Audition de Franck SERUSCLAT |
Sénateur
Membre de l'Office parlementaire
d'évaluation
des choix scientifiques et technologiques
Auteur d'un rapport sur les techniques de
l'information
et de la communication
(audition effectuée avant la publication du rapport)
Résumé : Déterminer quels sont les apprentissages nécessaires - au niveau scolaire essentiellement - tant pour faire acquérir l'accès au savoir que pour contribuer à l'évolution de la citoyenneté, tel est l'objet du dernier rapport rendu public par Franck SERUSCLAT ; l'auteur y livre l'ensemble de ses réflexions sur les nouvelles technologies de l'information et de la communication.
1. Le souci qui sous-tend mon rapport est de déterminer quels sont les apprentissages nécessaires - au niveau scolaire - tant pour faire acquérir l'accès au savoir que pour contribuer à l'évolution de la citoyenneté . Je considère en effet que la vie de l'homme s'inscrit dans trois directions, ou est fondée sur trois éléments: sa formation professionnelle , sa formation de citoyen , sa formation personnelle :
La formation personnelle est celle qui est directement liée aux acquisitions du savoir, c'est-à-dire par voie scolaire ;
Sa formation de citoyen est également liée à ce parcours scolaire mais avec une partie très importante qui est hors de l'école - dans la cité essentiellement ; comme, aujourd'hui, il n'y a plus de profession dans laquelle on n'utilise pas - ne serait-ce qu'un peu - la clavier d'un ordinateur, ma réflexion essentielle porte sur le secteur scolaire : il s'agit d'analyser ce qui se fait, ou ne se fait pas mais pourrait se faire, au niveau de l'apprentissage de l'utilisation des nouvelles technologies ;
Sur le plan professionnel, j'ai eu à coeur d'étudier l'évolution de l'utilisation de ces nouvelles technologies par un « ensemble professionnel », à savoir le secteur de la Santé ;
2. Ce que j'appelle la citoyenneté , c'est que tout homme a des droits civiques ; il faut qu'il puisse les exercer ; ainsi, je me pose les questions suivantes : compte tenu de ce qu'apportent les nouvelles technologies en termes d'améliorations dans les relations entre le citoyen et l'administration, entre le citoyen et la politique - et ce grâce à l'interactivité - que peut-on tirer des expériences développées ici ou là ? Doit-on les généraliser ? La citoyenneté va-t-elle vers une forme plus active ou plus participative ? J'erre un peu dans ces domaines, en travaillant plus particulièrement sur le domaine de l'Education : je parle beaucoup « équipements » avec des camarades de St Fons qui veulent y construire une école interactive ;
3. J'ai travaillé sur l'hypothèse de « l'écroulement soudain d'Internet » ; en effet, tout moyen de communication nouveau, toute technique nouvelle porte en elle un accident : pour le chemin de fer, le déraillement, pour le bateau, le naufrage, pour l'avion le « crash », pour le nucléaire, la bombe nucléaire ; certains disent, à propos d'Internet : « il y aura une bombe informatique qui sera totale » ; des dysfonctionnements peuvent amener à « tout foutre en l'air » sur Internet, par exemple, des fluctuations financières envoyées avec des références qui ne sont pas les bonnes ;
4. Depuis cette audition, monsieur Franck SERUSCLAT a rendu public son rapport, intitulé : « Les techniques de l'information et de la communication : de l'élève au citoyen » ; l'auteur y livre l'ensemble des ses réflexions sur les nouvelles technologies de l'information et de la communication ; ce rapport est disponible à l'espace librairie du Sénat, rue de Vaugirard à Paris 6 e .
Sécurité des systèmes d'information et accès à Internet
Par un membre du SCSSI (Service Central de la Sécurité des Systèmes d'Information) - services du Premier Ministre
1 Le réseau Internet
1 Le réseau Internet, prototype des futures infrastructures de l'information semble incontournable dans l'examen des options techniques de modernisation des services d'accès et de transferts d'information utilisés :
• par les entreprises,
• par le secteur de la formation et de
l'éducation, ainsi que
• par le secteur des administrations et
collectivités territoriales.
2 Chacun des trois secteurs concernés en attend un gain de productivité.
1.1 Un réseau peu fiable et non sécurisé
3 L'absence de toute garantie de qualité de service sur ce réseau, et le caractère parfois inachevé des outils qui l'utilisent heurtent les utilisateurs habitués à une fiabilité et à une sécurité plus professionnelles. Les services Minitels, sécurisés et confinés au réseau national, sources de revenus confortables, devront-ils survivre sur des réseaux privés nationaux ou devront-ils être tous remplacés par des serveurs d'informations équivalents, accessibles au niveau mondial ?
4 Le caractère global et transnational du réseau Internet, le caractère irrévocable et volatil des transactions effectuées en temps réel, joints à la faiblesse intrinsèque des protocoles et produits d'accès spécifiques à l'Internet exigent une stratégie cohérente d'utilisation du réseau. Cette utilisation doit être justifié par rapport à la mission de l'organisme candidat à l'interconnexion afin de pouvoir mesurer et gérer les risques reconnus.
1.2 L'origine des vulnérabilités
5 Globalement la structure du réseau Internet est fragile car des fonctions dangereuses y subistent. Elles étaient prévues, à l'origine, pour deux dispositifs de sécurité majeurs qui ont disparu de la version publique des protocoles IP : la couche session garantie, spécifique au domaine militaire, et les machines « gardes » de réseaux privés. Ces systèmes existent bien mais restent très contrôlés à l'exportation par les Etats-Unis et les coupe-feu actuels n'en sont qu'une pâle imitation.
6 De ce fait, les garanties de disponibilité, d'acheminement, d'intégrité, de preuve d'origine, et de secret des correspondants télématiques ne peuvent être offertes sur le réseau Internet sans de profondes modification.
1.3 Des menaces réelles
7 De nombreux incidents ont été rendus publics dans une communauté pourtant habituellement bien discrète sur ses déboires. Très récemment, le gouvernement des Etats-Unis, lui même, a reconnu ouvertement les vulnérabilités du réseau Internet public. Il a pris des mesures draconiennes pour réviser les architectures de sécurité du réseau américain de façon unifiée, sous la direction du ministère de la défense (Executive Order 13010 du 15 juillet 1996 Critical Infrastructure Protection).
2 Les mesures de réduction des risques
8 La réduction des risques passe classiquement par une répartition claire des responsabilités. Celle-ci s'appuie sur une politique de cloisonnement des réseaux assurée par des sas de sécurité (écluses et gardes).
2.1 le role limite de la cryptologie
9 Contrairement à une idée reçue, l'emploi d'outils de cryptologie, même ayant recours aux infrastructures nécessaires de clés publiques certifiées pour signatures et notarisation, et d'organismes agréés pour le séquestre des conventions de confidentialité, ne peut suffir à lui seul à assurer la sécurité. En effet, au-delà de la qualité contrôlée des réalisations matérielles (par exemple cartes à micro-circuits), la protection des documents et des services offerts sur les postes de travail doit être assurée par bien d'autres moyens de sécurité informatique (par exemple, les contrôles d'accès, la journalisation, un effacement sûr, ...).
10 A cet égard, la libéralisation des moyens cryptologiques, réclamée et en partie obtenue, apparaîtra très vite comme un leurre, si on ne compte que sur ces moyens pour résoudre les problèmes de sécurité.
2.2 La necessite d'une analyse fine des besoins de securite pour choisir les regles et les outils
11 La clarification des objectifs de sécurité des produits est nécessaire. Elle est le résultat d'une pression, sur les fournisseurs, de la part :
•
du consommateur,
désireux de
protéger son intimité, sa vie privée, ses biens
immatériels, et son activité, et
•
des entreprises
qui luttent pour leur
survie dans la guerre économique sans pitié qui se livre en
partie à travers Internet.
12 Cette pression doit être coordonnée et guidée par l'Etat (le gouvernement, l'administration et les collectivités territoriales). Il s'agit là d'une action de défense civile concernant les systèmes d'information et de communication.
2.3 Un moyen pour augmenter la confiance : le schema d'evaluation et de certification contre la malveillance
13 La seule véritable solution permettant d'augmenter le niveau de confiance dans les produits utilisés sur les réseaux est de se faire évaluer et certifier contre la malveillance. Cette démarche peut s'appliquer, en particulier :
• aux serveus d'information,
• aux commutateurs de messageries,
• aux clients de courrier électronique,
• aux navigateurs-butineurs,
• aux éléments d'infrastructure tels
que les routeurs et les serveurs de noms,
• aux gardes, écluses ou coupe-feu entre
Internet et les réseaux privés contrôlés.
14 Trois catégories de clients, aux besoins de sécurité et de protection différents, devront réclamer ces évaluations/certifications et contribuer chacune au financement des actions correspondantes :
•
le consommateur final,
qui attend au moins
une conservation du niveau de sécurité offert sur les
réseaux actuels,
•
les entreprises,
qui ont à faire
face à leurs responsabilités sur ces réseaux à
risques, par exemple : vol de fichiers de transactions ou de
numéros de cartes bancaires réutilisables à
l'étranger,
•
l'administration et les collectivités
territoriales
qui doivent protéger les intérêts
fondamentaux de la nation.
3 Conclusions
15 Compte tenu de l'expérience télématique accumulée en France caractérisée par des conditions techniques rigoureuses de l'exercice du droit et du maintien de l'ordre public, les exigences en matière de sécurité y sont plus élevées, comparativement, que dans d'autres nations et ce, sur un marché en partie de renouvellement.
16 La sécurité du coeur du réseau Internet ayant été affaiblie, il est indispensable de compenser cette absence de garantie et de responsabilité clairement identifiée par un accroissement de la confiance dans les applications et les terminaux (serveurs et poste d'accès et de travail personnel).
17 En l'absence d'une étude de la valeur qui tienne compte de la couverture des besoins de sécurité, le risque serait de se retrouver au volant d'un poids lourd dont les freins n'auraient pas été contrôlés, en ayant appris à conduire sur une « 2CV ».