Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

La France veut renforcer la sécurité de ses systèmes d’information

Certaines communications se font toujours en clair

La France veut renforcer la sécurité de ses systèmes d'information

Le 20 février 2014 à 09h50

À l’occasion de l’inauguration des nouveaux locaux de l’ANSSI, le premier ministre Jean-Marc Ayrault abordera plusieurs points importants concernant la sécurité des échanges électroniques en France. Une manière de compléter les mesures phares présentées par Jean-Yves le Drian pour le Pacte Défense Cyber.

patrick pailloux

Patrick Pailloux, directeur général de l'ANSSI

Renforcer la formation en y incluant un tronc commun sur la sécurité 

Jean-Marc Ayrault sera ce matin dans les nouveaux locaux de l’ANSSI (Agence nationale de la sécurité des systèmes d'information), qui participe déjà activement au Pacte Défense Cyber présenté le 9 février dernier par le ministre de la Défense. Un lieu choisi pour présenter plusieurs mesures fortes qui viennent renforcer et/ou compléter tout ce qui a déjà été mis en avant plus tôt dans le mois. Des décisions prises sur la base de propositions du SGDSN (Secrétariat général de la défense et de la sécurité nationale).

 

Certains points ont été ainsi largement abordés dans le Pacte Défense Cyber, notamment tout ce qui touche à la formation, avec par exemple la mise en place d’un tronc commun sur la sécurité des systèmes d’information dans tout cursus informatique supérieur. Le ministère de l’Enseignement supérieur et de la Recherche mettra également en place une formation particulière pour créer des spécialistes en cybersécurité. Cette mesure est en fait le pendant civil du Pacte Défense Cyber.

 

Jean-Marc Ayrault a également remis sur la table tout ce qui concerne l’autonomie de l’Europe « dans le domaine des industries et services des technologies de l’information et de la cybersécurité ». La France soutiendra plus particulièrement certains secteurs clé, tels que les équipementiers réseaux, ceux des opérateurs et plus globalement tout ce qui touche au Cloud.

La sécurisation systématique des échanges entre services de l'État

De manière plus concrète, plusieurs décisions fortes ont été prises. D’une part, toute communication entre les services de l’État sera systématiquement chiffrée. Une mesure cruciale et parfaitement alignée avec le renforcement de la sécurité informatique abordée dans le Pacte Défense Cyber. Évidemment, cela signifie que certaines communications entre des systèmes d’information de l’État se font pour l’instant en clair.

 

D’autre part, tout achat de produits ou service de sécurité informatique par une administration devra se faire parmi une liste labellisée par l’ANSSI. Cette mesure particulièrement demandera toutefois des précisions car, pour la seconde fois, une décision forte dans le domaine de la sécurité ne fait aucune mention des logiciels libres.

 

Enfin, le gouvernement « engage avec les fournisseurs d’offres nationales de messagerie électronique » un dialogue pour demander à ce que les échanges soient sécurisés et traités systématiquement par des infrastructures situées au sein des frontières françaises. Une mesure qui rappelle directement les propos d’Angela Merkel sur la construction d’un « réseau européen de communications ». Mais là encore, il conviendra de revenir plus en détails sur cette sécurisation des échanges.

Commentaires (42)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar







Papa Panda a écrit :



J’aime bien leur truc….



j’installe mon système, je met de l’informatique dans le tout …



Et , tiens, pourquoi ne pas parler de mettre une sécurité après.



Et pourquoi ne pas l’avoir mis en place en même temps. Cela nous montre leur logique envers l’utilisation de nos données.





La plupart des traitements informatiques de l’administration étaient en place avant que les réseaux de masse existent.





pamputt a écrit :



Comment l’ANSSI fait-elle pour évaluer la qualité d’un logiciel de sécurité s’il n’est pas libre et qu’elle ne peut donc pas regarder et savoir ce qu’il y a dedans ?





On peut penser que l’ANSSI aura accès aux sources, modèles de données et modalités d’hébergement en cas de SAAS


votre avatar







Alucard63 a écrit :



Surtout que plutôt que de payer des licences à Microsoft ou même à Ubuntu l’état Français aurait mieux fait d’investir dans Mandriva pour se créer une autonomie logicielle en matière d’OS…



Mais bon…<img data-src=" />





Sauf qu’il y a des règles européennes concernant l’investissement public et que cette distribution n’étais pas forcément l’idéal (basée sur redhat) niveau indépendance comme niveau fonctionnel (stabilité).

Mais je suis d’accord que Mandriva représente une occasion ratée pour l’administration autour de l’an 2000 quand c’était une jeune start up prometteuse. Bon il faut voir l’état de l’informatique publique à cette époque aussi, la préoccupation était plutôt de faire marcher des bouts de chandelles que d’investir avec un plan à 10 ans pour l’avenir.



Après il y a aussi des “modes” en politique et en admin sys. Jusqu’à l’émergence de google, yahoo! etc. le “libre” n’était pas très crédible, c’était un truc d’idéalistes et sans garanties.

Aujourd’hui de manière évidente linux est l’OS majeur du début 21e siècle mais il y a encore 15 ans ce n’était pas si évident et seule red hat pouvait donner confiance.


votre avatar







TizeN a écrit :



TrueCrypt aussi! <img data-src=" />





OpenOffice Aussi! <img data-src=" />


votre avatar







Alucard63 a écrit :



Surtout que plutôt que de payer des licences à Microsoft ou même à Ubuntu l’état Français aurait mieux fait d’investir dans Mandriva pour se créer une autonomie logicielle en matière d’OS…



Mais bon…<img data-src=" />





Il y avait beOS aussi qui aurait pu être sauvé… et qui potentiellement était plus aboutit que linux à la même période.


votre avatar

“le Pacte Défense Cyber” rien que le nom m’amuse <img data-src=" />

votre avatar







yvan a écrit :



Après il y a aussi des “modes” en politique et en admin sys. Jusqu’à l’émergence de google, yahoo! etc. le “libre” n’était pas très crédible, c’était un truc d’idéalistes et sans garanties.

Aujourd’hui de manière évidente linux est l’OS majeur du début 21e siècle mais il y a encore 15 ans ce n’était pas si évident et seule red hat pouvait donner confiance.





Oui je sais. Ce que je veux dire c’est que Linux n’était pas très crédible car il était peu soutenu par des grandes puissances.



Linux conquière le monde à l’heure qu’il est car il est soutenu par un acteur majeur: Google.



Sauf que la spécialité de l’état a été de donner naissance à des grandes entreprises publiques: Renault, Areva…une très grande partie des entreprises du CAC sont ce qu’elles sont parce que l’état y a mis le nez un jour.



Ce n’est pas forcément le cas partout. C’est le cas dans des économies Européennes qui fonctionnent énormément par l’état providence, même dans le secteur privé…tout simplement parce manque d’investissement privé et par un système social et fiscal qui freine l’innovation privée.



Ce n’est pas forcément un mal car cela à donné de solides économies (oui la France a une économie solide)…il faut juste être conscient de la manière dont le système est efficace.<img data-src=" />


votre avatar







Alucard63 a écrit :



Linux conquière le monde à l’heure qu’il est car il est soutenu par un acteur majeur: Google.

:







Et ce n’est pas ça qui en fait sa sécurité , la preuve avec le petit mouchard made by NSA


votre avatar







Elwyns a écrit :



Et ce n’est pas ça qui en fait sa sécurité , la preuve avec le petit mouchard made by NSA





Parce que ce n’est pas le but de Google(à raison dans son cas). Si le but recherché est la sécurité: c’est tout à fait possible.<img data-src=" />


votre avatar







pamputt a écrit :



Comment l’ANSSI fait-elle pour évaluer la qualité d’un logiciel de sécurité s’il n’est pas libre et qu’elle ne peut donc pas regarder et savoir ce qu’il y a dedans ?





Nop, she can <img data-src=" />



mais pour ça faut lire les conditions de certif et de qualif des produits <img data-src=" />





neves a écrit :



L’éditeur, qui veut vendre son produit, doit parfois obtenir le tampon “certifié par l’ANSSI” pour que certains clients l’achètent. Dans ce cas de figure, l’évaluation est réalisée par un prestataire indépendant, dirigé par l’ANSSI, et l’éditeur doit faire quelques efforts allant parfois jusqu’à donner une partie de ses sources (au moins les spec crypto), mais en général l’évaluateur “a le droit” d’utiliser l’ingénierie inverse, personne ne va râler.





ils ont aussi le droit de demander à la boite de fournir le code, si c’est la boite qui dev qui veut la certif <img data-src=" />

Dans le cas d’un client de la boite, revers engineering par contre souvent.


votre avatar







dematbreizh a écrit :



OpenOffice Aussi! <img data-src=" />





Ah j’ai pas vu OpenOffice bien vu <img data-src=" />


votre avatar







pamputt a écrit :



Comment l’ANSSI fait-elle pour évaluer la qualité d’un logiciel de sécurité s’il n’est pas libre et qu’elle ne peut donc pas regarder et savoir ce qu’il y a dedans ?







Excellente question pertinente ! C’est sûr que ce n’est pas Apple ou Microsoft qui va fournir le code source de leurs programmes…



Nous attendons des explications complémentaires…



<img data-src=" />



<img data-src=" />


votre avatar







Elwyns a écrit :



pouquoi pas prendre du Netasq sous FreeBSD et en plus entreprise française :o







Parce que le client lourd a une interface imbitable et disponible uniquement pour windows, parce que le failover a une efficacité discutable, parce que le merdier freeze sans crier gare, de préférence le vendredi soir vers 19h quand t’es parti?


votre avatar







matroska a écrit :



Excellente question pertinente ! C’est sûr que ce n’est pas Apple ou Microsoft qui va fournir le code source de leurs programmes…



Nous attendons des explications complémentaires…



<img data-src=" />



<img data-src=" />





L’ensemble des entreprises en source fermé donnent accès aux gouvernements au code de leurs produits hein…


votre avatar







Alucard63 a écrit :



Sauf que la spécialité de l’état a été de donner naissance à des grandes entreprises publiques: Renault, Areva…une très grande partie des entreprises du CAC sont ce qu’elles sont parce que l’état y a mis le nez un jour.





Renault a été récupéré par l’état, pas crée, par contre elf oui est une création de l’état.

Effectivement l’état français depuis thomson, la revente d’alcatel et l’arrêt du minitel ne fait plus grand chose en matière de high tech.


votre avatar

Communication chiffrée entre les institutions de l’états?



Ok, d’aillleurs c’est quels algos qu’ils utilisent?



Ils peuvent le dire, un des principes de la crypto: algo ouvert, clé secrète.



Bien sûr, je ne serais pas étonné qu’ils aient leur algo secret si ils savent que les algos publiques ne sont en fait pas fiables……..



<img data-src=" />

votre avatar







sylware a écrit :



Ok, d’aillleurs c’est quels algos qu’ils utilisent?



Ils peuvent le dire, un des principes de la crypto: algo ouvert, clé secrète.







C’est une très mauvaise interprétation des principes de Kerckhoffs. Ces derniers stipulent que la sécurité d’un système ne doit effectivement pas reposer sur le secret.



En aucun cas cela ne signifie qu’il faut ouvrir le système à tous.



Pour donner une analogie, c’est à peu près aussi idiot que de demander à une banque de publier les plans des accès aux salles contenant ses coffres, avec en outre une description détaillée des verrous que ceux-ci utilisent.



Il y a en réalité deux paradigmes à partir du principe de Kerckhoffs.

Le premier est celui plus ou moins soutenu par la majorité des personnes ici : un système ouvert afin que le plus grand monde puisse déceler une éventuelle faille et la rapporter aux concepteurs, améliorant sans cesse la sécurité du système.

La seconde consiste à maintenir le secret : si je ne connais pas le système, comment puis-je déceler une faille autrement que par hasard ou en utilisant des techniques classiques (dont on peut supposer le système protégé) ?



Il ne faut pas se tromper. Pour reprendre les propos d’Eugène Kaspersky, la cybersécurité ne vise pas tant à se protéger d’une éventuelle cyberguerre que d’un éventuel cyberterrorisme ou cyberespionnage. Celui dont on veut se protéger n’est pas nécessairement une agence nationale avec de gros moyens, mais peut être n’importe quel hacker (plus malin ou plus chanceux que ses confrères).



À ce titre, utiliser une plateforme spécifique pour les infrastructures (dans l’idéal même, plusieurs plateformes spécifiques) limite l’utilisation des produits, donc les risques de découvrir une faille “par hasard” (si linux possède moins de failles que Windows, cela est probablement plus dû à une moindre utilisation qu’à une réelle meilleure conception - j’en veux pour indice la mauvaise réputation qu’a Android en terme de sécurité). Cela limite également la portée d’une faille trouvée ; on pourrait faire en cela une analogie avec la diversité génétique qui rend la population d’une espèce plus résistante aux différentes maladies.



Pour toutes ces raisons, je ne vois vraiment pas pourquoi tant de personnes ici (et Vincent Hermann entre autres) sont à ce point convaincu qu’utiliser linux ou plus généralement des logiciels libres est plus sûr qu’utiliser des logiciels fermés. Surtout depuis qu’on sait que Linus Torvald a été contacté, comme bien d’autres, par la NSA. Évidemment, par logiciel fermé ici je n’entends pas Windows (ni même OS X), mais une solution nationale comme cela a été suggéré par le Premier Ministre (voir l’article de PCInpact du 9 février). Comme d’autres l’ont rappelé avant moi, logiciel fermé ne signifie pas que l’ANSSI n’ait pas un accès privilégié au code source.







Le grand public ne peut obéir à la même logique (les gens se sentent plus à l’aise avec un système utilisé par d’autres personnes autour d’eux), et dans ce cas une sécurité renforcée par le caractère libre du système prend tout son sens. Mais pas pour des infrastructures critiques.


votre avatar

J’aime bien leur truc….



j’installe mon système, je met de l’informatique dans le tout …



Et , tiens, pourquoi ne pas parler de mettre une sécurité après.



Et pourquoi ne pas l’avoir mis en place en même temps. Cela nous montre leur logique envers l’utilisation de nos données.

votre avatar

Comment l’ANSSI fait-elle pour évaluer la qualité d’un logiciel de sécurité s’il n’est pas libre et qu’elle ne peut donc pas regarder et savoir ce qu’il y a dedans ?

votre avatar







pamputt a écrit :



Comment l’ANSSI fait-elle pour évaluer la qualité d’un logiciel de sécurité s’il n’est pas libre et qu’elle ne peut donc pas regarder et savoir ce qu’il y a dedans ?





+1

Cela rejoint un peu mon idée première.


votre avatar

Ils vont enfin arrêter les clés WEP ?



:edit: j’ai lu l’article après avoir commenté, je ne pensais pas être aussi proche de la réalité.

Et moi qui pensais faire du 2nd degrés.

votre avatar







Grumlyz a écrit :



Ils vent enfin arrêter les clés WEP ?





WEP !


votre avatar







pamputt a écrit :



Comment l’ANSSI fait-elle pour évaluer la qualité d’un logiciel de sécurité s’il n’est pas libre et qu’elle ne peut donc pas regarder et savoir ce qu’il y a dedans ?







L’éditeur, qui veut vendre son produit, doit parfois obtenir le tampon “certifié par l’ANSSI” pour que certains clients l’achètent. Dans ce cas de figure, l’évaluation est réalisée par un prestataire indépendant, dirigé par l’ANSSI, et l’éditeur doit faire quelques efforts allant parfois jusqu’à donner une partie de ses sources (au moins les spec crypto), mais en général l’évaluateur “a le droit” d’utiliser l’ingénierie inverse, personne ne va râler.


votre avatar

Bonne nouvelle :)

ssi.gouv.fr République FrançaiseFaut bien faire un jour le trie entre de la merde question sécu et des trucs bien rodés. Un bon Netasq.

votre avatar







neves a écrit :



L’éditeur, qui veut vendre son produit, doit parfois obtenir le tampon “certifié par l’ANSSI” pour que certains clients l’achètent. Dans ce cas de figure, l’évaluation est réalisée par un prestataire indépendant, dirigé par l’ANSSI, et l’éditeur doit faire quelques efforts allant parfois jusqu’à donner une partie de ses sources (au moins les spec crypto), mais en général l’évaluateur “a le droit” d’utiliser l’ingénierie inverse, personne ne va râler.





Forcément tt est analysé, faut le voir de façon positive. Plus un produit est utilisé à haut niveau, plus il est étudié, plus il est “sécurisé” par rapport aux autres.


votre avatar

Je ne traduis pas cela comme toi.



Moi je traduis: ils savent qu’il y a des failles critiques dans les algos publiques, alors ils utilisent les leurs.

votre avatar

Pour renforcer la sécurité de votre système d’information, il y a Phonesec, acteur reconnu en sécurité globale de la chaîne numérique.

www.phonesec.com

votre avatar







Alderaaan a écrit :



Bonne nouvelle :)

ssi.gouv.fr République FrançaiseFaut bien faire un jour le trie entre de la merde question sécu et des trucs bien rodés. Un bon Netasq.





TrueCrypt aussi! <img data-src=" />


votre avatar



engage avec les fournisseurs d’offres nationales de messagerie électronique



Qu’Orange et consort passent au DKIM et au SPF et on aura un bon moyen de diminuer le SPAM



La sécurité a trop longtemps été la 5ème roue du carrosse en informatique.

votre avatar







pamputt a écrit :



Comment l’ANSSI fait-elle pour évaluer la qualité d’un logiciel de sécurité s’il n’est pas libre et qu’elle ne peut donc pas regarder et savoir ce qu’il y a dedans ?







Elle regarde les prospectus commerciaux et accroche au mur, ceux qui présentent le mieux, puis lance des fléchettes dessus. Si ça atteint sa cible, c’est que c’est pas sécurisé.



CQFD


votre avatar







pamputt a écrit :



Comment l’ANSSI fait-elle pour évaluer la qualité d’un logiciel de sécurité s’il n’est pas libre et qu’elle ne peut donc pas regarder et savoir ce qu’il y a dedans ?



Ida <img data-src=" />


votre avatar







neves a écrit :



L’éditeur, qui veut vendre son produit, doit parfois obtenir le tampon “certifié par l’ANSSI” pour que certains clients l’achètent. Dans ce cas de figure, l’évaluation est réalisée par un prestataire indépendant, dirigé par l’ANSSI, et l’éditeur doit faire quelques efforts allant parfois jusqu’à donner une partie de ses sources (au moins les spec crypto), mais en général l’évaluateur “a le droit” d’utiliser l’ingénierie inverse, personne ne va râler.





Sauf l’audit d’un code source ne permet pas du tout de savoir si c’est bien ce code qui a été utilisé pour générer le .exe qu’on utilise au final …


votre avatar







Alderaaan a écrit :



Bonne nouvelle :)

ssi.gouv.fr République FrançaiseFaut bien faire un jour le trie entre de la merde question sécu et des trucs bien rodés. Un bon Netasq.







C’est beau la foi… <img data-src=" />


votre avatar

Une solution simple pour la sécurité pourtant : tout débrancher.



Bon c’est un peu radical mais ça coûte moins cher <img data-src=" />

votre avatar







pamputt a écrit :



Comment l’ANSSI fait-elle pour évaluer la qualité d’un logiciel de sécurité s’il n’est pas libre et qu’elle ne peut donc pas regarder et savoir ce qu’il y a dedans ?





Surtout que plutôt que de payer des licences à Microsoft ou même à Ubuntu l’état Français aurait mieux fait d’investir dans Mandriva pour se créer une autonomie logicielle en matière d’OS…



Mais bon…<img data-src=" />


votre avatar







stunt a écrit :



WEP !





ANSSI soit-il !


votre avatar







Alucard63 a écrit :



Surtout que plutôt que de payer des licences à Microsoft ou même à Ubuntu l’état Français aurait mieux fait d’investir dans Mandriva pour se créer une autonomie logicielle en matière d’OS…



Mais bon…<img data-src=" />





pouquoi pas prendre du Netasq sous FreeBSD et en plus entreprise française :o


votre avatar

“La France veut renforcer la sécurité de ses systèmes d’information”



Désormais les locaux informatiques seront fermés à double tour avec un cadenas (un appel d’ offre sera lancé l année prochaine).



Voilà, simple, pratique, sûr et pas cher.

votre avatar







pamputt a écrit :



Sauf l’audit d’un code source ne permet pas du tout de savoir si c’est bien ce code qui a été utilisé pour générer le .exe qu’on utilise au final …







D’où le reverse…


votre avatar







CUlater a écrit :



Ida <img data-src=" />





Tante IDA? <img data-src=" />

Ah oui mais pourquoi taper? C’est un très bon outil !

C’est loin d’être le seul utilisé AMHA mais c’est un bon début ! :chinois



En lisant le titre, j’ai pensé PareFeu OpenOffice , c’est grave docteur? <img data-src=" />


votre avatar







neves a écrit :



D’où le reverse…





Je ne suis pas expert, loin de là, mais j’imagine que c’est moins facile de savoir tout ce que fait un logiciel en utilisant le reverse engineering plutôt qu’en ayant accès au code source. Peut-être qu’il est possible de masquer certaines fonctionnalités à une étude en reverse (point à confirmer)



Bref : les avantages par rapport au logiciel libre me paraissent inexistants.


votre avatar







Papa Panda a écrit :



J’aime bien leur truc….



j’installe mon système, je met de l’informatique dans le tout …



Et , tiens, pourquoi ne pas parler de mettre une sécurité après.



Et pourquoi ne pas l’avoir mis en place en même temps. Cela nous montre leur logique envers l’utilisation de nos données.





En fait … la sécurité c’est souvent ce qui est pensé en dernier, parce qu’on code (nous les dévs) à l’arrache à cause de la gestion de projet :)

(et puis parfois, y a pas une vision globale du projet…)


votre avatar







Elwyns a écrit :



pouquoi pas prendre du Netasq sous FreeBSD et en plus entreprise française :o





Peu importe, Mandriva en est une aussi. Ce que je veux dire c’est que si on avait voulu sécuriser:





  1. Notre autonomie logicielle

  2. La sécurité des software de l’état



    On pouvait le faire (et il n’y a pas si longtemps que ça dans l’histoire: on l’aurait fait) et on fait un autre choix…<img data-src=" />


La France veut renforcer la sécurité de ses systèmes d’information

  • Renforcer la formation en y incluant un tronc commun sur la sécurité 

  • La sécurisation systématique des échanges entre services de l'État

Fermer