La sécurité des systèmes d’information est arrivée dans les entreprises quelques années après l’ouverture d’Internet. Préalablement, elle se limitait à de la gestion de comptes, de droits, de sauvegardes. Internet est venu modifier profondément la donne. Avec Internet, les départements informatiques ont pris conscience qu’être à l’intérieur de l’entreprise n’était plus forcément nécessaire pour en dérober ses secrets. Sont alors arrivés de nouvelles architectures, et de nouvelles technologies qui ont été intégrées aux infrastructures :
- Les parefeux (ou firewalls en anglais),
- Les zones démilitarisées (plus connu sous l’acronyme DMZ),
- Les certificats électroniques,
- …
L’intégration de ces technologies n’étant pas suffisante par rapport au risque identifié, rapidement, la sécurité s’est complexifiée avec la création d’un nouveau poste : le RSSI (Responsable de la Sécurité des Systèmes d’Informations), et parfois d’un département sécurité.
Cette nouvelle entité était perçue comme un frein au développement économique de l’entreprise. Elle était donc souvent contournée. Aujourd’hui, avec la médiatisation des cyberattaques (rançongiciel [ransomware en anglais], Saint-Gobain, l’Ukraine) et de leurs conséquences, l’image du département de la sécurité informatique a évolué, et s’affiche comme un protecteur du patrimoine de l’entreprise. Le gouvernement français prend conscience dans les années 2000 que le patrimoine des entreprises est de plus en plus numérisé, et qu’une entreprise sans Système d’Information ne pouvait que disparaître. Il prend aussi conscience que si attaque il y a, elle sera d’abord numérique, avant d’être militaire. Il va alors renforcer et élargir les missions de l’ANSSI.
L’ANSSI, l’Agence nationale de Sécurité des Systèmes d’Information, est l’héritière d’une longue série d’organismes chargés d’assurer la sécurité des informations sensibles notamment de l’État. L’ANSSI est née le 7 juillet 2009 par décret n° 2009-834. Ce décret donne à cette agence, en plus de la sécurité des systèmes d’informations de l’État, une mission de conseil et de soutien aux administrations et aux Opérateurs d’Importance Vitale (OIV [*]), ainsi que celle de contribuer à la sécurité de la société de l’information, notamment en participant à la recherche et au développement des technologies de sécurité et à leur promotion. L’ANSSI vient de fêter ses 10 ans.
Par décret du 18 décembre 2013, le gouvernement français promulgue la Loi de Programmation Militaire (LPM) et confie à l’ANSSI son application. Cette loi demande aux OIV de sécuriser leur Système d’Information Industriel (SII, et entendre par industriel, métier). La France devient alors le premier pays en Europe à se doter de ce type de réglementation. L’Allemagne suivra la France par une loi votée en décembre 2014.
S’inspirant de la LPM, l’Europe décide de se protéger avec un arsenal législatif contre la cybercriminalité à travers NIS (Network and Information system Security). La directive européenne NIS verra le jour le 6 juillet 2016. Elle sera transposée en droit français le 25 mai 2018. La Loi de Programmation Militaire 2019 – 2025 conforte l’ANSSI comme un acteur incontournable de la sécurité numérique, et autorise l’ANSSI à poser des sondes dans l’Internet pour mieux anticiper les cyberattaques.
Patrick Quintreau-Belleux, Directeur de projets – ITS Group
[*] OIV : Entreprises privées ou publiques, services public dont leur rôle est essentiel au bon fonctionnement du pays et à la protection des populations. On peut citer les banques, les acteurs de l’électricité, les opérateurs en télécommunication, les hôpitaux, les institutions gouvernementales,…
