Sécurité des systèmes d’information de l’Etat : une refonte est « impérative »

Comment renforcer la sécurité des systèmes d’information afin de garantir une meilleure protection de l’Etat et de notre patrimoine économique ? Le 13 janvier, Pierre Lasbordes, député (UMP) de l’Essone, a rendu au gouvernement son rapport et ses recommandations sur le sujet. En juin 2005, Dominique de Villepin l’avait mandaté pour effectuer une mission d’information sur ce sujet stratégique pour la sécurité de l’Etat et ses infrastructures vitales.

C’est dans la sixième et dernière recommandation que le député aborde justement ce thème critique. Autour de cet « objectif de souveraineté nationale », le député appelle à « restaurer » l’autorité de l’Etat en matière de sécurité des systèmes d’information (SSI).

En lisant les préconisations, il semblerait qu’il existe quelques flottements sur ses sujets. Pierre Lasbordes estime qu’il est grand temps de « recentrer » le dispositif étatique sous l’autorité du Premier ministre, tout en séparant les fonctions opérationnelles des fonctions d’autorité.

Une autorité centrale de validation et de contrôle

Pour l’élu de l’Essonne, il n’y a plus de doute : il faut que l’Etat se resaisisse dans ce domaine. Il recommande de mettre à jour les politiques de SSI et les schémas directeurs de chaque ministère et de les valider par une « autorité centrale ».

Dans le cadre des maîtrises d’ouvrage de l’Etat, Pierre Lasbordes émet l’idée d’instaurer une « autorité centrale » chargée d’approuver formellement le lancement de projets sensibles (comme la carte nationale d’identité ou le dossier médical personnalisé). Cette même autorité pourrait éventuellement contrôler l’application de ces prescriptions par le biais d’inspections sur site et des tests d’intrusion sans préavis.

A l’instar de l’agence de développement pour l’administration électronique (Adae) en charge de coordonner les efforts interministériels en termes de « e-services publics », l’auteur du rapport préconise la mise en place d’une filière SSI transverse. Celle-ci pourrait servir de passerelle entre fonction publique, entreprises (et plus particulièrement pour les entreprises aux activités classées sensibles) et centres de recherche.

Une organisation en deux pôles pour traiter la SSI

Pierre Lasbordes soumet déjà une idée d’organisation en deux pôles pour renforcer la stratégie de l’Etat en matière de SSI. Le Secrétariat général de la Défense Nationale (SGDN) serait le mieux placé pour élaborer les politiques, évaluer le dispositif opérationnel, effectuer la veille stratégique et réaliser à la maîtrise d’ouvrage assurée par le Premier ministre.

La seconde structure (« souple », « réactive »), en charge des coopérations avec des groupes industriels et des laboratoires de recherche, reste à inventer. Elle pourrait être calquée sur le BSI (Bundesamt für Sicherheit des Informationstechnik) du gouvernement allemand. Les équipes de la DCSSI (Direction Centrale de la Sécurité des Systèmes d’Information) pourraient en former le noyau. Actuellement, la DCSSI est placée sous l’autorité du Secrétaire général de la défense nationale.

A la suite de la remise de cette étude, Dominique de Villepin a demandé la mise en place d’un groupe de travail interministériel « pour assurer le suivi des recommandations du rapport et examiner les modalités d’organisation envisageables. »