Sécurité numérique : le Premier ministre plus que jamais en première ligne

Le Premier ministre est le régulateur de la sécurité numérique nationale. Le Conseil constitutionnel a confirmé en février dernier l’étendue de ses prérogatives et des garanties nécessaires en la matière. L’affaire « SolarWinds » appelle de telles garanties du côté des fournisseurs d’informatique en nuage.

Par Christophe Clarenc (photo), avocat, cabinet DTMV & Associés

La « transition numérique » de l’économie et des entreprises s’accompagne d’une démultiplication pandémique des violations et compromissions de sécurité des systèmes d’information (1), avec un flot continu de « fuites » massives de données, une industrialisation (à l’état de l’art) de l’exploitation des « failles » de sécurité, et une explosion des cyberattaques critiques. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) rapporte à cet égard un développement exponentiel à la fois des cyberattaques criminelles par rançongiciels et des menaces d’espionnage, de déstabilisation voire de sabotage à travers les attaques indirectes par rebond dans les chaînes de sous-traitance, d’approvisionnement et de partenariat industriels, dont la propre chaîne des fournisseurs de services d’informatique et d’infogérance en nuage. Le risque systémique d’attaques ciblées et vectorisées par la chaîne d’approvisionnement informatique est plus que confirmé par la campagne de cheval de Troie menée dans et à partir de la plateforme de gestion et de supervision informatique (Orion) du fournisseur américain SolarWinds, détectée en décembre dernier (2).

Chaîne de compromission « SolarWinds »
Par compromission des mises à jour logicielles distribuées par cette plateforme, cette attaque a infiltré et infecté en profondeur les systèmes de près de 18.000 de ses clients-utilisateurs, dont plusieurs départements de l’administration américaine (Pentagone, NSA, Trésor, Justice, Energie), de grands fournisseurs de services informatiques et de cybersécurité comme Microsoft et FireEye, et une série de grands comptes industriels aux Etats-Unis et en Europe. Reçue comme un « Pearl Harbour » de la « Supply Chain Security », cette affaire a soulevé aux Etats-Unis un tourbillon d’interrogations et d’investigations sur l’état des risques, des faiblesses systémiques, notamment réglementaires, et des défaillances individuelles de sécurité dans l’industrie et la chaîne d’approvisionnement « IT » (Information Technology). Microsoft a répondu que ce type de cyberattaque « sera la norme ». Le New York Times a révélé que les mesures et la politique de sécurité de SolarWinds étaient structurellement déficientes, notamment pour satisfaire aux exigences de profitabilité de ses investisseurs. L’agence Moody’s a considéré que l’affaire Continuer la lecture