OIV ou OVNI ? Opérateurs d’Importance Vitale ou Opérations Vitales Non Identifiées ?

OIV ou OVNI ? Opérateurs d’Importance Vitale ou Opérations Vitales Non Identifiées ?

 

Ils sont 230, d’autres disent 237, 50% public, 50% privé soit 48 grandes entreprises, 33 ETI et 38 PME …. Mais pour 230 Opérateurs d’Importance Vitale, combien existe-t-il d’Opérations Vitales Non Identifiées ?

Ce que l’on sait, c’est que l’article 15 du Chapitre III – disposition relatives à la protection des infrastructures vitales contre la cyber-menaces – du projet de loi de programmation militaire 2014/2019, oblige l’entreprise à mettre en œuvre un système de détection d’attaques informatiques et oblige également les OIV à notifier les incidents à leur Ministère de tutelle. L’ANSSI aura la faculté de réaliser un audit, (le coût restant à charge de l’OIV). Des mesures en cas de force majeure pourront être imposées par l’ANSSI (même en cas d’impact sur les activités opérationnelles). Enfin, des sanctions pénales pour les personnes morales et physiques (amendes jusqu’à 750 000€) pourront être prononcées en cas de manquement aux obligations (voir annexe)

Les dispositions portées par la loi se cantonnent pour l’instant aux OIV, mais il faudra bien sûr sécuriser les autres entreprises et tenir compte des interdépendances ainsi que des modes externalisés, hébergement et cloud computing.

Alors suggérons de nous intéresser également aux OVNI, aux Opérations Vitales Non Identifiées, en s’inspirant du dispositif prévu pour les « PSEE », qui désigne une Prestation de Service Essentielle Externalisée. Cette désignation dérive de la formulation "prestations de services ou autres tâches opérationnelles essentielles ou importantes" introduite par le Comité de la Réglementation Bancaire et Financière (CRBF) dans son Règlement n°97-02 du 21 février 1997, complété de l’arrêté du 2 juillet 2007. Dans ce cadre, les Banques doivent adapter leurs systèmes de contrôle interne dans une optique de mesure, de suivi et de maîtrise des risques liés aux activités externalisées. Les contrôles doivent notamment porter sur :

  • La garantie de qualité pour un fonctionnement normal de service.

  • La mise en place d’un plan de continuité de service par le prestataire (engagement sur les délais de reprise).

  • La protection des informations confidentielles.

 

Car en élargissant la perspective, bien plus que d’assurer la survie de la Nation, action nécessaire mais pas suffisante, il s’agira ici de protéger la compétitivité de nos entreprises, mais aussi l’emploi qu’elles génèrent.

 

 

 

BONUS (Annexe) :

RAPPORT FAIT AU NOM DE LA COMMISSION DE LA DÉFENSE NATIONALE ET DES FORCES ARMÉES SUR LE PROJET DE LOI (n° 1473), ADOPTÉ PAR LE SÉNAT, relatif à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale.

 

Article 15

Renforcement des obligations des opérateurs d’importance vitale en matière de sécurité et de défense des systèmes d’information

 

L’article L. 1332-1 du code de la défense définit les opérateurs soumis à des obligations concernant la protection physique des installations d’importance vitale comme des « opérateurs publics ou privés exploitant des établissements ou utilisant des installations et ouvrages, dont l’indisponibilité risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la capacité de survie de la nation ». Le texte de l’article L. 1332-1 impose à ces opérateurs de coopérer à leurs frais, sur la base d’un plan individuel élaboré en concertation avec l’État, à la protection de leurs établissements contre toute menace, notamment à caractère terroriste.

 

Le constat répété de la persistance de la menace d’ordre cybernétique, qu’il s’agisse d’actions d’espionnage, de sabotage ou de déni de service, face à l’insuffisance de la protection des systèmes d’information des entreprises et des administrations, y compris dans des domaines particulièrement sensibles, a été pris en compte dans le projet de loi qui étend le dispositif existant à la sécurité des systèmes d’information en complétant le Titre III du Livre III de la 1ère partie du code de la défense par six articles insérés dans une section intitulée « Dispositions spécifiques à la sécurité des système d’information ».

 

Les dispositions introduites dans le code de la défense sont les suivantes :

 

L’article L. 1332-6-1 détermine que le Premier ministre est à même d’imposer des règles en matière de sécurité informatique, notamment l’installation de dispositifs de détection, qui devront être appliquées par les opérateurs d’importance vitale à leurs frais, comme cela est déjà le cas pour les règles fixées par l’article L. 1332-1.

 

Jusqu’à présent, l’ANSSI émettait des préconisations et des recommandations à la suite d’incidents ou de situations de crise consécutives à des attaques dont elle avait à connaître, mais rien ne lui permettait d’imposer aux entreprises concernées la mise en place de dispositifs matériels ou organisationnels de protection contre de futures attaques.

 

La charge financière induite, dont le coût annuel pour l’ensemble des entreprises concernées est évalué à 63,4 millions d’euros1, variera en fonction de la taille des entreprises et de leur niveau de sécurité initial, pouvant aller de 50 000 euros pour une PME à un million d’euros pour une grande entreprise. Les opérateurs devraient par ailleurs en retirer un bénéfice certain en mettant ainsi leur patrimoine à l’abri de l’espionnage.

 

Les opérateurs concernés seraient au nombre de 119 répartis en trois secteurs d’activité d’importance vitale : étatique (activités civiles, militaires, judiciaires, espace et recherche), protection des citoyens (santé, gestion de l’eau, alimentation) et vie économique et sociale de la Nation (énergie, communication (électronique – audiovisuel – information, transports, finances, industrie). Il s’agit de 38 PME, 33 ETI et 48 grandes entreprises dont la liste constitue un document classifié.

 

Les règles, différentes selon la taille et le secteur d’activité de chaque entreprise, seront définies conjointement par l’opérateur et le ministère concerné.

 

La labellisation des systèmes de détection, dont l’installation pourra être prescrite, ainsi que celle des prestataires appelés à les exploiter, relève du Premier ministre, donc de l’ANSSI. L’article précise que ces systèmes devront être exploités sur le territoire national uniquement, pour des raisons de souveraineté.

 

Les incidents majeurs seront obligatoirement déclarés : l’article L. 1332-6-2 impose aux opérateurs d’importance vitale de déclarer au Premier ministre les attaques dont ils sont victimes. Alors que le réflexe des entreprises victimes d’attaque informatique était plutôt le secret, par crainte de retombées négatives notamment en termes d’image, cette déclaration pourra permettre la mise en place des mesures au degré nécessité par l’attaque et d’établir un état de la menace et des vulnérabilités, afin d’établir des mesures de prévention.

 

Les systèmes d’information pourront faire l’objet d’un contrôle : l’État n’est pas en mesure aujourd’hui de connaître précisément le niveau de sécurité informatique des opérateurs d’importance vitale et encore moins de le contrôler, à l’instar de ce que prévoient les dispositions de l’article 33-10 du code des postes et communications pour les opérateurs de communications électroniques. L’article L. 1332-6-3 propose l’application d’un dispositif inspiré de ces mesures, le contrôle ou l’audit étant à la charge de l’opérateur et réalisé par l’ANSSI, un service de l’État ou un prestataire de services labellisé.

 

Des mesures peuvent être imposées en réponse à une crise majeure : la nature d’une attaque informatique, ne connaissant pas de frontières et pouvant se diffuser à une vitesse fulgurante, est susceptible d’appeler des mesures d’urgence adaptées que le Premier ministre doit pouvoir imposer dans des délais très brefs. L’article L. 1332-6-4 ménage cette possibilité.

 

La confidentialité des informations recueillies est assurée : les informations recueillies lors du traitement ainsi que la déclaration d’une attaque doivent rester strictement confidentielles car elles sont susceptibles de nuire durablement à l’image de l’opérateur qui en est victime, voire de compromettre les mesures correctives. Cette obligation, prévue à l’article L. 1332-6-5 devra être strictement respectée par les prestataires qualifiés.

 

L’article L. 1332-6-6 dispose que les conditions et les limites de l’application des dispositions précitées seront précisées par décret en Conseil d’État. Il s’agit en l’occurrence de points fondamentaux pour les opérateurs d’importance vitale, tels que les modalités de concertation et d’élaboration des règles de sécurité auxquelles ils seront soumis ainsi que la procédure de leur mise à jour et la date de leur entrée en vigueur. Il en va de même pour les modalités de contrôle et les administrations pouvant y procéder, la nature et le niveau des incidents à déclarer ainsi que le délai afférent. Le décret précisera en outre la procédure de qualification des systèmes de détection et des prestataires ainsi que le mode de désignation des services de l’État pouvant les exploiter. Il établira également le mode de notification des mesures d’urgence en cas de crise majeure.

 

Enfin le présent article détermine les sanctions pénales encourues par les opérateurs en cas de non-respect des obligations. Ces sanctions, précédées d’une mise en demeure sauf pour l’absence de déclaration d’incident, sont identiques à celles fixées par l’article 1332-7 dans le cadre de la protection physique des installations critiques, soit 150 000 euros pour une personne physique, pouvant être quintuplés et portés à 750 000 euros pour une personne morale, conformément aux dispositions de l’article 131-38 du code pénal.

 Lire aussihttp://www.cyberisques.com/index.php?option=com_content&view=category&layout=blog&id=121&Itemid=591&lang=fr

En savoir plus: Abonnez-vous

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires