Les institutions européennes et le gouvernement français ont élaboré leurs stratégies de lutte contre la cybercriminalité. Plusieurs textes législatifs et réglementaires ont été adoptés ou sont en voie d’adoption. Voici un petit récapitulatif des projets en cours ou validés à suivre de très près.

Le contexte réglementaire

En février 2013, la Commission européenne a adopté une proposition de directive visant à assurer un niveau élevé commun de sécurité des réseaux et de l’information dans l’Union. Ce texte, en phase finale de négociation, précise notamment les obligations à la charge des “opérateurs d’infrastructure essentielle”. (1)

En France, la loi de programmation militaire (LPM) de décembre 2013 comporte des dispositions spécifiques à la protection des infrastructures vitales contre la cyber-menace. Le premier décret d’application a été publié́ le 27 mars 2015.
L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) mène depuis plusieurs mois des travaux préparatoires en collaboration avec les acteurs concernés, pour chaque secteur d’activité.
Les arrêtés sectoriels associés sont attendus pour la fin 2015. (2)
Enfin, à travers sa stratégie nationale pour la sécurité du numérique, publiée en octobre, le gouvernement a réaffirmé sa volonté de renforcer la sécurité des infrastructures vitales.

Une fois la directive cybersécurité adoptée, les Etats membres devront la transposer dans leur législation interne. Cette transposition en droit français nécessitera sans doute quelques aménagements des règles en vigueur.

Les obligations de cybersécurité à respecter

Les exigences européennes à la charge des “opérateurs d’infrastructure essentielle” sont en partie similaires à celles déjà imposées aux opérateurs d’importance vitale (OIV) par la réglementation française. (3)

Ces exigences s’articulent autour de trois axes :

- Détection et gestion des risques :
La proposition de directive dispose que les opérateurs concernés doivent prendre des mesures préventives, d’ordre technique et organisationnel, visant à détecter et gérer les risques menaçant la sécurité de leurs réseaux et systèmes informatiques (RSI).
La réglementation française prévoit également que dans certains cas, les OIV doivent mettre en œuvre des systèmes qualifiés de détection des événements susceptibles d’affecter la sécurité de leurs SI. Le décret de mars 2015 a précisé la procédure de qualification des outils de détection (sondes, etc.) et des prestataires proposant ces systèmes.

- Notification des incidents de sécurité :
Le projet de texte européen prévoit que les opérateurs doivent notifier à l’autorité compétente, sans retard injustifié, “les incidents qui ont impact significatif”. Il s’agit d’incidents qui portent atteinte à la sécurité et à la continuité d’un réseau ou d’un SI et qui entraînent une perturbation notable de fonctions économiques ou sociétales essentielles.
En outre, le projet de texte prévoit la possibilité, dans certains cas, pour les autorités compétentes, d’informer le public d’un incident. La réglementation française met également à la charge des OIV, une obligation de déclarer sans délai au Premier ministre les incidents affectant le fonctionnement ou la sécurité de leurs SI. En revanche, l’information du public n’est pas prévue.

- Mesures de sécurité et audit :
La proposition de directive dispose que les autorités compétentes des Etats membres doivent être en mesure de veiller au respect des obligations par les opérateurs.
Ces autorités doivent être dotées de pouvoirs leur permettant (i) de donner des instructions contraignantes, et (ii) d’exiger des organismes qu’ils fournissent des éléments prouvant la mise en œuvre effective des politiques de sécurité, tels que les résultats d’un audit réalisé par un opérateur qualifié indépendant ou une autorité nationale.
La loi française prévoit des obligations similaires à la charge des OIV : respecter les règles et mesures de sécurité élaborées par le Premier ministre et soumettre leur SI à des audits destinés à vérifier le niveau de sécurité et le respect des règles de sécurité. Les contrôles seront réalisés par des prestataires de service « qualifiés » ou les agents de l’Anssi.

Le rôle moteur de la DSI dans la mise en conformité de l’OIV

La mise en conformité avec ces obligations légales est incontournable. A défaut, l’OIV encoure des sanctions pouvant atteindre 750.000€ d’amende selon la loi française.
Or, cette mise en conformité a des impacts organisationnels, technologiques et financiers sur l’opérateur. Il est notamment nécessaire de modifier et d’adapter l’organisation interne de l’OIV à ces nouvelles contraintes (gouvernance, maîtrise de risques et veille, gestion de crise, formation, etc.). La DSI a sans aucun doute un rôle moteur à jouer dans la mise en conformité.

 

(1) Proposition de directive du Parlement européen et du Conseil concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l’information dans l’Union, Bruxelles, le 7 février 2013.

(2) Loi n°2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 a 2019 et décrets n°2015-350 et n°2015-351 du 27 mars 2015 relatifs à la sécurité des systèmes d’information des opérateurs d’importance vitale et à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité́ nationale.

(3) La réglementation relative aux OIV figure aux articles L.1332-1 et s. du Code de la défense. Il s’agit d’opérateurs publics ou privés exploitant des établissements ou utilisant des installations et ouvrages, dont le dommage ou l’indisponibilité ou la destruction par suite d’un acte de malveillance, de sabotage ou de terrorisme risquerait, directement ou indirectement : (i) d’obérer gravement le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ; (ii) ou de mettre gravement en cause la santé ou la vie de la population. 

FavoriteLoadingAjouter à mes favoris

5 Responses

  1. Blas

    Bonsoir,
    Je pense qu’il y a une méprise dans la vision d’un certain nombre d’OIV.
    Je veux parler des OIV industriels.
    Les décrets ainsi que les arrêtés à publier parlent effectivement de SI et même de SIIV (à intérêt vital).
    Mais dans les faits, pour les OIV à vocation industrielle, ce SI est … industriel.
    La DSI, dans ce cas, au sens tertiaire, n’a que peu de rôle à jouer.

    Quelle apporte quelques compétences pourquoi pas mais, globalement, les DSI (tertiaires) sont très peu au fait des problématiques incombant aux infrastructures industrielles : les protocoles lui sont inconnus de même que les matériels utilisés (des automates, des systèmes fortement redondants à base d’anneau, des capteurs et des actionneurs en fil à fil, des liaisons radio à bas débit, etc).

    À l’inverse les solutions dites de sécurité employées en DSI ne sont pas transposables dans le monde industriel.
    Les modes de fonctionnement sont également opposés.
    En quelque sorte, le sujet est par trop sérieux pour qu’une DSI classique s’en mêle.

    Les industriels doivent évoluer en matière de sécurité électronique (donc cybersécurité [1]) c’est un fait.
    C’est d’ailleurs le souci essentiel. Et il y a du travail.

    Donc non, la DSI n’a pas de rôle moteur à jouer pour ces OIV.
    D’ailleurs, sur le terrain, on constate que ce sont les industriels qui se prennent en charge et montent en compétence. Leur DSI se gardant bien de s’immiscer dans leur monde.
    Cordialement,
    db
    [1] Je parle ici de cybersécurité afin de la différencier de la sécurité (des biens et des personnes) que ces professionnels maîtrisent depuis 60 ans.

    Répondre
  2. #Cybersécurité : quelles sont les...

    […] Les institutions européennes et le gouvernement français ont élaboré leurs stratégies de lutte contre la cybercriminalité. Plusieurs textes législatifs et règlementaires ont été adoptés ou sont en voie d’adoption. Voici un petit récapitulatif des projets en cours ou validés à suivre de très près.  […]

    Répondre
  3. Cybersécurité : quelles sont les ...

    […] Les institutions européennes et le gouvernement français ont élaboré leurs stratégies de lutte contre la cybercriminalité. Plusieurs textes législatifs et règlementaires ont été adoptés ou sont en voie d’adoption. Voici un petit récapitulatif des projets en cours ou validés à suivre de très près.  […]

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.