Lionel Tardy
Question N° 83967 au Ministère des Affaires étrangères
Question soumise le 13 juillet 2010
M. Lionel Tardy demande à M. le ministre des affaires étrangères et européennes de lui donner des indications sur les mesures de sécurité informatique prises dans son ministère, afin d'éviter les intrusions extérieures et les vols de données numériques. Il souhaite savoir s'il fait appel, pour ces missions, à des prestataires extérieurs, ainsi que le coût de ces prestations en 2009. Il souhaite enfin connaître les mesures qu'il entend prendre pour mettre en oeuvre les règles de sécurité du référentiel général de sécurité du 6 mai 2010.
Réponse émise le 7 septembre 2010
Le ministère des affaires étrangères et européennes (MAEE) est, par essence, un ministère ouvert sur l'étranger et, en particulier, vers les partenaires européens. Les emprises diplomatiques et consulaires, qui accueillent différentes administrations, représentent la tête de pont de l'État à l'étranger. Cette configuration induit une capillarité très fine permettant de desservir chaque emprise, S'agissant d'un des plus grands réseaux diplomatiques du monde, qui subit un grand nombre d'attaques directes ou indirectes, la difficulté réside dans une organisation à la fois ouverte sur le monde, et possédant un niveau de sécurité suffisant, sachant que celle-ci a un coût. La sécurité des systèmes d'information (concept plus large comprenant la protection de l'informatique et celle des communications) est donc un sujet majeur de ce ministère et ce réseau, irai que les applications majeures qui l'utilisent, sont considérés comme stratégiques. L'implication des plus hautes autorités, le lancement d'un plan de sécurité (visant les agents et leur sensibilisation) et le renforcement des ressources dédiées à la sécurité ces dernières années (trois équivalents temps plein, ETP) ont permis de parvenir à un niveau de sécurité qui, s'il reste perfectible, est apprécié à la hauteur des efforts réalisés, et ce dans un contexte budgétaire très contraint. Pour parvenir à ce niveau, un effort considérable a été entrepris pour consolider les protections du réseau mondial (refonte de la passerelle de sécurité qui relie le réseau intranet avec l'extérieur - notamment Internet et ADER, mise en oeuvre de chiffrement pour l'ensemble des liaisons vers l'étranger, etc.) et les applications majeures qui y traitent les informations (télégramme diplomatique, applications consulaires, système bureautique et messagerie, etc.). La direction des systèmes d'information du ministère des affaires étrangères et européennes a, également, associé plus étroitement à ses projets l'agence nationale de la sécurité des systèmes d'information (ANSSI), et a institué un partenariat avec le centre de détection du centre opérationnel SSI de celle-ci pour réduire les délais de détection et de traitement des attaques visant son réseau, sa messagerie et ses sites web. Grâce à cette relation, le MAEE a déjà pris en compte le respect du référentiel général de sécurité (complémentaire au respect d'autres instructions interministérielles sur la sécurité et à celui des autres référentiels que la Direction générale de la modernisation de l'État promeut pour l'accessibilité et l'interopérabilité). Le MAEE déploie en ce moment son infrastructure de gestion de clef, l'Autorité de certification racine diplomatie, laquelle rattachée à l'IGC/A (SGDSN) permettra de sécuriser les échanges avec les autres administrations (Autorité de certification utilisateurs pour délivrer aux agents des certificats d'authentification, de signature et de chiffrement et Autorité de certification infrastructure pour délivrer des certificats d'authentification mutuelle et de chiffrement pour des relations techniques entre serveurs). Le MAEE s'engage dans un plan d'action à trois ans pour compléter ce niveau de sécurité. Ce plan a pour objectif de définir une politique de sécurité ministérielle et de la décliner en matière opérationnelle, de se doter d'outil permettant de piloter la sécurité des systèmes et des réseaux, et de renforcer la sécurité de son infrastructure, de ses applications et du poste de travail de troisième génération. Pour ces questions régaliennes de sécurité, si le ministère des affaires étrangères et européennes s'appuie régulièrement sur des prestataires pour la réalisation du projet, il emploie presque exclusivement des agents de l'État (agents du MAEE ou en détachement) pour la mise en oeuvre des solutions en France ou à l'étranger.
Aucun commentaire n'a encore été formulé sur cette question.