La sécurité informatique de l'Etat bien plus mauvaise que prévu

Notamment par la faute des "facteurs humains" et d'un manque de priorité dans l'investissement, l'Agence nationale de sécurité des systèmes d'information (ANSSI) a dû revoir fortement à la baisse ses prévisions et objectifs de sécurisation des systèmes informatiques de l'administration.

A l'occasion de la préparation du projet de loi de finances pour 2015, le Gouvernement a publié une annexe budgétaire (.pdf) qui détaille l'état d'avancement de différents objectifs fixés les années précédentes par l'Etat, dans différents domaines. Les indicateurs relatifs à la sécurisation des systèmes informatiques de l'Etat s'y révèlent beaucoup plus bas que prévus, et incitent le Gouvernement à davantage de prudence pour les nouvelles prévisions. Même si la cyber-défense est désormais une priorité gouvernementale.

Ainsi, l'Agence nationale de sécurité des systèmes d'information (ANSSI) établit chaque année une notation de la "maturité globale en sécurité des systèmes d'information de l'Etat", qui reflète l’écart entre le niveau de maturité "effectif" constaté par l'agence, et le niveau de maturité "considéré comme adéquat en fonction de l’activité du ministère. L'ANSSI travaille à la fois sur la base des réponses à des questionnaires envoyés aux différents ministères, et sur les constatations consécutives à ses propres inspections.

Pour 2014, il était prévu il y a un an que l'Etat atteigne une note de "maturité" de 3,8 sur 5, bien meilleure que la note de 3,1 obtenue en 2013. Mais finalement, l'ANSSI ne table plus que sur une note réelle de 3,4 sur 5 obtenue pour 2014, et prévoit d'atteindre une note de seulement 3,6 sur 5 en 2017. C'est-à-dire moins bien que ce qui était prévu pour cette année.

Le blues des informaticiens
"L'optimisme affiché (...) dans la prévision pour 2014 doit être révisé au vu des dernières appréciations remontées à l’ANSSI par les FSSI (fonctionnaires de sécurité des systèmes d'information, ndlr) des départements ministériels", explique le Gouvernement. "La moitié d’entre eux doutent que (les) facteurs d’amélioration puissent contrebalancer l’insuffisance de ressources financières et humaines dans leurs ministères, l’évolution de la menace, l’ouverture des systèmes d’information (utilisateurs extérieurs à l’administration, nomadisme, …) et le fait que le critère de la sécurité passe généralement loin derrière ceux des coûts et de la facilité d’usage dans les investissements ou dans l’affectation de ressources humaines".
Pour toutes ces raisons, le Gouvernement envisage désormais l'évolution de l'indicateur avec "prudence".

"Selon le degré de prise en compte de la cyber-défense dans les ministères, cette cible pourra être dépassée ou au contraire non atteinte", prévient l'annexe budgétaire.
De même, le Gouvernement présente un indicateur du "niveau d'avancement des grands projets interministériels" en matière de sécurité informatique. Alors que le budget 2014 tablait sur un dépassement des objectifs (105 % de réalisation), la réalité des chiffres est rude. Seulement 81 % des grands projets (connexion des administrations au centre de détection des attaques, adoption d'équipements sécurisés, labellisation de produits...) seront réalisés d'ici la fin de l'année.
Il s'agit toutefois d'un effet mécanique induit par la révision à la hausse des travaux à réaliser, dont la liste avait été fixée en 2009. Mais le progrès reste lent. Pour 2017, l'Etat estime que 89 % des "grands travaux" seront réalisés. "Une croissance satisfaisante" compte tenu des objectifs révisés, assure le Gouvernement.
Sources:
http://www.numerama.com/magazine/31231-la-securite-informatique-de-l-etat-bien-plus-mauvaise-que-prevu.html

Vers un meilleur dialogue entre auditeurs internes et externes

Les professionnels de l’audit interne et les audits externes souhaitent améliorer leur coopération pour gagner en efficacité.

Auditeurs internes et externes la main dans la main ? On y viendra peut-être un jour. Affichant la volonté de mieux coopérer, les deux associations représentant ces professionnels du contrôle – l’IFACI (Institut français de l’audit et du contrôle interne) et la CNCC (Compagnie Nationale des Commissaires aux Comptes) – présentent en effet aujourd’hui une prise de proposition dont le titre lui-même est parlant : « Améliorer la coopération entre l’audit interne et l’audit externe » (1).
Le principe sous-jacent de cette publication est simple : la collaboration entre les auditeurs externes et internes est « pertinente et porteuse de valeur ajoutée », tant lors de la mise en place des plans d’audits, « afin de partager la connaissance de l’organisation et des procédures de l’entité, ainsi que des faiblesses de contrôle interne et le cas échéants des fraudes identifiées ou suspectées », que tout au long de l’année, « dans le cadre de la préparation des réunions des organes de gouvernance, afin de présenter une information coordonnées et pertinente ». Il s’agit en particulier d’éviter les doublons dans les audits et de s’appuyer sur les travaux menés d’un côté ou de l’autre pour gagner en efficacité.

Partage de travaux

Sans prétendre proposer une liste exhaustive des modes de coopération possible, le document livre quelques pistes et de « bonnes pratiques » déjà mises en place dans certains groupes. Par exemple ? « A minima », la planification coordonnée des interventions pour éviter les chevauchements ou les missions identiques, la mise à disposition réciproque des synthèses des rapports, la mise en place de réunions au moins annuelles pour « discuter de problématiques et de préoccupations communes, et assurer la coordination ». Dans les modèles les plus aboutis, la collaboration peut aller jusqu’à des « réunions régulières entre les deux types d’acteurs », « la transmission régulière d’informations de l’audit interne à l’auditeur externe », notamment sur les mises jour du plan d’audit interne, voire « l’autorisation d’accès à certains documents de travail », et même, « la mise à disposition de l’audit externe des rapports semestriels d’audit interne, comprenant l’état d’avancement et les progrès réalisés ». De quoi permettre, finalement, « une couverture optimale des risques encourus par l’entité auditée ».
Il y a bien sûr une condition à l’amélioration du dialogue entre les auditeurs internes et externes : le soutien actif des organes de gouvernance et de la direction générale, « devront […] encourager la transparence dans les communications et s’interroger sur les opportunités de collaboration ». Concrètement, le document recommande que le « degré de coopération soit discuté et défini au niveau du Comité d’audit ou du Conseil ». Ce qui n’est pas forcément naturel, certains managements n’étant pas toujours heureux de la bonne entente de leurs équipes de contrôle. « Nous devons mener un travail de pédagogie active, mais douce, auprès de notre direction générale. Il faut expliquer que la coopération entre auditeurs internes et externes n’a pas pour objectif d’alourdir les contrôles ou de cocher des cases, mais de permettre une meilleure performance durable de l’entreprise », souligne Farid Aractingi, le président de l’IFACI, également Directeur audit, maîtrise des risques et organisation du groupe Renault.
(1) Préfacé par Daniel Lebègue, président d’honneur de l’IFA, « Améliorer la coopération entre l'audit interne et l'audit externe » est un document co-signé par l’IFACI et la CNCC. Il s’appuie notamment sur les travaux de l'ECIIA, la Confédération européenne qui rassemble 34 instituts nationaux de l’IAA (Institute of Internal Auditors).
Source: http://business.lesechos.fr/directions-financieres/0203942779784-vers-un-meilleur-dialogue-entre-auditeurs-internes-et-externes-105511.php

Son remède contre Ebola, les labos n'en veulent pas

Doux dingue ou vrai inventeur ? Ce retraité de l'industrie pharmaceutique est convaincu d'avoir fait une découverte thérapeutique. Mais qui, selon lui, casserait le business des grands labos.

Tout a commencé dans les années 1980. Mordu d'alpinisme, Robert Vachy s'était bricolé une crème solaire dans sa cuisine. A l'époque patron de la R & D chez Sandoz, il s'est aperçu que son onguent ne protégeait pas que des UV : il était aussi efficace contre l'herpès labial. Le montagnard n'était pas au bout de ses surprises. Après avoir fondé son propre laboratoire, il a ensuite identifié la molécule agissante et observé ses talents de tueur de virus, de la grippe jusqu'au sida. Une découverte miracle ? Plutôt le début du cauchemar. Car, depuis, cet ingénieur chimiste cherche en vain les financements pour développer un médicament, le tester et obtenir une AMM, une autorisation de mise sur le marché. Il a dilapidé ses économies, vendu son appartement de Montmartre. Il a demandé des fonds pour son petit labo. Frappé à la porte des géants de la pharmacie pour qu'ils prennent le relais. Tous ont décliné. Aujourd'hui encore, à 81 ans, il ne baisse pas les bras.

Revenons à sa molécule miracle, l'Amovir. Elle aurait pour effet d'attaquer la membrane de ce que l'on appelle les «virus enveloppés», avant qu'ils ne contaminent les cellules humaines. Il s'agit d'un virocide, très différent par exemple des trithérapies contre le sida, qui bloquent le développement des agents pathogènes, mais sans les détruire. L'histoire peut sembler un peu trop belle pour être vraie. D'autant que le sieur Vachy est un inconnu dans le monde des publications scientifiques. Pourtant, dès 1995, Françoise Barré-Sinoussi, Prix Nobel de médecine, a pu tester l'Amovir dans son labo de l'Institut Pasteur. Résultat : à de très faibles concentrations (0,5 à 1%), ce produit a détruit plus de 99,99% des virus contenus dans la culture soumise à l'expérimentation. Un seul VIH, sur un million, a survécu. «Avec son virocide, Vachy a découvert une voie nouvelle qui semble extrêmement prometteuse», confirme à Capital Jean-Claude Chermann, codécouvreur du virus du sida avec Françoise Barré-Sinoussi. Pourquoi les «big pharma» méprisent-ils alors ces travaux ? Pour une histoire de gros sous, croit pouvoir affirmer l'inventeur.

Les traitements actuels du sida rapportent 70.000 euros par an et par patient, payés par la Sécu. Sa molécule, elle, ne coûterait que quelques euros. En 1998, les Laboratoires Pierre Fabre ont en tout cas refusé de s'y intéresser. «Cet antivirus contient un conservateur extrêmement toxique», a avancé le labo pour justifier son refus. «A des doses 250.000 fois supérieures, peut-être», rétorque Robert Vachy, en rappelant qu'il s'agit du conservateur le plus utilisé par l'industrie alimentaire. Refus aussi de Sanof en 2010, le sida n'étant pas au cœur de sa stratégie, ou encore d'Urgo en 2013 pour le seul traitement de l'herpès.

Fin de l'histoire ? Robert Vachy compte sur le soutien du médecin-chercheur Patrick Curmi, directeur de l'Unité 829 de l'Inserm et vice-président de l'université d'Evry pour trouver enfin l'argent nécessaire. «15 millions suffiraient pour mettre au point quatre variantes capables de soigner le sida, l'herpès, la grippe et les hépatites», calcule le docteur Curmi. Le tandem va présenter son projet à l'Agence nationale de recherche sur le sida et les hépatites virales. Compte tenu de la situation en Afrique, Robert Vachy veut tester sa trouvaille sur l'Ebola (un autre virus enveloppé), et demander une autorisation temporaire d'utilisation en cas de résultats concluants. Lire aussi l'interview de Robert Vachy

Ras-le-bol du chacun pour soi ? Découvrez le #RDVsolidaire de la Mutualité Française et rejoignez-nous pour discuter de santé.

Etienne  Gingembre

Voir la page Facebook qui présente les références scientifiques de la molécule découverte par Robert Vachy .

A la suite de la publication de cet article, l’Institut Pasteur tient à apporter les précisions suivantes : 
Les scientifiques de l’Institut Pasteur ont répondu dans les années 1990 à une demande d'évaluation de deux produits issus des découvertes de Monsieur Vachy. Aucune de ces molécules ne portaient alors le nom d'Amovir, et l'Institut Pasteur n'est pas en mesure de certifier que l'une des deux corresponde au produit Amovir dont il est question dans cet article. Les tests réalisés sur ces deux produits ont consisté en des mesures de leur activité virucide in vitro. Les scientifiques ont conclu que les deux molécules présentaient in vitro une activité désinfectante. La démonstration d'une activité bloquant la réplication du VIH dans des cellules cibles, et a fortiori d'une efficacité thérapeutique n'a, elle, jamais été apportée par l’Institut Pasteur, ni en laboratoire ni chez l'homme. 

© Capital

Source :
http://www.capital.fr/enquetes/revelations/son-remede-contre-le-sida-les-labos-n-en-veulent-pas-964514

 

Etats-Unis : renforcement du contrôle interne des agences de notation

La SEC a adopté de nouvelles règles visant à améliorer la qualité et la transparence des notes attribuées par les agences de notation.

Le 27 août 2014, la U.S. Securities and Exchange Commission (SEC), le gendarme boursier américain, a annoncé qu'elle avait adopté 14 règles relatives au contrôle interne des agences de notation.

Ces nouvelles règles abordent :
- les contrôles internes ;
- les conflits d'intérêts ;
- la divulgation des statistiques de performances de notation de crédit ;
- les procédures pour protéger l'intégrité et la transparence des méthodes de notation ;
- les informations visant à promouvoir la transparence des notations de crédit ;
- les normes pour la formation, l'expérience et la compétence des analystes de crédit.

Ces règles exigent également une certification annuelle par le chef de la direction quant à l'efficacité des contrôles internes et des certifications supplémentaires accompagnant les cotes de crédit et attestant que la note n'a pas été influencé par d'autres activités commerciales.

Certaines modifications entreront en vigueur 60 jours après la publication dans le Federal Register.
Les modifications relatives au rapport annuel sur le contrôle interne et à la production et à la communication des statistiques de performance entreront en vigueur le 1er janvier 2015, ce qui signifie que le premier rapport de contrôles internes couvrirait l'année financière qui se termine à partir du 1er janvier 2015, et la première certification annuel relative aux statistiques de performance est requise pour les certifications annuelles déposées après la fin de l'année civile 2015.

© LegalNews 2014 - Stéphanie BAERT

Source :

http://www.lemondedudroit.fr/amerique-du-nord-international/194818-etats-unis-renforcement-du-controle-interne-des-agences-de-notation.html

Sécurité des systèmes d’archivage et chiffrement FNTC

Les archives numériques existent pour être consultées, elles servent de preuves et constituent un patrimoine historique ou scientifique. Le besoin d’intégrité des archives numériques, leur accessibilité et leur pérennité ont été les motivations premières pour développer les solutions d’archivage électronique qui contribuent à la transformation numérique de notre société.
Notre époque est marquée par la problématique de la confidentialité des informations numériques, qu’il s’agisse de la protection de la vie privée pour les personnes, du secret professionnel pour les professions réglementées, d’intelligence économique pour les entreprises ou de préservation de la souveraineté pour les Etats.
Comment concilier les besoins d’accessibilité et les exigences de confidentialité dans un contexte d’archivage numérique ? Le groupe de travail Archivage de la Fédération des Tiers de Confiance (FNTC) travaille actuellement à la rédaction d’un guide de la confidentialité des archives numériques traitant notamment de l’impact des solutions de chiffrement sur la pérennité, l’intégrité et l’accessibilité des archives numériques.

Le besoin de confidentialité
Le groupe de travail Archivage de la FNTC a choisi de partir du besoin de confidentialité pour ensuite développer le panorama des solutions permettant de répondre à ce besoin.
Le guide reprendra le besoin des différents acteurs impliqués dans la confidentialité des données au sens large et des archives numériques en particulier. Ces acteurs sont le Records Manager, l’archiviste, le responsable de la sécurité des systèmes d’information (RSSI), le correspondant informatique et libertés (CIL) et la Direction Générale qui peuvent avoir une approche différente du sujet.
Le besoin oppose en apparence la confidentialité et l’accessibilité. Ce besoin se positionne différemment dans le temps (il augmente ou diminue dans le temps) et dans l’espace, selon le niveau d’exposition des archives numériques et leur sensibilité.

Défense en profondeur
L’approche de base pour la confidentialité des archives numériques, déclinée du principe de défense en profondeur, nécessite d’être développée dans un contexte d’archivage numérique : analyser les risques, construire un bastion de conservation, cloisonner les fonds, étanchéifier les moteurs de recherche et surtout sécuriser les accès seront développés en tant que principes essentiels. Compte-tenu de l’évolution du contexte, il est opportun de revisiter dans un guide la façon dont il convient de renforcer un système d’archivage électronique tant d’un point de vue de l’infrastructure à mettre en œuvre que des fonctionnalités de sécurité attendues.

Renforcement de la confidentialité
Divers procédés peuvent être mis en œuvre pour renforcer la confidentialité des archives numériques, notamment l’anonymisation, la traçabilité étendue et le contrôle des accès renforcé, le respect du sort final ou la segmentation des risques sur des fonds on line et off line.
Le chiffrement des archives est une barrière supplémentaire, envisageable dans un système de défense en profondeur. Il s’agit d’une solution de confidentialité renforcée mais en aucun cas d’un moyen suffisant permettant de sécuriser un fonds d’archives dans un environnement de conservation non maîtrisé.

Focus sur les options de chiffrement
Pour l’archivage numérique, il convient d’identifier deux périmètres d’application potentiels du chiffrement : le document d’archive lui-même et les métadonnées associées. Les métadonnées sont généralement sous plusieurs supports : en base de données, dans les fichiers associés au fichier d’archive, dans les index des instruments et moteurs de recherches, etc… La donnée à protéger est donc potentiellement dans plusieurs endroits pour lesquels il existe différentes approches pour la confidentialité.
L’exposition des archives n’est pas la même lors des échanges et pendant la conservation. L’échange, pour le versement, la consultation et la réversibilité, lorsqu’il transite via des réseaux partagés, nécessitera plus de moyens pour la confidentialité que pendant la conservation, notamment si les espaces de conservation ne sont pas exposés.
Un chiffrement des archives pendant la conservation procure une protection supplémentaire, notamment face aux risques internes. La solution de chiffrement dépendra de deux paramètres principaux :
- où se positionne le chiffrement ? Selon la position des mécanismes de cryptage et de décryptage dans les différentes « couches » matériels et applicatives d’un Système d’archivage électronique (SAE), le niveau de protection sera différent ;
- qui doit détenir les clés de cryptage / décryptage ? Les clés peuvent être détenues par l’utilisateur, par un des composants (physiques ou applicatifs) ou par un tiers de confiance.
La confidentialité est d’autant plus renforcée que le secret est détenu par un minimum de personnes, voire par l’utilisateur uniquement. Mais dans ce cas, la conservation des clés devient particulièrement sensible.
Evoquer le chiffrement des archives tant que le périmètre d’application n’est pas clairement défini ne garantit en rien un niveau élevé de confidentialité. A l‘heure où certains opérateurs annoncent qu’ils chiffrent mais sans préciser qui détient les clés et comment elles sont sécurisées, il est important de clarifier les usages pour renforcer la confiance des utilisateurs et du marché.

Impact du chiffrement
L’implémentation de technologies de chiffrement pour une solution d’archivage numérique, induit un ensemble de considérations archivistiques à prendre en compte pour la gestion de l’intégrité des archives, de leur accessibilité et de leur pérennité.
Des questions de fond se posent dans ce contexte et notamment :
- les empreintes pour l’intégrité doivent-elles être calculées avant ou après le chiffrement ?
- comment indexer des documents chiffrés ?
- comment traiter la confidentialité des métadonnées ?
- comment traiter la problématique de transchiffrement en cas d’obsolescence des algorithmes et clés de chiffrement ?
- comment mesurer l’incidence sur les performances des systèmes ?
- doit-on chiffrer les secours et sauvegardes ?
- etc.
Les réponses sont attendues par les organismes publics ou privés qui étudient une solution de sécurité renforcée.

Réglementation
La dimension réglementaire et juridique de la confidentialité doit être également prise en compte, notamment les différentes réglementations nationales, les procédures d’enquêtes, la localisation, les formalités auprès des organismes gouvernementaux ainsi que les contraintes propres à certains secteurs d’activité (bancaire, santé, archives publiques).
Les réglementations relatives à la protection des données à caractère personnel et celles relatives aux questions de sécurité publique peuvent s’avérer difficiles à concilier.

Le Positionnement du service d’archivage
Le positionnement du service d’archivage est important dans la stratégie de confidentialité. Il s’agit de choisir le niveau d’exposition aux risques extérieurs et intérieurs. Ce niveau ne sera pas le même pour une solution interne, une externalisation chez un tiers archiveur ou un stockage dans le cloud. Chaque modèle présente des avantages, des risques et des coûts différents.

Source :
http://www.informatiquenews.fr/securite-systemes-darchivage-chiffrementfntc-19954