La fin du suspense…ou presque

Voilà maintenant près de trois ans que le microcosme français de la cyber-sécurité est suspendu aux communiqués de l’ANSSI ; en effet la date de promulgation de la Loi de Programmation Militaire (LPM) remonte au 18 décembre 2013. Pour rappel, la LPM est le vecteur législatif retenu par l’état pour imposer, par une approche réglementaire, des mesures de sécurité et de contrôles aux systèmes d’information [1] des OIV (Opérateurs d’Importance Vitale). L’article 22 de la LPM décrit dans les grandes lignes les obligations auxquelles devront se conformer les structures identifiées comme étant OIV ainsi que les sanctions associées en cas de non-respect des obligations prévues par la loi («Est puni d’une amende de 150 000 € le fait, pour les mêmes personnes, de ne pas satisfaire aux obligations prévues aux articles L. 1332-6-1 à L. 1332-6-4. »).

Depuis la promulgation de la LPM, plusieurs jalons administratifs ont ponctué la mise en place effective des textes :

  • Le 9 décembre 2014 l’ANSSI annonçait « s’atteler » aux décrets d’application sur la protection des OIV
  • Le 27 mars 2015 le décret N°2015-351 (relatif à la sécurité des systèmes d’information des opérateurs d’importance vitale) était publié

Et enfin, le 23 juin 2016, l’ANSSI abattait ses premières cartes en publiant les premiers arrêtés sectoriels ; ils concernent 3 secteurs d’activités : « produits de santé », « gestion de l’eau »  et « alimentation ». L’entrée en vigueur de ces premiers arrêtés est effective au 1er juillet 2016.

Si le teasing semble prendre fin, l’ANSSI garde néanmoins la main et conserve quelques cartes,  en particulier les annexes II, III et IV associées aux arrêtés publiés ; ces dernières décrivent les délais d’application (annexe II), les modalités de déclarations des SIIV (annexe III) et les modalités de déclaration des incidents (annexe IV). Ces annexes ne sont notifiées qu’aux personnes ayant le besoin d’en connaitre (Précision mentionnée dans l’article 7 des arrêtés).

Les prochains décrets sont annoncés pour le second semestre 2016 dans le communiqué de presse émis par l’ANSSI et le SGDSN [2] (Secrétariat General de la défense et de la sécurité National). Il est probable que tout ou partie des neuf arrêtés restant soient publiés lors des Assises de la Sécurité [3], le temps fort de l’année généralement choisi par l’ANSSI pour faire des annonces marquantes.

Pour rappel les OIV sont répartis en douze secteurs [4], eux même regroupés en trois catégories :

Quatre secteurs étatiques :

  • Activités civiles de l’état
  • Activités militaires de l’état
  • Activités judiciaires
  • Espace et recherche

Trois secteurs qui concernent la protection des citoyens :

  • santé
  • gestion de l’eau
  • alimentation

Cinq secteurs qui concernent la vie économique et sociale de la nation :

  • énergie
  • communications électronique, audiovisuel et information
  • transport
  • finances
  • industrie

Et le contenu ?

Les trois arrêtés contiennent chacun vingt règles couvrant les grandes thématiques de la sécurité des systèmes d’information (cartographie, journalisation, détection, traitement des incidents, etc.) et diffèrent très peu finalement. La principale nuance entre les arrêtés se situe au niveau de la règle relative aux accès distants (règle n°18) ; un niveau de sécurité supplémentaire est requis pour le secteur de la gestion de l’eau (authentification à double facteur). Pour le reste, si certaines règles sont relativement aisées à couvrir (ex : élaboration d’une PSSI, cartographie), d’autres en revanche seront plus complexes à mettre en œuvre et nécessiteront des investissements importants, tant humains que techniques (ex : détection d’intrusion, corrélation et analyse des journaux).

A la lecture de ce corpus, nous sommes tentés de qualifier de « guide d’hygiène des systèmes critiques » ces vingt règles pour faire le parallèle avec la plus célèbre des publications de l’ANSSI [5]. Il est à parier que ces règles seront utilisées comme base de travail par d’autres entités qui ne sont pas OIV.

Agir dès maintenant

Le fait d’être OIV pouvait jusqu’à maintenant donner le sentiment d’appartenance à un club restreint [6] disposant de certains droits (accès direct aux autorités).  La publication des premiers arrêtés vient rappeler aux OIV qu’ils ont également des devoirs vis-à-vis de l’état.

Bien que l’entrée en application des trois arrêtés ait été fixée au 1 juillet 2016, il est difficile de mesurer les échéances exactes d’application imposées par la loi dans la mesure où l’annexe II n’est pas publique. Les OIV doivent cependant agir dès maintenant, les arrêtés stipulent en effet :

  • «  2. – Dans un délai de trois mois à compter de la date d’entrée en vigueur du présent arrêté ou de sa désignation comme opérateur d’importance vitale (..)tout opérateur relevant du secteur d’activités d’importance vitale (..) adresse par courrier à l’Agence nationale de la sécurité des systèmes d’information la liste de systèmes d’information d’importance vitale prévue à l’article R. 1332-41-2 du code de la défense, ainsi que, pour chaque système, le formulaire de déclaration disponible sur le site internet de l’agence (www.ssi.gouv.fr).»
  • « Art. 5. – Tout opérateur d’importance vitale relevant du secteur d’activités d’importance vitale «Alimentation» communique à l’Agence nationale de la sécurité des systèmes d’information les coordonnées de la personne mentionnée à l’article R. 1332-41-20 du code de la défense dans un délai de trois mois à compter de l’entrée en vigueur du présent arrêté ou de sa désignation comme opérateur d’importance vitale conformément aux dispositions de l’article R. 1332-3 du code de la défense. »

L’ANSSI n’est pas en reste, elle doit également maintenir son effort afin de compléter l’outillage nécessaire à l’application des textes. En effet, si la qualification de prestataires avance (PASSI [7], PDIS [8]), les sondes qualifiées mentionnées dans la règle n°7 ne sont pour l’heure pas encore disponibles (« L’opérateur d’importance vitale met en œuvre, en application de l’article R. 1332-41-3 du code de la défense, un système de détection qualifié de type «sonde d’analyse de fichiers et de protocoles»).

Pour plus d’information sur Lexsi et nos prestations : www.lexsi.com

[1] Nommés Systèmes d’information d’Importance Vitale (ou SIIV)

[2] L’entité appartenant aux services du Premier Ministre à laquelle est rattachée l’ANSSI

[3] 5 au 8 octobre 2016

[4] http://www.sgdsn.gouv.fr/site_rubrique70.html

[5] Le guide d’hygiène informatique : http://www.ssi.gouv.fr/hygiene-informatique/

[6] La liste des OIV est classifiée au niveau Confidentiel Défense

[7] Prestataire d’Audit de la Sécurité des Systèmes d’Information (http://ssi.gouv.fr/passi)

[8] Prestataire de Détection des Incidents de Sécurité (http://ssi.gouv.fr/pdis)