Certains prestataires ne présenteraient pas "toutes les garanties de sécurité". Qui a dit Microsoft ?
Dans son rapport parlementaire sur le volet renseignement du budget de la Défense nationale, le député UMP Bernard Carayon dénonce, à mots couverts, la main-mise de Microsoft sur les systèmes d’information du gouvernement. Déplorant le peu de cas que fait le gouvernement des questions liées à la sécurité informatique, et la faiblesse des moyens alloués à la Direction centrale en charge de ces questions, il plaide pour que la sécurité des systèmes d’information devienne "une priorité pour l’État".
Les infrastructures d’information et de communication du gouvernement français seraient-elles minéees de l’intérieur ? En tout cas, le rapport Carayon ne manque pas de tirer la sonnette d’alarme.
"Votre Rapporteur constate que les services de l’État et ses établissements publics utilisent, y compris pour des fonctions sensibles, des solutions informatiques étrangères (...) ne présentant pas, c’est le moins que l’on puisse dire, toutes les garanties de sécurité", peut-on lire dans le texte remis aux députés.
S’il ne prononce pas le nom de Microsoft, régulièrement critiqué pour les failles de sécurité trouvées dans ses produits, le message semble néanmoins clair, et l’idée commence à faire son chemin au sein de l’appareil militaire et des services gouvernementaux français.
Il y a deux ans, le général Desvignes, ancien chef du service central de la sécurité des systèmes d’information, déplorait le fait que "dans les forces armées, Bill Gates règne aujourd’hui en maître". Le même s’inquiétait récemment de l’indépendance informatique du pays, prônant ouvertement le recours aux logiciels libres.
Absence de doctrine
Bernard Carayon regrette également que "les ministères opèrent leurs choix sans contrôle, sans coordination, ni doctrine ou assistance". Pour lui, la Direction centrale de la sécurité des systèmes d’information (DCSSI), dont la mission se limite aujourd’hui aux aspects purement techniques, "devrait être consultée systématiquement lors des achats majeurs effectués par les administrations publiques".
Quand bien même la DCSSI se verrait confier de telles missions, il lui serait cependant difficile de pouvoir les remplir correctement, faute d’effectifs suffisants, ainsi que d’une réelle volonté politique en matière de sécurité informatique.
Alors que la DCSSI dispose aujourd’hui de 78 postes et de 29 mises à disposition (deux emplois d’ingénieurs des télécommunications sont prévus au budget 2004), sa cellule d’audit n’est aujourd’hui composée que de 6 personnes, chiffre qualifié de "dérisoire" par Carayon.
Comptez deux ans pour un audit...
En effet, "compte tenu de la charge de travail de l’équipe, un délai d’attente de 6 mois avant la prise en compte effective de la demande peut s’écouler", indique le rapport. L’évaluation en elle-même pouvant durer plusieurs mois, Bernard Carayon estime qu’"au total, il faut compter 18 mois d’attente pour un audit", certains ministères attendant des conclusions depuis près de deux ans.
Surtout, alors qu’il "est impératif que les systèmes d’information de tous les ministères de souveraineté soient testés", le député regrette le fait que "de nombreux services ne fassent l’objet d’aucune évaluation de la DCSSI", faute de l’avoir expressément demandé.
Il recommande donc de renforcer les pouvoirs de la Direction, en lui donnant "la possibilité juridique et les moyens matériels de détecter les failles" dans les infrastructures de communication des services gouvernementaux.
Déplorant "le défaut de sensibilité de l’État aux questions de sécurité", Carayon se permet même d’insister : "votre Rapporteur tient à souligner que la sécurité des systèmes d’information doit être une priorité pour l’État".
Le rapport Carayon sur le Secrétariat général de la défense nationale:
http://www.assemblee-nationale.fr/1...
La Drection centrale de la sécurité des systèmes d’information:
http://www.ssi.gouv.fr/fr/index.html
Un général de l’armée française s’inquiète de l’indépendance informatique du pays (Transfert.net):
http://www.transfert.net/a8955
La "guerre de l’information" tient salon (Transfert.net):
http://www.transfert.net/a7492