Réseau informatique
Le plan de renforcement du réseau informatique approuvé, le 10 mars 2004, par le Premier ministre, faisait déjà état d’un « manque de spécialistes compétents en sécurité des systèmes d’information au sein des différentes administrations particulièrement alarmant ».
Main d’œuvre réseau informatique
En effet, la pénurie de personnel formé, associé au manque de perspectives de carrière au sein de l’Administration et au niveau de rémunération proposé, n’encouragent pas les candidatures dans le réseau informatique. Face aux difficultés de recrutement de personnels, les ministères sont contraints soit à privilégier la spécialisation interne, soit à recourir à l’externalisation.
Ce constat ne doit pas occulter le fait que certains ministères aient mieux intégré la problématique SSI et s’appuient sur des équipes compétentes et motivées. Les ministères s’équipent de manière autonome. L’hétérogénéité du réseau informatique utilisé, rend difficile une approche globale de la sécurité des systèmes d’information des administrations.
Architecture réseau informatique
Pour ce qui est de l’architecture de sécurité, si on peut regretter que la DCSSI n’ait pas un rôle plus directif dans ses missions de conseil, on constate cependant que des progrès ont été accomplis pour faire face à la menace externe. En revanche, la menace interne est insuffisamment prise en considération, en particulier lorsque des ministères disposent d’organes ou de services sous tutelle, le niveau de sécurité n’est pas toujours maintenu et garanti.
Pour ce qui est de l’administration et de l’exploitation du réseau informatique qui reposent avant tout sur des méthodes et sur le personnel, le manque d’effectif formé et des faiblesses de méthodologies peuvent par exemple conduire à une gestion aléatoire des mises à jour de produits, ouvrant des vulnérabilités sur les systèmes.
De plus, aucune politique « produits » globale n’existe dans le domaine de la SSI, et notamment en matière de logiciels libres. C’est pourquoi, la solution consistant à « mettre en place une organisation conjointe de développement de produits de sécurité », présentée par le PRSSI, est à recommander.
Budget du réseau informatique
Une analyse comparative de l’organisation, du budget consacré, de l’existence de schémas directeurs opérationnels, de la classification des données sensibles et de la mise en place de réseau informatique, des ministères de l’Intérieur, de la Défense, de l’Éducation nationale, des Affaires étrangères et de la Santé, révèle une hétérogénéité pour chacun de ces domaines.
Charte du réseau
- en terme d’organisation, il n’y a pas de séparation systématique de la fonction Sécurité des Systèmes d’information et de la Direction des services informatiques, comme il est préférable de le faire, et comme le font la quasi-totalité des acteurs privés auditionnés ;
- il n’existe pas, par ministère, une liste des logiciels associés aux applications traitant de ces données sensibles, démontrant une carence de l’attention portée aux solutions de confiance pour ce type d’application ;
- les chartes utilisateurs existent parfois, en cours d’élaboration pour certaines ou de mise en place pour d’autres ; en tout état de cause, il n’y a pas de règle précise concernant le descriptif précis de ces chartes, la manière de les appliquer, qui doit les signer, et à quel type de document les apposer.
Tout laisse à penser que cette analyse comparative de cinq ministères, est a priori généralisable à l’ensemble du réseau informatique des ministères.
Réussir votre avenir
DIF - CIF