Dans le contexte de la Loi de Programmation Militaire (LPM), l’homologation est une procédure obligatoire qui s’applique aux Opérateurs d’Importance Vitale (OIV). Elle permet de maîtriser les enjeux et le niveau de sécurité de chaque Système d’Information d’Importance Vitale (SIIV).

L’homologation est au cœur de la stratégie de mise en conformité LPM, car elle permet de décliner de manière concrète et opérationnelle les règles de la LPM tout en réduisant les risques de sécurité.

L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) a décrit dans un guide les grandes étapes de l’homologation. Ainsi les étapes majeures d’une homologation sont :

• La définition de la stratégie d’homologation (document de cadrage décrivant les détails de réalisation de l’homologation)
• La réalisation d’une analyse de risques sur le SIIV
• La conduite d’un audit d’homologation
• La décision d’homologation
• Le suivi a posteriori de l’homologation

Cette décision doit être prise par l’autorité d’homologation (AH), personne morale portant la responsabilité de l’homologation pour un SIIV. Elle est aidée par la commission d’homologation, groupe d’experts internes chargé de préparer la décision d’homologation.

Les informations nécessaires à la prise de décision sont regroupées dans le dossier d’homologation. Cela permet à la commission d’homologation d’attester la connaissance du niveau de sécurité et d’accepter les risques résiduels. In fine, la commission d’homologation atteste que le niveau de risque est maîtrisé.

Une démarche à éprouver au plus vite sur les SIIV existants

Rétro-homologation : comment homologuer les SIIV déjà en service ?

Dans le cadre d’un SIIV déjà existant, le paradigme de l’homologation est différent, même si les objectifs restent les mêmes. L’analyse de l’existant constitue le point de départ de l’homologation, et la réalisation d’un audit à blanc (ou l’utilisation d’un rapport d’audit précédent) sert d’accélérateur dans la collecte d’information et dans l’identification des risques.

A l’inverse, les mesures de sécurité devront être appliquées sur un historique parfois lourd à transformer. Des mesures compensatoires doivent dès lors être identifiées, priorisées et mises en œuvre

Cette homologation a posteriori, ou rétro-homologation, doit permettre au métier d’assurer une prise en compte exhaustive des risques, et de prioriser les actions pour réduire les risques à un niveau acceptable, en mobilisant les budgets adéquats.

Même s’il est important de définir une procédure d’homologation en capacité de traiter les nouveaux SIIV à venir, ce sont surtout les SIIV existants qui occupent les OIV à l’heure actuelle, et la rétro-homologation est prioritaire.

Adopter une approche projet test & learn

Afin de définir et déployer une procédure d’homologation sur son périmètre LPM, l’OIV peut définir un pilote initial, pour roder et perfectionner le processus, avant de l’industrialiser sur l’ensemble des SIIV.

L’objectif de cette phase pilote est de confronter la méthodologie à la réalité terrain, dans une optique de validation de la démarche et des étapes définies (procédures, interlocuteurs à solliciter, etc.). Cette approche fait ressortir les points de difficultés (SI d’administration, cloisonnement, patch management, …), et permet d’apporter un plan de remédiation concret et réalisable.

Le choix du SIIV pilote est primordial pour pouvoir anticiper les problématiques qui vont être rencontrées. Ainsi, il est préférable de choisir un SIIV pilote représentatif de l’ensemble des autres SIIV (taille moyenne, interactions limitées, etc.).

Démontrer la sécurité apportée par la LPM

Au sein des différents chantiers et projets engendrés par la LPM, celui de l’homologation permet de concrétiser le renforcement effectif de la sécurité. Non seulement en mettant en visibilité la sécurité de manière interne à un haut niveau (DG, autorité d’homologation) et de manière externe (ANSSI, État), mais également en mesurant la réduction des risques exigée (analyse de risques) et réalisée (audit).

La réalisation de l’homologation permet de communiquer sur les risques réels, d’identifier, de sensibiliser et de responsabiliser les acteurs concernés (en particulier la Direction au travers du rôle de l’autorité d’homologation).

L’ensemble des actions de mise en conformité LPM est regroupé dans le dossier d’homologation, et porte une réalité pratique. On y retrouve notamment les constats de sécurité, les points bloquants et un aperçu du degré de complexité de la mise en conformité.

Le dossier d’homologation doit être à la disposition de l’ANSSI. À ce titre, il constitue la vitrine de l’OIV vis-à-vis de la l’ANSSI pour la LPM, et gagne à ne pas être bâclé ! Il doit démontrer les acquis de sécurité et la validation concrète des réponses théoriques de mise en conformité.

Assurer le maintien de la sécurité dans le temps

Créer une dynamique d’homologation

Une homologation ne s’arrête pas lorsque la décision d’homologation est prononcée et le système mis en production. Cette étape ne marque que le commencement du management des risques. Il s’agit par la suite d’animer, de mettre en visibilité et d’assurer un contrôle permanent de la sécurité. L’arrêté précise que l’homologation doit être renouvelée au minimum tous les 3 ans, où lors d’évolutions majeures sur le SIIV, qui remettent en cause le contexte sécurité du SIIV tel que décrit dans l’analyse de risques.

Pour les SIIV existants, il est donc nécessaire de mettre en place un processus pour contrôler et détecter les évolutions du contexte de sécurité du SIIV. Cela doit notamment s’appuyer sur une organisation, par exemple avec un acteur en charge de détecter et d’évaluer ces évolutions de contexte. Il peut notamment établir une liste d’événements déclencheurs (par exemple : changement d’exposition du SIIV, arrivée de prestataires, évolution fonctionnelle du SIIV, modification d’infrastructure ou de gestion opérationnelle) qui servira de base à l’évaluation du besoin de renouvellement.

La mise en place du comité de gouvernance de l’homologation permet d’assurer une animation du processus d’homologation. La mise à jour de la méthodologie d’Intégration de la Sécurité dans les Projets permet de capter les nouveaux projets, d’y appliquer le management des risques dès le début du projet et d’anticiper la mise en conformité d’un SIIV.

Poser un cadre clair et compréhensible pour les propriétaires applicatifs

Les propriétaires applicatifs représentent des acteurs clés dans le maintien de la sécurité et de l’homologation dans le temps. Non seulement car ils possèdent une bonne vision de leur SIIV, mais également car ils en perçoivent les évolutions. S’ils ont « peur » de la LPM, cela peut amener à une mauvaise implémentation de la sécurité. Au contraire, une bonne compréhension des enjeux de la LPM, de l’homologation et de l’amélioration continue est bénéfique pour la sécurité du SIIV.

Il est recommandé de prêter une attention particulière sur l’accompagnement et la sensibilisation des propriétaires applicatifs à la sécurité en général, et à l’homologation en particulier. Dans une démarche gagnant-gagnant, il faut embarquer et fédérer les propriétaires applicatifs pour bonifier la sécurité dans le temps.

L’homologation de sécurité, une démarche permettant d’approfondir la maîtrise des risques dans la durée

Au-delà de la contrainte réglementaire pure, la LPM doit être considérée comme un formidable accélérateur permettant d’approfondir la maitrise des risques au sein de l’Opérateur d’Importance Vitale, depuis les équipes opérationnelles, les propriétaires applicatifs et jusqu’à la Direction.

Après une première étape de mise à niveau et de mesures de réduction des risques sur les SIIV existants, l’enjeu de l’homologation est d’assurer le maintien dans le temps du niveau de sécurité sur le périmètre des SIIV. A ce titre, il est nécessaire d’animer dans le temps les différentes instances, afin de conserver la dynamique initiale.

Cet article L’homologation de sécurité, clé de voute de la mise en conformité LPM est apparu en premier sur RiskInsight.

En particulier, le chapitre IV de la LPM donne plus de pouvoirs au Premier ministre et à l’ANSSI en matière de sécurité et de défense des systèmes d’information. Ce texte responsabilise pour la première fois les OIV quant à la sécurisation de leurs systèmes d’information d’importance vitale (SIIV).

Depuis mi-2016, les OIV se voient préciser secteur par secteur ce que l’État attend officiellement d’eux, via la publication d’arrêtés sectoriels. Les secteurs « produits de santé », « gestion de l’eau » et « alimentation » ont ainsi ouvert le bal le 23 juin dernier pour une entrée en vigueur le 1er juillet 2016, suivis le 11 août par le « transport terrestre », le « transport maritime et fluvial », le « transport aérien », l’ « énergie électrique », le « gaz naturel » et les « hydrocarbures pétroliers », pour une entrée en vigueur au 1er octobre. Le 28 novembre 2016, les secteurs « finances », « industrie », « communications électroniques » et « audiovisuel et information »ont clôturé l’année pour une entrée en vigueur au 1er janvier 2017. En six mois 13 arrêtés ont décliné la LPM, ne laissant plus que quelques secteurs et sous-secteurs à couvrir dans les mois à venir.

Cet article vise, en respectant le secret de la défense nationale, à partager nos retours d’expérience liés aux projets de mise en conformité qui ont marqué l’actualité ces derniers mois.

Cinq idées clés pour une mise en conformité à la LPM réussie

L’entrée en application de la LPM mène nécessairement à un investissement conséquent de la part des OIV, ne serait-ce que pour décliner la notion de SIIV sur leur périmètre, démontrer leur conformité à chacune des règles et aligner leurs processus et corpus documentaire sur le formalisme imposé par la LPM.

De par ses relations privilégiées avec l’ANSSI et son rôle sur la SSI au sein de son entreprise, le RSSI est l’acteur légitime pour piloter et animer cette mise en conformité. De la mobilisation des acteurs à la généralisation des principes de sécurité, en passant par le cadencement des chantiers et la construction de cibles acceptées par tous, quels sont les facteurs clés de réussite ?

1. Par où commencer ? Dresser la liste des SIIV

Tous les OIV doivent déclarer leurs SIIV à l’ANSSI dans un délai de 3 mois à compter de l’entrée en vigueur de l’arrêté les concernant. Il est important de noter que les exigences portent uniquement sur les SIIV, et non sur l’ensemble du SI de l’OIV. L’identification des SIIV doit par conséquent être un chantier réalisé avec le plus grand soin pour être conforme à la loi tout en limitant les impacts au maximum.

Au-delà des typologies de SI éligibles (proposées en annexe III de chaque arrêté), l’analyse doit partir des missions d’importance vitale (MIV) confiées par l’État à l’OIV. Elles sont listées dans les Directives Nationales de Sécurité (DNS), en possession de l’Officier de Sécurité de l’OIV puisque c’est un document classifié Confidentiel Défense. Des rencontres avec les métiers permettront ensuite d’affiner la compréhension des processus et de leur transcription sur le SI en termes d’applications.

L’enjeu est ici de définir une méthode systématique et une justification rigoureuse sur les critères d’inclusion et d’exclusion des applications potentiellement éligibles.

D’autre part, nos retours d’expérience sur l’identification des SIIV montrent que la logique « d’importance vitale » diffère entre une vision de l’entreprise (qui vise à assurer sa propre survie) et celle de l’État (qui vise à assurer la sécurité des citoyens). Concrètement, les systèmes commerciaux assurant les ventes ou la facturation, ne sont souvent pas répertoriés dans la liste des SIIV.

Les applications d’importance vitale représentent aujourd’hui au maximum 3% du parc applicatif de nos clients grands comptes sur le volet SI de gestion. Les SIIV sont quant à eux constitués de l’ensemble des applications concourant à un même processus d’importance vitale.

2. Recenser les écarts et dessiner des premières cibles

L’analyse d’écart doit elle aussi débuter au plus vite, sans attendre la stabilisation de la liste des SIIV.

Certes des subtilités techniques seront présentes, mais des tendances devraient rapidement apparaître sur les nombreux thèmes transverses tels que la supervision SSI, les cartographies, les principes d’authentification voire la gestion des correctifs de sécurité. Cela, en particulier sur les SI industriels, n’est pas sans poser des interrogations assez importantes.

Ici, l’enjeu est double : anticiper le macro-budget qui sera nécessaire à la mise en conformité et l’inscrire dans l’exercice de prévision budgétaire pluriannuel. Expliquer la LPM aux futurs porteurs d’actions et les mobiliser autour de l’identification de cibles qui pourraient répondre aux différentes exigences.

Il est crucial de ne pas traiter la mise en conformité règle par règle : selon les cas, certaines cibles d’apparence plus complexe permettent de couvrir plusieurs règles à la fois, diminuant ainsi l’investissement nécessaire au global. Ce constat est d’autant plus fort sur la protection des systèmes, où les principes de cloisonnement, les pratiques d’administration et les mécanismes d’authentification sont très liés.

3. Favoriser la pratique à la théorie

Les situations où il est difficile de faire converger les différentes approches sont légions dans ce type de programme. Aussi, le passage à la pratique est souvent le meilleur des alliés :

• La réalisation d’un audit à blanc technique et organisationnel permettra d’obtenir des réponses factuelles et détaillées et ainsi de débloquer les éventuelles analyses d’écart fastidieuses ;
• De même, la réalisation d’une homologation sur un SIIV pilote permettra à la fois de préciser le processus d’homologation et le contenu du dossier et fluidifiera d’autant les autres homologations ;
• Enfin, la mise en œuvre sur un SIIV pilote des principes de sécurisation retenus permettra de concrétiser les modalités d’implémentation spécifiques et transverses et d’affiner les modèles initialement retenus, avant généralisation. Il permettra en particulier d’identifier précisément les besoins relatifs aux systèmes transverses (administration, surveillance, contrôle d’accès…).

4. Paralléliser les chantiers

Les délais associés aux différentes règles sont très ambitieux. Aussi, il est indispensable de traiter en parallèle tous les sujets qui peuvent l’être.

C’est notamment le cas de la formalisation des guides de durcissement, des évolutions de la PSSI, des processus d’intégration de la sécurité dans les projets, des modifications au niveau des clauses contractuelles et des processus de sélection des fournisseurs, etc.

5. Tirer parti de la complémentarité des équipes

La LPM aborde le sujet de la cybersécurité au travers d’une loi et en l’inscrivant dans le dispositif SAIV. Les interlocuteurs sont donc tout aussi nombreux que variés : les dirigeants dans la mesure où la responsabilité pénale de l’OIV est engagée, les responsables de la sûreté garants du bon maintien du dispositif SAIV, les RSSI interlocuteurs habituels de l’ANSSI, les responsables de la conformité, les métiers en regard des missions d’importances vitales qu’ils peuvent porter, les DSI au vu des impacts potentiels sur le SI, les achats sur la gestion des fournisseurs, les équipes techniques opérant le SI au quotidien, etc.

Face à cette multitude d’interlocuteurs et d’approches parfois radicalement opposées, il est impératif de voir au-delà de la complexité apparente : cette situation est surtout l’occasion de mobiliser un nombre inédit d’acteurs autour de la cybersécurité et d’ainsi actionner des leviers jusque-là souvent inaccessibles. Il est notamment plus facile d’obtenir les ressources nécessaires à la bonne réussite du programme lorsqu’autant d’enjeux sont réunis.

Un paysage cybersécurité modelé en profondeur

Les cadrages menés jusqu’à présent par les OIV démontrent une forte volonté de prendre en compte la LPM le plus en amont possible, avec au sein des grands comptes que nous accompagnons, plusieurs dizaines de millions d’euros budgétés pour les années à venir.

Par ailleurs, la LPM a démontré l’intérêt de la cybersécurité à des décideurs historiquement peu mobilisés sur ce sujet, que ce soit au sein des OIV ou de leurs fournisseurs. Gageons que cette prise de conscience annonce une sécurisation pérenne des SIIV et des SI plus largement.

Un autre aspect structurant et positif de la LPM est à noter : afin de répondre aux besoins des OIV, le marché est incité à se structurer autour des thématiques cybersécurité. Il sera donc plus facile, pour les OIV mais aussi les autres entreprises d’avoir recours à des fournisseurs respectant les bonnes pratiques de sécurité.

Dans tous les cas, l’enjeu à venir pour les OIV est de ne surtout pas réduire la cybersécurité aux programmes LPM mais bien au contraire de les utiliser comme accélérateur pour leurs autres projets, sous peine de délaisser leurs SI critiques non considérés comme vitaux pour la survie de la nation (et ils sont nombreux). Cet équilibre est crucial pour assurer une cybersécurité servant à la fois l’État mais aussi les entreprises concernées.

Consultez notre synthèse LPM via le site officiel du cabinet, www.wavestone.com.

Cet article Réussir sa mise en conformité à la loi de programmation militaire est apparu en premier sur RiskInsight.

Clés de voute du cadre règlementaire posé en décembre 2013, que faut-il retenir de ces arrêtés émis par le Premier ministre, en coordination avec les ministères concernés et l’ANSSI ?

Des arrêtés très similaires et sans surprise

Ces arrêtés ne réservent aucune surprise à quiconque a participé aux réflexions sur la LPM ces derniers mois : planning, structure, règles, tout y est. Par ailleurs, c’est désormais officiel, le contenu des arrêtés est quasiment identique d’un secteur à l’autre.

Dès l’entrée en vigueur des arrêtés, tous les OIV seront tenus de déclarer à l’ANSSI leurs incidents de sécurité[1].

Dans un délai de 3 mois à compter de l’entrée en vigueur des arrêtés, tous les OIV devront déclarer leur SIIV à l’ANSSI[2] et communiquer les coordonnées de leur service de permanence SSI.

Enfin, tout OIV devra être conforme à 20 règles de sécurité, selon des délais variables d’une règle à l’autre et d’un secteur à l’autre. Ces règles sont les mêmes pour tous les secteurs à deux exceptions près, concernant les modalités d’accès à distance aux SIIV (authentification simple autorisée pour le sous-secteur des produits de santé et le secteur de l’alimentation) et la supervision SSI (pas de supervision obligatoire des systèmes assurant la sécurité physique et la gestion technique des bâtiments des point d’importance vitale pour le sous-secteur produits de santé).

Si les 20 règles détaillées en Annexe I de chaque arrêté sont publiques, ce n’est pas le cas des Annexes II, III et IV, marquées Diffusion Restreinte et notifiées par l’ANSSI aux seules personnes ayant besoin d’en connaître. Ces annexes précisent respectivement les délais dans lesquels les opérateurs sont tenus d’appliquer les règles de sécurité, les types de système d’information potentiellement SIIV, et les types d’incidents de sécurité à notifier à l’ANSSI.

20 règles pour promouvoir les bonnes pratiques et référentiels ANSSI

Les 20 règles couvertes par les arrêtés peuvent être regroupées de la manière suivante :

• Gouvernance (règles 1 et 20) : être doté d’une Politique de Sécurité du SI (PSSI) intégrant la notion de SIIV et posant notamment des exigences en termes de sensibilisation, de formation et de reporting à la Direction de l’OIV. Certains indicateurs SSI doivent également être générés (suivi des comptes, patch management, etc.).Ce volet correspond généralement à un chantier mineur de mise à jour du corpus documentaire et des processus déjà existants.

• Maîtrise des risques (règle 2) : l’OIV doit mener une homologation formelle de chacun de ses SIIV, afin d’identifier les risques portés et les mesures de sécurité à mettre en œuvre. La décision d’homologation est prise par une commission interne à l’OIV, en capacité de représenter l’OIV sur le plan pénal. Tout acte d’homologation sera précédé d’un audit SSI.Concrètement, les OIV doivent prévoir un audit d’homologation par SIIV, qui sera réalisé conformément au référentiel PASSI LPM[3], soit par un prestataire qualifié soit par une équipe interne de l’OIV. Le renouvellement de l’homologation est à prévoir à minima tous les 3 ans, pour prendre en compte l’évolution du contexte et des menaces.

• Maîtrise des SI (règles 3 et 4) : il est attendu de l’OIV qu’il connaisse à tout moment les composants constituant chacun de ses SIIV (cartographies à disposition de l’ANSSI sur demande) et qu’il sache y déployer tous les correctifs de sécurité nécessaires ou mettre en œuvre des mesures compensatoires appropriées.Si des inventaires et processus de veille et patch management sont déjà en place, l’enjeu est ici de les décliner concrètement sur chacun des SIIV fraîchement identifiés et surtout de s’assurer de leur pertinence et efficacité dans le temps.

• Gestion des incidents de sécurité (règles 5 à 10) : au niveau de la détection des incidents, les journaux d’événements clés doivent être activés, centralisés et archivés, puis corrélés et analysés sur une infrastructure dédiée et conformément au référentiel PDIS[4]. Des sondes réseaux qualifiées doivent être mise en place entre les SIIV et les réseaux tiers à ceux de l’OIV. Le traitement des incidents doit respecter le référentiel PRIS[5] et l’OIV doit posséder un service de permanence, communément appeler astreinte, pour assurer le traitement des alertes en 24/7. Enfin, une procédure de gestion de crise doit pouvoir être déclenchée sur demande du Premier Ministre afin d’assurer la cyber-résilience des SIIV et du SI de l’OIV.Bien que la détection et le traitement des incidents de sécurité soient pris au sérieux par les OIV, c’est un volet de la SSI qui reste assez récent et continue de se structurer. Aussi, la difficulté principale sera d’aligner les initiatives déjà en place sur les référentiels PDIS et PRIS et de les étendre aux SIIV. Les OIV les moins avancés sur le sujet auront l’avantage de pouvoir partir d’une feuille blanche.

• Protection des systèmes (règles 11 à 19) : chaque SIIV devra respecter les bonnes pratiques de sécurité sur l’authentification et l’habilitation des utilisateurs des SIIV, sur les principes et infrastructures d’administration, sur le cloisonnement des SIIV et la gestion des flux ainsi, sur les principes d’accès à distance, ainsi que sur le durcissement des composants à leur installation.Selon la taille et les typologies de SIIV, l’enjeu est ici de placer le curseur au bon endroit entre cloisonnement des SIIV et fluidité des opérations au quotidien. Des SIIV trop isolés vont entrainer un coût d’exploitation très élevé voire des dysfonctionnements métiers, tandis qu’une gestion trop centralisée maximisera les impacts d’une attaque réussie. Fort heureusement, des solutions permettant d’atteindre le bon compromis existent et sont déjà éprouvés chez certains OIV.

Finalement, cet ensemble de règles rappelle les bonnes pratiques de sécurité et exige qu’elles soient respectées à minima sur le périmètre des SIIV.

Ces arrêtés sont aussi l’occasion pour l’État de promouvoir les documents produits ces dernières années en lien avec la cybersécurité et la Sécurité des Activités d’Importance Vitale (SAIV) : référentiels PASSI / PDIS / PRIS, guides de sécurisation, stratégie d’homologation, méthodologie d’analyse de risques EBIOS, IGI 6600 sur les SAIV, IGI 1300 sur la protection du secret de la défense nationale, II 901 sur la protection des SI sensibles, etc. Les différents guides de bonnes pratique de l’ANSSI seront aussi à considérer pour construire ou faire évoluer les systèmes.

Des publications salutaires, mais encore de nombreuses incertitudes à lever de manière officielle

Après la phase d’identification des SIIV et de gap analysis d’ores et déjà amorcée et en cours de finalisation par la plupart des OIV, la publication des premiers arrêtés sectoriels va enfin permettre une diffusion plus large des règles. Au-delà des OIV et de ceux qui les accompagnent auourd’hui, l’ensemble du marché va ainsi pouvoir s’approprier ces règles et se structurer en conséquence (éditeurs, infogérants, fournisseurs, etc.) en pouvant échanger clairement et de manière plus ouverte sur ces sujets.

En parallèle, il est indispensable que l’ANSSI continue de lever officiellement les questions restantes en publiant le maximum d’éléments : listes de prestataires et produits qualifiés pour l’ensemble des référentiels, exemples d’architectures et configuration conformes, etc. Sur ce point, la récente création de la rubrique « OIV » sur le site de l’ANSSI va dans le bon sens.

D’ici-là, les OIV doivent continuer de mobiliser leurs dirigeants et leurs équipes sur cette mise en conformité, l’identification de cibles envisageables, leur chiffrage et leurs porteurs, sous peine de prendre un retard qui sera difficile à rattraper.

[1] Formulaire de déclaration fourni par l’ANSSI : http://www.ssi.gouv.fr/uploads/2016/04/declaration-incident-lpm-np1.pdf ; couvert par le secret de la défense nationale (Confidentiel Défense) une fois rempli, selon l’incident

[2] Formulaire de déclaration des SIIV fourni par l’ANSSI : http://www.ssi.gouv.fr/uploads/2016/04/declaration-siiv-lpm-np1.pdf ; liste et informations couverts par le secret de la défense nationale (Confidentiel Défense)

[3] PASSI LPM – extension du référentiel public PASSI encadrant la réalisation d’audits SSI (http://www.ssi.gouv.fr/uploads/2014/12/PASSI_referentiel-exigences_v2.1.pdf) ; PASSI LPM est en Diffusion Restreinte aux seules personnes ayant besoin d’en connaître

[4] PDIS – Prestataire de Détection des Incidents de Sécurité : http://www.ssi.gouv.fr/uploads/2014/12/PDIS_referentiel-d%E2%80%99exigences-v1.0.pdf

[5] PRIS – Prestataire de Réponse aux Incidents de Sécurité : http://www.ssi.gouv.fr/uploads/2014/12/PRIS_Referentiel-d%E2%80%99exigences-v1.0.pdf

Cet article Cybersécurité et Loi de Programmation Militaire : les premiers arrêtés sectoriels enfin publiés est apparu en premier sur RiskInsight.

Ce premier article vise, en respectant le secret de la défense nationale, à résumer le cadre législatif et réglementaire de la LPM : quel est le périmètre d’application de la loi ? Quels sont les principes à mettre en œuvre ? Quid de sa compatibilité avec les directives européennes ?

Un contexte réglementaire historique

Des LPM sont régulièrement votées en France depuis 1960. Elles permettent à l’État d’inscrire le financement de sa stratégie de défense militaire dans une logique pluriannuelle. La dernière LPM a notamment servi de véhicule législatif pour adresser le sujet de la cybersécurité des OIV. Elle traduit les orientations du livre blanc sur la défense et la sécurité nationale, publié en avril 2013. En particulier, son chapitre IV donne plus de pouvoirs au Premier ministre et à l’ANSSI en matière de sécurité et de défense des systèmes d’information. Ce texte responsabilise pour la première fois les OIV quant à la sécurisation de leurs systèmes d’information d’importance vitale (SIIV).

La notion d’opérateur d’importance vitale apparaît dans l’ordonnance n°58-1371 du 29 décembre 1958, tendant à renforcer la protection des installations d’importances vitales : « Les entreprises exploitant des établissements ou utilisant des installations et ouvrages, dont l’indisponibilité risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la nation, sont tenues de coopérer à leurs frais dans les conditions fixées à la présente ordonnance, à la protection desdits établissements, installations et ouvrages contre toute tentative de sabotage ». La liste des opérateurs est confidentielle.

Jusqu’à la LPM, les exigences portaient exclusivement sur la protection physique des points d’importance vitale (PIV) vis-à-vis des actes de sabotage. Depuis, les principes de sécurisation de ces PIV et les interlocuteurs mobilisés (ministres, préfets, responsables de la sûreté, etc.) sont globalement restés les mêmes, tandis qu’en 2006 les OIV se sont vus structurés en douze secteurs d’activité, via le décret n° 2006-212 du 23 février 2006. Tout cela est résumé dans l’instruction générale interministérielle relative à la sécurité des activités d’importance vitale (SAIV), l’IGI n°6600 du 7 janvier 2014.

On peut donc retenir que la LPM vient compléter le dispositif SAIV existant et déployé chez les OIV par un volet cybersécurité. Elle apporte par la même occasion son lot de nouveaux interlocuteurs, avec en tête l’ANSSI et les RSSI des OIV, et nécessite de faire évoluer un existant en place souvent depuis plusieurs dizaines d’années.

De nombreuses exigences visant les SI d’importance vitale

Les OIV ne sont directement impactés que par l’article 22 de la LPM, et plus précisément par les sections du code de la défense qu’il vient créer et mettre à jour : les articles L. 1332-6-1 à L. 1332-7 traitant de la protection des installations d’importance vitale et dispositions spécifiques à la sécurité des systèmes d’information.

Le premier objectif est de sécuriser les SI d’importance vitale, les SIIV, dont la définition reprend celle des OIV : « systèmes pour lesquels l’atteinte à la sécurité ou au fonctionnement risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ou pourrait présenter un danger grave pour la population ».

Plusieurs exigences sont imposées : respect de règles de sécurité spécifiques, recours à du matériel et des prestataires qualifiés pour la détection des événements de sécurité, notification obligatoire des incidents de sécurité, contrôles de sécurité réguliers commandités par l’ANSSI. Les sanctions pénales applicables aux OIV lorsqu’ils ne satisfont pas aux obligations prévues s’élèvent à 150 000 € pour le dirigeant de l’OIV et à 750 000 € pour la personne morale.

Il est important de noter que les exigences portent uniquement sur les SIIV, et non sur l’ensemble du SI de l’OIV. D’autre part, nos retours d’expérience sur l’identification des SIIV montrent que la logique « d’importance vitale » diffère entre une vision de l’entreprise (qui vise à assurer sa propre survie) et celle de l’État (qui vise à assurer la sécurité des citoyens). Concrètement, les systèmes commerciaux assurant les ventes ou la facturation, ne sont souvent pas répertoriés dans la liste des SIIV.

Décrets : répartition des responsabilités, classification et qualifications

Deux décrets ont précisé les conditions de mise en œuvre de la LPM. Le premier (Décret n° 2015-351 du 27 mars 2015) vient préciser les modalités pour chaque thème abordé par l’article 22 de la LPM et définit la répartition des responsabilités entre les acteurs (Premier Ministre, Ministres coordinateurs, ANSSI, OIV et prestataires), la classification des documents produits et les qualifications exigées.

En complément, le deuxième (Décret n° 2015-350 du 27 mars 2015) concerne la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité nationale. L’objectif de ce décret est de donner aux OIV les moyens de mettre en œuvre la LPM en s’appuyant potentiellement sur des prestataires et produits de confiance, évalués de manière impartiale dans le cadre de processus de qualification formels. On peut notamment citer PASSI[1] (audit), PDIS[2] (détection d’incident) et PRIS[3] (réaction aux incidents).

Et l’Europe dans tout ça ?

L’Europe, à travers la directive Network and Information Security (NIS), s’inscrit dans la même logique de protection de ses opérateurs essentiels. Elle pose un cadre européen, compatible avec la LPM, que chaque pays aura la responsabilité de décliner sur son territoire. A ce stade et pour les OIV, il suffit donc de retenir que la LPM est finalement une transposition avant l’heure de la directive européenne NIS.

Prochaine étape : publication des règles / arrêtés sectoriels

En définitive, les exigences qui devront concrètement s’appliquer aux SIIV sont celles rédigées par l’ANSSI en concertation avec les OIV depuis plus d’un an maintenant. Elles verront le jour sous la forme d’arrêtés sectoriels, applicables à compter du 1er juillet 2016. Les actions en cours actuellement chez les OIV visent à identifier les écarts de conformités et à budgéter les chantiers requis.

Suite à ce premier volet, un article analysant les arrêtés sectoriels a été publié.

[1] PASSI – Prestataire d’Audit de la Sécurité des Systèmes d’Information : http://www.ssi.gouv.fr/administration/qualifications/prestataires-de-services-de-confiance-qualifies/prestataires-daudit-de-la-securite-des-systemes-dinformation-passi-qualifies/

[2] PDIS – Prestataire de Détection d’Incidents de Sécurité : http://www.ssi.gouv.fr/administration/qualifications/prestataires-de-services-de-confiance-qualifies/prestataires-de-detection-dincidents-de-securite-pdis/

[3] PRIS – Prestataire de Réponse aux Incident de Sécurité : http://www.ssi.gouv.fr/administration/qualifications/prestataires-de-services-de-confiancequalifies/prestataires-de-reponse-aux-incidents-de-securite-pris/

Cet article Cybersécurité et Loi de programmation militaire : quel cadre réglementaire pour quelles exigences ? est apparu en premier sur RiskInsight.