Sécurité et Stratégie est une publication du CDSE

04

Dernier numéro : novembre 2010 - Mars 2011

La Protections des installations vitales

La protection des réseaux numériques en tant qu’infrastructures vitales

Parmi les installations d’importance vitale dont la protection est organisée par l’article 1332-1 du Code de la défense et ses textes d’application, on peut classer certains réseaux de communication électronique. L’arrêté du 2 juin 2006 désigne, en effet, parmi les secteurs d’activité d’importance vitale, un secteur dénommé largement : « Communications électroniques, audiovisuel et information ». Cette classification – et toutes les conséquences juridiques et opérationnelles qui en découlent – est logique au regard des risques importants que peut faire courir aux intérêts collectifs une éventuelle insécurité des réseaux numériques. Mais la nature particulière de ces réseaux, et notamment leur dimension ouverte et planétaire, rend plus difficile leur prévention efficace contre d’éventuelles menaces organisées. On ne doit donc pas surestimer l’état actuel de la sécurité des systèmes en France et en Europe. Au contraire, un renforcement des politiques de sécurité et de prévention, l’adaptation continuelle de nos moyens de riposte juridiques ainsi qu’une sensibilisation accrue des opérateurs et des entreprises, sont très nécessaires.

Les enjeux sécuritaires des réseaux numériques

La prise en compte des risques inhérents à la numérisation des activités économiques et sociales n’est pas récente. Le rapport de la commission SARK, établie par le ministère suédois de la défense entre 1977 et 1979, sur la vulnérabilité de la société informatisée, est souvent considéré comme un travail précurseur en la matière*. En effet, ce rapport ne se contentait pas d’identifier la vulnérabilité intrinsèque des systèmes d’information (lesquels – comme tout système – peuvent dysfonctionner et cesser de remplir les fonctions qui sont les leurs) mais prenait en compte les conséquences que ces défaillances pourraient avoir sur le fonctionnement plus général des activités sociales qui endépendent. De plus, il concluait que des atteintes majeures aux systèmes informatiques susceptibles d’affecter la sécurité de la collectivité pouvaient survenir non seulement en situation de crise ou de guerre, mais aussi en période de paix. Si les analyses détaillées de ce rapport (mettant en avant les risques propres aux architectures informatiques très centralisées de l’époque) datent et ne sont plus directement appropriées aujourd’hui, la typologie générale des facteurs pouvant affecter la sécurité d’une société numérisée (comme la nôtre l’est encore plus qu’il y a trente ans) demeure très pertinente. Elle distinguait les seize « facteurs de risque » suivants :
− actes délictueux à l’encontre des systèmes d’information ;
− utilisation politique de certaines formes de restrictions ou de sanctions commerciales sur la fourniture d’éléments techniques sensibles ;
− actes de guerre affectant les infrastructures numériques ;
− catastrophes naturelles ou accidents ;
− existence de fichiers contenant des informations confidentielles susceptibles d’une utilisation déloyale ou illicite ;
− sensibilité particulière de certains systèmes utilisés dans des activités économiques, financières ou logistiques majeures ;
− concentration géographique et fonctionnelle des systèmes d’information, dans certaines zones vulnérables à des attaques ou des accidents ;
− intégration et interdépendance entre les systèmes, susceptibles d’entraîner une propagation des défaillances ;
− accumulation d’importants volumes de données dont la compilation et le croisement peuvent donner lieu à des exploitations en termes de renseignement ;
− formation déficiente et inadéquate des utilisateurs et des entreprises en ce qui concerne les risques et les pratiques de sécurité ;
− insuffisante qualité des matériels et des logiciels, capables d’entraîner des incidents techniques ayant des conséquences à long terme ;
− écart trop grand entre les utilisateurs et les informaticiens, lesquels peuvent devenir eux-mêmes des cibles pour des attaques contre les systèmes qu’ils gèrent ;
− insuffisante documentation ;
− insuffisance des plans d’urgence et des dispositifs de reprise d’activité en cas d’accidents ou de situations d’urgence ;
− dépendance technologique vis-à-vis de sources étrangères ;
− flux internationaux de données rendant difficile la maîtrise locale des données et de leur traitement.

La relecture de cette liste, avec le recul, nous montre que certaines tendances lourdes liées à la numérisation massive de nos activités sont toujours là. Certes, les nouvelles architectures sont beaucoup plus décentralisées que ce qui se faisait à la fin des années soixante-dix et des mesures nationales et européennes ont été prises dès cette époque pour prévenir d’éventuelles utilisations abusives des données personnelles** et plus tard pour réprimer la criminalité numérique (en France à partir de la loi Godfrain du 5 janvier 1988). Mais sans entrer ici dans un débat complexe, il semble possible d’affirmer que les gains en termes de sécurité et de prévention induits par ces évolutions techniques et juridiques sont largement contrebalancés par les effets considérables de l’accélération de la numérisation des activités et de leur globalisation sous l’effet Internet. Les risques déjà décelés qui découlent de la complexité des systèmes, de la dépendance technologique sur leurs composants essentiels(non seulement certains composants électroniques physiques, mais avant tout aujourd’hui les composants logiciels), du manque de pratique de la sécurité par les utilisateurs ou encore de l’explosion des échanges mondiaux de données sont donc de plus en plus présents. Par ailleurs, la démocratisation des systèmes d’information (équipements domotiques, terminaux mobiles...) induit un accroissement (et un déplacement) de ces vulnérabilités, puisqu’elle touche des utilisateurs personnels encore moins bien sensibilisés ou formés et des équipements dont les fonctionnalités de sécurité et la protection sont limitées pour des raisons économiques et physiques. Enfin, l’intuition majeure du rapport de 1979 demeure d’une brûlante actualité : l’insécurité des systèmes d’information n’entraîne pas seulement des effets au niveau de ces systèmes euxmêmes. Elle est susceptible d’avoir des effets directs et indirects immenses puisque l’ensemble des activités économiques, sociales (et progressivement domestiques) reposent sur ces systèmes. Dès lors, si l’on ajoute le facteur de démultiplication (déjà perçue par le rapport SARK) qu’induit l’interconnexion des réseaux et leur mondialisation, on comprend qu’il soit pertinent d’un point de vue théorique de considérer que les réseaux numériques les plus importants doivent être considérées comme des infrastructures vitales pour la collectivité.

*The Vulnerability of the Computerised Society : Considerations and Proposals, Report of the SARK Committee, 1979.
**Citons la directive communautaire 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ( et ses nombreuses déclinaisons spécialisées, notamment en ce qui concerne les communications électroniques) et, pour la France, la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi du 6 août 2004.

Voir le sommaire

Pour s'abonner à la revue Sécurité & StratégiePour s'abonner à la revue Sécurité & Stratégie

Accueil | Contact | Mentions légales | Comité d’orientation | Note aux auteurs | Organisation
Acheter | S’abonner | Les derniers numéros | A propos de l’éditeur

Copyright© CDSE - Sécurité & Stratégie - 2017
Sécurité et Stratégie est une publication du CDSE