Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

LPM & cybersécurité des OIV : quel bilan 10 mois après ?

octobre 2014 par Emmanuelle Lamandé

Dix mois après la promulgation de la Loi de Programmation Militaire (LPM), quel bilan peut-on faire de la cybersécurité des OIV ? Qu’en est-il des décrets d’application de la Loi ? Quels impacts la LPM aura-t-elle pour les opérateurs, et plus globalement sur le marché du numérique ? Les 2ème Rencontres Parlementaires de la cybersécurité, organisées par le Cyber Cercle Défense & Stratégie, ouvrent le débat à l’occasion d’une table ronde présidée et animée par Jean-Marie Bockel, ancien ministre, sénateur du Haut-Rhin, et Eduardo Rihan-Cypel, député de Seine-et-Marne.

Promulguée le 18 décembre 2013, la Loi de Programmation Militaire (LPM) fait suite aux orientations fixées par le Livre blanc sur la défense et la sécurité nationale 2013. Son article 22 prévoit l’adoption de mesures de renforcement de la sécurité des Opérateurs d’Importance Vitale (OIV) et confère à l’ANSSI de nouvelles prérogatives, explique le Contre-amiral Dominique Riban, Directeur général adjoint, Agence Nationale de la Sécurité des Systèmes d’Information. Pour rappel, la Loi prévoit entre autres que « Le Premier ministre fixe les règles de sécurité nécessaires à la protection des systèmes d’information des OIV et des opérateurs publics ou privés qui participent à ces systèmes pour lesquels l’atteinte à la sécurité ou au fonctionnement risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation. » Les OIV devront également mettre en œuvre des systèmes qualifiés de détection des événements susceptibles d’affecter la sécurité de leurs SI, et notifier sans délai tout incident de sécurité affectant le fonctionnement ou la sécurité de ces derniers. Ils devront, de plus, soumettre leurs Systèmes d’Information à des contrôles destinés à vérifier le niveau de sécurité et le respect des règles de sécurité prévues par la Loi.

Quel bilan peut-on faire 10 mois après la légifération de la LPM ?

La LPM a permis de mettre un coup d’arrêt sur la non prise en compte de la cybersécurité au sein des OIV, estime Philippe Loudenot, FSSI, ministères chargés des Affaires sociales. Globalement, rien n’a véritablement évolué en matière de sécurité depuis la fin du siècle dernier. Les systèmes de santé ne sont pas bien protégés aujourd’hui, constate-il, et ce ne sont pas les seuls. La possibilité de pirater des équipements médicaux, de modifier des données de santé… est un risque bien réel qui doit impérativement être pris en compte. Toutefois, si elle se veut efficiente, la sécurité ne doit pas uniquement être perçue comme un problème technique. C’est avant tout un problème de management et de gouvernance. Le fait de légiférer va obliger les OIV à bouger et à passer à une sécurité renforcée.

Selon Lionel Gervais, Directeur Stratégie et Marketing de l’entité Cybersecurity, Airbus Defence & Space, la LPM permet effectivement de remettre à plat le sujet de la cybersécurité, mais aussi de légitimer le travail effectué par les responsables sécurité auprès de leurs entreprises.

Un niveau d’avancement disparate entre les OIV

Tous les OIV ne sont pas aujourd’hui au même niveau d’avancement en termes de sécurité, constate le Contre-amiral Dominique Riban. Certains acteurs, comme les opérateurs télécoms, sont en avance sur ces questions, tandis que d’autres sont très en retard et disposent de systèmes complètement percés. L’ANSSI a mené une expérimentation en 2014 afin d’évaluer la sécurité des systèmes industriels SCADA. Et force est de constater que la plupart d’entre eux sont très mal sécurisés. L’Agence a d’ailleurs publié un guide dédié à la sécurité des systèmes SCADA afin d’accompagner les entreprises dans cette démarche.

Une expérimentation a également été menée sur la gestion et notification des incidents, à laquelle EDF a participé. Un travail reste encore à faire afin de disposer d’un process qui soit plus industriel, remarque Alain Jeandat, Chef du Pôle Sécurité et Conformité Réglementaires des SI, EDF. Il faut, de plus, pouvoir s’appuyer sur des dispositifs déjà existants de remontée d’incidents. En effet, cette gestion d’alertes et ce reporting ne doivent pas venir encore ajouter une couche supplémentaire aux autres flux d’alertes de l’entreprise, complète Philippe Verdier Directeur Sécurité globale, Groupe La Poste. Car trop d’alertes tuent l’alerte. Nous avons besoin d’un système, défini avec l’ANSSI, qui permette d’effectuer ce reporting sans être noyé dans les alertes. Effectivement, le souci est de ne pas venir ajouter une couche supplémentaire, observe le Contre-amiral Dominique Riban. C’est pour cela que nous travaillons en commun avec les OIV et sur les systèmes déjà existants, afin de mettre sur pied un processus qui soit le plus optimal pour tous. La remontée d’un incident de sécurité chez un OIV permettra, en outre, de diffuser l’alerte à l’ensemble des OIV, qui auront peut-être également été impactés.
D’ailleurs, « reconnaître qu’on a été attaqué est une force », estime Jean-Marie Bockel. Les mentalités doivent encore évoluer en la matière.

« A l’heure actuelle, le problème est que, bien souvent, les DSI mettent la poussière sous le tapis », déplore Philippe Loudenot. Le système d’alertes est donc souvent occulté pour des raisons diverses et variées. La qualité du système de remontée d’alertes s’avère donc fondamentale si l’on veut que le processus soit opérationnel. De plus, « il reste illusoire d’imaginer qu’un OIV puisse détecter tous les incidents de sécurité, comme l’impose la Loi de Programmation Militaire », estime Michel Van Den Berghe, Directeur général, Orange Cyberdéfense.
Pour lui, un autre facteur doit être pris en compte afin d’améliorer la sécurité, car « le vrai danger, c’est les utilisateurs ». Il souligne, de ce fait, l’importance de la formation des individus, qui devrait même être intégrée dans le cursus scolaire.

Il faut également aborder ces questions par des communautés d’intérêts, explique Philippe Verdier. D’ailleurs, cette communauté d’intérêts devra, selon lui, à l’avenir dépasser le seul cadre des OIV pour s’étendre à toutes les entreprises.

Même si le niveau de sécurité ne pourra jamais être parfait, les travaux effectués à ce jour, conjointement avec les différents acteurs et les OIV, permettent désormais à l’ANSSI d’avoir une bonne vue sur ce qu’il est possible de faire ou non, remarque le Contre-amiral Dominique Riban. Les règles techniques et les procédures adaptées aux différents métiers sont actuellement à l’étude. C’est, en effet, un travail qui doit se faire au cas par cas, chaque OIV ayant des particularités et des besoins divers. Le décret d’application de l’article 22, dont la publication est prévue en fin d’année, sera suivi d’arrêtés spécifiques, qui définiront les délais de mise en œuvre de ces différentes règles. Les premiers arrêtés sortiront au second trimestre 2015. La progression devra se faire pas à pas.

La LPM devrait contribuer à la création d’un écosystème de confiance français et européen

Quel sera l’impact de la LPM sur le marché du numérique ? Pour Lionel Gervais, la demande va être de plus en plus exigeante. Il va falloir s’adapter à ce référentiel et innover pour répondre à cette demande. La LPM va faire évoluer le marché de la sécurité dans le bon sens et va contribuer à la création d’un écosystème de confiance français et européen. En effet, il faut pouvoir proposer des solutions et services souverains aux clients, complète Michel Van Den Berghe.

Le problème, selon Philippe Loudenot, est que la France manque actuellement de confiance dans ses entreprises innovantes, alors qu’elle dispose de véritables pépites en matière de sécurité. Les entreprises elles-mêmes ont peur de faire confiance à des start-ups et PME. Nous sommes en train de tuer l’innovation dans le domaine de la sécurité en France. Forcément, ces entreprises se tournent alors vers l’étranger, où l’accueil y est complètement différent.

Les mentalités doivent encore évoluer et beaucoup de travail reste à faire en matière de sécurité, mais la LPM devrait pousser et accompagner les acteurs dans le bon sens. Cette avancée contribuera à renforcer la sécurité des OIV dans un premier temps, puis peu à peu de l’ensemble des entreprises. Elle devrait également accroître dans la durée la sensibilisation des utilisateurs et la prise de conscience quant aux enjeux. Car la cybersécurité est, avant tout, une question de souveraineté pour la nation, l’industrie et les individus. C’est effectivement une question de libertés publiques, car aucune liberté ne sera possible si les utilisateurs ne peuvent pas protéger leurs données à caractère personnel, conclut Eduardo Rihan-Cypel.




Voir les articles précédents

    

Voir les articles suivants