Le Livre blanc de la Défense et de la Sécurité nationale a élevé en 2008 en France la sécurité des systèmes d’information (SSI) au rang de priorité. Les orientations retenues appellent notamment au développement de capacités informatiques militaires offensives et défensives.
S’il est peut-être à la portée de l’armée française de se doter de l’armement numérique adéquat, des doctrines d’emploi associées et des spécialistes chargés de les maintenir et de les appliquer, il semble également plus que nécessaire de relever le niveau de sécurité des entreprises comme des particuliers. En la matière, le Livre blanc limite souvent son propos aux opérateurs d’infrastructures vitales mais les carences sont générales.
Ainsi, au-delà des opérations militaires, la sécurité des systèmes d’information concerne très largement l’économie civile. C’est un domaine d’activité en fort développement, qui a connu ces dernières années des mutations fondamentales liées à l’émergence de l’économie et de la société numériques.
L’un de nos problèmes est qu’il s’agit d’un domaine où les Français demeurent largement dominés.
Déjà, en 2006, le rapport du député Pierre Lasbordes posait sur les questions de sécurité des SI un diagnostic alarmant. La prolifération des menaces et l’extrême vulnérabilité des systèmes rendaient particulièrement regrettables l’insuffisante prise de conscience de la situation et la faiblesse quasi irréversible de l’offre industrielle française de SSI.
Mais le retard de notre pays ne touche pas que l’offre technologique. Il touche également l’offre cognitive.
Conceptualiser les systèmes d’information, notamment leur gestion, leur sécurité, leurs risques, devient aujourd’hui une tâche complexe, quelles que soient les technologies sous-jacentes. Plusieurs associations interprofessionnelles se penchent sur ces questions. Elles élaborent et maintiennent des corpus de connaissances techniques et managériales. En règle générale, ces associations, indépendantes des constructeurs et des éditeurs de logiciels, proposent des publications méthodologiques, des évènements et des certifications professionnelles.
S’agissant de la SSI, l’ISACA, l’(ISC)² et l’EC-Council sont des associations incontournables. Elles délivrent des certifications en audit IT (CISA), en management de la SSI (CISM), en sécurité technique générale (CISSP et suivants), en tests d’intrusion (CEH et suivants), en analyse post-mortem (CHFI). Bien que de vocation internationale, ces associations demeurent essentiellement américaines. Le DoD participe d’ailleurs lui aussi en proposant depuis quelques années un ensemble de certifications de sécurité réseau (SCNS, SCNP, SCNA).
Le cas de l’ISACA est éclairant. L’Information Systems Audit and Control Association maintient notamment plusieurs référentiels méthodologiques (COBIT, VAL IT, RISK IT). Elle est relayée en France par l’Association Française d’Audit Informatique (AFAI), qui n’a pas de concurrents.
Le produit phare de l’ISACA est le COBIT (Control Objectives for Information and related Techonology), un cadre de référence mondialement reconnu en gouvernance des SI. Il est intéressant de constater que parmi les 139 personnes figurant dans la liste des remerciements du document officiel (en version 4.1) se trouvent notamment 45% d’Américains, 14% de Belges, 9% de Canadiens, 6% de Britanniques et d’Australiens, 4% de Sud-africains, 2% de Suisses, d’Autrichiens et de Singapouriens, 1,5% de Français. La France y rayonne à égalité avec l’Uruguay et le Danemark et devant la Nouvelle-Zélande, le Portugal, la Colombie, Hong-Kong et le Pérou.
La supériorité des Américains est écrasante. La quasi-absence des Français apparaît presque coupable. En agrégeant géographiquement ces résultats, nous arrivons à 54% de représentation pour l’Amérique du nord et 28% pour l’Europe. En les agrégeant culturellement, nous trouvons près de 70% pour la zone d’influence anglo-saxonne (Etats-Unis, Canada, Royaume Uni, Common Wealth, etc.).
L’organisation de normalisation ISO est également un acteur montant du management de la sécurité des SI, avec la publication progressive de la famille des normes 27000. Ici, le Japon est archi-dominant. Il cumule en septembre 2009 56% des certificats obtenus par des organisations, ce qui traduit sa forte culture de la qualité (Kaisen). La France se limite pour sa part à 0,2%.
Il s’agit d’exemples focalisés. Les partisans de l’excellence à la française pourraient trouver des contre-exemples. De nombreuses écoles d’ingénieurs et universités délivrent en effet en France un enseignement supérieur de qualité, technique ou managérial. La recherche française peut être source d’innovation. Les cabinets d’audit et de conseil, les entreprises disposent de ressources humaines compétentes. L’Etat également entretient des expertises extrêmement pointues.
Toutefois, cela reste largement insuffisant pour renverser l’équilibre général des forces et en tous cas pour rayonner internationalement. Dans le domaine de la sécurité des SI, les combats des normes et des technologies s’avèrent mal engagés.
Sources :
Le Livre blanc de la Défense et de la Sécurité nationale.
Le document officiel du COBIT 4.1.
La liste des certificats ISO 27000 par pays (www.iso27001certificates.com)
S’il est peut-être à la portée de l’armée française de se doter de l’armement numérique adéquat, des doctrines d’emploi associées et des spécialistes chargés de les maintenir et de les appliquer, il semble également plus que nécessaire de relever le niveau de sécurité des entreprises comme des particuliers. En la matière, le Livre blanc limite souvent son propos aux opérateurs d’infrastructures vitales mais les carences sont générales.
Ainsi, au-delà des opérations militaires, la sécurité des systèmes d’information concerne très largement l’économie civile. C’est un domaine d’activité en fort développement, qui a connu ces dernières années des mutations fondamentales liées à l’émergence de l’économie et de la société numériques.
L’un de nos problèmes est qu’il s’agit d’un domaine où les Français demeurent largement dominés.
Déjà, en 2006, le rapport du député Pierre Lasbordes posait sur les questions de sécurité des SI un diagnostic alarmant. La prolifération des menaces et l’extrême vulnérabilité des systèmes rendaient particulièrement regrettables l’insuffisante prise de conscience de la situation et la faiblesse quasi irréversible de l’offre industrielle française de SSI.
Mais le retard de notre pays ne touche pas que l’offre technologique. Il touche également l’offre cognitive.
Conceptualiser les systèmes d’information, notamment leur gestion, leur sécurité, leurs risques, devient aujourd’hui une tâche complexe, quelles que soient les technologies sous-jacentes. Plusieurs associations interprofessionnelles se penchent sur ces questions. Elles élaborent et maintiennent des corpus de connaissances techniques et managériales. En règle générale, ces associations, indépendantes des constructeurs et des éditeurs de logiciels, proposent des publications méthodologiques, des évènements et des certifications professionnelles.
S’agissant de la SSI, l’ISACA, l’(ISC)² et l’EC-Council sont des associations incontournables. Elles délivrent des certifications en audit IT (CISA), en management de la SSI (CISM), en sécurité technique générale (CISSP et suivants), en tests d’intrusion (CEH et suivants), en analyse post-mortem (CHFI). Bien que de vocation internationale, ces associations demeurent essentiellement américaines. Le DoD participe d’ailleurs lui aussi en proposant depuis quelques années un ensemble de certifications de sécurité réseau (SCNS, SCNP, SCNA).
Le cas de l’ISACA est éclairant. L’Information Systems Audit and Control Association maintient notamment plusieurs référentiels méthodologiques (COBIT, VAL IT, RISK IT). Elle est relayée en France par l’Association Française d’Audit Informatique (AFAI), qui n’a pas de concurrents.
Le produit phare de l’ISACA est le COBIT (Control Objectives for Information and related Techonology), un cadre de référence mondialement reconnu en gouvernance des SI. Il est intéressant de constater que parmi les 139 personnes figurant dans la liste des remerciements du document officiel (en version 4.1) se trouvent notamment 45% d’Américains, 14% de Belges, 9% de Canadiens, 6% de Britanniques et d’Australiens, 4% de Sud-africains, 2% de Suisses, d’Autrichiens et de Singapouriens, 1,5% de Français. La France y rayonne à égalité avec l’Uruguay et le Danemark et devant la Nouvelle-Zélande, le Portugal, la Colombie, Hong-Kong et le Pérou.
La supériorité des Américains est écrasante. La quasi-absence des Français apparaît presque coupable. En agrégeant géographiquement ces résultats, nous arrivons à 54% de représentation pour l’Amérique du nord et 28% pour l’Europe. En les agrégeant culturellement, nous trouvons près de 70% pour la zone d’influence anglo-saxonne (Etats-Unis, Canada, Royaume Uni, Common Wealth, etc.).
L’organisation de normalisation ISO est également un acteur montant du management de la sécurité des SI, avec la publication progressive de la famille des normes 27000. Ici, le Japon est archi-dominant. Il cumule en septembre 2009 56% des certificats obtenus par des organisations, ce qui traduit sa forte culture de la qualité (Kaisen). La France se limite pour sa part à 0,2%.
Il s’agit d’exemples focalisés. Les partisans de l’excellence à la française pourraient trouver des contre-exemples. De nombreuses écoles d’ingénieurs et universités délivrent en effet en France un enseignement supérieur de qualité, technique ou managérial. La recherche française peut être source d’innovation. Les cabinets d’audit et de conseil, les entreprises disposent de ressources humaines compétentes. L’Etat également entretient des expertises extrêmement pointues.
Toutefois, cela reste largement insuffisant pour renverser l’équilibre général des forces et en tous cas pour rayonner internationalement. Dans le domaine de la sécurité des SI, les combats des normes et des technologies s’avèrent mal engagés.
Sources :
Le Livre blanc de la Défense et de la Sécurité nationale.
Le document officiel du COBIT 4.1.
La liste des certificats ISO 27000 par pays (www.iso27001certificates.com)