Arrêt dans l’administration publique à Kaspersky et aux autres produits informatiques de la Fédération de Russie. Déjà annoncée au Parlement, la circulaire signée par le directeur de l’ACN (agence nationale de cybersécurité) Roberto Baldoni a été publiée au Journal officiel (n° 96 du 26 avril). Une révolution organisationnelle : de très nombreuses administrations se sont dotées ces dernières années d’un des antivirus les plus performants et les plus sécurisés, celui de l’entreprise dirigée par Eugene Kaspersky, au chiffre d’affaires d’environ 700 millions de dollars.
Mot de passe : diversifier
Les menaces de cyberattaques russes ont d’abord conduit à l’adoption par le parlement d’une règle incluse dans le soi-disant décret ukrainien. Puis, donc, à une circulaire opérationnelle de l’Acn. L’article 29 du décret approuvé le 18 mars par le conseil des ministres présidé par Mario Draghi dit aux bureaux de l’administration publique de « procéder rapidement à la diversification des produits utilisés ». Impensable cependant de supprimer brutalement un antivirus pourtant risqué car de fabrication russe. Ainsi, l’équipement existant des systèmes de protection logiciels et matériels doit être intégré immédiatement avec d’autres produits. Ce n’est qu’alors que les indésirables peuvent être supprimés.
Une liste noire officielle
Comme l’indique le site www.cybersecitalia.it avec la circulaire d’application, une sorte de « liste noire a été créée avec trois sociétés liées à la Fédération de Russie : Kaspersky Lab, Group-IB et Positive Technologies ». Le dilemme sur l’interprétation du terme « diversification » serait ainsi surmonté : ne pas ajouter d’autres produits à ceux déjà fournis, mais les insérer dans le système pour les remplacer pour les Russes après toutes les vérifications et procédures nécessaires. En outre, le décret ukrainien exclut la possibilité d’une action en responsabilité par la Cour des comptes pour les bureaux désormais obligés de payer des frais supplémentaires pour de nouveaux antivirus et autres logiciels de protection informatique.
Les règles à suivre
L’opération est vaste : toujours seconde www.cybersecitalia.it il y a « 2 297 acheteurs publics italiens » de logiciels Kaspersky. La circulaire fournit aux bureaux une série d’indications opérationnelles complexes, connues en pratique par les experts, indispensables pour un passage délicat et sensible. Ainsi le texte signé par Roberto Baldoni recommande « de faire un état des lieux détaillé des services et produits » mais aussi de « définir, partager et communiquer les plans de migration des données » « à toutes les parties intéressées ». La même circulaire pouvant être mise à jour par d’autres indications ultérieures, l’Acn recommande aux référents des administrations publiques de « vérifier en permanence les canaux de communication institutionnelle de l’Acn elle-même ». Pendant ce temps, le ministère de l’Intérieur, dirigé par Luciana Lamorgese, est déjà en train de remplacer l’antivirus Kaspersky, comme l’a rapporté au Parlement le sous-secrétaire Nicola Molteni.