,

De la nécessité de transformer les conseils de sécurité en contraintes

Le domaine de la cyber-sécurité a cela de spécifique qu’il est le seul pouvant mettre à mal un pays tout entier en une seule attaque et dont la responsabilité de défense est majoritairement entre les mains des acteurs privés et non de l’état.

Si un pays est attaqué sur son territoire par un autre pays ou un groupe terroriste, c’est l’armée et la police qui sont en charge de la défense, et l’armée seule de la riposte.

Si un pays est attaqué au niveau de ses infrastructures numériques et celles de ses entreprises, la défense sera assurée par les agences d’état pour les Opérateurs d’Importance Vitale (OIV), et par le privé pour les autres. La riposte quant à elle viendra de l’armée et ne sera pas forcément numérique : les États Unis ont par exemple prévenu qu’une cyberattaque majeure sur leurs infrastructures conduira à une réponse par l’arme nucléaire.

Face à des attaques comme WannaCrypt (simple crypto virus ayant amené la fermeture d’hôpitaux ou d’une usine Renault) ou des cas plus dangereux comme NotPetya (arme de destruction massive de système d’information ayant mis à mal l’Ukraine et fait quelques dommages collatéraux comme chez Saint Gobain ou Maersk) il devient donc nécessaire de se poser la question : la sécurisation des systèmes d’information reste-t-elle un conseil donné aux entreprises ou devient-elle une contrainte légale avec sanction ?

Tout citoyen a l’obligation de porter sa ceinture de sécurité en voiture afin de réduire le taux de mortalité au volant.

Tout citoyen a l’obligation de faire contrôler périodiquement son véhicule afin de suivre l’impact environnemental et le niveau de protection effectif des passagers.

Tout citoyen a l’obligation de sécuriser sa connexion WiFi afin de lutter contre le téléchargement illégal et ainsi protéger l’industrie des maisons de production.

Tout citoyen a l’obligation de vacciner ses enfants contre certaines maladies virales afin d’empêcher toute pandémie.

Toute entreprise française a l’obligation de contrôler que ses sous traitants sont à jour de leurs cotisations sociales afin de réduire les fraudes.

Toute entreprise française a l’obligation de fournir un environnement et des outils de travail conforme aux règles de sécurité, lorsque ceux-ci peuvent provoquer des blessures afin de prévenir les accidents du travail.

Toute entreprise française commandant des travaux de bâtiment a l’obligation de s’assurer du respect des règles de sécurité par ses prestataires afin également de prévenir les accidents du travail.

Au vu de l’actualité récente, n’est-il pas temps d’imposer à l’ensemble des entreprises ayant une activité économique en France l’obligation de sécuriser son système d’information ? Les points obligatoires pourraient être :

  • l’application des mises à jour de sécurité ;
  • la sortie de production des logiciels et équipements informatiques standards qui ne sont plus supportés par un éditeur ;
  • le suivi ou contrôle régulier par des prestataires qualifiés de l’ensemble de ses équipements numériques ;
  • l’obligation faite aux éditeurs de rendre Open Source tout logiciel nécessaire au fonctionnement d’un outil industriel de plus d’une certaine somme qui ne souhaiteraient plus maintenir (et éviter ainsi toute prise au piège des organismes possédant des outils comme des IRM, des scanners, des HPLC, des outils de découpe numérique, etc.).

En d’autres termes, la stabilité opérationnelle et économique d’un pays doit-elle être subordonnée au seul volontariat de ses concitoyens ou devenir la volonté affichée d’une nation ?