201609.06
1
Cyber sécurité : Conséquence de la loi de programmation militaire de 2013, les arrêtés relatifs à protection du système d’information des opérateurs d’importances vitales commencent à être publiés par le gouvernement. Un effort pour uniformiser la sécurité de ces acteurs, qui se révèlent parfois cruellement démunis face à la menace.

On sait que les entreprises sont rarement irréprochables d’un point de vue cyber sécurité, mais ce constat est également partagé par de nombreux acteurs industriels, de l’énergie ou de la santé. C’était l’un des objets de la loi de programmation militaire de 2013, qui a notamment instauré la définition d’une liste « d’Opérateurs d’Importance Vitale » (OIV) tenus de se soumettre certaines régulations spécifiques. Ces OIV, aujourd’hui estimés au nombre de 200 et dont la liste exacte est tenue secrète, attendaient encore de la part du gouvernement la publication d’arrêtés venant encadrer précisément les entreprises par secteur.

La rédaction de ces différents arrêtés a été faite « en collaboration avec les acteurs concernés de chaque filière » expliquait ainsi Guillaume Poupard lord du FIC 2016. Les trois premiers arrêtés sectoriels mis en œuvre depuis le 1er juillet concernent pour l’instant les secteurs d’activités « produits de santé », « gestion de l’eau » et « alimentation. »

D’autres arrêtés sont encore à venir, l’Anssi promet que ceux-ci arriveront avant la fin de l’année 2016, mais certains laissent entendre que la négociation entre les acteurs et l’agence gouvernementale retardent l’élaboration de ces textes pourtant cruciaux. Au total, le gouvernement envisage la publication d’arrêtés portant sur douze secteurs.

Les négociations sont donc toujours en cours et de nombreuses considérations restent secrètes, mais la publication de ces trois premiers arrêtés permet de donner une idée de la façon dont les OIV doivent appréhender les directives de sécurité. Il sera ainsi à leur charge de définir quelle partie de leur système d’information présente un caractère critique, désigné sous le nom de SIIV (Système d’Information d’Importance Vitale). Une fois celui-ci défini, l’OIV devra se charger de le faire homologuer par l’Anssi et devra organiser un audit de sécurité de celui-ci par un prestataire externe approuvé par l’agence. Cette dernière disposera des dossiers concernant ces SIIV et des informations permettant de « cartographier » précisément le système d’information.

Outre ces directives, les OIV devront également se mettre en règle à l’égard de plusieurs règles encadrant la remontée de données liées aux incidents de sécurité. Les OIV devront également mettre en place des sondes d’analyse de fichier homologuées par l’Anssi afin de disposer de capacité de détection capable d’analyser l’ensemble des flux entre les SIIV et les systèmes d’information tiers.

Mieux vaut tard que jamais

L’homologation de ces SIIV sera valable pour une période de trois ans. Les arrêtés prévoient également des dispositions visant à s’assurer du maintien en règle des SIIV, bien que des exceptions permettent de passer outre certaines mises à jour, mais l’opérateur devra néanmoins déployer des méthodes de contournement visant à limiter les risques.

Les secteurs industriels sont les premiers visés par ces nouveaux arrêtés. Mais la question de la cyber sécurité dans ces différents domaines inquiète depuis quelque temps déjà. Kaspersky publie ainsi cette semaine une étude sur la sécurité des équipements industriels : l’éditeur s’est ainsi appuyé sur des données rassemblées grâce au moteur de recherche Shodan et estime que près de 10 578 systèmes de contrôle industriels en France sont accessibles via Internet.

Tous ne sont pas forcément des équipements appartenant à des entreprises considérées comme des opérateurs d’importance vitale, mais les conclusions de Kaspersky laissent entrevoir les difficultés du secteur industriel face aux problématiques de cyber sécurité. Un chiffre non négligeable, alors que le nombre de vulnérabilités découvertes sur ces équipements a connu une croissance importante ces trois dernières années.

La situation n’est pas nouvelle, mais les contraintes liées à la sûreté des personnels et au maintien du rythme de production empêchent souvent les opérateurs de ces équipements de corriger les vulnérabilités découvertes. Les arrêtés de la LPM sont destinés à corriger le tir en donnant à l’ensemble des secteurs des cadres légaux afin de pousser ces opérateurs à uniformiser et à renforcer leur cyber sécurité.

ZDNet.fr – Louis Adam, Mardi 12 Juillet 2016