MONACO, 7 octobre 2011 (AFP) - Patrick Pailloux, le directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), a rappelé à l'ordre vendredi à Monaco les entreprises et les administrations, jugeant leurs systèmes de protection informatique "en danger" car "perméables".
"La situation ne peut pas rester comme elle est, les systèmes d'information sont en danger et on a parfois l'impression qu'ils ont été abandonnés à leur sort", a déclaré M. Pailloux.
Dans son discours, M. Pailloux - qui concluait les Assises de la sécurité et des systèmes d'information de Monaco (5-7 octobre) - n'a cité aucune entreprise.
Mais il y a quelques jours, le géant français du nucléaire Areva a annoncé avoir été victime d'une attaque informatique.
Le piratage a nécessité l'intervention des services de l'ANSSI, agence rattachée au Secrétariat général de la Défense et de la Sécurité nationale, un service du Premier ministre. Areva a affirmé que l'attaque avait porté sur "des informations non critiques et pas sur des informations sensibles".
"On est bien bien loin du compte. La situation quotidienne, la réalité du terrain, est que nos services d'information sont bien souvent perméables, et que des acteurs malveillants en ont largement profité. On fait souvent de la sécurité cache-sexe, qui ne mange pas de pain et qui au final ne dérange personne", selon M. Pailloux.
"Il faut reprendre le contrôle de nos propres systèmes, il n'y a pas de fatalité, c'est possible car ce n'est pas si difficile que cela. Il faut se mobiliser pour que les règles élémentaires de sécurité soient respectées", a dit le responsable de l'ANSSI.
En mars, Bercy avait été victime d'une vaste attaque visant les dossiers ultra-sensibles de la présidence du G20. L'ANSSI l'avait qualifiée d'"espionnage pur" dont l'objectif était de "voler de l'information de façon ciblée". Et si "beaucoup d'informations exfiltrées" par les cybercriminels étaient "très banales", il y avait "aussi des éléments sensibles", selon l'agence.
Les entreprises et les administrations "ont oublié les bases, elles font de la sécurité périphérique et mettent des outils très sophistiqués, mais elles laissent des portes grandes ouvertes, comme des mises à jour qu'elles oublient de faire, ou des systèmes qu'elles omettent de surveiller", a également expliqué M. Pailloux dans une déclaration à l'AFP.
"Par exemple, est-ce que quelqu'un vérifie quelles sont les personnes qui ont accès à la messagerie du PDG? Il arrive que des pirates s'octroient le droit de lecture", souligne-t-il.
"Avec un peu de rigueur, une entreprise peut significativement améliorer sa situation, il y a des règles élémentaires qu'elles ont oubliées. Je ne veux pas stigmatiser qui que ce soit, car je crois que la situation est plus ou moins la même partout", a ajouté M. Pailloux.
En mai, François Fillon avait annoncé que les moyens de l'Agence créée en 2009 allaient être renforcés, la dotant notamment d'une "brigade d'intervention" d'une trentaine de membres doit être capable d'intervenir dès l'apparition de "premiers indices d'une attaque informatique".
kd/fz/DS
"La situation ne peut pas rester comme elle est, les systèmes d'information sont en danger et on a parfois l'impression qu'ils ont été abandonnés à leur sort", a déclaré M. Pailloux.
Dans son discours, M. Pailloux - qui concluait les Assises de la sécurité et des systèmes d'information de Monaco (5-7 octobre) - n'a cité aucune entreprise.
Mais il y a quelques jours, le géant français du nucléaire Areva a annoncé avoir été victime d'une attaque informatique.
Le piratage a nécessité l'intervention des services de l'ANSSI, agence rattachée au Secrétariat général de la Défense et de la Sécurité nationale, un service du Premier ministre. Areva a affirmé que l'attaque avait porté sur "des informations non critiques et pas sur des informations sensibles".
"On est bien bien loin du compte. La situation quotidienne, la réalité du terrain, est que nos services d'information sont bien souvent perméables, et que des acteurs malveillants en ont largement profité. On fait souvent de la sécurité cache-sexe, qui ne mange pas de pain et qui au final ne dérange personne", selon M. Pailloux.
"Il faut reprendre le contrôle de nos propres systèmes, il n'y a pas de fatalité, c'est possible car ce n'est pas si difficile que cela. Il faut se mobiliser pour que les règles élémentaires de sécurité soient respectées", a dit le responsable de l'ANSSI.
En mars, Bercy avait été victime d'une vaste attaque visant les dossiers ultra-sensibles de la présidence du G20. L'ANSSI l'avait qualifiée d'"espionnage pur" dont l'objectif était de "voler de l'information de façon ciblée". Et si "beaucoup d'informations exfiltrées" par les cybercriminels étaient "très banales", il y avait "aussi des éléments sensibles", selon l'agence.
Les entreprises et les administrations "ont oublié les bases, elles font de la sécurité périphérique et mettent des outils très sophistiqués, mais elles laissent des portes grandes ouvertes, comme des mises à jour qu'elles oublient de faire, ou des systèmes qu'elles omettent de surveiller", a également expliqué M. Pailloux dans une déclaration à l'AFP.
"Par exemple, est-ce que quelqu'un vérifie quelles sont les personnes qui ont accès à la messagerie du PDG? Il arrive que des pirates s'octroient le droit de lecture", souligne-t-il.
"Avec un peu de rigueur, une entreprise peut significativement améliorer sa situation, il y a des règles élémentaires qu'elles ont oubliées. Je ne veux pas stigmatiser qui que ce soit, car je crois que la situation est plus ou moins la même partout", a ajouté M. Pailloux.
En mai, François Fillon avait annoncé que les moyens de l'Agence créée en 2009 allaient être renforcés, la dotant notamment d'une "brigade d'intervention" d'une trentaine de membres doit être capable d'intervenir dès l'apparition de "premiers indices d'une attaque informatique".
kd/fz/DS
