juin 21st, 2010

Dans un rapport d’une dizaine de pages, le Département de la Sécurité Intérieure (DHS) des Etats-Unis critique vertement le manque d’efficacité du Cert US, entité dépendante du DHS faut-il préciser. Une critique qui met en regard l’activité du « response team » national et l’état des systèmes informatiques de l’Administration Fédérale.

Reste que le Cert US –comme la majorité des Cert dans le monde, France y comprise-, n’a qu’un pouvoir d’information et de sensibilisation. Rien ne peut contraindre une administration de respecter à la lettre les recommandations du Cert, et rien ne permet au Cert de disposer de métriques précises sur le suivi effectif des mesures qu’il préconise (de telles mesures sont effectuées a posteriori, sur des périodes relativement longues). En outre, admet le rapport, le Cert US est en sous-effectif de manière chronique, et tourne actuellement avec deux fois moins de personnel que nécessaire. De cette pénurie de chercheurs qualifiés, il en résulte une désorganisation certaine, et notamment une absence totale de définition des buts à atteindre et des priorités à respecter.

Ce rapport arrive deux mois avant le déclenchement des grandes manœuvres CyberStorm III destinées à tester la réactivité des infrastructures IT nationales des USA, cyber-manœuvres qui, cette année, s’étendront à d’autres pays, notamment aux états du Commonwealth et 9 nations européennes dont la France. Ce sera, pour les Cert impliqués, l’épreuve du feu qui donnera ou non raison au DHS.