Les attaques informatiques sont de plus en plus nombreuses et de plus en plus sophistiquées. L’année 2016 le prouve. Compte tenu de leur impact, un certain nombre d’entreprises, au statut particulier, sont soumises à des règles strictes en ce qui concerne la protection de leurs systèmes d’information. L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) est chargée de les accompagner dans ce processus de sécurisation.
En 2008, le Livre Blanc « Défense et sécurité nationale » identifiait les attaques contre les systèmes d’information comme l’une des principales menaces qui pèsent sur notre défense et notre sécurité. Le document parlait alors d’une menace multiforme : blocage malveillant, destruction matérielle, neutralisation informatique, vol ou altération de données, voire prise de contrôle d’un dispositif à des fins hostiles ».
« Les intrusions visant l’État, les opérateurs d’importance vitale, ainsi que les grandes entreprises nationales ou stratégiques du pays sont aujourd’hui quotidiennes». Livre Blanc de 2013
Les OIV, des entreprises stratégiques pour la Nation
Un OIV (Opérateur d’Importance Vitale) est un organisme, privé ou public, qui « exerce des activités comprises dans un secteur d’activité d’importance vitale ; gère ou utilise au titre de cette activité un ou des établissements ou ouvrages, une ou des installations dont le dommage ou l’indisponibilité ou la destruction par suite d’un acte de malveillance, de sabotage ou de terrorisme risquerait, directement ou indirectement d’obérer gravement le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ou de mettre gravement en cause la santé ou la vie de la population ».
Impossible de connaître la liste exacte des opérateurs considérés comme étant « d’importance vitale ». Un arrêté du 2 juin 2006 a cependant déterminé 12 secteurs d’activités d’importance vitale (Activités civiles de l’Etat, Activités militaires de l’Etat, Activités judiciaires, Espace et Recherche, Santé, Gestion de l’eau, Alimentation, Energie, Communications électroniques, audiovisuel et information, Transports, Finances et Industrie).
Des mesures de sécurité particulières prévues par la loi
L’article 22 de la loi de programmation militaire (LPM), promulguée le 18 décembre 2013, prévoit l’adoption de mesures de renforcement de la sécurité des OIV et confère également à l’ANSSI de nouvelles prérogatives. L’agence pourra ainsi, au nom du Premier ministre, imposer aux OIV des mesures de sécurité et des contrôles de leurs systèmes d’information (SI) les plus critiques. Le texte rend également obligatoire la déclaration des incidents constatés par les opérateurs sur leurs SI.
« Pour faire face aux nouvelles menaces cyber, l’article 22 de la LPM, qui fait suite aux préconisations du Livre Blanc sur la défense et la sécurité nationale de 2013, rajoute une pierre à l’édifice en imposant aux OIV le renforcement de la sécurité des systèmes d’information critiques qu’ils exploitent : les systèmes d’information d’importance vitale », a expliqué l’ANSSI.
Un arrêté pour chaque secteur d’activité
Les opérateurs sont chargés d’identifier, dans leur système de production, les composants vitaux et de les proposer comme points d’importance vitale devant faire l’objet d’une protection spécifique. Chaque secteur d’activité pourra s’appuyer sur une directive nationale de sécurité pour mener à bien ces missions. Ces arrêtés fixent un certain nombre de mesures prévues par l’article L.1332-6-1 et suivants du Code de la défense : des règles de sécurité, à la fois organisationnelles et techniques, s’appliquant aux systèmes d’information d’importance vitale (SIIV), ainsi que des modalités d’identification des SIIV et de notification des incidents de sécurité les affectant. Les premiers arrêtés sectoriels sont entrés en vigueur au 1er juillet et au 1er octobre 2016.
« La France est le premier pays à s’appuyer sur la réglementation pour définir un dispositif efficace de cybersécurité de ses infrastructures d’importance vitale, qui sont indispensables au bon fonctionnement et à la sécurité de la Nation », a rappelé l’ANSSI suite à la publication des premiers arrêtés.
Choisir le bon partenaire pour sécuriser leur SI
Pour protéger leurs systèmes d’information dans le respect de la législation française, les OIV doivent se tourner vers des prestataires en mesure de leur fournir des outils bénéficiant du plus haut niveau de sécurité possible. Oodrive, le partenaire de confiance pour la gestion des données sensibles par exemple, travaille avec l’ANSSI dans le cadre de la phase expérimentale de qualification sur le référentiel SecNumCloud. L’objectif étant, à terme, d’être en mesure de répondre aux besoins de ses clients et à leurs demandes spécifiques en termes de sécurité.