Actualité web & High tech sur Usine Digitale

Recevez chaque jour toute l'actualité du numérique

x

Cybersécurité : 200 entreprises sensibles à protéger

Contraintes par la loi, les entreprises considérées d’importance vitale doivent investir dans leur sécurité. Les fournisseurs adaptent leur offre pour répondre à ces nouvelles exigences.

Twitter Facebook Linkedin Flipboard Email
×

Cybersécurité : 200 entreprises sensibles à protéger
Cybersécurité : 200 entreprises sensibles à protéger © D.R.

Si les réseaux informatiques des grandes banques, des opérateurs de télécommunications, des aéroports, d’EDF, de la SNCF… étaient victimes d’une cyberattaque, les conséquences pour la France pourraient être dramatiques. Des villes plongées dans l’obscurité, des services d’urgence impossibles à joindre, des avions cloués au sol, une activité économique au ralenti… Bref, le pays serait paralysé, ses citoyens en danger. L’État surveille donc tout particulièrement ces entreprises classées opérateurs d’importance vitale (OIV).

"Dans le domaine du renseignement, on constate plusieurs attaques sérieuses par an. Dans certains cas, des attaquants sont entrés au cœur des systèmes les plus sensibles pour subtiliser des informations précieuses, techniques ou commerciales. Si nous n’avons pas constaté d’attaques visant à détruire des systèmes informatiques industriels, ce n’est pas pour autant que nous n’en aurons pas demain, car cette situation est technologiquement mature. L’objectif est d’anticiper", explique Guillaume Poupard, le directeur général de l’Agence nationale de la sécurité des systèmes d’information (Anssi). 

Les nouvelles obligations des Oiv

La loi de programmation militaire adoptée en décembre 2013 impose aux OIV de nouvelles obligations en matière de cybersécurité. Les décrets et arrêtés précisant les modalités techniques à déployer et les périmètres à protéger sont en cours de publication. L’agence de cybersécurité se verra confier de nouveaux pouvoirs : en cas de menace grave, elle pourra prendre le contrôle du système d’information attaqué et le déconnecter de tout réseau. 

Du côté des entreprises, l’adoption de la loi a poussé la prise de conscience du cyber-risque au plus haut niveau. "Avant, nous prêchions dans le désert auprès de nos directions générales. Aujourd’hui, elles nous écoutent et nous demandent même d’accélérer pour nous mettre en conformité avec la loi. Des projets d’investissements longtemps bloqués ressortent. C’est la peur du gendarme", explique un responsable de sécurité informatique. Grâce aux groupes de travail pilotés par l’Anssi depuis plus d’un an, les opérateurs d’importance vitale savent un peu mieux à quoi s’attendre. L’exemple d’un OIV investissant une centaine de millions d’euros par an pour sa cybersécurité est un cas extrême, souligne l’Anssi.

L’agence évoque des obligations réalistes et soutenables tant sur le plan technique que financier. Toutefois, les expérimentations grandeur nature ont montré que ce n’était pas aussi simple. La SNCF, qui a joué les cobayes, a pu observer qu’elle comptait une quarantaine de systèmes pouvant être considérés comme vitaux. L’opérateur ferroviaire est tombé sur de mauvaises surprises. "Certaines exigences sont impossibles à mettre en œuvre, à moins de refaire complètement un système qui nous a coûté plusieurs centaines de millions d’euros", indique un responsable de la sécurité informatique. Un test utile pour l’agence qui devra adapter ses recommandations à la réalité du terrain.

Qu’est-ce qu’une fonction vitale ?

La loi prévoit que les investissements seront à la charge des entreprises. La facture dépendra bien évidemment du nombre de machines à protéger. "En fonction du périmètre retenu, les investissements peuvent passer du simple au quintuple. La question n’est pas aussi simple qu’il n’y paraît. D’abord parce que les intérêts vitaux de l’État ne se confondent pas toujours avec les intérêts économiques de l’entreprise !", précise Gérôme Billois, membre du Club de la sécurité de l’information français (Clusif). Typiquement, si la base de données clients d’un OIV est attaquée, cela ne remet pas en cause sa capacité à fournir le service.

Les discussions, parfois musclées, entre l’Agence nationale de la sécurité des systèmes d’information et les OIV, démontrent que le retour à certains fondamentaux, comme la définition même de ce qu’est une fonction vitale, secteur d’activité par secteur d’activité, est nécessaire. Pour les opérateurs télécoms, si la téléphonie est considérée comme telle, qu’en est-il de l’accès internet ? Concernant la SNCF, l’information aux voyageurs entre-t-elle spécifiquement dans ce cadre ? "En diffusant de fausses informations, un pirate pourrait faire descendre sur les voies les passagers mal informés et en colère", fait remarquer une partie prenante aux débats.

Ce nouveau cadre réglementaire ravit les fournisseurs de solutions de cybersécurité. Thales, Orange, Airbus Defence & Space, Atos… comptent bien tirer profit des nouvelles obligations d’investissements imposées à leurs grands clients. "En deux ou trois ans, le nombre d’appels d’offres a doublé", reconnaît un acteur majeur de la cybersécurité. Impossible toutefois de mesurer "l’effet OIV" sur les ventes à venir, si ce n’est confirmer qu’il dopera un marché déjà bien portant. Selon le cabinet d’études Pierre Audoin Consultants (PAC), les entreprises ont dépensé en 2013 plus d’un milliard d’euros en produits (pare-feu, antivirus…) et autres services de cybersécurité. Soit une croissance de 10 % en moyenne par rapport à l’année précédente. Dans cette nouvelle bataille, les fournisseurs français ont une carte à jouer.

Technologies de confiance

La loi entend favoriser l’émergence de technologies dites de confiance, c’est-à-dire françaises, voire européennes. La plupart des fournisseurs ont déjà dans leurs cartons une "offre spéciale OIV" qu’ils présenteront au prochain Forum international de la cybersécurité (FIC), à Lille, les 20 et 21 janvier prochains. Thales et Airbus Cybersecurity développent à marche forcée des sondes dites souveraines. Ces équipements remonteront à l’Anssi toute activité anormale sur les réseaux des OIV. "Nous maîtrisons toutes les lignes de code du produit", explique Cyril Autant, le directeur du secteur sécurité IT & spatial de Thales.

Des acteurs plus modestes tentent également leur chance. La PME rennaise Amossys dévoilera, au FIC, un logiciel qui permet aux OIV de cartographier l’ensemble de leur informatique et d’identifier tous les flux de données qui y circulent. "Notre logiciel est totalement passif vis-à-vis des autres équipements. Il ne gêne pas le fonctionnement du réseau", souligne l’un des fondateurs d’Amossys, Christophe Dupas.

L’opérateur Orange, à la lutte avec IBM et Capgemini sur le marché des services, se montre perplexe quant à la possibilité de se reposer uniquement sur des technologies franco-francaises. "Nous ne croyons pas aux produits souverains, mais aux services souverains", explique Michel Van Den Berghe, le directeur d’Orange Cyberdefense. Un coup d’œil sur les dix plus gros vendeurs de logiciels de sécurité en France tend à lui donner raison : aucun acteur français n’y figure. Symantec (États-Unis), Checkpoint (Israël), Kaspersky (Russie), HP (États-Unis), Intel (États-Unis), Trend Micro (Japon) trustent les premières places.

L’opérateur a néanmoins trouvé la parade pour satisfaire aux exigences de l’Anssi, en faisant appel à un produit américain sensible, capable de scanner toutes les vulnérabilités d’un OIV ! "Nous avons pris toutes les précautions nécessaires. L’équipement est hébergé dans nos installations, pilotées par nos équipes. En aucun cas, les données collectées peuvent s’échapper hors de France", assure-t-il. On ne demande qu’à le croire !

Hassan Meddah

La liste secrète des OIV

On imagine aisément la désorganisation qui pourrait subvenir en cas de panne géante et durable sur le réseau d’électricité d’EDF ou encore sur le système de signalisation de la SNCF. Pour éviter un tel scénario catastrophe, l’État a attribué à des entreprises sensibles le statut d’opérateur d’importance vitale (OIV). Elles ont l’obligation de mettre en œuvre des dispositifs de sécurité spécifiques pour se protéger contre toutes sortes d’attaques (sabotage, terrorisme…). La loi de programmation militaire adoptée fin 2013 exige également qu’elles se protègent des cyberattaques. Qui sont précisément les OIV ? C’est un mystère, en théorie. La liste, qui compte environ 200 entreprises, est tenue secrète. Les principaux concernés n’ont pas le droit de communiquer sur leur statut. Le code de la défense les définit comme "des opérateurs publics ou privés exploitant des établissements ou utilisant des installations et ouvrages, dont l’indisponibilité risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la nation". Ils opèrent dans une douzaine de secteurs d’activité : la recherche, la santé, la gestion de l’eau, l’alimentation, l’industrie, les transports, les finances, les télécommunications… 

 

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale