Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Cybersécurité : gaz, pétrole, électricité, transports, les nouvelles obligations des OIV

Prêt pour les Assises !
Droit 5 min
Cybersécurité : gaz, pétrole, électricité, transports, les nouvelles obligations des OIV
Crédits : Marc Rees (licence CC-BY-SA 3.0)

Au Journal officiel, plusieurs arrêtés attendus de longue date ont été publiés ce matin. Ils concernent plusieurs branches où interviennent des opérateurs dits d’importance vitale (ou OIV).

Après une première vague début juillet, cette nouvelle brochette de textes publiée ce matin concerne ceux des OIV intervenant :

Mais avant de plonger plus en avant, qu’est-ce qu’un OIV ou opérateur d’importance vitale ? Il s’agit des acteurs, pas nécessairement de droit public, dont une défaillance « risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation » (article L1332-1 du Code de la défense). Leur liste est par nature classée, mais il est relativement simple d’égrainer des pans sectoriels : centrales nucléaires, opérateurs télécom, de santé, de transports, etc. Il y a en tout quelque 250 OIV en France.  

La loi de programmation militaire

La régulation de cet univers, confiée dans les mains de l’Agence nationale pour la sécurité des systèmes d’information, a été gravée dans le marbre par la loi de programmation militaire. Adopté en 2013, les article 21 et suivants de la LPM ont dressé une série d’obligations que doivent respecter impérativement ces OIV (voir notre actualité) . « La France est le premier pays à s’appuyer sur la réglementation pour définir un dispositif efficace de cybersécurité de ses infrastructures d’importance vitale, qui sont indispensables au bon fonctionnement et à la sécurité de la Nation » rappelle à ce titre l'agence présidée par Guillaume Poupard.

Mais dans le détail ? Prenons l’exemple d’un opérateur en approvisionnement en énergie électrique.  Il devra dans les trois mois informer l’ANSSI de « la liste de systèmes d'information d'importance vitale » (SIIV). Bien entendu, la même agence sera également alertée des mises à jour, en plus ou en moins, et ce sans délai : « Il informe sans délai l'Agence nationale de la sécurité des systèmes d'information de tout retrait de sa liste d'un des systèmes précédemment déclarés et en précise les raisons ».

Pour dresser cette liste, chacun devra préalablement mener une analyse d'impacts en suivant les lignes indiquées en annexe de l’arrêté. 

L’Agence connaîtra également tous les incidents après avoir été contactée « selon le moyen approprié à la sensibilité des informations déclarées », puisque le formulaire est un document classé secret de la défense nationale. Ajoutons à ce titre que l’un des décrets d’application de la LPM oblige les OIV à désigner « une personne chargée de le représenter auprès de l'Agence nationale de la sécurité des systèmes d'information » pour gérer ces questions sensibles.

Les annexes des arrêtés

Pour en savoir un peu plus sur ce versant de la cybersécurité à la française, les fameuses annexes rédigées conjointement par les OIV avec l’ANSSI sont précieuses.

Elles obligent déjà ces acteurs à élaborer, tenir à jour et mettre en œuvre « une politique de sécurité des systèmes d'information (PSSI) » où est décrit « l'ensemble des moyens organisationnels et techniques mis en œuvre par l'opérateur afin d'assurer la sécurité de ses systèmes d'information d'importance vitale ».

Ce document les contraint encore à faire homologuer chaque système d’importance vitale tous les trois ans. Il s’agit d’une « décision formelle prise par l'opérateur qui atteste que les risques pesant sur la sécurité de ce système ont été identifiés et que les mesures nécessaires pour le protéger sont mises en œuvre. Elle atteste également que les éventuels risques résiduels ont été identifiés et acceptés par l'opérateur ».

Cette phase passe aussi par la case d’un audit réalisé par un acteur tiers lui-même accrédité par l’ANSSI, conformément à un décret du 27 mars 2015 (notre actualité )

Évidemment, l’ensemble de ces pièces est tenu à la disposition de l’ANSSI, tout comme d’ailleurs les éléments de cartographie de son système : « les noms et les fonctions des applications, supportant les activités de l'opérateur, installées sur le SIIV », « le cas échéant, les plages d'adresses IP de sortie du SIIV vers internet ou un réseau tiers, ou accessibles depuis ces réseaux», « la description fonctionnelle des points d'interconnexion du SIIV et de ses différents sous-réseaux avec des réseaux tiers, notamment la description des équipements et des fonctions de filtrage et de protection mis en œuvre au niveau de ces interconnexions », etc.  

Des incidents

Sur le terrain pur de la sécurité et spécialement celui des incidents, l’opérateur aura l’obligation de se tenir informé « des vulnérabilités et des mesures correctrices de sécurité susceptibles de concerner les ressources matérielles et logicielles de ses systèmes informatiques d’importances vitales, qui sont diffusées notamment par les fournisseurs ou les fabricants de ces ressources ou par des centres de prévention et d'alerte en matière de cyber sécurité tel que le CERT-FR ».

S’y ajoutent des obligations de mises à jour (sauf « difficultés techniques ou opérationnelles justifiées »). De même, «  préalablement à l'installation de toute nouvelle version, l'opérateur s'assure de l'origine de cette version et de son intégrité, et analyse l'impact de cette version ». 

L’opérateur devra tout autant installer aussi un système de « sondes d'analyse de fichiers et de protocoles » afin d’aiguiser la détection des événements susceptibles d'affecter leur sécurité. Ces sondes « sont positionnées de manière à pouvoir analyser l'ensemble des flux échangés entre les SIIV et les systèmes d'information tiers à ceux de l'opérateur » impose l’annexe.

Du filtrage et des indicateurs

Est aussi prévue une procédure de gestion de crise en cas d'attaques informatiques majeures, l’obligation de procéder au cloisonnement des SIIV « afin de limiter la propagation des attaques informatiques au sein de ses systèmes ou ses sous-systèmes », ou encore d’installer des mécanismes de filtrage des flux de données « afin de bloquer la circulation des flux inutiles au fonctionnement de ses systèmes et susceptibles de faciliter des attaques informatiques ».

Le tout s’achève par l’évaluation d’une série d’indicateurs qui relèveront notamment « le pourcentage de postes utilisateurs dont les ressources systèmes ne sont pas installées dans une version supportée par le fournisseur ou le fabricant », « le pourcentage de postes utilisateurs dont les ressources systèmes ne sont pas mises à jour ou corrigées du point de vue de la sécurité depuis au moins 15 jours à compter de la disponibilité des versions mises à jour », les « droits d'accès des utilisateurs et à l'authentification des accès aux ressources », le pourcentage d'utilisateurs accédant au SIIV au moyen de comptes partagés ou au moyen de comptes privilégiés, « le pourcentage de ressources administrées dont l'administration ne peut pas être effectuée au travers d'une liaison réseau physique ou d'une interface d'administration physique », etc. Ces documents sensibles seront également communiqués une fois par an à l’ANSSI.  

27 commentaires
Avatar de Ingénieur informaticien INpactien
Avatar de Ingénieur informaticienIngénieur informaticien- 25/08/16 à 15:20:28

Combien de machines sous Windows 10 parmi celles des infrastructures des OIV ?Comment peut-on garantir la sécurité sur un OS qui n'est désormais conçu que comme l'extension terminale du réseau d'une entreprise étrangère ?

Avatar de otto INpactien
Avatar de ottootto- 25/08/16 à 15:37:48

C'est pas grave, la france n'est plus qu'un valet des USA donc ce genre de question ne se posent plus....

C'est bien marrant tout ça. Il faut savoir que la vrai vie, il n'y a que quelques transformateurs a faire sauter en france pour mettre tout le réseau électrique HS pendant des mois et pareil au USA...
 
Heureusement les islamistes ne vont pas assez à l'école pour le savoir...

Avatar de esver Abonné
Avatar de esveresver- 25/08/16 à 15:41:01

Ce serait plus les vieux Windows qui me font peur, ça ne m'étonnerai pas qu'il reste de vieux NT et des windows 98...

Avatar de Bel Iblis Abonné
Avatar de Bel IblisBel Iblis- 25/08/16 à 15:43:30

On en parle du logiciel météo des aéroports de Paris sous windows 3.1 ? :D

Avatar de hellmut Abonné
Avatar de hellmuthellmut- 25/08/16 à 15:59:42

à mon avis très peu.
je suis par exemple passé sur 7 il y a 6 mois.
un parc informatique ne se change pas en un claquement de doigts.
sans compter que sur mon 7 il y a une politique de sécu qui ne me permet pas de faire n'importe quoi, et il y a quelques machines entre mon terminal et internet, du style manteau bleu.

moi ce qui m'interpelle, c'est que toutes les infos sensibles sur les OIV seront centralisées et bien rangées à l'ANSSI.
ça a des bons comme des mauvais côtés, mais à priori ce sont les mieux calés pour sécuriser ce genre d'infos. :francais:

Avatar de Ingénieur informaticien INpactien
Avatar de Ingénieur informaticienIngénieur informaticien- 25/08/16 à 16:01:35

Hum quand on voit que même les hackers de la NSA se sont fait hacker par d'autres hackers ...

Avatar de hellmut Abonné
Avatar de hellmuthellmut- 25/08/16 à 16:10:41

à priori les infos n'étaient pas sur le réseau de la NSA, mais sur un serveur de rebond.
un des hackers de la NSA a apparemment laissé traîner son kit sur un serveur non sécu. ^^
enfin c'est ce qui semble le plus plausible, vu les infos publiées en question (un vieux kit de 2013).

Avatar de eliumnick INpactien
Avatar de eliumnickeliumnick- 25/08/16 à 16:51:08

S’y ajoutent des obligations de mises à jour (sauf « difficultés techniques ou opérationnelles justifiées »). De même, « préalablement à l'installation de toute nouvelle version, l'opérateur s'assure de l'origine de cette version et de son intégrité, et analyse l'impact de cette version ».

Ca serait pas une obligation cachée d'utiliser des logiciels dont les sources sont disponibles ? ^^

Avatar de eliumnick INpactien
Avatar de eliumnickeliumnick- 25/08/16 à 16:53:45

hellmut a écrit :

moi ce qui m'interpelle, c'est que toutes les infos sensibles sur les OIV seront centralisées et bien rangées à l'ANSSI.
ça a des bons comme des mauvais côtés, mais à priori ce sont les mieux calés pour sécuriser ce genre d'infos. :francais:

Je me suis fait la même réflexion : le lieu de stockage de ces informations va devenir une cible de premier ordre ^^

Avatar de eliumnick INpactien
Avatar de eliumnickeliumnick- 25/08/16 à 16:55:40

Ingénieur informaticien a écrit :

Combien de machines sous Windows 10 parmi celles des infrastructures des OIV ?Comment peut-on garantir la sécurité sur un OS qui n'est désormais conçu que comme l'extension terminale du réseau d'une entreprise étrangère ?

Bah, l'opérateur ne peut pas faire une vraie analyse d'impact d'un OS dont les sources ne sont pas disponibles.

Donc, de facto, windows 10 devient interdit pour les OIV ^^

Il n'est plus possible de commenter cette actualité.
Page 1 / 3
  • Introduction
  • La loi de programmation militaire
  • Les annexes des arrêtés
  • Des incidents
  • Du filtrage et des indicateurs
S'abonner à partir de 3,75 €