{"id":9074,"date":"2016-06-27T17:11:03","date_gmt":"2016-06-27T16:11:03","guid":{"rendered":"https:\/\/www.solucominsight.fr\/?p=9074"},"modified":"2020-01-02T11:15:43","modified_gmt":"2020-01-02T10:15:43","slug":"cybersecurite-lpm-premiers-arretes-sectoriels-enfin-publies","status":"publish","type":"post","link":"https:\/\/www.riskinsight-wavestone.com\/en\/2016\/06\/cybersecurite-lpm-premiers-arretes-sectoriels-enfin-publies\/","title":{"rendered":"Cybers\u00e9curit\u00e9 et Loi de Programmation Militaire : les premiers arr\u00eat\u00e9s sectoriels enfin publi\u00e9s"},"content":{"rendered":"

Le jeudi 23 juin dernier, paraissaient au Journal Officiel de la R\u00e9publique Fran\u00e7aise<\/a> les trois premiers arr\u00eat\u00e9s sectoriels d\u00e9clinant la LPM<\/a>. Les secteurs \u00ab\u00a0Produits de sant\u00e9<\/a>\u00a0\u00bb, \u00ab\u00a0Gestion de l\u2019eau<\/a>\u00a0\u00bb et \u00ab\u00a0Alimentation<\/a>\u00a0\u00bb ouvrent le bal, pour une entr\u00e9e en vigueur au 1er juillet 2016. Le planning annonc\u00e9 par l\u2019ANSSI est ainsi respect\u00e9, m\u00eame si la grande majorit\u00e9 des arr\u00eat\u00e9s reste encore \u00e0 paraitre sur la seconde moiti\u00e9 de l\u2019ann\u00e9e.<\/em><\/p>\n

Cl\u00e9s de voute du cadre r\u00e8glementaire pos\u00e9 en d\u00e9cembre 2013<\/a>, que faut-il retenir de ces arr\u00eat\u00e9s \u00e9mis par le Premier ministre, en coordination avec les minist\u00e8res concern\u00e9s et l\u2019ANSSI\u00a0?<\/em><\/p>\n

Des arr\u00eat\u00e9s tr\u00e8s similaires et sans surprise<\/h1>\n

Ces arr\u00eat\u00e9s ne r\u00e9servent aucune surprise \u00e0 quiconque a particip\u00e9 aux r\u00e9flexions sur la LPM ces derniers mois\u00a0: planning, structure, r\u00e8gles, tout y est. Par ailleurs, c\u2019est d\u00e9sormais officiel, le contenu des arr\u00eat\u00e9s est quasiment identique d\u2019un secteur \u00e0 l\u2019autre.<\/p>\n

D\u00e8s l\u2019entr\u00e9e en vigueur des arr\u00eat\u00e9s<\/strong>, tous les OIV seront tenus de d\u00e9clarer \u00e0 l\u2019ANSSI leurs incidents de s\u00e9curit\u00e9<\/strong>[1]<\/a>.<\/p>\n

Dans un d\u00e9lai de 3 mois<\/strong> \u00e0 compter de l’entr\u00e9e en vigueur des arr\u00eat\u00e9s, tous les OIV devront d\u00e9clarer leur SIIV \u00e0 l\u2019ANSSI<\/strong>[2]<\/a> et communiquer les coordonn\u00e9es de leur service de permanence SSI<\/strong>.<\/p>\n

Enfin, tout OIV devra \u00eatre conforme \u00e0 20 r\u00e8gles de s\u00e9curit\u00e9<\/strong>, selon des d\u00e9lais variables d\u2019une r\u00e8gle \u00e0 l\u2019autre et d\u2019un secteur \u00e0 l\u2019autre<\/strong>. Ces r\u00e8gles sont les m\u00eames pour tous les secteurs \u00e0 deux exceptions pr\u00e8s, concernant les modalit\u00e9s d\u2019acc\u00e8s \u00e0 distance aux SIIV (authentification simple autoris\u00e9e pour le sous-secteur des produits de sant\u00e9 et le secteur de l\u2019alimentation) et la supervision SSI (pas de supervision obligatoire des syst\u00e8mes assurant la s\u00e9curit\u00e9 physique et la gestion technique des b\u00e2timents des point d\u2019importance vitale pour le sous-secteur produits de sant\u00e9).<\/p>\n

Si les 20 r\u00e8gles d\u00e9taill\u00e9es en Annexe I de chaque arr\u00eat\u00e9 sont publiques, ce n\u2019est pas le cas des Annexes II, III et IV, marqu\u00e9es Diffusion Restreinte<\/strong> et notifi\u00e9es par l\u2019ANSSI aux seules personnes ayant besoin d’en conna\u00eetre. Ces annexes pr\u00e9cisent respectivement les d\u00e9lais dans lesquels les op\u00e9rateurs sont tenus d’appliquer les r\u00e8gles de s\u00e9curit\u00e9, les types de syst\u00e8me d’information potentiellement SIIV, et les types d’incidents de s\u00e9curit\u00e9 \u00e0 notifier \u00e0 l\u2019ANSSI.<\/p>\n

 <\/p>\n

20 r\u00e8gles pour promouvoir les bonnes pratiques et r\u00e9f\u00e9rentiels ANSSI<\/h1>\n

Les 20 r\u00e8gles couvertes par les arr\u00eat\u00e9s peuvent \u00eatre regroup\u00e9es de la mani\u00e8re suivante\u00a0:<\/p>\n

\"lpm\"<\/figure>\n