ANSSI : dernière ligne droite pour la régulation des opérateurs d’infrastructure vitale

ANSSI va la vie 8
image dediée
Crédits : Marc Rees (licence CC-BY-SA 3.0)
Loi

Au FIC, Forum international sur la cybersécurité, Guillaume Poupard, numéro un de l'ANSSI a détaillé hier l’agenda du déploiement des nouvelles obligations pesant sur les opérateurs d’infrastructure vitale.

Pour mémoire, les OIV sont ces acteurs dont une défaillance porterait un coup dur aux intérêts de la nation (transport, énergie, FAI, opérateurs télécom, hôpitaux, etc.). La loi de programmation militaire (LPM) leur a imposé aussi une série de règles, mises en œuvre sous le contrôle de l’Agence nationale sur la sécurité des systèmes d’information (notre article détaillé).

Quelques exemples : ils doivent instaurer dans leurs infrastructures des systèmes de détection d'événements « affectant la sécurité de ces systèmes d'information ». Autres obligations concomitantes, la nécessité de déclarer les incidents qui viendraient frapper ces mêmes éléments. En outre, la LPM prévoit des contrôles et des réponses à apporter en cas de « crises majeures », avec une série de règles imposées par le Premier ministre, toujours via l’ANSSI. Toujours selon les textes, un OIV devra fournir « les informations nécessaires pour évaluer la sécurité de ses systèmes d'information, notamment la documentation technique des équipements et des logiciels utilisés dans ses systèmes ainsi que les codes sources de ces logiciels ».

Des arrêtés d’application programmés pour le 1er juillet

Seulement, l'ensemble de ces obligations ne sont pas encore en application : elles sont suspendues à un dernier round de textes, les arrêtés d'application. Selon Guillaume Poupard, ces arrêtés sont programmés pour publication au 1er juillet avec des dates de mise en œuvre s'étendant au maximum sur 18 mois pour les parties les plus complexes, celles relatives aux sondes de détection des incidents. Ces mêmes textes administratifs décriront aussi comment ces fameux OIV doivent notifier leurs éventuels incidents et comment s'opéreront les contrôles. Bref, des briques majeures.

« La LPM datant de 2013, cela représente donc trois années de retard. C'est certes beaucoup, mais derrière il y a des travaux cachés, des réunions avec les différents acteurs et ministres » explique Guillaume Poupard, « et même si juridiquement c'est du règlement, ces arrêtés ont été coécrits avec les acteurs. Nous voulons qu'ils adhèrent à la démarche ».

En tout, ce sont 18 arrêtés qui sont sur la rampe, chacun tenant compte des spécificités du secteur concerné. « Certains annexes aux arrêtés ne seront pas publiées car je tiens à conserver un certain secret. Je ne souhaite pas qu'on commence à jouer avec ces textes en essayant de deviner les forces et faiblesses de chacun. »

Quel sera le coût né de ces nouvelles règles, pour les OIV ? Rappelons en effet que les opérateurs, par le fait de la loi, devront supporter eux-mêmes ces charges. « Il faut être franc, c'est difficile à chiffrer » ajoute Guillaume Poupard. Une certitude : les opérateurs devront engager des frais initiaux puis des frais chaque année, pour payer les prestataires de détection, d'audit, etc. Une facture qui dépassera plusieurs millions d’euros, mais que le numéro 1 de l'ANSSI veut comparer aux coûts que peuvent occasionner les attaques informatiques.

La directive NIS

L’ANSSI caresse évidemment l'espoir que d'autres acteurs, non OIV, s'en inspirent pour leurs propres infrastructures. Une autre disposition devrait accompagner ce mouvement, via la norme européenne. La future directive NIS (network and information security), aujourd'hui en dernière ligne droite, vise à assurer un ensemble de règles cohérentes pour protéger les opérateurs dits essentiels, et donc pas seulement les OIV, dans toute l'Europe.

« Cette directive est fruit de négociations où les sensibilités et les cultures ne sont pas les mêmes selon les pays européens. » Guillaume Poupard se félicite cependant que ce texte s’inspire de la logique guidée par la LPM à l'égard des OIV. « Et que la liste des opérateurs essentiels à l'économie aille au-delà de celle des OIV en France, cela me ravit. » Un exemple concret : il y a 1000 installations SEVESO en France, et environ 200 OIV. La directive NIS permettra du coup d'étendre le périmètre des obligations de sécurité à ces acteurs non encore OIV.

Si les réseaux sociaux sont pour l'heure exclus de la directive NIS, cela ne pose pas de problème à l'ANSSI. « Entre un industriel dont l'activité est soumise à des risques majeurs et une telle plateforme, il n'y a rien de comparable » estime son numéro un. D'autres cependant, comme les moteurs de recherche, seront astreints à une obligation de notification des incidents dits « importants », et pas « majeurs » comme leurs grands frères. Des négociations suivront enfin pour définir les différents seuils de déclenchement au delà duquel l'autorité de contrôle sera notifiée. « Un scan de port ne suffira pas. Il faut que les informations qui remontent à l'ANSSI aient un intérêt, les incidents mineurs peuvent rester en interne. »

Si un travail de calibration est donc en cours, Guillaume Poupard applaudit chaleureusement cette directive : « la LPM a pour défaut d'être franco-française. Il est donc bénéfique d'avoir une telle démarche tout en respectant la souveraineté nationale entre les États membres ». La directive laissera d’ailleurs une marge d’appréciation aux États membres pour adapter les moyens. De l’avis même de l’ANSSI, ce mouvement qui tend vers l’harmonisation, est ausculté avec intérêt par les OIV qui redoutent les contrecoups concurrentiels des dispositions françaises. « On va vers un rétablissement d'une concurrence saine. »

Les sondes de la loi renseignement, les sondes de la LPM

Petit détail, on retrouve la notion de « sondes » dans la loi sur le renseignement. Là, elles permettront aux services du renseignement d’alpaguer en temps réel les données de connexion des échanges électroniques aux fins, notamment, de lutte contre le terrorisme. « Ce ne sont pas les mêmes sondes, mais il peut y avoir des bouts communs, soyons clairs. Un moteur de DPI, c’est un moteur de DPI. Reconstituer des sessions IP, peut se faire en commun mais après, très rapidement cela diverge. »

Pourquoi ? « Les objectifs ne sont pas les mêmes, pas plus que les questions d’efficacité : des sondes de renseignement ne visent pas à tout attraper, au contraire, c’est plutôt des grands filets et si des petits poissons passent au travers, ce n’est pas grave. Des sondes de détection d’attaques c’est plutôt l’inverse. Elles visent à détecter les signaux faibles. Si on laisse passer tous ces signaux faibles, une telle sonde ne détecte rien fondamentalement. Ce qui a en commun, au niveau technologique, est relativement faible en pratique. »

Publiée le 26/01/2016 à 15:15
Marc Rees

Journaliste, rédacteur en chef Droit, LCEN, copie privée, terrorisme, données personnelles, surveillance, vie privée, et toutes ces choses...

Soutenez nos journalistes

Le travail et l'indépendance de la rédaction dépendent avant tout du soutien de nos lecteurs.

Abonnez-vous
À partir de 0,99 €


chargement
Chargement des commentaires...