{"id":9332,"date":"2016-12-09T00:30:54","date_gmt":"2016-12-08T23:30:54","guid":{"rendered":"https:\/\/www.riskinsight-wavestone.com\/?p=9332"},"modified":"2020-01-02T11:16:51","modified_gmt":"2020-01-02T10:16:51","slug":"reussir-mise-conformite-loi-de-programmation-militaire","status":"publish","type":"post","link":"https:\/\/www.riskinsight-wavestone.com\/en\/2016\/12\/reussir-mise-conformite-loi-de-programmation-militaire\/","title":{"rendered":"R\u00e9ussir sa mise en conformit\u00e9 \u00e0 la loi de programmation militaire"},"content":{"rendered":"

La loi de programmation militaire (LPM) de d\u00e9cembre 2013 a notamment servi de v\u00e9hicule l\u00e9gislatif pour adresser le sujet de la cybers\u00e9curit\u00e9 des op\u00e9rateurs d\u2019importance vitale<\/strong> (OIV). Elle traduit les orientations du livre blanc sur la d\u00e9fense et la s\u00e9curit\u00e9 nationale<\/a>, publi\u00e9 en avril de la m\u00eame ann\u00e9e.<\/em><\/p>\n

En particulier, le chapitre IV de la LPM<\/a> donne plus de pouvoirs au Premier ministre et \u00e0 l\u2019ANSSI en mati\u00e8re de s\u00e9curit\u00e9 et de d\u00e9fense des syst\u00e8mes d\u2019information. Ce texte responsabilise pour la premi\u00e8re fois les OIV quant \u00e0 la s\u00e9curisation de leurs syst\u00e8mes d\u2019information d\u2019importance vitale<\/strong> (SIIV).<\/p>\n

Depuis mi-2016, les OIV se voient pr\u00e9ciser secteur par secteur ce que l\u2019\u00c9tat attend officiellement d\u2019eux, via<\/em> la publication d\u2019arr\u00eat\u00e9s sectoriels. Les secteurs \u00ab\u00a0produits de sant\u00e9<\/a>\u00a0\u00bb, \u00ab\u00a0gestion de l\u2019eau<\/a>\u00a0\u00bb et \u00ab\u00a0alimentation<\/a>\u00a0\u00bb ont ainsi ouvert le bal le 23 juin dernier pour une entr\u00e9e en vigueur le 1er juillet 2016<\/strong>, suivis le 11 ao\u00fbt par le \u00ab\u00a0transport terrestre<\/a>\u00a0\u00bb, le \u00ab\u00a0transport maritime et fluvial<\/a>\u00a0\u00bb, le \u00ab\u00a0transport a\u00e9rien<\/a>\u00a0\u00bb, l\u2019 \u00ab\u00a0\u00e9nergie \u00e9lectrique<\/a>\u00a0\u00bb, le \u00ab\u00a0gaz naturel<\/a>\u00a0\u00bb et les \u00ab\u00a0hydrocarbures p\u00e9troliers<\/a>\u00a0\u00bb, pour une entr\u00e9e en vigueur au 1er octobre<\/strong>. Le 28 novembre 2016, les secteurs \u00ab\u00a0finances<\/a>\u00a0\u00bb, \u00ab\u00a0industrie<\/a>\u00a0\u00bb, \u00ab\u00a0communications \u00e9lectroniques<\/a>\u00a0\u00bb et \u00ab\u00a0audiovisuel et information<\/a>\u00a0\u00bbont cl\u00f4tur\u00e9 l\u2019ann\u00e9e pour une entr\u00e9e en vigueur au 1er janvier 2017. En six mois 13 arr\u00eat\u00e9s ont d\u00e9clin\u00e9 la LPM<\/strong>, ne laissant plus que quelques secteurs et sous-secteurs<\/a> \u00e0 couvrir dans les mois \u00e0 venir.<\/p>\n

Cet article vise, en respectant le secret de la d\u00e9fense nationale, \u00e0 partager nos retours d\u2019exp\u00e9rience li\u00e9s aux projets de mise en conformit\u00e9<\/strong> qui ont marqu\u00e9 l\u2019actualit\u00e9 ces derniers mois.<\/p>\n

 <\/p>\n

Cinq id\u00e9es cl\u00e9s pour une mise en conformit\u00e9 \u00e0 la LPM r\u00e9ussie<\/h2>\n

L\u2019entr\u00e9e en application de la LPM m\u00e8ne n\u00e9cessairement \u00e0 un investissement cons\u00e9quent de la part des OIV<\/strong>, ne serait-ce que pour d\u00e9cliner la notion de SIIV sur leur p\u00e9rim\u00e8tre, d\u00e9montrer leur conformit\u00e9 \u00e0 chacune des r\u00e8gles et aligner leurs processus et corpus documentaire sur le formalisme impos\u00e9 par la LPM.<\/p>\n

De par ses relations privil\u00e9gi\u00e9es avec l\u2019ANSSI et son r\u00f4le sur la SSI au sein de son entreprise, le RSSI est l\u2019acteur l\u00e9gitime pour piloter et animer cette mise en conformit\u00e9<\/strong>. De la mobilisation des acteurs \u00e0 la g\u00e9n\u00e9ralisation des principes de s\u00e9curit\u00e9, en passant par le cadencement des chantiers et la construction de cibles accept\u00e9es par tous, quels sont les facteurs cl\u00e9s de r\u00e9ussite<\/strong>\u00a0?<\/p>\n

 <\/p>\n

1. Par o\u00f9 commencer\u00a0? Dresser la liste des SIIV<\/strong><\/p>\n

Tous les OIV doivent d\u00e9clarer leurs SIIV \u00e0 l\u2019ANSSI dans un d\u00e9lai de 3 mois<\/strong> \u00e0 compter de l\u2019entr\u00e9e en vigueur de l\u2019arr\u00eat\u00e9 les concernant. Il est important de noter que les exigences portent uniquement sur les SIIV<\/strong>, et non sur l\u2019ensemble du SI de l\u2019OIV. L\u2019identification des SIIV doit par cons\u00e9quent \u00eatre un chantier r\u00e9alis\u00e9 avec le plus grand soin pour \u00eatre conforme \u00e0 la loi tout en limitant les impacts au maximum<\/em><\/strong>.<\/p>\n

Au-del\u00e0 des typologies de SI \u00e9ligibles (propos\u00e9es en annexe III de chaque arr\u00eat\u00e9), l\u2019analyse doit partir des missions d\u2019importance vitale <\/strong>(MIV) confi\u00e9es par l\u2019\u00c9tat \u00e0 l\u2019OIV. Elles sont list\u00e9es dans les Directives Nationales de S\u00e9curit\u00e9 (DNS), en possession de l\u2019Officier de S\u00e9curit\u00e9 de l\u2019OIV puisque c\u2019est un document classifi\u00e9 Confidentiel D\u00e9fense. Des rencontres avec les m\u00e9tiers<\/strong> permettront ensuite d\u2019affiner la compr\u00e9hension des processus et de leur transcription sur le SI en termes d\u2019applications.<\/p>\n

L\u2019enjeu est ici de d\u00e9finir une m\u00e9thode syst\u00e9matique et une justification rigoureuse<\/strong> sur les crit\u00e8res d\u2019inclusion et d\u2019exclusion des applications potentiellement \u00e9ligibles.<\/p>\n

D\u2019autre part, nos retours d\u2019exp\u00e9rience sur l\u2019identification des SIIV montrent que la logique \u00ab\u00a0d\u2019importance vitale\u00a0\u00bb diff\u00e8re entre une vision de l\u2019entreprise (qui vise \u00e0 assurer sa propre survie) et celle de l\u2019\u00c9tat (qui vise \u00e0 assurer la s\u00e9curit\u00e9 des citoyens). Concr\u00e8tement, les syst\u00e8mes commerciaux assurant les ventes ou la facturation, ne sont souvent pas r\u00e9pertori\u00e9s dans la liste des SIIV.<\/p>\n

Les applications d\u2019importance vitale repr\u00e9sentent aujourd\u2019hui au maximum 3% du parc applicatif de nos clients grands comptes sur le volet SI de gestion. Les SIIV sont quant \u00e0 eux constitu\u00e9s de l\u2019ensemble des applications concourant \u00e0 un m\u00eame processus d\u2019importance vitale.<\/strong><\/p>\n

 <\/p>\n

2. Recenser les \u00e9carts et dessiner des premi\u00e8res cibles<\/strong><\/p>\n

L\u2019analyse d\u2019\u00e9cart doit elle aussi d\u00e9buter au plus vite, sans attendre la stabilisation de la liste des SIIV<\/em><\/strong>.<\/p>\n

Certes des subtilit\u00e9s techniques seront pr\u00e9sentes, mais des tendances devraient rapidement\u00a0<\/strong>appara\u00eetre<\/b>\u00a0sur les nombreux th\u00e8mes transverses<\/strong> tels que la supervision SSI, les cartographies, les principes d\u2019authentification voire la gestion des correctifs de s\u00e9curit\u00e9. Cela, en particulier sur les SI industriels, n\u2019est pas sans poser des interrogations assez importantes.<\/p>\n

Ici, l\u2019enjeu est double\u00a0: anticiper le macro-budget <\/strong>qui sera n\u00e9cessaire \u00e0 la mise en conformit\u00e9 et l\u2019inscrire dans l\u2019exercice de pr\u00e9vision budg\u00e9taire pluriannuel. Expliquer la LPM aux futurs porteurs d\u2019actions et les mobiliser autour de l\u2019identification de cibles<\/strong> qui pourraient r\u00e9pondre aux diff\u00e9rentes exigences.<\/p>\n

Il est crucial de ne pas traiter la mise en conformit\u00e9 r\u00e8gle par r\u00e8gle<\/strong>\u00a0: selon les cas, certaines cibles d\u2019apparence plus complexe permettent de couvrir plusieurs r\u00e8gles \u00e0 la fois, diminuant ainsi l\u2019investissement n\u00e9cessaire au global. Ce constat est d\u2019autant plus fort sur la protection des syst\u00e8mes, o\u00f9 les principes de cloisonnement, les pratiques d\u2019administration et les m\u00e9canismes d\u2019authentification sont tr\u00e8s li\u00e9s.<\/p>\n

 <\/p>\n

3. Favoriser la pratique \u00e0 la th\u00e9orie<\/strong><\/p>\n

Les situations o\u00f9 il est difficile de faire converger <\/strong>les diff\u00e9rentes approches sont l\u00e9gions dans ce type de programme. Aussi, le passage \u00e0 la pratique est souvent le meilleur des alli\u00e9s\u00a0:<\/p>\n