La cybersécurité est l’affaire de tous !

lundi 03 avril 2017

Par Isabelle MAURANGES-DALMAYRAC

Le ministère de l’Economie et des Finances s'est doté en 2016 d'une politique générale de sécurité des systèmes d'information (PGSSI). Qu’est-ce que la cybersécurité ? En quoi concerne-t-elle les agents ? Réponses avec Christian Dufour, chef du service du

 

La cybersécurité est l’affaire de tous !

MÉTIERS

Le ministère de l’Economie et des Finances s'est doté en 2016 d'une politique générale de sécurité des systèmes d'information (PGSSI). Qu’est-ce que la cybersécurité ? En quoi concerne-t-elle les agents ? Réponses avec Christian Dufour, chef du service du Haut fonctionnaire de défense et de sécurité (SHFDS).

On parle beaucoup de cybersécurité, mais que recouvre exactement ce terme ?

Avec le développement du numérique dans nos sociétés, la cybersécurité recouvre l'ensemble des moyens et des mesures concourant à assurer l'échange et le stockage de l'information de manière sécurisée. La cybersécurité concerne donc aussi bien les éléments de stockage de l’information (cloud, disques durs, clefs usb,) que les « émetteurs », les « récepteurs » (ordinateurs et téléphones) et les réseaux permettant d'établir un lien entre ces derniers : Wifi, Bluetooth….

Comment est organisée la cybersécurité dans notre ministère ? Qui en est le pilote ?

Le code de la défense confie la responsabilité générale de la sécurité des systèmes d’information ministériels au Haut fonctionnaire de défense et de sécurité (HFDS). Isabelle Braun-Lemaire, Secrétaire Générale (SG), assure cette fonction pour le MEF. Elle s’appuie sur le Fonctionnaire de sécurité des systèmes d’information (FSSI), Jean-Philippe Papillon. Ce dernier est en lien permanent avec les autorités qualifiées de sécurité des systèmes d’information (AQSSI), en charge de la gouvernance SSI de chaque direction et service du ministère. Il est la pierre angulaire des relations permanentes entretenues entre le ministère et l'agence nationale de la sécurité des systèmes d'information (ANSSI), rattachée au Premier ministre. Signe de l’importance prise par la cybersécurité, un département (DSSI), dirigé par le FSSI, a été créé au sein du service du HFDS (SHFDS).

En quoi chaque agent est-il concerné par la cybersécurité ?

Selon une enquête Cesin-opinionways , 80 % des entreprises et des organisations interrogées ont constaté au moins une cyberattaque avérée en 2016. Or, la cybersécurité concerne autant les services publics, que les entreprises et les personnes privées. L'agent public doit en particulier prendre conscience que les informations qu’il manipule et  qu’il utilise au quotidien peuvent représenter un intérêt pour une puissance étrangère, des hacktivistes (hacker au service d’une cause politique) ou plus généralement des tiers malveillants.

Cette prise de conscience est importante. Chacun à son niveau doit être conscient du degré de sensibilité des informations qu’elles soient d’ordre économique, industriel, fiscal, commercial, judiciaire qu’il échange avec ses collègues ou avec des interlocuteurs externes (clients, fournisseurs…).  

De son côté, L'Etat, en tant qu’employeur doit mettre à disposition des agents  des outils en matière de sécurité. Il existe ainsi une procédure dite d'homologation qui s'assure du respect des règles de sécurité avant de mettre un nouvel outil informatique ou une nouvelle application à la disposition des agents. C’est un point essentiel qui a été souligné dans notre nouvelle Politique Générale de Sécurité des Systèmes d’Information (PGSSI) ministérielle. Les agents doivent donc disposer d'outils (messagerie, accès sécurisé à une application métier (ex. https), ordinateur portable comportant un disque dur chiffré…) garantissant la sécurité de leurs échanges et de leur travail. Mais il convient aussi de veiller aux usages qui en sont faits, car nous avons trop souvent tendance à nous reposer sur le « matériel ».

Quelles sont les bonnes pratiques que les agents doivent  connaitre ?

On a coutume de dire que la sécurité est l'affaire de tous. La cybersécurité ne déroge pas à ce constat et passe par une mobilisation à tous les niveaux. Tout agent contribue à l'amélioration de la sécurité générale de son service et du ministère en observant des règles d’utilisation simples, mais réellement efficaces. La première des règles est d’être vigilant et de ne pas hésiter à signaler toute action ou réaction « anormale » de son équipement (téléphone, micro-ordinateur principalement). Les agents des services centraux peuvent ainsi contacter le gestionnaire de ressources informatiques décentralisées (GRID) de leur service qui pourra s’adresser au RSSI, qui lui-même peut se tourner vers le DSSI du SHFDS. Il faut bien entendu porter une attention particulière à sa messagerie électronique ! La quasi-totalité des attaques commencent et sont véhiculées par les systèmes de messagerie. Soyez attentif avant de cliquer sur un lien ou une pièce jointe qui vous paraît suspecte ou dont vous ne connaissez pas l’expéditeur, et en cas de doute contactez votre GRID. C'est en étant attentifs ensemble que nous protégerons notre patrimoine informationnel. Les techniques évoluant rapidement, il est nécessaire aussi de sensibiliser régulièrement et de mettre en œuvre  des formations adaptées à tous les métiers et à tous les niveaux de responsabilités. A ce titre, en octobre 2017, le ministère participera à une campagne internationale de sensibilisation à la cybersécurité. Avec le soutien des services du Premier ministre, des directions ministérielles, de l’IGPDE, du SIRCOM  et des écoles rattachées au MEF. Nous allons donc proposer un ensemble d'événements et d’actions pour partager les bonnes pratiques, au niveau ministériel et avec des partenaires et des entités du secteur concurrentiel.

En attendant, soyons attentifs ensemble !

Pour en savoir plus, consultez le site intranet du HFDS :  http://hfds-bercy.alize/cms/accueil/ssi/textes-de-reference-1.html

http://lessentiel.finances.gouv.fr/metiers/la-cybersecurite-est-laffaire-tous

© CESIN