Cybersécurité : gaz, pétrole, électricité, transports, les nouvelles obligations des OIV
Prêt pour les Assises !
Le 25 août 2016 à 15h10
7 min
Droit
Droit
Au Journal officiel, plusieurs arrêtés attendus de longue date ont été publiés ce matin. Ils concernent plusieurs branches où interviennent des opérateurs dits d’importance vitale (ou OIV).
Après une première vague début juillet, cette nouvelle brochette de textes publiée ce matin concerne ceux des OIV intervenant :
- Dans l’approvisionnement en gaz naturel
- Dans l’approvisionnement en hydrocarbures pétroliers
- Dans l’approvisionnement en énergie électrique
- Dans les transports maritime et fluvial
- Dans les transports terrestres
- Dans le transport aérien
Mais avant de plonger plus en avant, qu’est-ce qu’un OIV ou opérateur d’importance vitale ? Il s’agit des acteurs, pas nécessairement de droit public, dont une défaillance « risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation » (article L1332-1 du Code de la défense). Leur liste est par nature classée, mais il est relativement simple d’égrainer des pans sectoriels : centrales nucléaires, opérateurs télécom, de santé, de transports, etc. Il y a en tout quelque 250 OIV en France.
La loi de programmation militaire
La régulation de cet univers, confiée dans les mains de l’Agence nationale pour la sécurité des systèmes d’information, a été gravée dans le marbre par la loi de programmation militaire. Adopté en 2013, les article 21 et suivants de la LPM ont dressé une série d’obligations que doivent respecter impérativement ces OIV (voir notre actualité) . « La France est le premier pays à s’appuyer sur la réglementation pour définir un dispositif efficace de cybersécurité de ses infrastructures d’importance vitale, qui sont indispensables au bon fonctionnement et à la sécurité de la Nation » rappelle à ce titre l'agence présidée par Guillaume Poupard.
Mais dans le détail ? Prenons l’exemple d’un opérateur en approvisionnement en énergie électrique. Il devra dans les trois mois informer l’ANSSI de « la liste de systèmes d'information d'importance vitale » (SIIV). Bien entendu, la même agence sera également alertée des mises à jour, en plus ou en moins, et ce sans délai : « Il informe sans délai l'Agence nationale de la sécurité des systèmes d'information de tout retrait de sa liste d'un des systèmes précédemment déclarés et en précise les raisons ».
Pour dresser cette liste, chacun devra préalablement mener une analyse d'impacts en suivant les lignes indiquées en annexe de l’arrêté.
L’Agence connaîtra également tous les incidents après avoir été contactée « selon le moyen approprié à la sensibilité des informations déclarées », puisque le formulaire est un document classé secret de la défense nationale. Ajoutons à ce titre que l’un des décrets d’application de la LPM oblige les OIV à désigner « une personne chargée de le représenter auprès de l'Agence nationale de la sécurité des systèmes d'information » pour gérer ces questions sensibles.
Les annexes des arrêtés
Pour en savoir un peu plus sur ce versant de la cybersécurité à la française, les fameuses annexes rédigées conjointement par les OIV avec l’ANSSI sont précieuses.
Elles obligent déjà ces acteurs à élaborer, tenir à jour et mettre en œuvre « une politique de sécurité des systèmes d'information (PSSI) » où est décrit « l'ensemble des moyens organisationnels et techniques mis en œuvre par l'opérateur afin d'assurer la sécurité de ses systèmes d'information d'importance vitale ».
Ce document les contraint encore à faire homologuer chaque système d’importance vitale tous les trois ans. Il s’agit d’une « décision formelle prise par l'opérateur qui atteste que les risques pesant sur la sécurité de ce système ont été identifiés et que les mesures nécessaires pour le protéger sont mises en œuvre. Elle atteste également que les éventuels risques résiduels ont été identifiés et acceptés par l'opérateur ».
Cette phase passe aussi par la case d’un audit réalisé par un acteur tiers lui-même accrédité par l’ANSSI, conformément à un décret du 27 mars 2015 (notre actualité )
Évidemment, l’ensemble de ces pièces est tenu à la disposition de l’ANSSI, tout comme d’ailleurs les éléments de cartographie de son système : « les noms et les fonctions des applications, supportant les activités de l'opérateur, installées sur le SIIV », « le cas échéant, les plages d'adresses IP de sortie du SIIV vers internet ou un réseau tiers, ou accessibles depuis ces réseaux», « la description fonctionnelle des points d'interconnexion du SIIV et de ses différents sous-réseaux avec des réseaux tiers, notamment la description des équipements et des fonctions de filtrage et de protection mis en œuvre au niveau de ces interconnexions », etc.
Des incidents
Sur le terrain pur de la sécurité et spécialement celui des incidents, l’opérateur aura l’obligation de se tenir informé « des vulnérabilités et des mesures correctrices de sécurité susceptibles de concerner les ressources matérielles et logicielles de ses systèmes informatiques d’importances vitales, qui sont diffusées notamment par les fournisseurs ou les fabricants de ces ressources ou par des centres de prévention et d'alerte en matière de cyber sécurité tel que le CERT-FR ».
S’y ajoutent des obligations de mises à jour (sauf « difficultés techniques ou opérationnelles justifiées »). De même, « préalablement à l'installation de toute nouvelle version, l'opérateur s'assure de l'origine de cette version et de son intégrité, et analyse l'impact de cette version ».
L’opérateur devra tout autant installer aussi un système de « sondes d'analyse de fichiers et de protocoles » afin d’aiguiser la détection des événements susceptibles d'affecter leur sécurité. Ces sondes « sont positionnées de manière à pouvoir analyser l'ensemble des flux échangés entre les SIIV et les systèmes d'information tiers à ceux de l'opérateur » impose l’annexe.
Du filtrage et des indicateurs
Est aussi prévue une procédure de gestion de crise en cas d'attaques informatiques majeures, l’obligation de procéder au cloisonnement des SIIV « afin de limiter la propagation des attaques informatiques au sein de ses systèmes ou ses sous-systèmes », ou encore d’installer des mécanismes de filtrage des flux de données « afin de bloquer la circulation des flux inutiles au fonctionnement de ses systèmes et susceptibles de faciliter des attaques informatiques ».
Le tout s’achève par l’évaluation d’une série d’indicateurs qui relèveront notamment « le pourcentage de postes utilisateurs dont les ressources systèmes ne sont pas installées dans une version supportée par le fournisseur ou le fabricant », « le pourcentage de postes utilisateurs dont les ressources systèmes ne sont pas mises à jour ou corrigées du point de vue de la sécurité depuis au moins 15 jours à compter de la disponibilité des versions mises à jour », les « droits d'accès des utilisateurs et à l'authentification des accès aux ressources », le pourcentage d'utilisateurs accédant au SIIV au moyen de comptes partagés ou au moyen de comptes privilégiés, « le pourcentage de ressources administrées dont l'administration ne peut pas être effectuée au travers d'une liaison réseau physique ou d'une interface d'administration physique », etc. Ces documents sensibles seront également communiqués une fois par an à l’ANSSI.
Cybersécurité : gaz, pétrole, électricité, transports, les nouvelles obligations des OIV
-
La loi de programmation militaire
-
Les annexes des arrêtés
-
Des incidents
-
Du filtrage et des indicateurs
Commentaires (27)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 26/08/2016 à 10h33
Il y a eu des failles dans les OS et logiciels open source autant qu’aillers, et il y en aura encore.
Autant l’open source est une garantie de maintenabilité/qualité du code généralement et donc de vitesse à patcher les pb autant ce n’est absolument pas une protection en sois contre les failles. Ou alors des trucs très grossiers.
Le 26/08/2016 à 10h52
Les mecs d’en face intéressés par ces infos non plus. Cela reste un problème qui est peut-être traité correctement ou pas, mais je pense qu’il n’est pas simple à traiter correctement.
Plus tu accumules des infos de valeur, plus tu deviens une cible intéressante.
Le 26/08/2016 à 12h22
après on sait pas comment sont transférées ni stockées ces infos.
on est peut-être sur du papier. vu le nombre d’OIV ça serait pas déconnant.
Le 27/08/2016 à 08h18
Via un compte gmail ? " />
Le 25/08/2016 à 16h51
S’y ajoutent des obligations de mises à jour (sauf « difficultés techniques ou opérationnelles justifiées »). De même, « préalablement à l’installation de toute nouvelle version, l’opérateur s’assure de l’origine de cette version et de son intégrité, et analyse l’impact de cette version ».
Ca serait pas une obligation cachée d’utiliser des logiciels dont les sources sont disponibles ? ^^
Le 25/08/2016 à 16h53
Le 25/08/2016 à 16h55
Le 25/08/2016 à 17h28
eliumnick > bah bien sûr que si, qu’est-ce qui empêcherait de faire une analyse d’impact ? De toute façon, si on devait faire une analyse des sources pour faire une analyse d’impact, on devrait refaire ces analyses à chaque mise à jour (donc elles seraient à recommencer avant même d’être finies)…
Le 25/08/2016 à 21h17
Le 25/08/2016 à 21h52
Le 25/08/2016 à 21h56
Le 25/08/2016 à 23h16
Généralement, il ne s’agit pas d’une version grand public de l’OS. De mon expérience (j’ai bossé dans une de ces boites dans un service non vital) on avait un Seven maison, qui avait été fortement mouliné. Entre ça et le cryptage systématique des données, ils savent ce qui font.
Ensuite c’est certain on peut toujours brandir des grandes phrases de FUD mais ce qui est sur, c’est que la communication de toutes les frappes du clavier… On oublie direct.
Et encore il faut que le poste soit connecté à internet.
Le 25/08/2016 à 23h39
Ça serait pas Windows Embedded 7 par hasard ?
Le 26/08/2016 à 05h50
Le 26/08/2016 à 06h29
Bonjour,
Je trouve l’initiative louable et innovante. Elle va peut-être révéler une absence de sérieux dans la gestion de la sécurité dans certaines entreprises. Quantité de hacks sont réalisés par des jeunes qui ne sont pas forcément conscients des conséquences (un peu comme dans War Games). Il serait dommage qu’une OIV soit mise à genoux par un ado qui s’ennuyait. Par contre pour la collecte, je suis assez peu convaincu : l’article ne parle pas de ce qui se passe si l’entreprise ne fournit pas les informations demandées, ou si le résultat de l’audit est négatif. Par ailleurs, c’est bien de définir des OIV mais est-ce qu’ils se posent la question des pays d’importance vitale pour les entreprises ? À mon avis les entreprises pensent surtout à leur propre survie, que la France soit rasée ou non.
a+,=)
-=Finiderire=-
Le 26/08/2016 à 06h42
si l ANSSI collecte et stocke toutes les infos, elle va devenir le maillon faible.
J ose esperer que les DSI ont compris l interet des systemes distribués: on peut par ex imaginer le fichier central chiffré avec plusieurs clefs et découpé entre plusieurs centres de stockage, de maniere à ce que l interception d un seul morceau par un hack eventuel soit caduque.
Le 26/08/2016 à 09h26
ouais enfin si c’est l’ANSSI le maillon faible, y’a pire hein. ^^
c’est quand même pas des mickeys les mecs. " />
Le 26/08/2016 à 09h41
Dans les transports maritime et fluvial
Mais visiblement, le transport maritime de moyen de défense n’en fait pas trop partie.
On le sait que les principales failles de sécurité viennent du comportement de salariés ou de sous-traitants (sous-payés donc appliquant au moins cher les contraintes de sécurité).
Le 26/08/2016 à 10h28
Heu… n’importe quoi. Si tu es une entreprise non seulement tu contrôles les MAJs via un serveur Ms dédié mais tu comptes bien plus sur du DPI que sur les OS pour sécuriser tes flux E/S (et heureusement).
Le 26/08/2016 à 10h32
Quasi personne ne relis les sources à chaque version (c’est réservé à des logiciels spécifiques et ça coûte une fortune comme démarche puisqu’il faut autant de testeurs côté client que de devs), là la demande consiste à authentifier la source et à mener quelques tests de non régression plutôt je pense.
Le 25/08/2016 à 15h20
Combien de machines sous Windows 10 parmi celles des infrastructures des OIV ?Comment peut-on garantir la sécurité sur un OS qui n’est désormais conçu que comme l’extension terminale du réseau d’une entreprise étrangère ?
Le 25/08/2016 à 15h37
C’est pas grave, la france n’est plus qu’un valet des USA donc ce genre de question ne se posent plus….
C’est bien marrant tout ça. Il faut savoir que la vrai vie, il n’y a que quelques transformateurs a faire sauter en france pour mettre tout le réseau électrique HS pendant des mois et pareil au USA…
Heureusement les islamistes ne vont pas assez à l’école pour le savoir…
Le 25/08/2016 à 15h41
Ce serait plus les vieux Windows qui me font peur, ça ne m’étonnerai pas qu’il reste de vieux NT et des windows 98…
Le 25/08/2016 à 15h43
On en parle du logiciel météo des aéroports de Paris sous windows 3.1 ? " />
Le 25/08/2016 à 15h59
à mon avis très peu.
je suis par exemple passé sur 7 il y a 6 mois.
un parc informatique ne se change pas en un claquement de doigts.
sans compter que sur mon 7 il y a une politique de sécu qui ne me permet pas de faire n’importe quoi, et il y a quelques machines entre mon terminal et internet, du style manteau bleu.
moi ce qui m’interpelle, c’est que toutes les infos sensibles sur les OIV seront centralisées et bien rangées à l’ANSSI.
ça a des bons comme des mauvais côtés, mais à priori ce sont les mieux calés pour sécuriser ce genre d’infos. " />
Le 25/08/2016 à 16h01
Hum quand on voit que même les hackers de la NSA se sont fait hacker par d’autres hackers …
Le 25/08/2016 à 16h10
à priori les infos n’étaient pas sur le réseau de la NSA, mais sur un serveur de rebond.
un des hackers de la NSA a apparemment laissé traîner son kit sur un serveur non sécu. ^^
enfin c’est ce qui semble le plus plausible, vu les infos publiées en question (un vieux kit de 2013).