Sergey Nivens - Fotolia
L’homologation des systèmes vitaux, une question délicate
Les arrêtés sectoriels relatifs à la cybersécurité des opérateurs d’importance vitale renforce considérablement leur responsabilité en la matière.
Les trois premiers arrêtés sectoriels définissant les obligations des opérateurs d’importance vitale (OIV) en matière de sécurité de leurs systèmes d’information imposent une homologation des systèmes d’information les plus critiques de ces acteurs, les SIIV.
En substance, c’est l’OIV qui assure l’homologation de ses SIIV, en passant par un prestataire externe, ou bien en en assurant elle-même l’audit, dans tous les cas suivant un cadre réglementé, mais le tout suivant la procédure définie dans sa propre politique de sécurité des systèmes d’information (PSSI). Au final, l’OIV apparaît jouir ici d’une autonomie importante.
Et celle-ci semble d’autant plus grande que les dossiers d’homologation ne doivent pas, selon les arrêtés, être transmis systématiquement à l’Agence nationale pour la sécurité des systèmes d’information (Anssi) : ils sont tenus à sa disposition, « notamment les rapports d’audit ».
Une importante autonomie des OIV
Sollicitée sur ce point, l’Anssi n’a pas répondu à nos questions au moment de publier ces lignes. Mais si certains pourraient être tentés de voir là une forme de laxisme, d’autres relèvent plutôt une forme de réalisme. Loïc Guézo, chez Trend Micro, souligne ainsi qu’il y a là « adéquation » entre les besoins de sécurité et les moyens de l’agence. Surtout, il relève que pour beaucoup d’OIV, l’homologation intervient tard d’une « démarche longue, douloureuse et coûteuse », ne serait-ce que pour la mise en place des outils de détection et de reporting, et encore les processus appropriés. Sur Twitter, SopraSteria relève d’ailleurs que « la barre va être difficile à franchir. Certains OIV partent de loin et d’autres vont devoir repenser leur stratégie ».
Pour Jean-Marc Grémy, vice-président du Clusif, « tout est une question de taille. L’Anssi ne peut pas valider l’ensemble des dossiers d’homologation », et à plus forte raison parce qu’il faut en compter un par SIIV, et non pas un par OIV – ils sont environ 250. Même son de cloche du côté de SopraSteria qui estime que « l’Anssi aura aussi ses propres défis à relever pour assurer le suivi et le contrôle des nombreux SIIV ».
Doublée d’une lourde responsabilité
Surtout, pour Jean-Marc Grémy, l’Agence « incite, voire préconise très fortement que l’OIV utilise des PASSI [des prestataires d’audit certifiés, NDLR] qu’elle a elle-même qualifiés. On pourrait extrapoler le modèle en disant que puisque les audits sont conduits par des PASSI, c’est comme si l’Anssi avait fait le travail. Ce n’est bien sûr pas le point de vue de l’agence, mais je me permets ce raccourci pour illustrer mon propos ». Dans ce cadre, « est-il utile de faire une contre-expertise » ?
Une chose est sûre, le principe d’homologation renforce fortement la responsabilité de l’OIV : « si l’OIV subit un incident de sécurité sur son SIIV homologué, alors là, le résultat sera analysé dans le détail, et notamment l’audit. Est-ce que cette homologation a été prononcée sur de mauvaises bases ? L’audit n’a-t-il pas tout vu ? »
En fait, avec ces arrêtés, la loi de programmation militaire (LPM) de décembre 2013 semble bien atteindre ses objectifs : « le but était bien d’imposer par loi à certains opérateurs économiques ou publics de prendre en compte la sécurité des systèmes d’information, alors que naturellement, ce n’était pas – toujours – le cas ».
Le Dossier OIV
Cette publication fait partie d’un dossier complet sur les OIV composé de 5 articles :
- Cybersécurité des OIV : les premiers arrêtés sectoriels sont publiés
- Cisco mise sur Thales pour s’ouvrir les portes des OIV
- Contrôle et traçabilité : des bases d’hygiène élémentaire
- L’homologation des systèmes vitaux, une question délicate
- Cybersécurité OIV : quel partage de renseignements sur les incidents ?