L’article 22 de la loi de programmation militaire (loi n° 2013-1168 du 18 décembre 2013), dont l’existence prend source suite aux préconisations du Livre blanc sur la défense et la sécurité nationale de 2013, intègre des mesures qui imposent aux OIV le renforcement de la sécurité de leur SI, alors nommés SIIV (systèmes d’information d’importance vitale).

Ces mesures de sécurisation imposent, entre autre, l’application de plusieurs règles de sécurité. Il est à noter que la France fait partie des pionniers en matière de réglementation visant à mettre en place une obligation de cybersécurité pour ses infrastructures vitales.

A ce titre, une nouvelle vague d’arrêtés ont été publiés fin août 2016, ceux-ci concrétisent l’action du ministère de la défense et notamment de l’ANSSI dans leur volonté d’imposer un seuil minimal de sécurité aux OIV.

Anssi

Le rôle de l’ANSSI dans ce procédé est d’accompagner les opérateurs d’importance vitale (OIV) dans la sécurisation de leur systèmes d’information. Le 1er juillet 2016, les premiers arrêtés sectoriels ont été publiés, six nouveaux arrêtés sont parus le 25 août. La dynamique est donc concrètement lancée en ce qui concerne la sécurité des OIV.

Plus précisément, ces nouveaux arrêtés visent les activités d’approvisionnement en énergie électrique, gaz naturel, hydrocarbures et les transports (maritimes, terrestres et aériens). Ceux-ci comportent notamment :

  • des règles de sécurité, à la fois organisationnelles et techniques, s’appliquant aux systèmes d’information d’importance vitale (SIIV) ;
  • des modalités d’identification des SIIV et de notification des incidents de sécurité affectant ces SIIV.

En parcourant les pages de ces arrêtés, publiquement disponibles sur le site legifrance.gouv.fr, nous pouvons avoir un aperçu des règles imposées par la dynamique de sécurisation des OIV lancée par l’ANSSI. Par exemple :

« tout opérateur relevant du sous-secteur d’activités d’importance vitale « Approvisionnement en énergie électrique » déclare chaque incident qui relève d’un type figurant à l’annexe IV du présent arrêté« 

(Chapitre III : Déclaration des incidents de sécurité de l’arrêté du 11 août 2016 – NOR: PRMD1621026A)

Nous prenons ici connaissance du fait que tout incident, même mineur, doit être signalé à l’ANSSI, qui devient alors un point de convergence des incidents de sécurité. Ainsi, l’ANSSI dispose des éléments permettent de corréler des incidents entre les OIV et ainsi peut-être, de détecter les signaux d’une cyber-attaque organisée.

Autre exemple :

« L’opérateur d’importance vitale doit être en mesure de fournir à l’Agence nationale de la sécurité des systèmes d’information, pour chaque système d’information d’importance vitale (SIIV), les éléments de cartographie suivants :
– les noms et les fonctions des applications, supportant les activités de l’opérateur, installées sur le SIIV ;
– le cas échéant, les plages d’adresses IP de sortie du SIIV vers internet ou un réseau tiers, ou accessibles depuis ces réseaux ;
– le cas échéant, les plages d’adresses IP associées aux différents sous-réseaux composant le SIIV ;
– la description fonctionnelle et les lieux d’installation du SIIV et de ses différents sous-réseaux ;
[…]« 

(Point 3. ANNEXE I de l’arrêté du 11 août 2016 – NOR: PRMD1621029A)

Nous voyons ici que l’ANSSI exige d’être en connaissance des éléments principaux de cartographie des SIIV. Nous pouvons par exemple supposer qu’une intervention de l’ANSSI après une cyberattaque sera facilitée par la connaissance en amont de ces éléments techniques. L’intervention de l’ANSSI est en effet prévue afin d’apporter un support pour le rétablissement de la situation et surtout une aide concernant le forensic et le diagnostique de la cyberattaque, cela a notamment été le cas lors de la cyberattaque visant TV5 Monde.

Au travers la lecture de ces arrêtés, il est possible de comprendre concrètement l’action de l’ANSSI et les obligations imposées aux OIV dans le cadre de l’application de la loi de programmation militaire et du Livre Blanc sur la défense et la sécurité nationale.

Plus globalement, nous voyons que la cybersécurité et la protection des éléments vitaux du domaine national sont maintenant soumis à des seuils de sécurité minimaux, cela par des actions concrètent à mener. Il s’agit d’une avancée encourageante menée par l’ANSSI dans le domaine de la cybersécurité. Il est inutile de rappeler ici les dégâts que peuvent causer les cyberattaques sur les secteurs de l’énergie ou du transport :

 

Mickaël

Consultant Sécurité