Au Journal officiel, plusieurs arrêtés attendus de longue date ont été publiés ce matin. Ils concernent plusieurs branches où interviennent des opérateurs dits d’importance vitale (ou OIV).
Après une première vague début juillet, cette nouvelle brochette de textes publiée ce matin concerne ceux des OIV intervenant :
- Dans l’approvisionnement en gaz naturel
- Dans l’approvisionnement en hydrocarbures pétroliers
- Dans l’approvisionnement en énergie électrique
- Dans les transports maritime et fluvial
- Dans les transports terrestres
- Dans le transport aérien
Mais avant de plonger plus en avant, qu’est-ce qu’un OIV ou opérateur d’importance vitale ? Il s’agit des acteurs, pas nécessairement de droit public, dont une défaillance « risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation » (article L1332-1 du Code de la défense). Leur liste est par nature classée, mais il est relativement simple d’égrainer des pans sectoriels : centrales nucléaires, opérateurs télécom, de santé, de transports, etc. Il y a en tout quelque 250 OIV en France.
La loi de programmation militaire
La régulation de cet univers, confiée dans les mains de l’Agence nationale pour la sécurité des systèmes d’information, a été gravée dans le marbre par la loi de programmation militaire. Adopté en 2013, les article 21 et suivants de la LPM ont dressé une série d’obligations que doivent respecter impérativement ces OIV (voir notre actualité) . « La France est le premier pays à s’appuyer sur la réglementation pour définir un dispositif efficace de cybersécurité de ses infrastructures d’importance vitale, qui sont indispensables au bon fonctionnement et à la sécurité de la Nation » rappelle à ce titre l'agence présidée par Guillaume Poupard.
Mais dans le détail ? Prenons l’exemple d’un opérateur en approvisionnement en énergie électrique. Il devra dans les trois mois informer l’ANSSI de « la liste de systèmes d'information d'importance vitale » (SIIV). Bien entendu, la même agence sera également alertée des mises à jour, en plus ou en moins, et ce sans délai : « Il informe sans délai l'Agence nationale de la sécurité des systèmes d'information de tout retrait de sa liste d'un des systèmes précédemment déclarés et en précise les raisons ».
Pour dresser cette liste, chacun devra préalablement mener une analyse d'impacts en suivant les lignes indiquées en annexe de l’arrêté.
L’Agence connaîtra également tous les incidents après avoir été contactée « selon le moyen approprié à la sensibilité des informations déclarées », puisque le formulaire est un document classé secret de la défense nationale. Ajoutons à ce titre que l’un des décrets d’application de la LPM oblige les OIV à désigner « une personne chargée de le représenter auprès de l'Agence nationale de la sécurité des systèmes d'information » pour gérer ces questions sensibles.
Les annexes des arrêtés
Pour en savoir un peu plus sur ce versant de la cybersécurité à la française, les fameuses annexes rédigées conjointement par les OIV avec l’ANSSI sont précieuses.
Elles obligent déjà ces acteurs à élaborer, tenir à jour et mettre en œuvre « une politique de sécurité des systèmes d'information (PSSI) » où est décrit « l'ensemble des moyens organisationnels et techniques mis en œuvre par l'opérateur afin d'assurer la sécurité de ses systèmes d'information d'importance vitale ».
Ce document les contraint encore à faire homologuer chaque système d’importance vitale tous les trois ans. Il s’agit d’une « décision formelle prise par l'opérateur qui atteste que les risques pesant sur la sécurité de ce système ont été identifiés et que les mesures nécessaires pour le protéger sont mises en œuvre. Elle atteste également que les éventuels risques résiduels ont été identifiés et acceptés par l'opérateur ».
Cette phase passe aussi par la case d’un audit réalisé par un acteur tiers lui-même accrédité par l’ANSSI, conformément à un décret du 27 mars 2015 (notre actualité )
Évidemment, l’ensemble de ces pièces est tenu à la disposition de l’ANSSI, tout comme d’ailleurs les éléments de cartographie de son système : « les noms et les fonctions des applications, supportant les activités de l'opérateur, installées sur le SIIV », « le cas échéant, les plages d'adresses IP de sortie du SIIV vers internet ou un réseau tiers, ou accessibles depuis ces réseaux», « la description fonctionnelle des points d'interconnexion du SIIV et de ses différents sous-réseaux avec des réseaux tiers, notamment la description des équipements et des fonctions de filtrage et de protection mis en œuvre au niveau de ces interconnexions », etc.
Des incidents
Sur le terrain pur de la sécurité et spécialement celui des incidents, l’opérateur aura l’obligation de se tenir informé « des vulnérabilités et des mesures correctrices de sécurité susceptibles de concerner les ressources matérielles et logicielles de ses systèmes informatiques d’importances vitales, qui sont diffusées notamment par les fournisseurs ou les fabricants de ces ressources ou par des centres de prévention et d'alerte en matière de cyber sécurité tel que le CERT-FR ».
S’y ajoutent des obligations de mises à jour (sauf « difficultés techniques ou opérationnelles justifiées »). De même, « préalablement à l'installation de toute nouvelle version, l'opérateur s'assure de l'origine de cette version et de son intégrité, et analyse l'impact de cette version ».
L’opérateur devra tout autant installer aussi un système de « sondes d'analyse de fichiers et de protocoles » afin d’aiguiser la détection des événements susceptibles d'affecter leur sécurité. Ces sondes « sont positionnées de manière à pouvoir analyser l'ensemble des flux échangés entre les SIIV et les systèmes d'information tiers à ceux de l'opérateur » impose l’annexe.
Du filtrage et des indicateurs
Est aussi prévue une procédure de gestion de crise en cas d'attaques informatiques majeures, l’obligation de procéder au cloisonnement des SIIV « afin de limiter la propagation des attaques informatiques au sein de ses systèmes ou ses sous-systèmes », ou encore d’installer des mécanismes de filtrage des flux de données « afin de bloquer la circulation des flux inutiles au fonctionnement de ses systèmes et susceptibles de faciliter des attaques informatiques ».
Le tout s’achève par l’évaluation d’une série d’indicateurs qui relèveront notamment « le pourcentage de postes utilisateurs dont les ressources systèmes ne sont pas installées dans une version supportée par le fournisseur ou le fabricant », « le pourcentage de postes utilisateurs dont les ressources systèmes ne sont pas mises à jour ou corrigées du point de vue de la sécurité depuis au moins 15 jours à compter de la disponibilité des versions mises à jour », les « droits d'accès des utilisateurs et à l'authentification des accès aux ressources », le pourcentage d'utilisateurs accédant au SIIV au moyen de comptes partagés ou au moyen de comptes privilégiés, « le pourcentage de ressources administrées dont l'administration ne peut pas être effectuée au travers d'une liaison réseau physique ou d'une interface d'administration physique », etc. Ces documents sensibles seront également communiqués une fois par an à l’ANSSI.
