Cybersécurité : de très légers ajustements pour les médias et les communications

Deux nouveaux arrêtés sectoriels définissant les obligations des opérateurs d’importance vitale (OIV) en matière de sécurité de leurs systèmes d’informations ont été publiés au mois d’août, dans le cadre de la loi de programmation militaire votée fin 2013 (LPM). Ces arrêtés concernent les secteurs de l’audiovisuel et de l’information, et des communications électroniques et Internet.

Comme leurs homologues des secteurs de l’alimentation, de la gestion de l’eau, et des produits de santé, mais également des transports ou encore de l’approvisionnement en énergies, les acteurs concernés ont trois mois pour communiquer à l’Agence nationale pour la sécurité des systèmes d’information (Anssi) la liste de leurs systèmes d’information d’importance vitale (SIIV). Ils doivent communiquer une fois par an à l’Agence les mises à jour de cette liste.

Mais sans surprise, les dispositions de ces nouveaux arrêtés apparaissent largement similaires à celles des premiers. Au point que l’on est tenté de se demandé pourquoi leur publication a pris de tant de temps.

Car pour l’essentiel, les deux nouveaux arrêtés sectoriels font largement penser à un copier/coller de celui concernant les opérateurs d’importance vitale du secteur de la gestion de l’eau : on y retrouve notamment l’exigence de recours à l’authentification à double facteur pour l’accès à distance aux systèmes d’information d’importance vitale (SIIV).

Les OIV du secteur des communications électriniques semblent toutefois avoir réussi à décrocher une concession de l’Anssi sur la gestion des journaux d’activité. Sur leurs SIIV, une rétention d’au moins six moins des logs reste exigée en apparence. Mais, dans la pratique, elle peut être inférieure à cette durée « lorsque des raisons techniques le justifient ». A charge pour l’OIV de préciser ces raisons « dans le dossier d’homologation du SIIV ». Mais pas à l’Anssi de les viser à priori.