L’ANSSI détaille les obligations de sécurité des opérateurs d’infrastructure vitale
Avant une possible extension de ce périmètre ?
Le 30 mars 2015 à 15h55
5 min
Droit
Droit
Au Journal officiel de ce week-end, n’a pas été seulement publié le décret relatif à la labellisation des outils et prestataires de sécurité. Un autre texte vise aussi à muscler les systèmes d’information des opérateurs d’importance vitale (OIV), toujours en application de la loi de programmation militaire de 2013.
Ce deuxième décret, qui fut annoncé lors du Forum International de la Cybersécurité de Lille, précise « les règles de sécurité nécessaires à la protection des systèmes d'information » des opérateurs d’importance vitale (OIV), ces acteurs de premier plan dont la mise à mal porterait un coup dur à la France (transport, énergie, télécom, hôpitaux, etc.).
Le texte prévoit donc l’instauration de systèmes de détection d'événements « affectant la sécurité de ces systèmes d'information » des OIV, mais aussi organise une série de déclarations d’incidents qui viendrait frapper leur système. Par ailleurs il prévoit une série de contrôle et les réponses à apporter en cas de « crises majeures ». Dans un tel cas, le Premier ministre pourra en effet imposer une liste de mesures aux OIV, sans négociation possible.
Des règles de sécurité prévoyant un système de détection et de contrôle
Dans le détail, le décret confié sans surprise à l’Agence nationale pour la sécurité des systèmes d’information (ANSSI) le soin d’élaborer les règles de sécurité que doivent suivre les OIV. Conformément à l'article L1332-6-1 du Code de la défense, ces obligations sont prises en charge aux seuls frais des concernés. Des arrêtés, parfois non publiés, viendront également définir des délais de déploiement, étant précisé que « la liste des systèmes d'information d'importance vitale [sera] couverte par le secret de la défense nationale » prévient encore le décret.
Si l’OIV est une administration de l’État, il devra aussi mettre en place un système de détection exploité par l’ANSSI, par un autre service de l’État ou un prestataire qualifié. S’il n’est pas une administration étatique, la détection sera gérée par un prestataire qualifié (voir ce décret qui décrit comment sont choisis ces acteurs). Une convention passée avec l’État encadrera les modalités de mise en œuvre.
FAI, centrale nucléaire, etc. devront fournir leurs codes sources
Que se passera-t-il en cas d’incident ? Dès qu’ils en auront connaissance, les OIV devront informer l’autorité de tutelle selon des modalités prévues par des arrêtés (parfois non publié). Pour prévenir d’éventuelles menaces, le décret organise aussi des contrôles de sécurité, sur autorisation du Premier ministre qui fixera « les objectifs et le périmètre du contrôle » ainsi que les délais. Ces contrôles pourront être menés par l'Agence nationale de la sécurité des systèmes d'information, par un autre service de l'État ou là encore par un prestataire de service qualifié. Il n’y aura en principe qu’un contrôle par année civile, sauf si l’OIV a été victime d’un incident de sécurité ou de vulnérabilités ou bien si lors d’un précédent contrôle, ont été constatés des manquements aux règles de sécurité.
Plus intéressant, dans un tel cadre, l’OIV devra ouvrir entièrement ses portes. Il fournira « les informations nécessaires pour évaluer la sécurité de ses systèmes d'information, notamment la documentation technique des équipements et des logiciels utilisés dans ses systèmes ainsi que les codes sources de ces logiciels ». Cela signifie donc que les systèmes des centrales nucléaires, celui des fournisseurs d’accès, des opérateurs télécoms, etc. devront être mis à nu devant les yeux de l’ANSSI en cas d’incident.
Directive NIS : vers une extension de ces obligations aux non OIV ?
Dans un proche avenir, les capacités intrusives de l’ANSSI pourraient recevoir un sérieux coup d’accélérateur grâce à la future directive NIS (Nextwork and Information Security). Plusieurs États membres, dont la France et l’Allemagne, envisagent en effet d’étendre le périmètre de cette directive aux acteurs du numérique, pourtant non-OIV. Avec cette augmentation du périmètre du contrôle des agences de sécurité, seraient par exemple organisées des notifications d’incidents outre des contrôles dans les tréfonds de leur système d'information.
Fin 2014, l'association des éditeurs de logiciels (Afdel) avait jugé cette possible extension disproportionnée, doutant d’ailleurs de la capacité des agences nationales à absorber la charge de travail. L’Association des sites internet communautaires (ASIC) s’en était elle aussi émue, toujours à la même période : « Les agences de cybersécurité – comme l’ANSSI – auront la compétence pour expertiser et ainsi s’introduire dans tous les systèmes informatiques de ces acteurs du numérique. Un développeur d’objets connectés devra-t-il bientôt confier les clés à l’ANSSI ? Un hébergeur de données devra-t-il également offrir un accès à toutes les données stockées ? Un site de médias devra-t-il aussi donner à l’ANSSI une porte d’accès à l’ensemble de ses serveurs, notamment e-mails ? »
Selon nos informations, les opérateurs web devraient bien rentrer dans ce périmètre, à la plus grande satisfaction de l’Allemagne et de la France. Alors que le dossier est débattu au Conseil, un trilogue (négociation à huis clos entre des représentants du Parlement, des États et de la Commission) est en tout cas programmé le 30 avril prochain.
L’ANSSI détaille les obligations de sécurité des opérateurs d’infrastructure vitale
-
Des règles de sécurité prévoyant un système de détection et de contrôle
-
FAI, centrale nucléaire, etc. devront fournir leurs codes sources
-
Directive NIS : vers une extension de ces obligations aux non OIV ?
Commentaires (13)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 30/03/2015 à 22h48
1 - fibre chez tout le monde.
2 - cloud privé pour tous (owncloud, syno,gnulinux etc)
3 - libre.
Le 30/03/2015 à 22h49
D’après vous qui va ,ou a déjà infiltré, l’anssi ?
Le 31/03/2015 à 06h13
Article cité dans 20 minutes :)
Le 31/03/2015 à 09h01
Les dispositions prises en cas d’incident reprennent pas mal celles définies dans la PSSIE, dont sont sujets de facto les OIV et la plupart des entités publiques. Je n’irais pas jusqu’à dire rien de nouveau sous le soleil, mais pas loin.
ces obligations sont prises en charge aux seuls frais des concernés.
Ça, ça va être drôle.Enfin, concernant l’extension aux acteurs du numérique, certains sont certainement déjà concernés de par leur statut OIV. C’est juste par souci d’égalité que de l’étendre à tout le monde bien sûr " />
Le 31/03/2015 à 10h03
Ça deviens de plus intéressant de voir à quel point c’est état migre vers le totalitaire et l’arbitraire
Le 31/03/2015 à 15h59
Je sens que je vais bientôt aller vivre ailleurs…
Le 30/03/2015 à 16h02
« Les agences de cybersécurité – comme l’ANSSI – auront la
compétence pour expertiser et ainsi s’introduire dans tous les systèmes
informatiques de ces acteurs du numérique. Un développeur d’objets connectés
devra-t-il bientôt confier les clés à l’ANSSI ? Un hébergeur de données
devra-t-il également offrir un accès à toutes les données stockées ? Un
site de médias devra-t-il aussi donner à l’ANSSI une porte d’accès à
l’ensemble de ses serveurs, notamment e-mails ? »
Youpiiii, on continue." />
Le 30/03/2015 à 16h04
Et moi je demande à avoir le code source de windows vu toutes les failles qu’on y trouve " />
Le 30/03/2015 à 16h08
Plus intéressant, dans un tel cadre, l’OIV devra ouvrir entièrement ses portes. Il fournira « les informations nécessaires pour évaluer la sécurité de ses systèmes d’information, notamment la documentation technique des équipements et des logiciels utilisés dans ses systèmes ainsi que les codes sources de ces logiciels ». Cela signifie donc que les systèmes des centrales nucléaires, celui des fournisseurs d’accès, des opérateurs télécoms, etc. devront être mis à nu devant les yeux de l’ANSSI en cas d’incident.
On viendra se plaindre plus tard des conséquences inattendues après avoir tout fait pour que cela arrive. " />
Le 30/03/2015 à 16h18
Cool, plein de codebases en open source à reviewer… J’espère. Sinon gros foutage de gueule.
Le 30/03/2015 à 18h11
Surtout que comme beaucoup de ces OIV ne développent pas eux-mêmes les logiciels et matériels qu’ils utilisent, ils ne pourront fournir aucun code source
Le 30/03/2015 à 18h18
En filigrane, ça va être la fête du slip à l’ ANSSI ! ! ! Et peut-être ailleurs aussi … " />
Le 30/03/2015 à 22h45
Vous avez oubliez celui la :  République Française
L1332-6-3
Bandes de bases : ovh va devoir ouvrir son code donc le filer aux concurrents.
Ils veulent tuer la France