willcao911 - Fotolia
Cybersécurité des OIV : les premiers arrêtés sectoriels sont publiés
Ces arrêtés placent l’Anssi dans un rôle de contrôleur à posteriori et laissent une importante latitude aux opérateurs d’importance vitale.
Les trois premiers arrêtés sectoriels définissant les obligations des opérateurs d’importance vitale (OIV) en matière de sécurité de leurs systèmes d’information, dans le cadre de la loi de programmation militaire votée fin 2013 (LPM), viennent d’être publiés. Il en reste dizaine d’autres à venir.
En début d’année, Guillaume Poupard indiqué que ces arrêtés étaient finalisés et que leur publication était imminente. Il aura ainsi fallu un peu plus de travail. A l’occasion de l’édition 2015 des Assises de la Sécurité, à l’automne dernier, le patron de l’Agence nationale pour la sécurité des systèmes d’information (Anssi), fait référence à « un mariage forcé. Certains réussissent, et je pense que c’est ce que l’on est en train d’avoir ». Il faisait état de réunions de travail « toujours correctes, mais parfois rugueuses », visant à aboutir à des compromis « pour élever significativement le niveau de sécurité ». Pour mémoire, la liste des entreprises concernées n’est pas connue, et n’a pas vocation à l’être.
Les premiers arrêtés concernent les secteurs de l’alimentation, de la gestion de l’eau, et des produits de santé. Les acteurs concernés ont trois mois pour communiquer à l’Anssi la liste de SI d’importance vitale. Ils doivent communiquer une fois par an à l’Agence les mises à jour de cette liste. Les dispositions de ces arrêtés apparaissent largement similaires.
On y trouve ainsi l’obligation de mise en œuvre d’une politique de sécurité du SI – et la description de ce qu’elle doit recouvrir – ainsi que d’une homologation des SI d’importance vitale (SIIV) suivant la procédure prévue par cette politique. Là, un audit doit être réalisé, reprenant les règles du référentiel prévu à l’article 10 du décret 2015-350 de mars 2015. L’audit peut être commandé à un tiers ou réalisé en interne. Ces rapports d’audit et les décisions d’homologation n’ont pas être transmis directement à l’Anssi : ils doivent simplement être tenus à sa disposition. L’avenir dira dans quelle mesure l’Agence aura les moyens de pousser véritablement à une approche préventive de la sécurité en examinant effectivement ces documents avant incident. Des documents qui sont confidentiels et peuvent être « couverts par le secret de la défense nationale ». Il en va de même pour les documents de cartographie des SIIV, qui doivent être établis et conservés à fin de communication à l’Anssi sur simple demande.
Les arrêtés prévoient aussi une obligation de définition de procédure de maintien des SIIV en conditions de sécurité. Celle-ci couvre la question des mises à jour, mais avec souplesse : si l’opérateur concerné observe « des difficultés techniques ou opérationnelles justifiées », il peut faire l’impasse sur des correctifs et mises à jour. A charge toutefois pour lui de mettre en place les mesures nécessaires empêcher l’exploitation de vulnérabilités éventuelles couvertes par des rustines. Ces informations doivent figurer dans le dossier d’homologation.
L’analyse et le traitement des incidents ne sont pas oubliés, avec notamment des règles relatives à la journalisation, à la disposition de sondes « d’analyse de fichiers et de protocoles » certifiées, ou encore la mise en place de procédures d’intervention. Les relevés techniques d’incidents doivent être conservés durant au moins six mois et sont considérés comme confidentiels. Ce qui ne va pas forcément encourager au partage d’informations. L’Anssi pourra y accéder, sur simple demande.
Des éléments préventifs sont prévus, notamment autour de l’authentification, de la gestion des droits d’accès et de celle des comptes à privilèges. La révision des droits est exigée avec une certaine souplesse : au moins une fois par an. Il n’est pas exigé que les comptes à privilèges soient nominatifs. Les exigences de traçabilité couvrent les opérations conduites avec ces comptes, mais pas leurs utilisateurs individuels. Le secteur de la gestion de l’eau se voit toutefois imposer une exigence de recours à l’authentification à double facteur pour l’accès à distance à ses SIIV.
Le Dossier OIV
Cette publication fait partie d’un dossier complet sur les OIV composé de 5 articles :
- Cybersécurité des OIV : les premiers arrêtés sectoriels sont publiés
- Cisco mise sur Thales pour s’ouvrir les portes des OIV
- Contrôle et traçabilité : des bases d’hygiène élémentaire
- L’homologation des systèmes vitaux, une question délicate
- Cybersécurité OIV : quel partage de renseignements sur les incidents ?