L’affaire est passée quasiment inaperçue depuis début mars. Elle a été beaucoup moins médiatisée que l’intrusion informatique de Bercy. Elle reste quand même assez emblématique d’une forme d’inconscience voire d’insouciance professionnelle, pour ne pas dire un cas d’école en matière de sécurité et sûreté informatique.
De quoi s’agit-il ? Le ministère des Affaires Etrangères et Européennes a lancé un appel d’offre en février 2011 portant sur la prestation suivante : « Définition, pilotage et renforcement de la sécurité des systèmes d’information du Ministère des Affaires Etrangères et Européennes« . Et c’est là où les défaillances commencent à se multiplier.
D’abord, l’accès au contenu complet du dossier de l’appel d’offres se fait depuis la place de marché interministérielle, sans aucune identification nécessaire. En effet, le site propose en outre l’option de télécharger anonymement le dossier de consultation. Donc pas besoin d’être un spécialiste des serveurs proxys et des techniques furtives et d’anonymat en ligne pour pouvoir récupérer le contenu.
Ensuite, en feuilletant le contenu du dossier de consultation, on identifie 3 documents clefs qui décrivent quasiment dans les moindres détails les caractéristiques du système d’information du ministère. Le CCTP précise par exemple les éléments de dimensionnement du SI, les composantes techniques et leur degré de priorité, les moyens d’infrastructure et de système tout comme la volumétrie attendue (nombre de serveurs, nombre de passerelles, proxys…) Par ailleurs, le même document précise le degré d’importance accordé aux besoins en matière de sécurité du SI du ministère. C’est à dire que pour un malfaiteur (pour ne pas dire un terroriste), il est possible d’estimer de manière précise les ressources actuelles et potentielles ainsi que les degrés de faiblesses/menaces du SI en s’appuyant sur les degrés de priorisation par exemple. Puisque ce qui est jugé comme étant le plus prioritaire peut être interprété comme étant le maillon le plus faible de la chaîne.
Mais le plus frappant, et le plus délicat des informations, se trouve dans deux documents produits par la société Solucom : Le rapport d’analyse des risques pesant sur le SI du ministère et la note de cadrage. Outre le contenu assez sensible de ces documents (même si la production est datée de 2006), certains passages sont masqués pour camoufler le contenu qui est derrière. Sauf que à l’aide d’un simple copier-coller du contenu caché, il est facile de connaître ce qui se cache derrière 
Et dire que ce sont des spécialistes de la sécurité et sûreté qui l’ont produit. On peut y trouver à titre d’exemple certaines mentions invitant les interlocuteurs à se rapprocher rapidement de contacts au niveau de la DGSE.
Il est évident que pour pouvoir postuler à ce type d’appel d’offres et apporter une réponse adéquate, les prétendants auront besoin de ces détails techniques et organisationnels. Toutefois, là où le bât blesse, c’est que le contenu du dossier de consultation est en accès libre, sans aucune restriction ni traçabilité. Par ailleurs, certains documents ne méritent pas de figurer, au moins dans un premier temps, dans le dossier de consultation. Il aurait été plus sage de les soumettre aux prétendants individuellement, post-publication de l’appel d’offres. Enfin, ayant participé à certains appels d’offres, il était nécessaire de procéder en 2 étapes : d’abord un passage par une enquête/qualification fine des prétendants et ensuite la transmission des documents utiles et nécessaires. Ce n’est que l’appel d’offres remporté, que le prestataire pourra disposer d’autres documents plus sensibles.
C’est bien là donc qu’il est facile de se rendre compte que le risque qui pèse sur les systèmes d’informations du gouvernement et de ses ministères réside bel et bien dans le maillon humain. Il constitue la principale vulnérabilité (à mes yeux) de tout système d’information. La gouvernance de l’ANSSI a encore du travail à faire, passant par un long parcours de sensibilisation et de formation.
Loading ...
