Je veux tout savoir de la transformation numérique !
Pour lire l’intégralité des articles issus du magazine bimestriel, identifiez-vous. Vous accéderez ainsi aux articles premium, aux exclus web et vous pourrez télécharger l’ensemble de nos ressources en un clic.
Pour recevoir le magazine chez vous, abonnez-vous !
Je m'identifie

Loi de programmation militaire : mise au point sur le volet cybersécurité

La Loi de Programmation Militaire de 2013 a pour objectif d’imposer à certains opérateurs économiques ou publics de sécuriser leurs systèmes d’information dits « d’importance vitale ».

Jean-Philippe CASSARD

Jean Philippe Cassard, Consultant Cyber Légal, Sopra Steria.

Comment l’Etat organise la cybersécurité des OIV ?

Depuis 1960, la Loi de Programmation Militaire (LPM) fixe les objectifs à atteindre afin de garantir la sécurité des installations d’importances vitales « dont l’indisponibilité risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la nation »[1]. Si, jusqu’à 2013, les obligations portaient essentiellement sur la mise en œuvre de dispositifs de sécurité physiques pour les points d’importance vitale (PIV), la LPM votée en 2013 y ajoute un volet lié à la cybersécurité.

Environ 250 Opérateurs d’Importance Vitale (OIV), dont la liste est tenue secrète, sont concernés. Répartis sur 12 secteurs d’activité (énergie, transport, télécommunications, eau…) définis par décret du Premier Ministre[2], ces OIV doivent assurer la sécurité des systèmes d’information soutenant leurs infrastructures d’importance vitale, ou Systèmes d’Information d’Importance Vitale (SIIV), selon des normes définies par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI). Cette dernière supervise notamment la mise en œuvre des arrêtés sectoriels qui précisent les obligations et règles spécifiques à chacun des secteurs ou sous-secteurs d’activité (à ce jour, 13 arrêtés ont été publiés). Elle se charge également de créer des référentiels d’exigences à destination des prestataires de cybersécurité, en particulier en matière d’audit (PASSI), de détection (PDIS) et de réponse à incident (PRIS).

Les exigences de la LPM

La LPM impose donc aux OIV des mesures de renforcement de la sécurité et la sécurisation des systèmes d’information, sur la base de quatre axes principaux :

  • Le respect des règles de sécurité nécessaires à la protection des SIIV ;
  • L’obligation de recourir à des produits et des prestataires qualifiés ;
  • L’obligation de notifier immédiatement les incidents de sécurité affectant un SIIV ;
  • La mise en place d’audits et contrôles réguliers des SIIV afin de vérifier le niveau de sécurité et le respect des règles prévues par l’ANSSI.

Comment la LPM va-t-elle être mise en application ?

GUIDE RSSI DE DEMAINL’ANSSI est en charge de l’accompagnement des OIV dans leurs démarches et s’assure de la mise en application de la loi. Elle élabore les règles de sécurité, qui sont proposées au Premier ministre puis publiées par arrêté sectoriel, après avis des ministres coordinateurs des OIV concernés.

Ce sont les arrêtés sectoriels qui précisent les obligations et règles spécifiques à chaque secteur d’activité. Publiés en juin 2016, les premiers d’entre eux concernaient les secteurs de l’alimentation, de la gestion de l’eau et des produits de santé. Six autres, publiés en août 2016, détaillent les obligations du secteur des transports (aérien, maritime et fluvial et terrestres) ainsi que de ceux de l’approvisionnement en énergie (hydrocarbures pétroliersgaz naturel et électricité). Trois autres arrêtés (finances, industrie, communications électroniques, et audiovisuel et information ), publiés en décembre 2016, sont entrés en vigueur au 1er janvier 2017. Enfin, celui applicable au sous-secteur nucléaire vient d’être publié mi-mars.

Dès lors, les OIV concernés doivent :

  • désigner la personne chargée de les représenter auprès de l’ANSSI,
  • fournir la liste des SIIV dans le délai défini par l’arrêté,
  • informer obligatoirement des incidents de sécurité affectant les SIIV,
  • mettre en œuvre les règles de sécurité prévues par l’arrêté, dans le délai spécifié pour chacune d’elle.

Pour attester de leur conformité, les OIV doivent procéder à l’homologation de sécurité de leurs SIIV en suivant un processus similaire à celui s’appliquant aux systèmes d’information soumis aux règles de l’IGI 1300 ou du RGS, qui inclut notamment la réalisation d’un audit de la sécurité du SIIV par un prestataire externe certifié (PASSI).

Quelles difficultés l’application de la LPM soulève-t-elle ?

Ce nouveau cadre règlementaire n’est pas sans poser quelques difficultés, tant pour les OIV que pour l’ANSSI elle-même.

D’une part, le corpus juridique de la LPM est complexe. Certains OIV seront tentés de limiter leur mise en conformité aux vingt règles des arrêtés sectoriels. Pourtant, les exigences « à tiroirs » des textes ne doivent pas être négligées. Ces renvois multiples, explicites ou non, aux référentiels ANSSI, aux règles de protection du secret de la défense nationale (IGI 1300), à la protection des Systèmes d’information sensibles (II 901) ou à la PSSIE, limitent la lisibilité des différentes règles par les OIV. Par ailleurs, tous les OIV ne sont pas soumis aux mêmes délais ni aux mêmes règles. En effet, bien que la grande majorité des règles soient identiques entre les secteurs, des différences de formulation de certaines règles rendent difficiles leur interprétation, et par extension leur application. Les opérateurs peuvent aussi interpréter différemment les critères de qualification d’un SIIV, conduisant à des disparités entre OIV et in fine à des niveaux de sécurité variables. Ces difficultés de compréhension sont renforcées par la classification de certaines informations (liste d’OIV, liste de SIIV) ou la restriction de leur diffusion (délais d’application des règles de sécurité, types d’incidents de sécurité à notifier), pourtant indispensables à la mise en œuvre des exigences. Cela complexifie notamment la sensibilisation du personnel de l’opérateur, la réalisation des projets et les échanges avec les prestataires concernés.

D’autre part, avec un dossier d’homologation à réaliser par SIIV, et plusieurs SIIV pour chacun des 250 OIV, l’ANSSI aura aussi ses propres défis à relever pour assurer le suivi et le contrôle des nombreux SIIV. Le nombre de dossiers à traiter étant plus que conséquent, tout vérifier semble relever de la gageure. D’ailleurs, il faut bien noter que les dossiers d’homologation ne lui sont pas transmis, mais laissés à disposition, l’OIV gérant de manière autonome l’homologation de ses SIIV.

Il n’y aura donc qu’un contrôle a posteriori des nombreux SIIV et l’ANSSI devra gérer les priorités dans son programme de contrôle, et pourra déléguer certains audits à d’autres services de l’Etat ou des prestataires qualifiés[3].

Enfin, aucune sonde de détection qualifiée n’est disponible à ce jour alors que leur utilisation est imposée par les arrêtés sectoriels. C’est la qualification d’une « gamme » de produits que l’ANSSI doit réaliser, ainsi que son évolution dans le temps.

La phase expérimentale du référentiel Prestataires de Détection des Incidents de Sécurité (PDIS)

La LPM et les textes qui en découlent mentionnent à de nombreuses reprises le recours à des prestataires de confiance pour réaliser des étapes importantes de la mise en œuvre de la cybersécurité des SIIV (prévention, détection et réaction). Ces prestataires sont soumis à un cadre réglementaire spécifique et devront être qualifiés au regard de différents référentiels d’exigences de l’ANSSI (PASSI, PDIS, PRIS).

Les arrêtés sectoriels exigent la supervision de la sécurité des SIIV par une équipe et un système conforme aux règles du référentiel PDIS.

Le référentiel PDIS est actuellement en phase d’expérimentation, testé en conditions réelles par quelques prestataires pour évaluer le niveau d’exigences mis en place par l’ANSSI avant la publication de sa version finale – et amendée selon les enseignements de l’expérimentation.

L’enjeu n’est pas négligeable. En effet, si le recours à un service qualifié PDIS est imposé, ce dernier peut être interne ou externe, voire hybride. Cependant, les modifications importantes de l’organisation du Security Operations Center (SOC) et de l’architecture de son SI, l’adaptation aux nouvelles contraintes opérationnelles et le coût conséquent de la démarche, peuvent pousser les OIV à externaliser cette nouvelle complexité. Il faut néanmoins mettre cela en balance avec le frein psychologique qu’il peut y avoir à confier cette activité à un prestataire extérieur. C’est pourquoi il s’agit du référentiel étant le plus significatif dans la démarche de mise en conformité LPM.

Le référentiel PDIS se pose également comme une proposition d’état de l’art des activités de détection. Le texte précise qu’il peut être utilisé « à titre de bonnes pratiques, en dehors de tout contexte réglementaire ». Il est possible que, par effet d’entrainement sur le reste du marché (référence systématique à ce nouveau standard dans les appels d’offres) et par attraction vers les « meilleurs pratiques », la contrainte imposée aux OIV devienne une référence pour l’industrie de la cybersécurité française.

Quels sont les impacts de la LPM  sur les OIV ?

L’application de la LPM amène nécessairement les OIV à fournir un investissement conséquent afin de se mettre en conformité avec les règles qui leur sont imposées. Se conformer à la LPM oblige en effet les OIV à effectuer une adaptation de l’existant, voire à créer une architecture entièrement nouvelle. Dans les deux cas, les OIV sont amenés à identifier des nouveaux besoins et/ou à mettre en place des nouveaux moyens, que ce soit dans les domaines organisationnel, technique ou financier.

  • Les impacts organisationnels

Afin de s’assurer du respect des obligations réglementaires, l’OIV doit désigner un responsable de la sécurité des SIIV, qui sera le principal interlocuteur de l’ANSSI. Il doit également définir sa Politique de Sécurité du SI (PSSI) qui pose les exigences en matière de formation, de sensibilisation et de reporting, et qui détermine des indicateurs pertinents, cohérents et fiables aux modes de calculs compréhensibles et interprétables. La mise en conformité conduit donc l’OIV à redéfinir son organisation et les rôles de certains de ses employés qui devront être formés et habilités.

Le recours à des prestataires qualifiés selon les référentiels de l’ANSSI a quant à lui un impact sur les achats de services de l’OIV. Si ce dernier a déjà recours à des prestataires pour les domaines concernés, il doit s’assurer de la démarche de qualification de ces derniers. Dans la négative, il doit en sélectionner de nouveaux. Dans le cadre particulier du choix des PRIS, il est recommandé que l’OIV effectue un référencement et établisse des contrats cadres avec ses prestataires afin de pouvoir les solliciter dans l’urgence en cas de crise.

  • Les impacts techniques

Les OIV qui ne disposent pas de mesures de cybersécurité de leurs SIIV sont les plus susceptibles de rencontrer des difficultés techniques dans leur mise en conformité, n’étant pas en mesure de se baser sur des initiatives existantes. Ces OIV plus « immatures » doivent donc implémenter de nouveaux moyens techniques pour se conformer à la LPM.

Par ailleurs, les OIV disposant de mesures de cybersécurité de leurs SIIV relativement anciennes, ou d’anciens SIIV, doivent les faire évoluer ou si cela s’avère impossible, de déterminer les mesures compensatoires à mettre en œuvre.

D’autres OIV présentant un niveau de maturité plus important mais ayant déployé des mesures incohérentes avec les règles de l’ANSSI pourraient avoir à refondre la sécurité de leurs SIIV, voire de l’ensemble de leur SI (notamment le cloisonnement des réseaux et l’utilisation de moyens dédiés à l’administration des SIIV).

Une autre difficulté technique concerne la définition du périmètre des SIIV qui, selon le profil de l’OIV, sont de natures différentes. Ainsi, certains OIV possèdent des SIIV très centralisés, d’autres présentant de fortes adhérences au reste du SI, ou encore très répartis comme c’est le cas des OIV gérant des réseaux (eau, électricité, transports, etc). La sécurisation de ces derniers représente un réel défi, leur cloisonnement ne devant pas empêcher la fluidité des opérations quotidiennes de l’OIV.

  • Les impacts financiers

Outre le risque de s’exposer, en cas de non-respect des obligations de la LPM, à une amende pouvant s’élever jusqu’à 150 000 € pour le dirigeant de l’OIV, et jusqu’à 750 000 € pour les personnes morales, la mise en conformité d’un OIV engage nécessairement des coûts importants en termes de moyens humains et techniques. Cet investissement varie selon la taille, la répartition géographique et la typologie des SIIV.

Ainsi, il est nécessaire pour l’OIV de déterminer le budget de la mise en conformité et surtout de l’inscrire dans la prévision du budget pluriannuel. L’étude d’impact constitue donc une étape indispensable, préalable à la décision de l’OIV de s’engager dans le processus de mise en conformité. Cette analyse d’impact permet de déterminer les coûts et l’étendue du chantier que l’OIV doit mettre en œuvre pour se conformer aux exigences de la LPM.  

De plus, l’ensemble des mesures d’application des règles des arrêtés sectoriels sont entièrement à la charge de l’OIV[4] et certaines d’entre-elles peuvent conduire à des investissements considérables (cloisonnement réseau, SOC PDIS, sondes de détection qualifiées…) ou à un renchérissement des coûts d’opérations dédiées aux SIIV. Il faut également noter que les contrôles effectués par l’ANSSI ou les PASSI sont aussi à la charge de l’OIV[5].

[1] Article L1332-1 du Code de la défense.

[2] Article R1332-2 du Code de la défense et arrêté du 2 juin 2006, modifié par un arrêté du 3 juillet 2008.

[3] Comme prévu à l’article R. 1332-41-12 du Code de la défense.

[4] Article L1332-6-1 du code de la défense.

[5] Article L1332-6-3 du code de la défense.

 Guide du RSSI de demain, la rédaction d’Alliancy, le mag a mené l’enquête !

guide RSSI de demainDécouvrez dans notre dernier guide le portrait-robot de cet acteur incontournable de la transformation numérique.

> Je télécharge


Commenter

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *