- 179 -
remontée des alertes sur le nouveau système d’information sera
automatisée 1. En outre, la gestion des équipements actifs sera internalisée.
Dans son rapport d’octobre 2019, l’ISR pointait le manque de revue
des droits accordés aux personnels, et en particulier aux techniciens de
maintenance informatique. Aussi Mickaël Harpon disposait-il de droits
d’accès trop étendus au regard de ses fonctions : accès à plusieurs fichiers de
police, et habilitation générale à mettre en œuvre des techniques de
renseignement. Le service doit donc procéder à des revues plus régulières
des droits d’accès de ses agents, surtout en l’absence d’outils permettant de
tracer leurs actions.
En outre, nul ne sait si des données ont été récupérées par Mickaël
Harpon sur un support USB ; la DRPP doit être en mesure de détecter et de
contrôler la connexion de périphériques externes à son système
d’information.
Un rapport d’audit SSI de la DRPP, en date du 21 février 2019, a fait
apparaître plusieurs fragilités :
- intervention de personnes non identifiées sur le système
d’information ;
- pas de politique de sauvegarde des données informatiques ;
- présence de serveurs obsolètes, dépourvus d’antivirus ;
- enregistrement de documents classifiés sur des postes de travail
non protégés.
Ce service n’est pas le seul à présenter des faiblesses dans la sécurité
de ses systèmes d’information. En effet, d’autres services ont fait part à la
DPR de lacunes en la matière, ce qui témoigne à la fois d’une volonté de
transparence vis-à-vis du contrôleur, mais également d’une prise de
conscience des points à améliorer, ce qui est heureux.
La DPR ne dispose toutefois ni des ressources ni des compétences
pour entreprendre de tels audits, mais sollicite des services compétents – en
l’espèce l’ANSSI et le GIC pour les techniques de recueil de renseignement –
la conduite de telles missions qui permettront aux services de mieux
protéger les informations et les supports classifiés dont ils disposent. Le
CNRLT pourrait veiller à ce qu’un plan d’audits soit établi au bénéfice des
services qui n’ont pas encore reçu d’homologation.
Recommandation n° 39 : Procéder à un audit régulier des systèmes
d’information des services de renseignement et, en tant que de besoin,
accompagner ces services dans la démarche d’homologation visant à
protéger le secret de la défense nationale.
Acquisition d’un SIEM (Security Information and Event Management, ou gestion des
informations et des évènements de sécurité).
1