Publication des premiers décrets de règles sectorielles de cybersécurité pour les OIV

Publication des premiers décrets de règles sectorielles de cybersécurité pour les opérateurs d'importance vitale (OIV)

 

 

Louis Gautier, secrétaire général de la défense et de la sécurité nationale et Guillaume Poupard, directeur général de l'ANSSI ont commenté lundi 27 juin la publication des premiers arrêtés sectoriels  « Produits de santé », « Alimentation » et « Gestion de l'eau » de l'article 22 de la Loi de programmation militaire (LPM), dont la mise en application débutera le 1er juillet 2016.

Pour Louis Gautier, la publication des premiers arrêtés constitue un « moyen pour l'état de fixer des objectifs aux OIV (opérateurs d'importance vitale) ainsi qu'a leurs partenaires et sous-traitants ». Toutefois ces textes ne concernent pas (encore) les PME PMI qui collaborent avec des opérateurs OIV.

En cette période d’état d’urgence, le secrétaire général de la défense et de la sécurité nationale précise que les risques terroristes et pas seulement industriels demeurent en première ligne. Il rappelle avec Guillaume Poupard que le cas de la cyberattaque de TV5 n'est pas a rapprocher d'une menace terroriste. Pour le directeur général de l'ANSSI cette cyber-attaque demeure à ce jour « mystérieuse ». La véritable crainte pour les deux responsables c'est le cybersabotage d'infrastructures critiques.

« L'achat de compétences en ingénierie informatique via DAESH* et ses sources financières peut nourrir nos inquiétudes » affirment-ils de concert. En clair, si des cyber-mafias sont approchées par des cyber-terroristes pour utiliser leurs « technologies » à des fins terroristes, le risque sera considéré comme très grave par les agences européennes.

C'est entre autres une des raisons qui poussent l'ANSSI a agir vite en répartissant les 249 OIV actuels en 18 groupes sectoriels pour étudier "ensemble" les modalités des arrêtes sectoriels relatifs à la sécurité des SIIV (Systèmes d'information d'importance vitale).

 

BcsKlhECYAE2hWU

 

A partir du 1er juillet 2016, trois arrêtés marqueront la mise en place opérationnelle de ces premières mesures. Les secteurs concernés sont les « produits de santé », la « gestion de l'eau » et celle de « l'alimentation ». D'autres textes « généraux » suivront à la rentrée. Les derniers seront publiés courant 2018. Les différences dans les échéances du calendrier s'expliquent par les niveaux de perception et de préparation des OIV aux cyberisques « Certains opérateurs sont naturellement sensibilisés. C'est le cas des opérateurs télécoms par exemple mais d'autres partent réellement de zéro. C'est l'occasion de sensibiliser les DG qui toutes comprennent désormais que la cybersécurité est indispensable, que la sécurité physique ne suffit pas » analyse Guillaume Poupard.

A sa façon, l'ANSSI « évangélise » sans mélanger les genres affirment les responsables. Louis Gautier le martèle : « Les contours du rôle et de la mission de l'ANSSI auprès des OIV demeurent très précis contrairement à d'autres pays ». L'ANSSI service public et agence de "cyberprotection" n'a pas vocation a effectué du renseignement. « Nous cherchons a mettre en place un modèle coopératif basé sur des ministères et des partenariats public-privé » rappelle Guillaume Poupard en enfonçant définitivement le clou « Notre démarche depuis 2013 illustre l'originalité du modèle français qui contrairement aux orientations anglo-saxonnes sépare clairement les actions de cyberdéfense, cyberprotection et attaques constatées de celles du renseignement et de la cyber-riposte ». 

 

Un modèle français atypique mais...

Reste que des interrogations subsistent sur ce modèle français à commencer par les limites d'une infrastructure critique chez un OIV. Ou s'arrêtent les contrôles voire les interventions de l'ANSSI sur des SIIV partagés ? La plupart des systemes d'information  des OIV (architectures SCADA également) se repartissent  sur plusieurs zones voire de nombreux pays. Pour la majorité, ils font appel à des milliers d'applications utilisant des données hébergées sur des clouds et autres datacenter eux mêmes sous traités à des opérateurs internationaux parfopis éloignés des cadres reglementaires européens. Comment les controles de l'ANSSI peuvent s'intégrer dans de tels process ? 

Dès lors, on peut aussi s'interroger sur les moyens propres à l'ANSSI pour réaliser les contrôles et s'assurer du respect des règles contenues dans les arrêtés « sectoriels » publiés pour le 1er juillet 2016. Des PASSI (Prestataires d'audit de la sécurité des SI) tout « neufs » fraîchement qualifiés pourraient intervenir au nom de l'ANSSI pour réaliser ces contrôles (1). L'agence française agirait alors en véritable chef d’orchestre d'un écosystème de cyber-confiance certifié par... ses propres agents.

Coté OIV, le financement de ces mesures, la gestion du contrôle des alertes, incidents et notifications et toujours le recrutement de talents en cybersécurité demeurent des interrogations récurrentes et réelles souvent sans réponses.

Guillaume Poupart estime entre 5% et 10% du total du budget (de fonctionnement ou d'investissements ?) des systèmes d'information des OIV, la part réservée à la cybersécurité. Tous les OIV sont ils prêts a « entendre » cette estimation ? Autre interrogation : quelles réactions doit-on attendre de la part d'actionnaires de certains OIV cotés en bourse si le niveau de cybersécurité n est pas respecté ? On comprend mieux le role stratégique que se prépare a jouer l'ANSSI avec la publication de ces premiers décrets. Autre point: en élargissant la problématique, l'ANSSI pourra t-elle intervenir à l'étranger ou bon nombre d'OIV disposent d'infrastructures ? Enfin, « Last question »  à l'heure du Brexit : que deviennent les accords « cyber » signés avec la Grande Bretagne ? (2) Confiance ou pas confiance ? that is the question depuis que l'homme existe.

@jpbichard

 

 * "le Califat n’a pour le moment – et probablement pas dans l’avenir – aucune capacité à mener une cyber-guerre. C'est-à- dire qu’il peut jouer sur la diffusion de vidéos et d’images, mais nullement s’attaquer aux réseaux informatiques irakiens, saoudiens ou occidentaux, ni même à leurs moyens de transmission, de renseignement numérique et de téléphonie. L’État islamique utilise un internet qu’il ne peut contrôler." Extrait: Olivier Hanne et Thomas Flichy de la Neuville, Etat islamique, anatomie du Califat, Editions Bernard Giovanangeli, 2014.

 

(1) http://www.ssi.gouv.fr/entreprise/qualifications/prestataires-de-services-de-confiance-qualifies/prestataires-daudit-de-la-securite-des-systemes-dinformation-passi-qualifies/

(2)   http://www.rte.ie/news/business/technology/2016/0624/797896-brexit-and-uk-technology/

 

 

 Commandement-Cyberisques-1

 

BONUS : Le communiqué de presse commun SGDSN / ANSSI  (28 juin 2016)

Pour faire face aux nouvelles menaces cyber et répondre aux besoins de la sécurité nationale, les opérateurs d’importance vitale (OIV) vont mettre en œuvre à partir du 1er juillet 2016, pour les premiers d’entre eux, plusieurs mesures relatives à la sécurisation de leurs systèmes d’information définies par la Loi de Programmation militaire (LPM).

A partir du 1 er juillet 2016, l’entrée en vigueur d’une première vague d’arrêtés marquera la mise en place effective de ce dispositif pour les secteurs d’activité suivants « produits de santé », « gestion de l’eau » et « alimentation ».

Les autres arrêtés seront progressivement publiés au journal officiel au cours du 2e semestre 2016.

Signés par le Secrétaire général de la défense et de la sécurité nationale par délégation du Premier ministre, ces arrêtés sectoriels fixent les règles relatives à la sécurité des systèmes d’information des OIV prévue par l’article 22 de la loi de programmation militaire du 18 décembre 2013. Ils comprennent notamment :

les règles de sécurité en prenant en compte les spécificités des secteurs (enjeux, contraintes, niveau de maturité en sécurité numérique). A la fois organisationnelles et techniques, elles sécurisent l’accès et la gestion des systèmes d’information ciblés.

les modalités d’application des autres mesures : l’identification des systèmes d’information d’importance vitale (SIIV), la notification d’incidents de sécurité et les contrôles pour suivre la mise en place du dispositif.

La France est ainsi l’un des tous premiers pays à s’appuyer sur la réglementation pour définir un dispositif efficace de cybersécurité de ces infrastructures critiques, c’est-à-dire indispensables au bon fonctionnement et à la survie de la Nation.

En tant qu’autorité nationale en matière de sécurité et de défense des systèmes d’information, l’ANSSI a piloté les groupes de travail qui ont permis de définir ces dispositions. Ils ont réuni, par secteur d’activité, les opérateurs d’importance vitale, les autorités de régulation et les Ministères coordonnateurs.

L’ANSSI continuera à accompagner les opérateurs dans la sécurisation de leurs systèmes d’information, notamment grâce à la mise en ligne d’une nouvelle rubrique dédiée sur le site Internet de l’agence. Cet espace revient en détails sur le dispositif français de cybersécurité, les mesures – en particulier les règles de sécurité - et propose un certain nombre de ressources (ex : formulaires de déclaration des SIIV et des incidents) pour aider à leur mise en œuvre.

 

 

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires