Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Coup d’envoi des premiers arrêtés de la LPM

juin 2016 par Marc Jacob

Louis GAUTIER, Secrétaire général de la défense et de la sécurité nationale et
Guillaume POUPARD, directeur général de l’ANSSI ont donné le coup d’envoi de la publication des premiers arrêtés de la LPM. Leur mise en œuvre pourrait coûter pour chacun des 249 OIV entre 5 et 10% de leurs budgets IT. Au final, une somme modeste au vue des enjeux de sécurité.

Guillaume POUPARD et Louis GAUTIER

A partir du 1er juillet 2016, l’entrée en vigueur d’une première vague d’arrêtés marquera la mise en place effective de ce dispositif pour les secteurs d’activité suivants « produits de santé », « gestion de l’eau » et « alimentation ». Ces mesures sont définies par l’article 22 de la Loi de Programmation militaire (LPM) qui a introduit les articles L.2321-1 et L.2321-2 du Code de la défense. Cette première publication fait suite au travail initialisé depuis 2013 avec les opérateurs d’importance vitale. Il faut rappeler que la mention d’OIV est propre à la France. Elle inclut des entreprises privées et des organismes publics. En 2015, les 249 OIV et 1.369 sites ont été audités en pointant sur les risques Seveso mais aussi de terrorismes, 12 secteurs ont été recensés comme l’énergie, les transports, la santé, la finance, audiovisuel.... L’ANSSI joue un rôle prépondérant pour renforcer la sécurité de ces organismes. Elle travaille en ce domaine avec des acteurs certifiés par elle-même.

Louis Gautier s’est félicité du choix de la France de séparation des services de l’ANSSI et du SGDSN qui permet de travail en confiance avec les acteurs économiques. Il a insisté sur l’importance dans cet arrêté de la communication des incidents de sécurité qui devrait permettre de mieux connaître les nouveaux types d’attaques. En matière d’attribution des missions Guillaume Poupard rappelle que le modèle français se différencie des autres pays. En effet, l’ANSSI a exclusivement des missions de défense et non d’attaques qui sont laissées à d’autres services. Ceci permet une meilleure collaboration avec les OIV. Ainsi, une liste des opérateurs critiques a été définie assez rapidement ce que n’ont pas réussi à faire les autres pays à ce jour. De plus, la loi permet d’imposer à ces acteurs des règles de sécurité, de contrôle, de publications des incidents. Ainsi, un travail a été réalisé avec les OIV et les Ministères concernés. Pour certains secteurs, le travail a été assez facile à effectuer du fait de l’existence de règlementation comme dans les télécoms. Pour d’autres secteurs un travail de fond a dû être fait d’une part pour les convaincre de la réalité des menaces d’une part et d’autre part des mesures à prendre pour renforcer leur sécurité. Grâce à cette collaboration et ces discussions, les mesures prises devaient être soutenables au niveau financier et technique. Au niveau pratique les systèmes les plus critiques doivent être audités par des prestataires qualifiés les PASSI. Selon Guillaume Poupard, chaque règle de sécurité préconisée est raisonnablement réalisable par ses opérateurs du fait du travail réalisé en amont. Ainsi, la mise en œuvre de la Loi est pragmatique et concrête.

Lorsque la directive NICE sera retranscrite qui va élargir les mesures liées aux OIV à d’autres types d’entreprises, le travail réalisé en amont avec les OIV pourra servir.

Pour les sous-traitants, les OIV devront retranscrire dans leurs contrats les obligations qui leurs sont faites. L’objectif est donc de créer des écosystèmes sécurisés qui seront déployés sur les sous-traitants. Il s’agira de fournir des "boîtes" sécurisées facilement déployables à des prix acceptables.

Guillaume Poupard considère que les OIV n’esquivent plus le problème de la cybersécurité, il s’agit pour eux de prendre cette menace au sérieux et de la traiter. Cette démarche a permis d’éveiller les consciences en ce domaine.

Selon Louis Gautier et Guillaume Poupard, les actes de terrorismes jusqu’à aujourd’hui ont eu des impacts limités comme des défigurations de sites, des indisponibilités... Par contre, on craint actuellement des actes ayant des desseins plus graves. Le SGDSN redoute par exemple que Daesch puisse acheter des ressources de pirates informatiques pour effectuer de tels actes. Louis Gautier ajoute que la menace cyber pourrait avoir des impacts sur le monde physique, même si à ce jour, il y a eu très peu de véritable attaque terroriste.

Guillaume Poupard explique qu’il y a régulièrement des pirates qui cartographient les SI des entreprises. A ce jour, on ne sait pas s’ils font cela a des fins de vol de données ou de terrorismes. De plus, il craint l’envoi massif de ransomwares dont l’objectif ne serait plus le gain financier mais simplement le blocage massif des réseaux à des fins de terrorismes.

Prochains arrêtés prévus en octobre 2016

Guillaume Poupard explique que 18 groupes de travail ont été lancés en fonction des secteurs d’activité. Les autres arrêtés arriveront au 1er octobre, puis au 1er janvier... Le rythme doit être adapté en fonction des impératifs de chaque secteur. Le coût de cette sécurisation sera en 5 et10% des budgets informatiques de ces acteurs. Citant le cas de TV5 Monde, il a rappelé que le coût de la réparation s’est élevé à 5 millions € plus 3 millions de façons récurrentes pour maintenir le réseau. D’une façon générale, ce coût n’est donc pas anodin. Par contre, il est évident que dans certains secteurs qui ont depuis longtemps intégré des règles de sécurité ce coût devrait être proportionnellement moindre.

La qualification des produits, des services et du Cloud reste essentielle

Dans ce dispositif, la qualification des produits, des services et des acteurs restent essentielle pour instaurer un climat de confiance dans l’internet. Au niveau du Cloud des prestataires seront qualifiés à l’aide d’un référentiel. Une liste de prestataires qualifiés sera publiée. Pour les PME Guillaume Poupard est persuadé que l’externalisation est la meilleure solution.

Guillaume Poupard explique que le contrôle est prévu par la Loi, il pourra s’appuyer sur les PASSI pour les effectuer. Pour lui, même si « des sanctions sont prévues dans la loi mais le jour où elles seront appliquées c’est qu’il y aura eu un échec du travail avec les OIV. La publication des incidents ont surtout pour intérêt de faire de la sécurité collective pour vérifier qu’une attaque sur un acteur précis ne concerne pas ces conférés.

Quant à la qualification de produit, elle concerne tous les acteurs français ou étrangers. Cette qualification passe la vérification des codes sources. Ainsi, des produits étrangers sont déjà qualifiés et bien entendu des produits français aussi. Par ailleurs des acteurs du Cloud français et étrangers sont déjà en cours de qualification. Il a rappelé que des accords de reconnaissances mutuelles concernant la qualification existent pour les produits et les services qualifie dans certains pays européens le sont aussi en France.


Pour aller plus loin : http://www.ssi.gouv.fr/administration/protection-des-oiv/protection-des-oiv-en-france/


Voir les articles précédents

    

Voir les articles suivants