Actualité web & High tech sur Usine Digitale

Recevez chaque jour toute l'actualité du numérique

x

Cybersécurité : comment la France veut protéger ses entreprises les plus sensibles

Audit des réseaux, renforcement des mécanismes de détection d'intrusion, obligation de déclaration des attaques, qualification des produits et des prestataires de cybersécurité... L'ANSSI va imposer ses règles de sécurité aux OIV, ces entreprises opérant sur des secteurs d'activités sensibles.
Twitter Facebook Linkedin Flipboard Email
×

Cybersécurité : comment la France veut protéger ses entreprises les plus sensibles
Cybersécurité : comment la France veut protéger ses entreprises les plus sensibles © Xeni - Flickr - C.C.

Plans d'études volés, données R&D et commerciales pillées, réponses à des appels d'offres sauvagement dérobées par la concurrence... Les grandes entreprises françaises sont couramment la cible d'attaques par le biais de leur réseau informatique. "Ce qui est visé, c'est surtout du savoir-faire technologique à partir d'attaques de haut niveau menées par des groupes organisés depuis l'étranger", explique Guillaume Poupard, directeur général de l'ANSSI (Agence nationale de la sécurité des systèmes d'information). 

L'agence française de cybersécurité craint également d'autres risques comme le cyber-sabotage des installations industrielles. Face à ces menaces, la France a décidé de renforcer la sécurité de ses entreprises les plus sensibles, regroupées sous le vocable d'opérateurs d'infrastructure vitale (OIV). Au nombre de 218, ces entreprises dont la liste est secrète, opèrent dans des secteurs d'activité critiques: l'énergie, les transport, la défense, les télécommunications, l'industrie, la finance... 

Il fallait pour cela conférer à l'ANSSI de nouveaux pouvoirs: c'est chose faite avec la parution au journal officiel le 27 mars dernier de différents décrets prévus dans le cadre de loi de programmation militaire (LPM) votée en décembre 2013. Ainsi via l'article 22, l'agence va pouvoir imposer des règles de sécurité aux OIV : réaliser des contrôles, exiger un certain niveau d'équipement notamment pour détecter les tentatives d'intrusion, obliger les victimes à communiquer sur les attaques subies, et même prendre en partie le contrôle du réseau en cas de crise majeure... Cela en vue de compenser des lacunes graves qu'elle a pu observer. «Lors de nos interventions, nous demandons le plan des réseaux informatiques. En général, les victimes ne l'ont pas!» explique Guillaume Poupard.

Accès au code source des logiciels commerciaux

Les décrets vont permettre à l'ANSSI de mener des audits de sécurité sur les réseaux des OIV par le biais de prestataires qualifiés. Selon l'agence, les contrôles qu'elle a pu réaliser jusqu'ici ont souvent révélé des failles de sécurité importantes. "Certains OIV affirment qu'ils ne sont pas attaqués. C'est plutôt qu'ils n'ont rien détecté", explique Guillaume Poupard. Les audits seront réalisés par des prestataires qualifiés, c'est à dire "compétents et de confiance", selon la terminologie de l'ANSSI. Avant de donner son sésame aux produits de cybersécurité, l'agence se réserve le droit d'entrer dans le code source des logiciels commerciaux afin de vérifier leur intégrité et la bonne implémentation des fonctions de sécurité (chiffrement, authentification...).

Les OIV seront aussi contraints de déclarer rapidement les attaques qu'ils ont subies. "Cela permet d'organiser une défense collective", explique Guillaume Poupard. Un assaillant utilise en effet souvent les mêmes modes opératoires pour attaquer toute une série d'entreprises appartenant à un même secteur d'activité. "Cela nous a permis de détecter des victimes avant qu'elles le découvrent par elles-mêmes".

Un impact financier non négligeable

En cas de crise majeur, l'ANSSI pourra prendre des mesures draconiennes, allant jusqu'à exiger la déconnexion du réseau de l'entreprise de l'Internet. Ces mesures auront évidemment un coût pour les OIV. "L'impact financier sera non négligeable à la fin pour certaines entreprises. Surtout s'il faut reconcevoir l'intégralité du système d'information", reconnaît Guillaume Poupard. Toutefois, les arrêtés qui définiront précisément les obligations des OIV seront rédigés secteur d'activités par secteur d'activités pour coller à la réalité du terrain. "Ces mesures seront réalistes et soutenables", veut rassurer l’ANSSI. Pour effectuer l'ensemble de ses nouvelles missions, l'agence va recruter: ses effectifs devraient passer à 700 personnes d'ici la fin 2017 contre 400 aujourd'hui.

Les publication des arrêtés sectoriels devraient s'étaler entre la rentrée et la fin de l'année.

Hassan Meddah 

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale