Sécurité numérique : le Premier ministre plus que jamais en première ligne

Le Premier ministre est le régulateur de la sécurité numérique nationale. Le Conseil constitutionnel a confirmé en février dernier l’étendue de ses prérogatives et des garanties nécessaires en la matière. L’affaire « SolarWinds » appelle de telles garanties du côté des fournisseurs d’informatique en nuage.

Par Christophe Clarenc (photo), avocat, cabinet DTMV & Associés

La « transition numérique » de l’économie et des entreprises s’accompagne d’une démultiplication pandémique des violations et compromissions de sécurité des systèmes d’information (1), avec un flot continu de « fuites » massives de données, une industrialisation (à l’état de l’art) de l’exploitation des « failles » de sécurité, et une explosion des cyberattaques critiques.

Chaîne de compromission « SolarWinds »
L’Agence nationale de la sécurité des systèmes d’information (ANSSI) rapporte à cet égard un développement exponentiel à la fois des cyberattaques criminelles par rançongiciels et des menaces d’espionnage, de déstabilisation voire de sabotage à travers les attaques indirectes par rebond dans les chaînes de sous-traitance, d’approvisionnement et de partenariat industriels, dont la propre chaîne des fournisseurs de services d’informatique et d’infogérance en nuage.
Le risque systémique d’attaques ciblées et vectorisées par la chaîne d’approvisionnement informatique est plus que confirmé par la campagne de cheval de Troie menée dans et à partir de la plateforme de gestion et de supervision informatique (Orion) du fournisseur américain SolarWinds, détectée en décembre dernier (2). Par compromission des mises à jour logicielles distribuées par cette plateforme, cette attaque a infiltré et infecté en profondeur les systèmes de près de 18.000 de ses clients-utilisateurs, dont plusieurs départements de l’administration américaine (Pentagone, NSA, Trésor, Justice, Energie), de grands fournisseurs de services informatiques et de cybersécurité comme Microsoft et FireEye, et une série de grands comptes industriels aux Etats-Unis et en Europe.
Reçue comme un « Pearl Harbour » de la « Supply Chain Security », cette affaire a soulevé aux Etats-Unis un tourbillon d’interrogations et d’investigations sur l’état des risques, des faiblesses systémiques, notamment réglementaires, et des défaillances individuelles de sécurité dans l’industrie et la chaîne d’approvisionnement « IT » (Information Technology). Microsoft a répondu que ce type de cyberattaque « sera la norme ». Le New York Times a révélé que les mesures et la politique de sécurité de SolarWinds étaient structurellement déficientes, notamment pour satisfaire aux exigences de profitabilité de ses investisseurs. L’agence Moody’s a considéré que l’affaire « forcera une évaluation approfondie des éditeurs de logiciels » et que « la réglementation sur le risque cyber devrait s’accroître pour la chaîne d’approvisionnement ». La « transition numérique » interroge ainsi plus que jamais les pratiques, les garanties, les responsabilités et la régulation même de la sécurité numérique.
Ce qui, en France, invite à rappeler tout d’abord la fonction institutionnelle du Premier ministre dans la protection et la régulation de la sécurité numérique nationale, à souligner ensuite la force de la récente décision n°2019- 810 QPC du Conseil constitutionnel sur les exigences de contrôle des garanties de sécurité, et à évoquer enfin les nécessités d’un renforcement des certifications obligatoires, des garanties et des responsabilités du côté de la chaine des fournisseurs d’informatique et d’infogérance en nuage. Le Premier ministre est institutionnellement le régulateur de la sécurité numérique nationale.
Au titre de ses attributions de responsable de la défense et de la sécurité nationale, il a pour fonction et mission de définir la politique, de coordonner l’action gouvernementale et de fixer et contrôler le respect des règles nécessaires aux besoins de sécurité des systèmes d’information (SSI) dans le cadre de la défense et de la promotion des intérêts fondamentaux de la nation, dont son indépendance, sa sécurité et les éléments essentiels de son potentiel scientifique, technique et économique incluant la « souveraineté numérique ».

Règles et référentiels de sécurité
Le Premier ministre dispose en particulier à cet effet :
du Secrétariat général de la défense et de la sécurité nationale (SGDSN), qui préside le Comité stratégique de la SSI et prépare la réglementation ;
de l’ANSSI, qui élabore les référentiels d’exigences pour l’évaluation et la qualification des produits et des prestations de confiance pour les besoins de la SSI ;
du Service de l’information stratégique et de la sécurité économiques (SISSE), qui informe sur les entités, les réglementations, les standards de conformité et les pratiques d’affaires extérieurs susceptibles de menacer les technologies, les entreprises et les filières stratégiques pour l’économie française. Le Premier ministre structure les conditions et la filière de la cybersécurité nationale en promouvant et en approuvant les référentiels de qualification et d’exigences des produits de sécurité et des prestataires de service de confiance (3).
Des référentiels de qualification ont été fixés pour les prestataires d’audit de la SSI (PASSI), les prestataires de détection des incidents de sécurité (PDIS), les prestataires de réponse aux incidents de sécurité (PRIS) et les prestataires de services d’informatique en nuage (PSIN IaaS PaaS et SaaS). Ils sont en cours d’élaboration pour les prestations d’administration et de maintenance sécurisées (PAMS) et les prestations d’accompagnement et de contrôle de SSI (PACS).

Pouvoir de régulation du Premier ministre
Le Premier ministre fixe et contrôle le respect des règles de politique de SSI des opérateurs désignés d’importance vitale (OIV) et des opérateurs publics ou privés qui participent à leurs systèmes (4), ainsi que des opérateurs désignés de services essentiels au fonctionnement de la société et de l’économie (OSE) (5). Ces règles recouvrent les domaines de la gouvernance, de la protection, de la défense et de la résilience des systèmes et des activités concernés. Elles obligent ou préconisent le recours aux prestataires de service de confiance qualifiés, et peuvent prescrire le recours à des dispositifs matériels ou logiciels ou à des services informatiques dont la sécurité a été certifiée.
L’ANSSI souligne à cet égard, d’une part, que « la mise en conformité d’un [système d’information essentiel (SIE)] à la réglementation est de la responsabilité de l’opérateur », que « lorsque l’opérateur confie tout ou partie de la conception ou de l’exploitation [de son SIE] à un prestataire, le contrat doit prévoir les mesures de sécurité que le prestataire doit mette en oeuvre », et que « le niveau de sécurité exigé pour [son SIE] est le même que celuici soit directement géré par l‘opérateur ou qu’il soit confié à un prestataire », d’autre part, qu’« un prestataire qualifié fournissant une prestation qualifiée est considéré comme étant de confiance par défaut, alors que si la prestation n’est pas qualifiée, l’opérateur a la responsabilité de s’assurer du respect des exigences de sécurité par son prestataire » (6). Enfin, le Premier ministre contrôle et autorise l’exploitation par les opérateurs de réseaux 5G, directe ou par l’intermédiaire de tiers fournisseurs, des appareils (tous dispositifs matériels et logiciels) de connexion des terminaux au réseau qui, par leurs fonctions (7), présentent un risque pour le respect des règles de permanence, d’intégrité, de sécurité ou de disponibilité du réseau ou de confidentialité des messages transmis et des informations liées aux communications, et refuse l’octroi de cette autorisation s’il estime qu’il existe un risque sérieux d’atteinte aux intérêts de la défense nationale « résultant du manque de garantie du respect [de ces] règles », en considération du « niveau de sécurité » et des « modalités de déploiement et d’exploitation envisagées » de ces dispositifs et du « fait que l’opérateur ou ses prestataires, y compris par sous-traitance, est sous le contrôle ou soumis à des actes d’ingérence d’un Etat non membre de l’Union européenne » (8).
Dans sa décision du 5 février dernier (n°2020-882 QPC), le Conseil constitutionnel a remarquablement validé ce régime de contrôle et d’autorisation par le Premier ministre, en affirmant tout d’abord qu’il mettait « en oeuvre les exigences constitutionnelles inhérentes à la sauvegarde des intérêts fondamentaux de la nation » en ce qu’il avait pour objectif de « prémunir les réseaux mobiles des risques d’espionnage, de piratage et de sabotage pouvant résulter des nouvelles fonctionnalités offertes par la 5G », en soulignant ensuite qu’il ne visait « ni un opérateur ou un prestataire déterminé ni les appareils d’un fabricant déterminé » et que le critère d’appréciation du risque sérieux d’atteinte « dû à l’insuffisance des garanties du respect des règles » lié à la considération du « fait que l’opérateur ou son prestataire est sous le contrôle ou soumis à des actes d’ingérence d’un Etat étranger » est cohérent avec l’objet de l’autorisation, laquelle est accordée « non pas seulement en fonction des caractéristiques de l’appareil », mais aussi au regard des modalités de déploiement et d’exploitation envisagées, « ce qui recouvre les opérations de configuration, de supervision ou de maintenance par des prestataires et sous-traitants ».

Garanties des fournisseurs d’informatique en ligne
Ces exigences constitutionnelles de sécurité numérique nationale pourraient supporter un renforcement des garanties de sécurité et de confiance du côté des fournisseurs d’informatique et d’infogérance en nuage, qui sont à la fois les principaux transitaires et bénéficiaires de la « transformation numérique » et des facteurs et des vecteurs de risques de sécurité bien identifiés avant l’affaire « SolarWinds » (9).
En décembre 2020, l’ANSSI appelait l’Union européenne à « élever le niveau de sécurité de la chaine d’approvisionnement » et à « garantir la sécurisation des chaînes de valeur numériques » en activant des « leviers tels que la certification ou encore l’encadrement de la responsabilité des acteurs privés ». A cette date, aucun des grands fournisseurs d’informatique et d’infogérance en nuage actifs en France ne présentait la certification de confiance de l’ANSSI. Elle n’était que volontaire et pourrait légitimement devenir une « norme » obligatoire. @