Cybersécurité : la DGSI accusée de freiner la loi pour préserver ses capacités d'interception
Un bras de fer oppose les défenseurs de la cybersécurité à la DGSI. L'agence de renseignement est pointée du doigt pour son obstruction à une proposition de loi visant à renforcer la protection des infrastructures, privilégiant la conservation de failles exploitables à des fins de surveillance.
Un projet de loi pour la résilience nationale face aux menaces
Le texte législatif en question vise à transposer des directives européennes (comme NIS 2) et à durcir les exigences de sécurité pour les opérateurs de services essentiels. L’objectif est d'imposer une transparence accrue sur les vulnérabilités découvertes et de systématiser les mécanismes de Vulnerability Disclosure Policy (VDP). Techniquement, il s'agit de réduire la fenêtre d'exposition des systèmes d'information critiques en obligeant le signalement des failles à l'ANSSI (Agence nationale de la sécurité des systèmes d'information), permettant ainsi une remédiation rapide via le déploiement de patchs correctifs.
Le dilemme des failles "0-day" et le renseignement technique
Le point de friction majeur réside dans la gestion des vulnérabilités dites "zero-day" (non encore patchées). D'un côté, l'ANSSI et les acteurs du logiciel libre prônent un colmatage systématique pour protéger le tissu économique et les citoyens. De l'autre, la DGSI (Direction générale de la Sécurité intérieure) voit d'un mauvais œil cette systématisation. En tant que service de renseignement, elle s'appuie sur ces mêmes vulnérabilités pour mener des opérations d'intrusion légale et de captation de données. L'accusation de blocage porte sur la volonté du renseignement de conserver des vecteurs d'attaque exclusifs, quitte à laisser les infrastructures nationales vulnérables à des acteurs malveillants étrangers.
Un blocage institutionnel aux conséquences industrielles
L'obstruction dénoncée ralentit l'adoption de protocoles de sécurité standardisés et décourage les chercheurs en sécurité (white hats) qui opèrent via des plateformes de Bug Bounty. Sans un cadre juridique clair protégeant le signalement et imposant la correction, l'écosystème reste dans une zone grise. Techniquement, ce statu quo favorise une asymétrie de l'information où la sécurité globale est sacrifiée sur l'autel de l'avantage tactique ponctuel du renseignement technique.
Avis de la Rédac
Il est toujours fascinant de voir l'État se tirer une balle dans le pare-feu. Entre la volonté d'afficher une souveraineté numérique forte et le besoin quasi compulsif des services de garder quelques portes dérobées ouvertes, le "en même temps" atteint ici ses limites techniques. Vouloir protéger les infrastructures tout en s'assurant qu'elles restent poreuses pour ses propres besoins est un pari risqué : une faille laissée ouverte pour la DGSI l'est tout autant pour un groupe de ransomware ou une puissance étrangère. La sécurité à géométrie variable n'est, par définition, plus de la sécurité.
📰 Source : next.ink
🤖 Cet article a été rédigé avec l'assistance de l'intelligence artificielle à partir de sources vérifiées par la rédaction. En savoir plus