Vers une culture de la sécurité sur Internet

La sécurité des systèmes d’information est l’affaire de tous. Que pouvons-nous faire ?
Direction de la science, de la technologie et de l'industrie
Les attaques par virus informatiques auraient atteint un pic historique en août 2003. Le saviez-vous ? De fait, le total des dommages provoqués par le virus « Win32.Blaster », qui s’est rapidement propagé dans le monde, et par les autres virus destructeurs qui l’ont suivi à intervalles rapprochés atteindrait quelque US$2 milliards (voir références).
Dans le même temps, le nombre total d’incidents de sécurité est en augmentation constante. Le Centre de coordination CERT du Carnegie Mellon Software Engineering Institute a recensé 114 855 incidents rien que pour les trois premiers trimestres 2003, contre 82 094 pour l’ensemble de l’année 2002.Le message est clair : l’insécurité coûte cher. Les risques liés à la sécurité entament le potentiel économique et affectent gravement l’activité quotidienne des entreprises et des institutions. Plus les économies sont tributaires de la technologie, plus elles deviennent vulnérables.Comment en est-on arrivé là ? L’une des raisons principales tient au changement de nature de notre environnement électronique. Au début des années 1990, les technologies de l’information (TI) étaient d’un usage modeste, limité pour l’essentiel à des systèmes le plus souvent autonomes, essentiellement des ordinateurs de bureau et des consoles de jeu, fonctionnant en réseaux fermés. Mais ensuite, le développement d’Internet et des autres réseaux a permis de relier les entreprises, les gouvernements, les consommateurs et toute personne ou organisation « câblée ». Par ailleurs, au-delà des réseaux informatiques reliant les utilisateurs, de nombreux secteurs industriels utilisent des réseaux intelligents, que ce soit pour l’énergie et les transports ou les marchés financiers mondiaux. Les modes d’accès se sont multipliés et diversifiés, et il existe maintenant divers terminaux d’accès portables et sans fil. Internet conditionne de plus en plus notre façon de travailler. Mais cette utilisation croissante et chaque jour plus répandue des technologies de l’information et des réseaux s’accompagne de problèmes de sécurité nouveaux et assez complexes auxquels la collectivité est confrontée.Il est certain que l’élargissement de l’accès aux systèmes d’information peut considérablement contribuer au développement économique et social. Cela est vrai non seulement du commerce électronique mais aussi d’autres innovations, comme la télémédecine et le téléenseignement. Mais, les ouvertures qu’offre l’interconnexion exigent de nouvelles pratiques afin de garantir un bon fonctionnement et une bonne résistance aux attaques et aux facteurs de vulnérabilité, internes et externes.De plus, la sécurité est indispensable pour les communications locales, nationales et mondiales, ainsi que pour des infrastructures essentielles comme celles liées à la production d’énergie, la distribution, les marchés financiers ou les transports, ou encore au bien-être économique.Il n’y a pas de « recette miracle » pour éliminer les risques en matière de sécurité. Les menaces et les facteurs de vulnérabilité évoluent sans cesse. De plus, la solidité du réseau correspond à celle de son maillon le plus faible : toute personne reliée au réseau se trouve potentiellement menacée si un élément est compromis, délibérément ou accidentellement. Telle est la rançon de l’interdépendance.Que peut-on faire ? Une réponse évidente est de développer les investissements technologiques. De fait, ces derniers ont augmenté constamment depuis quelques années. Les entreprises, interrogées par Deloitte Touche Tohmatsu dans le cadre de l’enquête Global Security Survey 2003, ont ainsi indiqué qu’elles consacraient, en moyenne, environ 8 % de leur budget TI global à la sécurité.Ces chiffres ne nous surprennent peut-être plus. Après tout, lors de l’épisode presque oublié du passage à l’an 2000, n’a-t-on pas dépensé US$200 000 millions à l’échelle mondiale pour faire évoluer les ordinateurs et éviter des problèmes de lecture de date liés au changement de siècle ? Cependant, non seulement les investissements des entreprises dans l’amélioration de la sécurité sont coûteux, mais de surcroît, les dépenses liées à la conception et au développement des technologies pour la sécurité augmentent. Ces éléments, auxquels s’ajoute l’absence de diminution des attaques virales, suggèrent que l’on ne pourra pas résoudre le problème avant longtemps si l’on se fie à une approche purement technologique. Celle-ci ne peut constituer qu’une réponse partielle.Ce qu’il faut n’est rien moins qu’un véritable changement culturel dans la manière dont la collectivité perçoit la sécurité dans le domaine des technologies de l’information. L’objectif est réalisable comme le montre la modification du comportement des voyageurs qui prennent l’avion : ces derniers acceptent, aujourd’hui, de fermer leurs téléphones portables avant le décollage et l’atterrissage. On peut et on doit donc encourager le public à comprendre les risques liés à la sécurité technologique et à agir de manière responsable. C’est le meilleur moyen d’amener les utilisateurs à avoir réellement confiance dans l’environnement en ligne.Pour amorcer un tel changement de fond, l’OCDE a élaboré en 2002 de nouvelles Lignes directrices concernant la sécurité des systèmes et des réseaux d’information. S’appuyant sur les Lignes directrices qui avaient été adoptées en 1992, cette version révisée répond à l’évolution constante de l’environnement en matière de sécurité et préconise l’instauration d’une « culture de la sécurité ». Depuis juillet 2002, les nouvelles Lignes directrices ont servi de base à la résolution portant sur la « création d’une culture mondiale de la cybersécurité » votée par l’Assemblée générale des Nations unies en décembre 2002 et à la résolution du Conseil européen sur le même sujet en février 2003. Elles ont également été notées par le Conseil des Ministres du Forum de coopération économique Asie-Pacifique. Les nouvelles Lignes directrices sensibilisent aux risques encourus par les systèmes et les réseaux d’information, donnent des conseils sur les politiques, pratiques, mesures et procédures susceptibles d’être utilisées pour y remédier, et insistent sur l’importance de leur utilisation et de leur mise en œuvre en en démontrant la nécessité. En résumé, il s’agit de faire en sorte que tous les participants aient davantage confiance dans les systèmes et les réseaux d’information et dans la manière dont ceux-ci sont mis en place et utilisés.Toutefois, le chemin est encore long avant que ne s’instaure une véritable culture de la sécurité. Une enquête, réalisée en 2002 par IDC-BULL auprès des directions TI de 250 sociétés dans la manière dont la collectivité européennes, révèle que deux entreprises sur trois ne considéraient pas la sécurité technologique comme un domaine d’action stratégique. Une autre enquête, effectuée en septembre 2003 par Watchfire et IBM Global Services, indique que 66 % des entreprises interrogées recueillaient en ligne, via au moins un formulaire, des informations personnelles à caractère sensible, sans les protéger par un quelconque moyen de cryptage.Il faut cependant persévérer. Dès janvier 2003, les pays de l’OCDE ont adopté un plan d’action destiné à développer de manière concertée leurs politiques nationales de sécurité en ligne, et une étude des progrès accomplis est en cours. Par la suite, le gouvernement norvégien a accueilli à Oslo en octobre 2003 un Forum mondial de l’OCDE sur la sécurité de l’information et des réseaux. Des représentants des pouvoirs publics et de la société civile y ont présenté leurs initiatives pour mettre en œuvre les principes de la sécurité en ligne et éduquer leurs concitoyens, les consommateurs et le grand public sur les meilleures pratiques. Parmi ces initiatives figurent notamment des campagnes de sensibilisation pour parents et enfants. Ces réunions ne sont pas de simples ateliers de discussion mais constituent un moyen essentiel pour identifier les problèmes rencontrés et développer cette culture de la sécurité en ligne dont les utilisateurs ont tant besoin. L’OCDE a lancé un site Internet consacré à la promotion d’une culture mondiale de la sécurité afin d’aider les utilisateurs du monde entier à apprendre et à respecter les pratiques de sécurité en ligne. La meilleure défense contre les virus, les pirates informatiques et les autres risques en ligne consiste, en effet, à renforcer le réseau en améliorant les comportements. Cet objectif implique la promotion et la diffusion des bonnes pratiques.Références Computer Economics, Inc. (2003), “April 2003 – Worst Virus Season Ever ?” www.computereconomics.com/article.cfm?id=867 CERT Coordination Center at the Carnegie Mellon Software Engineering Institute (2003), CERT/CC Statistics 1988-2003, www.cert.org/stats/cert_stats.html Deloitte Touche Tohmatsu (2003), 2003 Global Security Survey, www.deloitte.com/dtt/cda/doc/content/2003% 20Global%20Security%20Survey.pdf Getzinger, Leslie (2000), “Y2K Investments Were Sound, Industry Spokesmen Say”, Washington File, Office of International Information Programs, U.S. Department of State, http://usembassy-australia.state.gov/ hyper/2000/0112/epf308.htm OCDE (2003), Plan d’application des Lignes directrices de l’OCDE régissant la sécurité des systèmes et réseaux d’information : Vers une culture de la sécurité www.olis.oecd.org/olis/2002doc.nsf/LinkTo/dsti-iccp-reg(2002)6-final OCDE (2003), Forum mondial de l’OCDE sur la sécurité des systèmes et réseaux d’information : Vers une culture mondiale de la sécurité, Oslo, 13-14 octobre, www.oecd.org/ document/2/0,2340,fr_2649_34255_17787394_1_1_1_1,00.html Watchfire and IBM (2003), The State of Online Financial Services, www.watchfire.com


Données économiques

Courriel gratuit

Recevez les dernières nouvelles de l’OCDE :

Flux Twitter

Abonnez-vous dès maintenant

Pour recevoir notre édition papier en anglais par courrier


Edition en ligne
Editions précédentes

Ne manquez pas

  • G20: « Le temps est venu d’accroître les dépenses publiques » (Le Monde)
  • En France, les inégalités salariales se réduisent chaque année. Les salaires des femmes cadres de moins de 30 ans sont « seulement » inférieurs de 5 % à celui des hommes, selon l’Association pour l’emploi des cadres (APEC) dans une étude publiée en mars 2015.Les réseaux féminins ont-ils encore un rôle à jouer dans le monde du travail ? (Le Monde)
  • Pourquoi les fils d’immigrés ne réussissent-ils pas à l’école aussi bien que leurs sœurs? Un article du journal Le Monde.
  • L'intégration rapide des réfugiés est la clé de la croissance économique en Europe, selon le FMI et l'OCDE, présents à Davos, le forum économique mondial qui se déroule du 20 au 23 janvier. Lire l'article du Monde ici.

  • Expliquez-nous... l'OCDE par FranceInfo
  • "Nous avançons à une vitesse d'escargot" sur le climat, estime Ban Ki-moon. Le secrétaire général des Nations Unies confie au journal Le Monde son optimisme sur la conclusion d’un accord international permettant de contenir le réchauffement en cours, en dépit des obstacles.
  • La France est "l'un des pays où l'anxiété en classe est la plus fortement ressentie" explique Eric Charbonnier, analyste à l'OCDE.
  • Après le vote des mesures sociales demandées par l'Union européenne et le FMI, prévu pour le 22 juillet au soir, le gouvernement grec "va reprendre immédiatement les négociations avec les institutions, UE, BCE et FMI, qui doivent durer jusqu'au 20 août au plus tard".
  • Peut-on réduire l'immigration légale? Le député français de l’Yonne Guillaume Larrivé, membre de l'opposition, a proposé que les parlementaires fixent des plafonds d’immigration annuels. Thomas Liebig, spécialiste des migrations internationales à l’OCDE, analyse cette proposition pour le journal La Croix.
  • "Les 40% les plus pauvres, les classes moyennes, manquent de moyens pour investir dans le capital humain", explique à L'Express l'économiste Michael Förster, spécialiste des inégalités à l'OCDE.
  • La lutte contre le travail au noir franchit un nouveau seuil. Selon le bilan 2014 publié par Les Echos, le montant total des redressements imposés par les Urssaf pour « travail dissimulé » s’est élevé à 401 millions d’euros, contre 320 millions l’année précédente.
  • Le Secrétaire général de l’ONU Ban Ki-moon rallie le soutien de l’OCDE: « 2015 est une année des plus cruciales pour l’humanité ».

Articles les plus lus

Blog OECD Insights

NOTE: Les articles signés expriment l’opinion de leurs auteurs
et pas nécessairement celle de l’OCDE ou de ses pays membres.

©Tous droits réservés. OCDE 2016