Projet d'Appui Conjoint à la Bonne Gouvernance dans les ...
Projet d'Appui Conjoint à la Bonne Gouvernance dans les ...
Projet d'Appui Conjoint à la Bonne Gouvernance dans les ...
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
PROJET D’APPUI CONJOINT À LA BONNE GOUVERNANCE DANS LES DOMAINES<br />
DES FINANCES PUBLIQUES ET DE LA STATISTIQUE (PAC)<br />
ADE - ATC Consultants<br />
9. Sécurité<br />
9.1 Situation observée<br />
La sécurité des postes de travail n’est pas totalement assurée. Il n’existe pas de politique de<br />
composition et de changement des mots de passe, et quand bien même il y en aurait une<br />
elle serait difficile à mettre en œuvre <strong>dans</strong> toutes <strong>les</strong> structures en raison de l’absence d’un<br />
domaine sur <strong>la</strong> plupart des réseaux.<br />
Pour <strong>la</strong> même raison <strong>les</strong> droits d’accès des différents utilisateurs, soit aux ressources<br />
réseaux, soit aux ressources de leur propre machine, ne sont pas uniformisés et<br />
réglementés. Il en résulte des fail<strong>les</strong> de sécurité importantes facilitant l’intrusion de virus (<strong>la</strong><br />
plupart des utilisateurs possèdent <strong>les</strong> droits d’administrateur sur leur machine).<br />
La protection contre <strong>les</strong> virus et autres attaques n’est pas homogène et est <strong>la</strong>rgement<br />
perfectible. La DOI dispose de 2 serveurs antivirus équipés de Kasperski Entreprise utilisés<br />
chacun pour une p<strong>la</strong>ge d’adresses (<strong>la</strong> DOI gère en effet deux gammes d’adresses en<br />
parallèle sur son réseau, voir plus haut). La DGB possède également un serveur Kasperski<br />
utilisé à <strong>la</strong> fois pour son réseau de postes SIGFiP et pour son réseau bureautique.<br />
L’existence de ces serveurs antivirus a permis de réduire fortement <strong>les</strong> attaques de virus,<br />
sans pour autant <strong>la</strong> supprimer. La plupart des autres structures ne sont pas équipées de<br />
serveur antivirus mais disposent sur chaque poste de travail d’un antivirus,<br />
malheureusement souvent en version gratuite et/ou périmée faute de mise à jour régulière<br />
(abonnement terminé, liaison Internet défail<strong>la</strong>nte, etc.).<br />
Il n’existe pas de règle d’utilisation des supports de stockage externes (clés et disques USB).<br />
Leur usage (transferts de données, sauvegardes) est rendu quasi obligatoire par l’absence<br />
d’espace de stockage protégé sur <strong>les</strong> réseaux. Mais ces supports sont utilisés sur de<br />
multip<strong>les</strong> postes, professionnels tout autant que personnels, et favorisent <strong>la</strong> dissémination<br />
des virus.<br />
La protection des bases de données stratégiques (SIGFiP, Aster, Sydonia, etc.) n’est pas<br />
suffisamment forte et <strong>les</strong> données ne sont pas cryptées. Les interventions directes <strong>dans</strong> <strong>les</strong><br />
bases de données ne sont pas systématiquement documentées et aucune procédure en ce<br />
sens n’existe pour en assurer <strong>la</strong> traçabilité.<br />
Le code source des applications stratégiques (SIGFiP, Aster) liées à ces bases de données<br />
est disponible, ce qui est un avantage pour assurer l’autonomie des services <strong>dans</strong> <strong>la</strong><br />
maintenance des logiciels, mais devient un inconvénient majeur lorsqu’aucune procédure<br />
n’existe pour encadrer <strong>les</strong> modifications faites <strong>dans</strong> le code. Ainsi il arrive qu’un contrôle de<br />
validité, présent <strong>dans</strong> le code informatique, soit mis en commentaire pour ne plus bloquer<br />
un fonctionnement voulu mais pour autant non réglementaire. A titre d’exemple (non<br />
avéré), l’accès au code source de SIGFiP permet de supprimer définitivement ou<br />
provisoirement le contrôle prévu <strong>dans</strong> le logiciel qui permet d’éviter qu’un engagement sur<br />
une ligne budgétaire soit supérieur au disponible sur cette ligne. A l’heure actuelle rien ne<br />
permet de garantir <strong>la</strong> fiabilité des procédures et données puisqu’aucune traçabilité n’est<br />
assurée <strong>dans</strong> <strong>la</strong> modification des codes sources.<br />
Version provisoire – 10 juin 2011 Page 81