willcao911 - Fotolia
Cybersécurité : des règles ajustées à la marge pour l’énergie et le transport
Cinq arrêtés sectoriels supplémentaires ont été publiés durant l’été pour continuer de définir les obligations des opérations d’importance vitale en matière de sécurité des systèmes d’information. Avec des ajustements à la marge.
Cinq nouveaux arrêtés sectoriels définissant les obligations des opérateurs d’importance vitale (OIV) en matière de sécurité de leurs systèmes d’informations ont été publiés au mois d’août, dans le cadre de la loi de programmation militaire votée fin 2013 (LPM).
Ces arrêtés concernent les secteurs du transport aérien, maritime et fluvial, et routier, ainsi que l’approvisionnement en hydrocarbures pétroliers, en gaz naturel, et en électricité. Commen leurs homologues des secteurs de l’alimentation, de la gestion de l’eau, et des produits de santé, les acteurs concernés ont trois mois pour communiquer à l’Anssi la liste de leurs systèmes d’information d’importance vitale. Ils doivent communiquer une fois par an à l’Agence les mises à jour de cette liste.
Mais si ces arrêtés étaient largement attendus – comme les quelques manquant encore à l’appel –, force est de constater que leurs dispositions apparaissent largement similaires.
Accès logique et protection physique
Les textes ne font en fait ressortir que des ajustements à la marge. Ainsi, pour les OIV des secteurs de l’approvisionnement en électricité et gaz naturel, les arrêtés se contentent de prendre en compte, avec une apparente bienveillance, le fait que certains systèmes ne puissent pas être protégés par des mots de passe, ou plus généralement « un élément secret », voire ce dernier ne puisse pas être modifié. Il n’est pas prévu là d’obligation de mise à jour ou de remplacement des « ressources » concernées. Non, les arrêtés se contentent d’exiger la mise en place d’un « contrôle d’accès physique ». Sans même requérir de recherche et suppression d’éventuels accès logiques susceptibles de conduire à une compromission. Un indicateur, précisant le « pourcentage de ressources dont le mécanisme d’authentification n’est pas basé sur un élément secret ou dont les éléments secrets d’authentification ne peuvent pas être modifiés par l’opérateur » devrait être tenu à jour. Mais l’on peut s’interroger sur l’intérêt d’un tel indicateur, tout autant que d’un contrôle accès physique si les ressources considérées restent interconnectées avec le reste d’un systèmes d’information d’importance vitale (SIIV) au plan logique. A moins que la contrainte de contrôle d’accès physique ne soit indirectement étendue à l’ensemble du SIIV concerné. Mais les arrêtés ne le précisent pas.
Règles et règles de l’art
Les OIV du secteur de l’approvisionnement en hydrocarbures pétroliers – mais pour quelque raison mystérieuse, pas du gaz naturel – sont gratifiés de quelques subtilités. Ainsi, pour ceux-ci, « flux de données associés à des opérations autres que des opérations d'administration doivent, lorsqu'ils transitent sur les systèmes d'information d'administration, être cloisonnés au moyen de mécanismes de chiffrement et d'authentification conformes aux règles de l'art telles que celles préconisées par l'Agence nationale de la sécurité des systèmes d'information [Anssi] » et « lorsqu'ils ne circulent pas dans le système d'information d'administration, les flux d'administration sont protégés par des mécanismes de chiffrement et d'authentification conformes aux règles de l'art telles que celles préconisées par l'Agence nationale de la sécurité des systèmes d'information. »
Pour tous les autres OIV, les arrêtés se contentent de faire référence à des mécanismes conformes aux « règles préconisées » par l’Anssi, et non pas aux « règles de l’art ». Ces dernières sont également pointées pour des mécanismes d’authentification à double facteur, dans le cadre du contrôle des accès distants, à l’instar de ce que prévoyait déjà l’arrêté concernant les OIV du secteur de la gestion de l’eau.
Ces subtilités mériteront très certainement d’être éclaircies. A moins qu’il ne s’agisse de ménager une certaine latitude aux opérateurs concernés. A l’occasion de l’édition 2015 des Assises de la Sécurité, le patron de l’Anssi faisait référence à un « mariage forcé ». Optimiste, Guillaume Poupard estimait alors que « certains réussissent, et je pense que c’est ce que l’on est en train d’avoir ». Il faisait toutefois état de réunions de travail « toujours correctes, mais parfois rugueuses », visant à aboutir à des compromis « pour élever significativement le niveau de sécurité ».
Le Dossier OIV
Cette publication fait partie d’un dossier complet sur les OIV :
- Cybersécurité des OIV : les premiers arrêtés sectoriels sont publiés
- Cisco mise sur Thales pour s’ouvrir les portes des OIV
- Contrôle et traçabilité : des bases d’hygiène élémentaire
- L’homologation des systèmes vitaux, une question délicate
- Cybersécurité OIV : quel partage de renseignements sur les incidents ?