinateur de service ou si on se connecte à l'intranet d'un ministère à partir d'un point d'accès wi-fi gratuit d'une chaîne de restauration rapide. Cela suppose donc de savoir être déconnecté si les conditions d'accès au réseau ne sont pas suffisamment sécurisées.

Selon vous, que faudrait-il faire pour assurer la sécurité des échanges au niveau gouvernemental?

Il est plus que jamais nécessaire de préserver les investissements en Recherche & Développement permettant d'élaborer ou de consolider des solutions ou des prestataires de confiance. Dont les solutions assurent une protection la plus maîtrisée possible.

La révélation de l'affaire Prism a montré que la nationalité d'un prestataire pouvait avoir un impact sur le droit qui lui était applicable. La France et l'Europe doivent ménager leur souveraineté technologique en permettant l'épanouissement en leur sein de fournisseurs de solutions de confiance. Il s'agit de ne plus être de simples utilisateurs de technologies, mais bien d'être en mesure d'effectuer nos choix techniques avec des équipements dont on connaîtra le mode d'élaboration et de pilotage.