Plus sophistiquées, plus nombreuses… Les cyberattaques sont une menace bien réelle. Et tout le monde est concerné. Les OIV (Opérateurs d’Importance Vitale) ne font évidemment pas exception. Ces entités, privées ou publiques, exploitent ou utilisent des installations jugées indispensables pour la survie de la Nation. Une cyberattaque contre une de ces entreprises pourrait avoir des conséquences graves pour le pays. Elles n’ont donc d’autre choix que d’investir dans leur sécurité.
« Notre société connaît aujourd’hui une phase de transformation numérique de grande ampleur. Aussi, les risques qui en découlent ne sont plus conjoncturels mais bien systémiques, visant autant les particuliers, que les entreprises ou encore les collectivités », a déclaré en juin 2018 Gérard Collomb, ministre de l’intérieur, à l’occasion de la présentation du rapport relatif à la menace liée au numérique 2018.
Pour faire face à cette menace grandissante, l’article 22 de la Loi de Programmation Militaire (LPM) promulguée en 2013, prévoit des mesures visant à renforcer la sécurité des OIV. Ce texte leur impose « le renforcement de la sécurité des systèmes d’information critiques qu’ils exploitent : les systèmes d’information d’importance vitale », a expliqué l’ANSSI.
Les OIV face aux exigences réglementaires
Face à ces exigences réglementaires, les OIV doivent s’équiper de solutions ultra-sécurisées. Les éditeurs de logiciels ont donc été contraints de prendre ces obligations en compte dans la conception de leurs solutions. C’est pourquoi certains ont décidé de s’équiper de boîtiers HSM. Cela permet de préserver la confidentialité des informations sensibles échangées via leurs solutions.
L’article R. 1332-1 du code de la défense précise que les opérateurs d’importance vitale sont désignés parmi les opérateurs publics ou privés mentionnés à l’article L. 1332-1 du même code, ou parmi les gestionnaires d’établissements mentionnés à l’article L. 1332-2. Un opérateur d’importance vitale : exerce des activités mentionnées à l’article L. 132-2 et comprises dans un secteur d’activités d’importance vitale ; gère ou utilise au titre de cette activité un ou des établissements ou ouvrages, une ou des installations dont le dommage ou l’indisponibilité ou la destruction par suite d’un acte de malveillance, de sabotage ou de terrorisme risquerait, directement ou indirectement d’obérer gravement le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ou de mettre gravement en cause la santé ou la vie de la population.
« Dans l’environnement professionnel, la circulation d’informations à caractère sensible s’effectue désormais majoritairement par voie électronique. Cela représente un véritable défi en termes de sécurité et de confidentialité », a expliqué Frédéric Fouyet, directeur de l’innovation chez Oodrive.
Sécuriser les données ultra-sensibles des OIV
Le HSM est un boîtier de chiffrement permettant de générer, stocker et protéger des clés cryptographiques. Cette solution permet également d’accélérer le chiffrement. L’initialisation du HSM s’effectue par le biais de cartes à puce. Elle aboutit à la création d’une clé maîtresse capable de chiffrer les données hébergées sur les serveurs applicatifs. C’est ce chiffrement qui permet de prévenir toute consultation ou manipulation non autorisée.
Il existe 12 secteurs d’activités d’importance vitale répartis en 4 dominantes. Humaine : alimentation, gestion de l’eau, santé / Régalienne : activités civiles de l’Etat, activités judiciaires, activités militaires de l’Etat / Economique : énergie, finances, transports / Technologique : communications électroniques, audiovisuel et information, Industrie, espace et recherche
Afin d’offrir un niveau de sécurité adapté aux entreprises comme les OIV, Oodrive s’est équipé de boîtiers HSM de Bull (marque technologique d’Atos). Le groupe permet ainsi à ses utilisateurs de bénéficier d’un service cryptographique certifié et de protéger les données, notamment les plus sensibles, face à la cybermenace. « Grâce à ce partenariat commercial, les solutions Oodrive répondent aux préconisations sécuritaires de l’Etat », a conclu Frédéric Fouyet.