François Hollande (à droite) et Manuel Valls, à Paris, le 14 juillet 2015, lors du défilé sur les Champs-Elysées.
François Hollande (à droite) et Manuel Valls, à Paris, le 14 juillet 2015, lors du défilé sur les Champs-Elysées. - WITT/SIPA

Oops. Après Hillary Clinton et ses dizaines de milliers de mails envoyés depuis un serveur et une adresse privés du temps où elle était secrétaire d’Etat, c’est au tour de l’ambassadrice américaine au Japon, Caroline Kennedy, d’être la cible des critiques.

Un rapport du département d’Etat publié mardi la pointe du doigt, au même titre que de hauts responsables de l’ambassade, pour avoir échangé des informations professionnelles sensibles sur un compte personnel de courriels. L’inspection indique également qu’elle a identifié « des cas où les mails étaient étiquetés "sensibles" mais "non classés" » confidentiels. Autant de pratiques qui contreviennent aux règles draconiennes des administrations à travers le monde, en raison des risques de perte de données, de piratage ou d’hameçonnage. Qu’en est-il en France ? 20 Minutes a posé la question à Nicolas Arpagian*, directeur scientifique du cycle « Sécurité numérique » à l’Institut national des hautes études de la sécurité et de la justice (INHESJ).

Clinton, Kennedy… Les représentants politiques sont-ils si négligents ?

Je ne parlerais pas de négligence, en particulier dans le cas de Hillary Clinton. Elle connaît très bien la question de la sécurité ; je crois plutôt qu’elle a voulu se soustraire aux règles pour des enjeux de financement ou de lobbies. Plus largement, les outils de communication sécurisés sont assez contraignants et peu conviviaux. Ils ralentissent la transmission de messages, ce qui fait qu’ils sont peu appréciés par les personnalités politiques. Nicolas Sarkozy et Emmanuel Macron, par exemple, aiment beaucoup envoyer des SMS à leurs interlocuteurs parce que c’est très pratique. Le problème, c’est que c’est une pratique dangereuse.

L’affaire Snowden a-t-elle tout de même changé des choses dans les esprits et les pratiques ?

Oui, on a pris conscience qu’un traitement massif des données était non seulement possible mais qu’il était une réalité. Auparavant, on pouvait se dire qu’il était impossible de surveiller un volume important de données, Snowden a prouvé le contraire. Mais encore une fois, il reste toujours plus simple d’utiliser ses outils personnels et non les outils sécurisés. Et comme les interceptions sont indolores, on ne se rend pas compte qu’on est victime de surveillance… Il faut que les politiques assument leurs responsabilités.

Les ministres français sont-ils particulièrement sensibilisés aux cyberrisques ?

Il y a peu de ministres geeks aujourd’hui, peu de culture numérique en France. Mais si le gouvernement actuel ne l’était pas, la circulaire qui a été adressée aux ministres en août 2013 par le cabinet de Jean-Marc Ayrault leur en a fait prendre conscience. Ce document était très clair sur les pratiques à proscrire (utiliser des smartphones et des tablettes du commerce conçus par des puissances étrangères, lier sa messagerie professionnelle et son compte mail perso, connecter une clé USB extérieure à son ordinateur…) et celles à privilégier (utiliser des mots de passe complexes, se servir des outils sécurisés conçus par les autorités…). Manuel Valls, une fois à Matignon, leur a ensuite rappelé ces consignes.

Qui formule ces consignes ?

C’est l’Agence nationale de la sécurité des systèmes d’information (Anssi). Son rôle est de valider des solutions techniques et de conseiller le Premier ministre et son gouvernement en matière de sécurité des systèmes d’information. Elle n’a toutefois pas les moyens d’imposer ces consignes. Aux Etats-Unis, le Secret Service a théoriquement autorité sur le Président et son administration. En France, le Président et les membres du gouvernement sont libres de faire comme ils l’entendent. Tout repose sur leur discipline personnelle

De quels moyens disposent ministères et ambassades pour communiquer des informations sensibles ?

Les personnels des ambassades peuvent communiquer via le réseau des ambassades, doté d’un système de chiffrement. Quant aux ministères, ils disposent d’un Intranet qui s’appelle Isis et qui est homologué « confidentiel défense » [le niveau juste en dessous du « secret défense » et du « très secret défense »]. Certains ministères sensibles, comme la Défense, peut-être l’Intérieur, ont aussi adopté l’organisation des états-majors de l’armée : un ordinateur pour les réseaux internes, un autre connecté à Internet. Ce système permet de limiter considérablement le risque de piratage, mais il a un coût énorme.

Sur le papier, la France est donc bien parée ?

Oui. Il faut poursuivre l’effort afin d’améliorer la cybersécurité des systèmes. La course est permanente. Cela passe notamment par des prestataires de confiance à qui on confie notre sécurité. Il s’agit d’éviter de travailler avec des entreprises qui poursuivent leurs propres intérêts.

*La cybersécurité, Que sais-je ?, septembre 2015.

Mots-clés :