L'ANSSI détaille les obligations de sécurité des opérateurs d'infrastructure vitale

Avant une possible extension de ce périmètre ? 13
En bref
image dediée
Loi
Marc Rees

Au Journal officiel de ce week-end, n’a pas été seulement publié le décret relatif à la labellisation des outils et prestataires de sécurité. Un autre texte vise aussi à muscler les systèmes d’information des opérateurs d’importance vitale (OIV), toujours en application de la loi de programmation militaire de 2013.

Ce deuxième décret, qui fut annoncé lors du Forum International de la Cybersécurité de Lille, précise « les règles de sécurité nécessaires à la protection des systèmes d'information » des opérateurs d’importance vitale (OIV), ces acteurs de premier plan dont la mise à mal porterait un coup dur à la France (transport, énergie, télécom, hôpitaux, etc.).

Le texte prévoit donc l’instauration de systèmes de détection d'événements « affectant la sécurité de ces systèmes d'information » des OIV, mais aussi organise une série de déclarations d’incidents qui viendrait frapper leur système. Par ailleurs il prévoit une série de contrôle et les réponses à apporter en cas de « crises majeures ». Dans un tel cas, le Premier ministre pourra en effet imposer une liste de mesures aux OIV, sans négociation possible.

Des règles de sécurité prévoyant un système de détection et de contrôle

Dans le détail, le décret confié sans surprise à l’Agence nationale pour la sécurité des systèmes d’information (ANSSI) le soin d’élaborer les règles de sécurité que doivent suivre les OIV. Conformément à l'article L1332-6-1 du Code de la défense, ces obligations sont prises en charge aux seuls frais des concernés. Des arrêtés, parfois non publiés, viendront également définir des délais de déploiement, étant précisé que « la liste des systèmes d'information d'importance vitale [sera] couverte par le secret de la défense nationale » prévient encore le décret.

Si l’OIV est une administration de l’État, il devra aussi mettre en place un système de détection exploité par l’ANSSI, par un autre service de l’État ou un prestataire qualifié. S’il n’est pas une administration étatique, la détection sera gérée par un prestataire qualifié (voir ce décret qui décrit comment sont choisis ces acteurs). Une convention passée avec l’État encadrera les modalités de mise en œuvre.

FAI, centrale nucléaire, etc. devront fournir leurs codes sources

Que se passera-t-il en cas d’incident ? Dès qu’ils en auront connaissance, les OIV devront informer l’autorité de tutelle selon des modalités prévues par des arrêtés (parfois non publié). Pour prévenir d’éventuelles menaces, le décret organise aussi des contrôles de sécurité, sur autorisation du Premier ministre qui fixera « les objectifs et le périmètre du contrôle » ainsi que les délais. Ces contrôles pourront être menés par l'Agence nationale de la sécurité des systèmes d'information, par un autre service de l'État ou là encore par un prestataire de service qualifié. Il n’y aura en principe qu’un contrôle par année civile, sauf si l’OIV a été victime d’un incident de sécurité ou de vulnérabilités ou bien si lors d’un précédent contrôle, ont été constatés des manquements aux règles de sécurité.

Plus intéressant, dans un tel cadre, l’OIV devra ouvrir entièrement ses portes. Il fournira « les informations nécessaires pour évaluer la sécurité de ses systèmes d'information, notamment la documentation technique des équipements et des logiciels utilisés dans ses systèmes ainsi que les codes sources de ces logiciels ». Cela signifie donc que les systèmes des centrales nucléaires, celui des fournisseurs d’accès, des opérateurs télécoms, etc. devront être mis à nu devant les yeux de l’ANSSI en cas d’incident.

Directive NIS : vers une extension de ces obligations aux non OIV ?

Dans un proche avenir, les capacités intrusives de l’ANSSI pourraient recevoir un sérieux coup d’accélérateur grâce à la future directive NIS (Nextwork and Information Security). Plusieurs États membres, dont la France et l’Allemagne, envisagent en effet d’étendre le périmètre de cette directive aux acteurs du numérique, pourtant non-OIV. Avec cette augmentation du périmètre du contrôle des agences de sécurité, seraient par exemple organisées des notifications d’incidents outre des contrôles dans les tréfonds de leur système d'information.

Fin 2014, l'association des éditeurs de logiciels (Afdel) avait jugé cette possible extension disproportionnée, doutant d’ailleurs de la capacité des agences nationales à absorber la charge de travail. L’Association des sites internet communautaires (ASIC) s’en était elle aussi émue, toujours à la même période : « Les agences de cybersécurité – comme l’ANSSI – auront la compétence pour expertiser et ainsi s’introduire dans tous les systèmes informatiques de ces acteurs du numérique. Un développeur d’objets connectés devra-t-il bientôt confier les clés à l’ANSSI ? Un hébergeur de données devra-t-il également offrir un accès à toutes les données stockées ? Un site de médias devra-t-il aussi donner à l’ANSSI une porte d’accès à l’ensemble de ses serveurs, notamment e-mails ? »

Selon nos informations, les opérateurs web devraient bien rentrer dans ce périmètre, à la plus grande satisfaction de l’Allemagne et de la France. Alors que le dossier est débattu au Conseil, un trilogue (négociation à huis clos entre des représentants du Parlement, des États et de la Commission) est en tout cas programmé le 30 avril prochain.


chargement
Chargement des commentaires...