Cybersécurité : l’ANSSI dopée par la LPM et la directive NIS

Cybersécurité : l’ANSSI dopée par la LPM et la directive NIS

2018, année de l'acronyme

Avatar de l'auteur
Marc Rees

Publié dans

Droit

15/04/2019 6 minutes
3

Cybersécurité : l’ANSSI dopée par la LPM et la directive NIS

L’Agence nationale pour la sécurité des systèmes informatiques a publié aujourd’hui son rapport annuel 2018. Une année marquée par la transposition en vigueur de la directive NIS (Network and Information System) et la loi de programmation militaire pour les années 2019-2025.

Au fil du document, l’ANSSI révèle que 16 incidents majeurs ont émaillé l’année 2018. Pas de détail, pour cause de secret bien gardé, mais chacun marque un « évènement, indésirable ou inattendu, qui menace directement les systèmes numériques et compromet les opérations liées à l’activité ».

Toujours sur l’année précédente, 1 869 signalements lui ont été adressés. Elle a dénombré 391 incidents frappant des acteurs non OIV (opérateurs d’importance vitale) et 14 opérations de cyberdéfense ont enfin été menées.

2018 a surtout été marquée par la transposition de la directive NIS (Network and Information Security). Adopté le 6 juillet 2016 après trois années de négociations, ardemment porté par la France et l’Allemagne, le texte fait naitre une approche européenne commune en matière de cybersécurité.

Son ambition ? Élever le niveau de la sécurité de l’ensemble des États membres pour répondre à la numérisation croissante de la société. Plusieurs dispositions sont déjà consacrées en France, comme l’existence d’une autorité nationale compétente en matière de cybersécurité ou d’une stratégie nationale en la matière.

La nouveauté est que cette directive demande aux États de mettre en place des règles communes pour deux types d’acteurs, les opérateurs de services essentiels (OSE) et les fournisseurs de service numérique (FSN).

OSE et FSE sur le grill de l'ANSSI

Les FSN intègrent les places de marché, les moteurs de recherche et les services d’informatique en nuage (« cloud »). Les OSE gagnent en importance. Ce sont des acteurs privés ou publics, dont le rôle est crucial pour le maintien des fonctions sociétales et économiques, ceux dont un incident aurait un effet disruptif important sur la fourniture du service. Les exigences en matière de sécurité y sont dès alors plus élevées.

Parmi les infrastructures numériques classées OSE, sont concernés les points d'échange internet (IXP) (Service d'interconnexion pour l'échange de trafic), les fournisseurs de DNS pour l’enregistrement et gestion de noms de domaine, les Services de résolution de noms de domaine et les Registres de noms de domaine de premier niveau.

Ces acteurs doivent par exemple désigner un représentant auprès de l’entité chargée de la cybersécurité et déclarer leurs systèmes d’information essentiels. Il revient aussi aux États membres de définir les règles nécessaires à la protection des réseaux et des SI (gouvernance de la sécurité des réseaux et systèmes d'information, protection des réseaux et systèmes d'information, défense des réseaux et systèmes d'information, résilience des activités).

Autre obligation, la notification des incidents importants, déterminés selon plusieurs facteurs (nombre d’utilisateurs, l’intensité et la durée, la zone géographique touchée, les fonctions économiques et sociétales de l’acteur, etc.)

Le texte européen a été transposé par la loi du 26 février 2018, suivie par un décret d’application le 13 juin 2018 et trois arrêtés, portant sur les déclarations d’incident, le coût des contrôles par l’ANSSI et les règles de sécurité des OSE ainsi que les délais d’application.

122 opérateurs déjà identifiés, une centaine d'autres à venir

« La liste des services essentiels identifiés dans le décret n° 2018-384 du 23 mai 2018 est issue de l’annexe II de la directive, de retours d’expérience du dispositif appliqué aux OIV mais également de plus d’un an de consultations menées par l’ANSSI auprès d’acteurs publics et privés ainsi que de partenaires européens » souligne l’agence, dans son rapport.

« 2018 prouve une nouvelle fois que le risque numérique, loin d’être éthéré, doit être au coeur de nos préoccupations. Et pas seulement celles de l’ANSSI ! Les attaques informatiques touchent toute la société » alerte Guillaume Poupard, directeur de l'agence. « Progressivement, on assiste au sein des organisations à un rapprochement entre sécurité numérique et préoccupations économiques, politiques et sociétales ».

La transposition de la directive entend répondre à ces inquiétudes en obligeant donc d’autres acteurs que les OIV (centrales nucléaires, etc.) à se voir contraindre des obligations de sécurisation. « Conformément à ses engagements, la France a identifié 122 opérateurs de services essentiels à l’échéance du 9 novembre 2018 fixée par la directive ». Une centaine d’autres opérateurs devrait rejoindre ces rangs, en cette année marquée par un important rendez-vous électoral européen

45 859 marqueurs chez les opérateurs de communication électronique

Le rapport tire également un bilan sur la loi de programmation militaire. Publiée le 14 juillet, ce texte permet aux opérateurs de communications électroniques, en particulier les fournisseurs d'accès Internet ou les prestataires d’hébergement, d’installer des dispositifs destinés à repérer, par des marqueurs techniques, des évènements susceptibles d’affecter la sécurité de leurs infrastructures.

L'ANSSI pourra elle-même imposer cette détection, à l’aide de ses propres marqueurs, afin de protéger les autorités publiques ou les opérateurs d'importance vitale.

Selon le dernier décompte, 45 859 marqueurs ont été mis en circulation dans le périmètre de la LPM. 406 signalements aux « bénéficiaires du service de supervision » ont été recensés, outre 4 déploiements de dispositifs de détection.

L’un de ses décrets d’application a toutefois été attaqué devant le Conseil d’État par la Quadrature du Net, Franciliens.net et la Fédération FDN. Les requérants considèrent que le texte d’application manque de précision sur des termes centraux, notamment les mentions de « menace » et de « marqueurs techniques ». Pour les trois organisations, ce flou permettrait de déborder allègrement des données de connexion aux données de contenus, grand saut que n’a jamais désavoué l’ANSSI.

Ils lui reprochent également des défaillances dans le contrôle de ces dispositifs. L’ARCEP, qui endosse ce rôle derrière les épaules de l’ANSSI, n’aurait à leurs yeux qu’un rôle subalterne. L’autorité de régulation « ne réalise son contrôle qu’au regard des informations que lui transmet volontairement l’ANSSI, mais n’a pas le pouvoir d’accéder et évaluer matériellement les dispositifs techniques déployés par l’ANSSI sur les systèmes des opérateurs et hébergeurs ». Le dossier est toujours en cours devant le Conseil d’État.

3

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

OSE et FSE sur le grill de l'ANSSI

122 opérateurs déjà identifiés, une centaine d'autres à venir

45 859 marqueurs chez les opérateurs de communication électronique

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (3)


“OSE et FSE sur le grill de l’ANSSI”



Osef ?

<img data-src=" />


“2018, année de l’acronyme”C’est pas 2019 ?…


Non, c’est bien le rapport annuel 2018 qui a été publié et dont il est question dans l’article.