Projet d'Appui Conjoint à la Bonne Gouvernance dans les ...

PROJET D’APPUI CONJOINT À LA BONNE GOUVERNANCE DANS LES DOMAINES
DES FINANCES PUBLIQUES ET DE LA STATISTIQUE (PAC)
ADE - ATC Consultants
9. Sécurité
9.1 Situation observée
La sécurité des postes de travail n’est pas totalement assurée. Il n’existe pas de politique de
composition et de changement des mots de passe, et quand bien même il y en aurait une
elle serait difficile à mettre en œuvre dans toutes les structures en raison de l’absence d’un
domaine sur la plupart des réseaux.
Pour la même raison les droits d’accès des différents utilisateurs, soit aux ressources
réseaux, soit aux ressources de leur propre machine, ne sont pas uniformisés et
réglementés. Il en résulte des failles de sécurité importantes facilitant l’intrusion de virus (la
plupart des utilisateurs possèdent les droits d’administrateur sur leur machine).
La protection contre les virus et autres attaques n’est pas homogène et est largement
perfectible. La DOI dispose de 2 serveurs antivirus équipés de Kasperski Entreprise utilisés
chacun pour une plage d’adresses (la DOI gère en effet deux gammes d’adresses en
parallèle sur son réseau, voir plus haut). La DGB possède également un serveur Kasperski
utilisé à la fois pour son réseau de postes SIGFiP et pour son réseau bureautique.
L’existence de ces serveurs antivirus a permis de réduire fortement les attaques de virus,
sans pour autant la supprimer. La plupart des autres structures ne sont pas équipées de
serveur antivirus mais disposent sur chaque poste de travail d’un antivirus,
malheureusement souvent en version gratuite et/ou périmée faute de mise à jour régulière
(abonnement terminé, liaison Internet défaillante, etc.).
Il n’existe pas de règle d’utilisation des supports de stockage externes (clés et disques USB).
Leur usage (transferts de données, sauvegardes) est rendu quasi obligatoire par l’absence
d’espace de stockage protégé sur les réseaux. Mais ces supports sont utilisés sur de
multiples postes, professionnels tout autant que personnels, et favorisent la dissémination
des virus.
La protection des bases de données stratégiques (SIGFiP, Aster, Sydonia, etc.) n’est pas
suffisamment forte et les données ne sont pas cryptées. Les interventions directes dans les
bases de données ne sont pas systématiquement documentées et aucune procédure en ce
sens n’existe pour en assurer la traçabilité.
Le code source des applications stratégiques (SIGFiP, Aster) liées à ces bases de données
est disponible, ce qui est un avantage pour assurer l’autonomie des services dans la
maintenance des logiciels, mais devient un inconvénient majeur lorsqu’aucune procédure
n’existe pour encadrer les modifications faites dans le code. Ainsi il arrive qu’un contrôle de
validité, présent dans le code informatique, soit mis en commentaire pour ne plus bloquer
un fonctionnement voulu mais pour autant non réglementaire. A titre d’exemple (non
avéré), l’accès au code source de SIGFiP permet de supprimer définitivement ou
provisoirement le contrôle prévu dans le logiciel qui permet d’éviter qu’un engagement sur
une ligne budgétaire soit supérieur au disponible sur cette ligne. A l’heure actuelle rien ne
permet de garantir la fiabilité des procédures et données puisqu’aucune traçabilité n’est
assurée dans la modification des codes sources.
Version provisoire – 10 juin 2011 Page 81