Notamment par la faute des "facteurs humains" et d'un manque de priorité dans l'investissement, l'Agence nationale de sécurité des systèmes d'information (ANSSI) a dû revoir fortement à la baisse ses prévisions et objectifs de sécurisation des systèmes informatiques de l'administration.

A l'occasion de la préparation du projet de loi de finances pour 2015, le Gouvernement a publié une annexe budgétaire (.pdf) qui détaille l'état d'avancement de différents objectifs fixés les années précédentes par l'Etat, dans différents domaines. Les indicateurs relatifs à la sécurisation des systèmes informatiques de l'Etat s'y révèlent beaucoup plus bas que prévus, et incitent le Gouvernement à davantage de prudence pour les nouvelles prévisions. Même si la cyber-défense est désormais une priorité gouvernementale. 

Ainsi, l'Agence nationale de sécurité des systèmes d'information (ANSSI) établit chaque année une notation de la "maturité globale en sécurité des systèmes d'information de l'Etat", qui reflète l’écart entre le niveau de maturité "effectif" constaté par l'agence, et le niveau de maturité "considéré comme adéquat en fonction de l’activité du ministère. L'ANSSI travaille à la fois sur la base des réponses à des questionnaires envoyés aux différents ministères, et sur les constatations consécutives à ses propres inspections.

Pour 2014, il était prévu il y a un an que l'Etat atteigne une note de "maturité" de 3,8 sur 5, bien meilleure que la note de 3,1 obtenue en 2013. Mais finalement, l'ANSSI ne table plus que sur une note réelle de 3,4 sur 5 obtenue pour 2014, et prévoit d'atteindre une note de seulement 3,6 sur 5 en 2017. C'est-à-dire moins bien que ce qui était prévu pour cette année.

Le blues des informaticiens

"L'optimisme affiché (…) dans la prévision pour 2014 doit être révisé au vu des dernières appréciations remontées à l’ANSSI par les FSSI (fonctionnaires de sécurité des systèmes d'information, ndlr) des départements ministériels", explique le Gouvernement. "La moitié d’entre eux doutent que (les) facteurs d’amélioration puissent contrebalancer l’insuffisance de ressources financières et humaines dans leurs ministères, l’évolution de la menace, l’ouverture des systèmes d’information (utilisateurs extérieurs à l’administration, nomadisme, …) et le fait que le critère de la sécurité passe généralement loin derrière ceux des coûts et de la facilité d’usage dans les investissements ou dans l’affectation de ressources humaines".

Pour toutes ces raisons, le Gouvernement envisage désormais l'évolution de l'indicateur avec "prudence".

"Selon le degré de prise en compte de la cyber-défense dans les ministères, cette cible pourra être dépassée ou au contraire non atteinte", prévient l'annexe budgétaire.

De même, le Gouvernement présente un indicateur du "niveau d'avancement des grands projets interministériels" en matière de sécurité informatique. Alors que le budget 2014 tablait sur un dépassement des objectifs (105 % de réalisation), la réalité des chiffres est rude. Seulement 81 % des grands projets (connexion des administrations au centre de détection des attaques, adoption d'équipements sécurisés, labellisation de produits…) seront réalisés d'ici la fin de l'année.

Il s'agit toutefois d'un effet mécanique induit par la révision à la hausse des travaux à réaliser, dont la liste avait été fixée en 2009. Mais le progrès reste lent. Pour 2017, l'Etat estime que 89 % des "grands travaux" seront réalisés. "Une croissance satisfaisante" compte tenu des objectifs révisés, assure le Gouvernement.

Partager sur les réseaux sociaux

Articles liés