Au FIC, Forum international sur la cybersécurité, Guillaume Poupard, numéro un de l'ANSSI a détaillé hier l’agenda du déploiement des nouvelles obligations pesant sur les opérateurs d’infrastructure vitale.
Pour mémoire, les OIV sont ces acteurs dont une défaillance porterait un coup dur aux intérêts de la nation (transport, énergie, FAI, opérateurs télécom, hôpitaux, etc.). La loi de programmation militaire (LPM) leur a imposé aussi une série de règles, mises en œuvre sous le contrôle de l’Agence nationale sur la sécurité des systèmes d’information (notre article détaillé).
Quelques exemples : ils doivent instaurer dans leurs infrastructures des systèmes de détection d'événements « affectant la sécurité de ces systèmes d'information ». Autres obligations concomitantes, la nécessité de déclarer les incidents qui viendraient frapper ces mêmes éléments. En outre, la LPM prévoit des contrôles et des réponses à apporter en cas de « crises majeures », avec une série de règles imposées par le Premier ministre, toujours via l’ANSSI. Toujours selon les textes, un OIV devra fournir « les informations nécessaires pour évaluer la sécurité de ses systèmes d'information, notamment la documentation technique des équipements et des logiciels utilisés dans ses systèmes ainsi que les codes sources de ces logiciels ».
Des arrêtés d’application programmés pour le 1er juillet
Seulement, l'ensemble de ces obligations ne sont pas encore en application : elles sont suspendues à un dernier round de textes, les arrêtés d'application. Selon Guillaume Poupard, ces arrêtés sont programmés pour publication au 1er juillet avec des dates de mise en œuvre s'étendant au maximum sur 18 mois pour les parties les plus complexes, celles relatives aux sondes de détection des incidents. Ces mêmes textes administratifs décriront aussi comment ces fameux OIV doivent notifier leurs éventuels incidents et comment s'opéreront les contrôles. Bref, des briques majeures.
« La LPM datant de 2013, cela représente donc trois années de retard. C'est certes beaucoup, mais derrière il y a des travaux cachés, des réunions avec les différents acteurs et ministres » explique Guillaume Poupard, « et même si juridiquement c'est du règlement, ces arrêtés ont été coécrits avec les acteurs. Nous voulons qu'ils adhèrent à la démarche ».
En tout, ce sont 18 arrêtés qui sont sur la rampe, chacun tenant compte des spécificités du secteur concerné. « Certains annexes aux arrêtés ne seront pas publiées car je tiens à conserver un certain secret. Je ne souhaite pas qu'on commence à jouer avec ces textes en essayant de deviner les forces et faiblesses de chacun. »
Quel sera le coût né de ces nouvelles règles, pour les OIV ? Rappelons en effet que les opérateurs, par le fait de la loi, devront supporter eux-mêmes ces charges. « Il faut être franc, c'est difficile à chiffrer » ajoute Guillaume Poupard. Une certitude : les opérateurs devront engager des frais initiaux puis des frais chaque année, pour payer les prestataires de détection, d'audit, etc. Une facture qui dépassera plusieurs millions d’euros, mais que le numéro 1 de l'ANSSI veut comparer aux coûts que peuvent occasionner les attaques informatiques.
La directive NIS
L’ANSSI caresse évidemment l'espoir que d'autres acteurs, non OIV, s'en inspirent pour leurs propres infrastructures. Une autre disposition devrait accompagner ce mouvement, via la norme européenne. La future directive NIS (network and information security), aujourd'hui en dernière ligne droite, vise à assurer un ensemble de règles cohérentes pour protéger les opérateurs dits essentiels, et donc pas seulement les OIV, dans toute l'Europe.
« Cette directive est fruit de négociations où les sensibilités et les cultures ne sont pas les mêmes selon les pays européens. » Guillaume Poupard se félicite cependant que ce texte s’inspire de la logique guidée par la LPM à l'égard des OIV. « Et que la liste des opérateurs essentiels à l'économie aille au-delà de celle des OIV en France, cela me ravit. » Un exemple concret : il y a 1000 installations SEVESO en France, et environ 200 OIV. La directive NIS permettra du coup d'étendre le périmètre des obligations de sécurité à ces acteurs non encore OIV.
Si les réseaux sociaux sont pour l'heure exclus de la directive NIS, cela ne pose pas de problème à l'ANSSI. « Entre un industriel dont l'activité est soumise à des risques majeurs et une telle plateforme, il n'y a rien de comparable » estime son numéro un. D'autres cependant, comme les moteurs de recherche, seront astreints à une obligation de notification des incidents dits « importants », et pas « majeurs » comme leurs grands frères. Des négociations suivront enfin pour définir les différents seuils de déclenchement au delà duquel l'autorité de contrôle sera notifiée. « Un scan de port ne suffira pas. Il faut que les informations qui remontent à l'ANSSI aient un intérêt, les incidents mineurs peuvent rester en interne. »
Si un travail de calibration est donc en cours, Guillaume Poupard applaudit chaleureusement cette directive : « la LPM a pour défaut d'être franco-française. Il est donc bénéfique d'avoir une telle démarche tout en respectant la souveraineté nationale entre les États membres ». La directive laissera d’ailleurs une marge d’appréciation aux États membres pour adapter les moyens. De l’avis même de l’ANSSI, ce mouvement qui tend vers l’harmonisation, est ausculté avec intérêt par les OIV qui redoutent les contrecoups concurrentiels des dispositions françaises. « On va vers un rétablissement d'une concurrence saine. »
Les sondes de la loi renseignement, les sondes de la LPM
Petit détail, on retrouve la notion de « sondes » dans la loi sur le renseignement. Là, elles permettront aux services du renseignement d’alpaguer en temps réel les données de connexion des échanges électroniques aux fins, notamment, de lutte contre le terrorisme. « Ce ne sont pas les mêmes sondes, mais il peut y avoir des bouts communs, soyons clairs. Un moteur de DPI, c’est un moteur de DPI. Reconstituer des sessions IP, peut se faire en commun mais après, très rapidement cela diverge. »
Pourquoi ? « Les objectifs ne sont pas les mêmes, pas plus que les questions d’efficacité : des sondes de renseignement ne visent pas à tout attraper, au contraire, c’est plutôt des grands filets et si des petits poissons passent au travers, ce n’est pas grave. Des sondes de détection d’attaques c’est plutôt l’inverse. Elles visent à détecter les signaux faibles. Si on laisse passer tous ces signaux faibles, une telle sonde ne détecte rien fondamentalement. Ce qui a en commun, au niveau technologique, est relativement faible en pratique. »
Commentaires (8)
#1
on fait comment pour déclarer des documents apparemment privés d’OIV disponibles publiquement sur Google sans se prendre une amende et 96h chez la DCRI à Levallois?
#2
A priori, on n’est pas censé connaitre la liste des OIVs :)
“L’ANSSI ” cyberprotège “ 218 opérateurs d’importance vitale français” Voix du nord - 22/01/2014
“On ne vous donnera malheureusement pas la liste de ces 218 opérateurs
d’importance vitale en France (OIV). Cette liste est classifiée. ”
Donc, dans le fond, tu es déjà éligible pour une “discussion” ;)
Sinon, contacter la société en question qui n’est peut-être pas au courant de la fuite d’information ?
Tant que tu n’as rien “hacké” pour atteindre les informations, es-tu réélement condamnable si tu ne diffuses pas l’information ?
Ou encore, peut-être un courrier physique à l’ANSSI ?http://www.ssi.gouv.fr/agence/contacts/hotel-national-des-invalides/
#3
c’était une boutade, enfin pas tant que ça.
certains diront que je parle que de ça. ^^
il s’agit de l’ANSES, en rapport avec l’affaire Bluetouff, et dont les docs soit-disant “privés” sont actuellement toujours dispos sur Google, dans un répertoire /system/files auquel “vous n’êtes pas autorisé à accéder”.
j’imagine que le premier qui clique sur le lien dans Google est passible du délit de “maintien frauduleux dans un système informatisé de données”, qui a valu à l’intéressé 96h à Levallois et une condamnation pénale.
pour en revenir à ton post, on sait donc par ce biais que l’ANSES est un OIV. ^^
enfin ceci dit jsuis pas si tranquille que ça, parce qu’à priori même si l’info est publique elle est censée être privée…
ah merde j’ai la DCRI au cul maintenant.
#4
#5
Ce ne sont pas les vrais PDF mais des leurres pour mieux désinformer nos adversaires et alliés
" />
#6
Du coup, on tue qui si on clique dessus ?
" />
" />
#7
C’est la roulette russe, ça prend un e IP au hasard de quelqu’un qui a cliqué dessus précédemment et boom pastèque !!!
#8
La LPM donne tout pouvoir à l’armée de traiter les données personnelles , le chef des armées c’est le Président de la République, en l’occurrence Monsieur François Hollande, c’est donc lui le Community manager pour la France pour l’Open Government Partnership, par ailleurs l’état d’urgence nous rend tous responsables de nos données personnelles, la solution réside dans la transition du Web 2.0 au Web 3.0 avec le Web ID de France Connect !