"Respecter la loi de programmation militaire pourrait tripler les budgets sécurité", prévient un expert de Sogeti

Pour être compatible avec la future réglementation en matière de cybersécurité, l’informatique des opérateurs d’importance vitale (OIV) doit être mise à niveau, prévient Edouard Jeanson, directeur Business Developpement Sécurité chez SOGETI.

Cela nécessitera des investissements significatifs.

Partager

L'Usine Digitale - Les opérateurs d'importance vitale (OIV) doivent mettre à niveau la sécurité de leur informatique conformément aux nouvelles exigences de l’ANSSI, l’agence nationale de la sécurité des systèmes d’information. De combien de temps disposent-ils encore?

Edouard Jeanson - Les décrets du volet cybersécurité de la loi de programmation militaire ont été publiés le 27 mars 2015 (voir encadré). Les arrêtés sectoriels associés sont attendus pour la fin de l’année. Ils préciseront les règles et les contraintes à suivre en fonction des 12 secteurs d’activité qui ont été définis. Les 218 OIV auront alors entre trois et six ans pour les mettre en œuvre. Cela va aller très vite.

Justement, ces entreprises sont-elles déjà prêtes face à la menace informatique ?
Depuis 2011 et 2012, nous avons accompagné une douzaine d’OIV dans leur démarche de cybersécurité. Dans les secteurs du nucléaire, de l’énergie ou de la finance, les entreprises ont déjà des niveaux de sécurisation très avancés. On ne peut pas en dire autant pour les secteurs de la chimie ou de l’eau.

Certains industriels ont pris conscience très vite de la menace informatique. Ainsi dès 2010, un industriel nous avait sollicités pour l’aider à sécuriser, dès la phase de conception, ses produits électriques connectés. D’autres partent de loin. Certaines entreprises n’ont pas une cartographie précise de leur système d’information par exemple. Combien y-a-t-il de sorties sur Internet ? Combien d’équipements sont exposés depuis l’extérieur ? Elles sont incapables de répondre. Cette connaissance de l’existant n’est pas toujours là.

Concrètement quelle sera la démarche à suivre ?
Il faut déjà procéder à un état des lieux du système d’information. Les entreprises doivent identifier le nombre de systèmes informatiques d’importance vitale (SIIV), qu’ils soient connectés ou non. Il nous est arrivé d’en dénombrer une trentaine chez un client. Ensuite il faut établir une analyse des risques pour chaque SIIV. En fonction des menaces identifiées, il faudra définir les actions en matière de management de la sécurité, de supervision, d’audit, d'homologation, de traitements des incidents... Pour cela, les OIV devront s’appuyer sur des prestataires de service de confiance homologués par l’ANSSI.

Cela coutera-t-il cher aux entreprises ?
Récemment un industriel nous a sollicités pour l’aider à mettre son informatique en conformité avec les futurs arrêtés de la Loi de programmation militaire (LPM), et estimer le coût des mesures à prendre. Nous avons estimé que cela pouvait doubler et tripler le budget de la sécurité de l’entreprise sur le périmètre des systèmes d’information d’importance vitale. Chez un autre client plutôt mal préparé, le budget était même quintuplé. Cela va aussi nécessiter des embauches de personnels spécialisés en sécurité informatique. Cela pourrait entraîner une augmentation d’environ 30% des coûts d’exploitation des systèmes critiques.

Le contenu des deux décrets cybersécurité  de la loi de programmation militaire publiés le 27 mars 2015

- Le premier décret introduit dans la réglementation de haut niveau (décret en Conseil d’État) la qualification de produits de sécurité et de prestataires de service de confiance, pour les besoins de la sécurité nationale (ces qualifications relevaient jusqu’à maintenant du Référentiel Général de Sécurité, donc d’un arrêté applicable aux seules autorités administratives). L’objectif est de rendre l’appel à ces produits et prestataires obligatoire notamment pour les opérateurs d’importance vitale (OIV), qui ne relèvent pas du RGS en règle générale. Il faudra voir comment l’ANSSI gère la coexistence entre les textes "RGS" et les textes qui feront référence au présent décret.

(Le décret n° 2015-350 du 27 mars 2015 relatif à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité nationale)

- Le second décret est le premier texte d’application des dispositions de décembre 2013 de la loi de programmation militaire applicables aux opérateurs d’importance vitale. Il renvoie à des arrêtés qui devront spécifier les dispositions de sécurité des systèmes d’information qui seront obligatoires pour les OIV et seront définies secteur d’activité d’importance vitale par secteur d’activité d’importance vitale. Comme prévu dans la loi, ces obligations comprendront :

                 - des règles de sécurité nécessaires à la protection des systèmes d'information des opérateurs d'importance vitale

                 - des systèmes de détection d'événements affectant la sécurité de ces systèmes d'information

                 - la déclaration des incidents affectant la sécurité ou le fonctionnement de ces systèmes d'information

                 - un contrôle de ces systèmes d'information.

Chaque OIV tient à jour la liste (classifiée) de ses systèmes d'information d’importance vitale, y compris ceux des opérateurs tiers qui participent à ces systèmes. Notez bien que ces opérateurs tiers sont soumis aux mêmes règles.

Les OIV ont l’obligation de mettre en place des systèmes de détection des événements de sécurité sur leurs systèmes d'information d’importance vitale. Le décret indique que ces systèmes sont obligatoirement exploités par un prestataire de service qualifié et qu’ils doivent utiliser des produits qualifiés.

(Le décret n° 2015-351 du 27 mars 2015 relatif à la sécurité des systèmes d'information des opérateurs d'importance vitale)

 

 

SUR LE MÊME SUJET

Sujets associés

NEWSLETTER L'Usine Digitale

Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

ARTICLES LES PLUS LUS