Les Sénateurs américains chiffrent désormais toutes leurs données, la France elle avance à tout petit pas

Atlantico : ZDNet rapporte que le Sénat des Etats-Unis va généraliser l'emploi du chiffrement des données, sur tous les ordinateurs de l'institution. En France, quelles sont les mesures de cybersécurité prises par le Parlement ?

Franck DeCloquement : Il est d’ores et déjà acquis que le Sénat des Etats-Unis autorisera très prochainement le cryptage des disques durs installés sur tous les micro-ordinateurs utilisés par les personnels et les représentants de l’institution. Il s’agit au demeurant d’une mesure de sécurité assez élémentaire, somme toute. Cette décision ayant pour vocation immédiate d’empêcher ou d’entraver les risques d’espionnage patents - ou les criminels informatiques de tous poils –de pirater des données confidentielles ou sensibles qui pourraient être éventuellement extraites de matériels informatiques compromis…La décision a été prise en octobre dernier par le Comité sénatorial du règlement et de l'administration, qui a chargé l’officier de sécurité du Sénat d'entamer sans tarder ce processus de cryptage des données. Compte tenu des risques« cyber »accrus dans un contexte international  particulièrement durci, cette nouvelle politique de sécurité a pour vocation raisonnable de rendre la tâche beaucoup plus difficile aux éventuels prédateurs informatiques d'accéder aux données sensibles des membres du Sénat. Un risque particulièrement élevé dans le cas des ordinateurs portables, communément considérés comme beaucoup plus vulnérables que les postes fixes en cas d’intrusions, ou d’actions offensives étrangères. Et ceci, compte tenu de leur usage légitime dans le cadre des déplacements professionnels, ou quand les sénateurs américains les ramènent chez eux. 
Aucuns détails concernant le calendrier exact de cette mise en place ne sont pour l’heure connus. Ni même l'avancement du processus de chiffrement des disques. Rien n’a encore été communiqué. Cependant les sénateurs américains, ainsi que tous les personnels peuvent espérer que cette transition soit mieux déployée que celle de l’authentification « multifacteurs ». Un rapport gouvernemental préoccupant publié en septembre dernier avait ainsi révélé qu’à peine 11% des périphériques du département d'État (U.S. Department of State), utilisaient en réalité ce moyen d’authentification... Un constat plutôt alarmant au regard de la prégnance des risques cybermalveillants consécutifs. 
En France, la Constitution a prévu que nos sénateurs bénéficient de protections accrues, ainsi que des moyens bureautiques et de communications confortables nécessaires au bon déroulement de leur mandat. Nos sénateurs sont choyés. À l'heure d'Internet et des logiciels performants, en prenant leurs fonctions, ceux-ci disposent en outre d'une subvention de 1.000 euros pour leur équipement informatique, et de quatre lignes téléphoniques. Le Sénat est, avec l’Assemblée nationale, l’une des deux chambres qui composent le Parlement. Il vote la loi, contrôle l’action du gouvernement et évalue les politiques publiques. Conséquemment, la direction des Systèmes d’Information (DSI) du Sénat comprend au total une petite quarantaine de personnes dont une trentaine d’informaticiens, pour la plupart issus d’écoles d’ingénieurs. Les activités de la DSI se répartissent entre deux divisions : la division des applications informatiques, qui comprend elle-même une équipe d’informaticiens dédiée aux applications documentaires (qui œuvre au développement d’applications conçues pour accompagner les sénateurs et les directions dans l’exercice des missions institutionnelles du Sénat), et notamment dans les domaines législatifs et celui du contrôle (rapports parlementaires, questions parlementaires, processus législatif et base de gestion des amendements et d’examen des textes législatifs, contrôle de l’application des lois…). Mais aussi d’une une équipe d’informaticiens dédiée aux applications de gestion, qui œuvre au développement d’applications spécifiquement, conçues pour faciliter l’exercice du mandat parlementaire et le fonctionnement administratif propre à l’institution et à la maintenance de progiciels de gestion (paies et ressources humaines, comptabilité, concours de recrutement, etc…)
La division des équipements, de l’administration et de la sécurité des systèmes d’information du Sénat quant à elle, s’appuie sur une équipe d’administrateurs systèmes qui gère un parc d’une centaine de serveurs. Elle assure au demeurant  la sécurité du système d’information via une douzaine d’appliances de sécurité, de même que la gestion de bases de données (Oracle, SQL…), du « backoffice » du système d’information, de l’évolution des applications de messagerie et des serveurs web, sans oublier la gestion et les bons paramétrages du réseau Wi-Fi.

La sensibilisation de nos parlementaires aux risques cyber est-elle suffisante en France ?

Très concrètement, les tensions géopolitiques à l’international ne stoppent naturellement pas aux portes de nos parlementaires, de nos ministres, de nos députés ou encore de nos sénateurs. Et dans un monde de plus en plus morcelé par les soubresauts violents, les actions subversives, et soumis à des pressions extérieures continuelles et malveillantes, nos parlementaires français s’informent en continue sur les dangers usuels face à certaines parties prenantes étrangères très offensives en matière d’actions « diplomatiques non-conventionnelles », selon l’expression euphémique consacrée...
Nombreux sont les parlementaires qui s’informent et légifèrent en ce sens, très conscients pour certains d’entre eux des risques régaliens consécutifs à un relâchement prudentiel en la matière. C’est le cas par exemple des députés qui interviennent et échangent sur ces sujets d’importance vitale, aux côtés d’experts ou de spécialistes invités en délégation officielles, dans le cadre de la Cyber Task Force.Une initiative pour acculturer nos parlementaires, et mettre en lien un certain nombre d’acteurs, au premier rang desquels nos députés, sur les enjeux de cybersécurité selon les vœux de son fondateur Sébastien Garnault. À  l’image de la députée de la Loire Valéria Faure-Muntian, desparlementaires français très présents également, mais aussi engagés aux côtés des acteurs majeurs du secteur tout au long de l’année, dans les manifestations phares de la planète« cyber » (Les Assises de la Sécurité et des Systèmes d’Information de Monaco, Le FIC de Lille, l’European Cyber Week de Rennes, etc.). À l’heure de la directive NIS et du Règlement général sur la protection des données (RGPD), il est en effet urgent et heureux que nos élus appréhendent ces enjeux stratégiques. Beaucoup d’entre eux promeuvent et relaient très activement d’ailleurs, les initiatives très en pointe sur le sujet de l’ANSSI (L’Agence Nationale de la Sécurité des Systèmes d’Information), à travers son petit« guide d’hygiène informatique en 42 mesures simples ». Mais aussi celles de sa « petite sœur de cœur »,nouvellement éclose, et en pleine ascension dans l’assistance et la prévention du risque numérique à travers sa plateforme : « cybermalveillance.gouv.fr »
Cette sensibilisation accrue aux risques passe en outre par ce dispositif national d’assistance aux victimes d’actes de cybermalveillance, nous expliquaient encore récemment et conjointement, Franck Gicquel, responsable des partenariats du « dispositif national d’assistance aux victimes de cybermalveillance », et Jérôme Notin, directeur général du groupement d'intérêt public Acyma (Action contre la cybermalveillance), le GIP chargé de l'information, la prévention et l'aide en cas d'attaques, à destination des particuliers, TPE/PME et collectivités. À travers la diffusion d’un kit de sensibilisation, mais aussi la création d’une plateforme et de« parcours » dédiés, ou chacun peut aisément et très pratiquement rapporter les méfaits dont il a pu être victime en l’occurrence. À l’ordre du jour, celui-ci a d’ores et déjà enregistré à cet effet plus de 28000 « parcours » de victimes (Particuliers et TPE). 500 en janvier 2018 et 4000 en octobre dernier insistait dans un récent tweet aux assises parlementaires de Rennes durant l’European Cyber Week, le député LREM Eric Bothorel. Une spectaculaire et fulgurante progression des attaques au demeurant, dont chacun de nous peut être un jour ou l’autre la cible malheureuse, en l’occurrence. À commencer par nos parlementaires eux-mêmes. Beaucoup en sont très conscients aujourd’hui et militent désormais sans relâche, pour une considération accrue de ses nouveaux risques émergents.

Globalement, la sécurité des systèmes d’information n'est-il pas un problème d’importance majeure, dans l'optique où la plus grande faille de sécurité exploitable par une action malveillante  se situe toujours entre « la chaise et l'écran » ?

Vous posez évidemment là le problème récurrent, en lien avec nos vulnérabilités trop humaines…À l’image de nos biais perceptifs très souvent mis à profit par les prédateurs informatiques déterminés, à travers leurs actions manipulatoires de « sociale ingénierie ». Et plus spécifiquement, quand nous savons par ailleurs que nous sommes tous affectés d’une fâcheuse tendance à minimiser de surcroit les risques qui nous guettent. Et ceci, quelle qu’en soit leur nature véritable au fond… 
Dans ce contexte délétère, rien de surprenant à ce que le sénateur américain démocrate de l'Oregon, Ron Wyden, ait été à l'origine de cette volonté du Sénat des Etats-Unis de déployer sans plus tarder le chiffrement sur les ordinateurs de l’institution. Auparavant, ce même sénateur avait également demandé au gouvernement de ne plus utiliser Adobe Flash sur ses ordinateurs et ses sites. Il avait en outre exhorté le ministère de la défense de faire transférer tous ses sites sur HTTPS d'ici à la fin de l'année 2018, et avait aussi demandé au coordinateur de la cybersécurité de la Maison-Blanche de déployer une solution qui soit en mesure de bloquer les publicités sur les réseaux et les ordinateurs du gouvernement américain. Et ceci afin de lutter efficacement contre les publicités intrusives et malveillantes capables de cibler, d’hameçonner, d’infecter, de rançonner et/ou de compromettre les matériels informatiques utilisés par les personnels et les sénateurs eux-mêmes. Il avait aussi demandé au DHS de déployer une technologie émergente de chiffrage répondant au doux patronyme d’ « Encrypted Server Name Identification »(ESNI).
Ron Wydenest également connu pour avoir dénoncé les prises de position du directeur du FBI qu’il considère « mal informé », sur à propos des« portes dérobées » dans les dispositifs informatiques… Autrement dit, les « trappes » ou « backdoor » numériques, existantes parfois au sein même des dispositifs de chiffrement souvent mis en œuvre… Il a outre poussé les opérateurs américains dans le domaine des télécommunications, à l’image de Verizon, Sprint, AT & T et T-Mobile, à cesser de partager les données de localisation des téléphones portables en temps réel, avec des sociétés tierces, révélant par la même occasion que les autorités américaines n’avaient pas correctement vérifié les passeports des visiteurs depuis plus d'une décennie... Un sénateur visiblement très conscient et informé des risques émergents au demeurant.