La protection des activités des OIV

Le Livre blanc sur la défense et la sécurité nationale, rendu public en avril 2013, fixe les orientations stratégiques de la France pour les quinze prochaines années et a servi de socle à la loi de programmation militaire (LPM) en 2013. Elle a donné à l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) un nouveau rôle dans la cyberdéfense française.

L’ANSSI met progressivement en place le statut d’Opérateur d’Importance Vitale (OIV), défini par l’agence comme « une organisation privée ou publique pour laquelle une défaillance de certaine de ses activités, à la suite d’un acte de malveillance, sabotage ou terrorisme, pourrait compromettre le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la nation, ou de mettre en cause gravement la santé ou la vie de la population« .

La liste des 218 entreprises qualifiées OIV n’est pas publique. Toutefois, les secteurs concernées sont définis par le décret n° 2006-212 du 23 février 2006 relatif à la sécurité des activités d’importance vitale (administrations, médias, entreprises de transport, financières, industrielles, énergie, distribution ou gestion des services d’urgence, de soin ou de secours).

Face à la multiplicité des risques et des attaques « cyber », la prise de conscience de la vulnérabilité des systèmes d’information a été amorcée : il ne peut y avoir de protection des activités des OIV, et donc des intérêts de la Nation, sans protéger les systèmes d’informations qui supportent la majorité de ces activités critiques.

La LPM impose déjà quatre règles aux OIV (article 22) :

• les opérateurs mettent en œuvre des systèmes qualifiés de détection des événements susceptibles d’affecter la sécurité de leurs systèmes d’information ;
• les opérateurs informent sans délai les autorités des incidents affectant le fonctionnement ou la sécurité des systèmes d’information ;
• les opérateurs soumettent leurs systèmes d’information à des contrôles destinés à vérifier le niveau de sécurité et le respect des règles de sécurité ;
• en cas de crise majeure menaçant ou affectant la sécurité des systèmes d’information, ils doivent se soumettre aux instructions données par les autorités.

A défaut de respecter ces obligations, l’article L.1332-7 du Code de la défense prévoit une peine d’amende d’un montant de 150.000 € en cas d’omission par un OIV de mise en œuvre d’un plan de protection ou la réalisation de travaux prévus. Le défaut d’entretien en bon état des dispositifs de protection antérieurement établis par les OIV, après mise en demeure de l’ANSSI, est également puni d’une amende de 150.000 €.

Le 29 mars dernier, les obligations des OIV ont été renforcées, par la publication de trois décrets d’application de la LPM.

Quelles sont les nouvelles obligations pour les OIV ?

Les objectifs visés par les trois décrets sont la protection, la défense et la sensibilisation en donnant les moyens à l’ANSSI de peser sur la sécurité numérique des OIV.

• Le premier décret (décret n° 2015-351 du 27 mars 2015 relatif à la sécurité des systèmes d’information des opérateurs d’importance vitale et pris pour l’application de la section 2 du chapitre II du titre III du livre III de la première partie de la partie législative du code de la défense) précise les conditions dans lesquelles sont fixées les règles de sécurité nécessaires à la protection des systèmes d’information des OIV. D’une part, des « systèmes de détection d’événements affectant la sécurité » seront mis en place. D’autre part, les incidents affectant la sécurité ou le fonctionnement des systèmes d’information devront être déclarés à l’ANSSI, qui contrôlera aussi les systèmes jugés critiques des OIV. A ce jour, ces systèmes ne sont ni définis, ni détaillés…

Cette mesure est jugée quelque peu intrusive par les acteurs concernés. Toutefois, elle semble répondre au besoin d’accéder à l’historique de l’intrusion pour enquêter et comprendre d’où vient la faille ; et ainsi d’éviter l’effacement de l’intégralité des données. Ainsi, cette mesure pourrait permettre en pratique la mise en place de plans d’action en situation de crise, permettant d’intervenir « à chaud ».

Les critères d’identification des systèmes d’informations visés par cette mesure seront fixés par des arrêtés sectoriels, publiés courant 2015 en fonction de l’avancement des travaux. L’ANSSI a choisi de mener les travaux de préparation de ces arrêtés en étroite collaboration avec l’ensemble des acteurs concernés, compte tenu de la diversité et de la complexité des environnements dans lesquels les OIV évoluent.

• Le deuxième décret (décret n° 2015-350 du 27 mars 2015 relatif à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité nationale) décrit la procédure de qualification des produits de sécurité et des prestataires de service de confiance qui seront retenus pour travailler avec les OIV. Il est dès lors précisé que pour obtenir la qualification, une partie du code source des solutions soumises devra être auditée. Une fois obtenue, la qualification sera valable trois ans, avec des évaluations « au fil de l’eau » par l’ANSSI.

L’ANSSI mène déjà « une procédure expérimentale » avec quelques prestataires pour « tester en conditions réelles les référentiels d’exigences applicables aux prestataires ».

• Enfin, le troisième décret (décret n° 2015-349 du 27 mars 2015 relatif à l’habilitation et à l’assermentation des agents de l’autorité nationale de sécurité des systèmes d’information et pris pour l’application de l’article L. 2321-3 du code de la défense) autorise désormais les agents de l’ANSSI à obtenir des opérateurs de communications électroniques, « l’identité, l’adresse postale et l’adresse électronique d’utilisateurs ou de détenteurs de systèmes d’information vulnérables, menacés ou attaqués ».

Cette mesure vise à permettre à l’ANSSI d’identifier et de prévenir les acteurs d’un secteur lorsqu’il a fait ou fait l’objet d’une attaque.

Certains textes doivent encore être publiés afin de compléter ces décrets. En pratique, il est recommandé de revoir sa politique contractuelle et ses chartes d’entreprise. Ainsi, avant de mettre en œuvre une solution « de détection des éléments affectant la sécurité», les OIV devront réfléchir au périmètre de déploiement de ces systèmes, à leur mode de fonctionnent et à l’organisation associée. Il convient de limiter les alertes à ce qui est pertinent, notamment en filtrant les sources de données. En tout état de cause, le système choisi se devra d’être évolutif.

La qualification des prestataires de service pourra prendre du temps, bien que le besoin soit imminent au regard de la « cyber-menace». En attendant les premières qualifications, il peut être intéressant pour les OIV de « benchmarker» leurs  prestataires et de s’assurer de leur volonté d’initier une demande de qualification aussitôt que possible, ainsi que la possibilité de les auditer afin de vérifier la conformité de leurs engagements contractuels.