Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CLUSIF : La LPM.. pour les OIV... et pour les autres

juin 2017 par Marc Jacob

Pour sa nouvelle conférence thématique le CLUSIF a souhaitez traiter de la convergence des législations européennes afin d’imposer en Europe une véritable stratégie en matière de droits de la cybersécurité. Ainsi, 4 intervenants ont animé ce nouvel événement : Thomas Hautesserres de l’ANSSI, Maître Olivier Iteanu, Etienne Capgras de Wavestone et Stéphanie Buscayret de Latécoère.

Thierry Chiofalo a en introduction a annoncé que le CLUSIF fera un exercice de cyber-crise le 22 juin prochain. Puis, il a présenté le thème de la journée. La LPM se décline dans le monde de la société
numérique en particulier pour les OIV dont les SIIV (Système d’Information d’Importance Vitale) sont directement visés par cette loi mais qui a aussi des implications sur leurs partenaires. Bien sûr, cette réglementation nécessite l’allocation de budget non négligeable.

La LPM : 20 règles d’hygiène informatique s’imposent aux OIV

Thomas Hautesserres de l’ANSSI a introduit les grands principes de la LMP. En préambule, il a rappelé que la typologie des menaces qui touchent les OIV est identique à celle qui touchent n’importe quel type d’entreprises ou de particuliers mais en ajoutant l’exfiltration de données, le sabotage, les destructions. Souvent les
pirates utilisent pour cela des APT. Depuis 1998, les activités d’importance
vitale ont été regroupées en 12 secteurs parmi lesquels la gestion de l’énergie
de l’eau, des transports...des sites militaires. Actuellement, environ 250 OIV ont été
identifiés en France. La LPM. Adoptée en 2013 a été vraiment lancée qu’en 2016. Elle est applicable à tous les OIV. Ils doivent identifier tous les SI vitales pour la nation. Ces SI vont être dit des Système d’Information Vitale ou SIV. Ainsi, tous incidents les concernant doivent être déclarés. L’ANSSI a proposé vingt règles de sécurité qui ont été discutées avec les OIV afin de les adapter ont été promulguées. De plus, il rappelé que tout incident doit être notifié à l’ANSSI y compris ceux qui pourraient paraître anodins dans d’autres secteurs.
La LPM définit en outre des contrôles de sécurité pour vérifier la conformité de l’opérateur. Ils peuvent être réalisés par l’ANSSI ou par des prestataires. Ces contrôles sont à la charge de OIV. Ils peuvent être soit aléatoire
soit suite à un incident. En cas de crise nationale, il peut être imposé par
l’ANSSI de prendre des mesures pouvant aller jusqu’à des coupures.

Parmi les vingt règles de Sécurité on trouve le pilotage de la sécurité par des mesures organisationnelles comme par exemple l’organisation de la gouvernance. On a aussi l’homologation des systèmes par de l’analyse de risque. En outre, il est imposé la création d’une cartographie des risques, une planification des mesures de
patching ou tout au moins leur justification en cas de non mise en place des patchs.
Les procédures de traitement des incidents doivent être mise en place, de gestion
de crise.... on trouve aussi l’application de mesure de gestion des identités, des
moyens de filtrage... et la mise en oeuvre d’indicateurs.

Le RGPD s’impose aux victimes plutôt qu’aux coupables

Olivier Iteanu pour sa part a explique en préambule que l’Europe avec la LPM, la directive NIS, le RGPD dessine un politique européenne de Cybersécurité. Le RGPD c’est au final 99 articles qui constitue 400 obligations.
Quant à la directive NIS devra être effective dans les pays de l’Europe sa part en mai 2018. Le RGPD comme la
directive NIS traitent en partie de la Cybersécurité. Le RGPD offre plus de droits pour les fichés et plus d’obligation pour les responsables de traitements et les sous-traitants. Dans cette partie, il y a un recouvrement avec la LPM et la directive NIS
avec entre autre l’obligation de notification. Pour lui, toutes ces législations ont des impacts sur les victimes en leur demandant de mieux sécuriser leur SI en oubliant les criminels. La directive NIS est pour lui une héritière de la LPM. Quant au RGPD le sous- traitant rejoint le responsable des traitements.

Le RGPD de même que la directive NIS et la LPM demandent aux entreprises d’agir pour sécuriser leur SI. Quant à l’obligation de déclaration des incidents des similitudes existent en obligeant pour les un a faire une déclaration à l’ANSSI et pour les autres à CNIL.
Ces législations démontrent que l’on a un problème de gendarme et de voleur avec un manque dans la coopération policière même si elles existent. Pour lui, le fond du problème est qu’il est nécessaire que tout le monde de sécurisé ce sa propre défaillance peut générer de faiblesses dans l’ensemble de la chaîne.

LPM un budget conséquent pour les grands comptes !

Selon Etienne Capgras de Wavestone, la LPM pour un OIV s’est globalement t 20 règles à respecter. Pour un OIV, un SIIV s’est environ 3% de son SI. Pour la gouvernance, un cadre transverse peut être posé pour l’ensemble des OIV.

Parmi les OIV, les tailles sont tes variés. Dans l’exemple de Wavestone seul les grands comptes ont été étudiés. 8 secteurs d’activités ont été couverts par l’étude.

Les RSSI sont les premiers interlocuteurs de l’ANSSI, mais aussi les
dirigeants, les responsable de la filière sûreté, les équipes conformité, les métiers, la DSI, les achats enfin les filières industrielles et automaticiens. Les sujets traités par la LPM sont relativement complexes en fonction des thèmes. Par exemple, la veille SSI est aisée, de même pour la gestion de crise, la
sensibilisation... qui était déjà prise en compte. Par contre, pour la détection
et le référentiel PDIS dont la liste n’est pas encore publiée, ni donc les prix des prestations, il n’en va pas de même. Ainsi, des OIV se posent la question de le faire elles même. Pour les périmètres concernés là encore la situation est encore complexe. De plus, les solutions du marché ne sont pas encore tu tout à fait prêtes.

De ce fait, les budgets nécessaires à cette mise en conformité sont encore
difficile à déterminer. Selon Wavestone, l’enquête montre le budget nécessaire
va de 5 millions à 45 millions d’€ selon la taille des SI. Toutefois, ces budgets
doivent être minorés en fonction de la maturité des entreprises et des solutions
déjà déployés.

Pour une mise en conformité efficace, il faut dresser la liste les SIIV, recenser les écarts et dessiniez les premières cibles. Il faut avoir une vision d’ensemble sans traiter les problèmes points par point.
Il faut faciliter la pratique par rapport à la théorie. Il faut paralléliser les chantiers et tirer parti de la complémentarité des équipes.

L’industrie aéronautique pas impressionnée par la LPM

Stéphanie Buscayret de Latécoère a présenté les perspectives de la Supply Chain aéronautique. Dans le domaine de l’aéronautique la LPM n’est pas une nouveauté car la Cybersécurité est déjà intégrée dans les processus de production. De plus la digitalisation dans ce domaine est en marche depuis longtemps. Les certifications
incluses dans la LPM ne sont pas une nouveauté mais est plutôt un atout. La
particularité du secteur reste les liens entre les donneurs d’ordre et leur
sous-traitants avec en plus une dispersion de ces derniers dans différents pays pas forcément tous alliés.

Aujourd’hui, les modalités des cascades des obligations n’ont pas encore été définies. Le GIFAS appelle de ces vœux des discussions avec les autorités. Les problèmes est que les donneurs d’ordre ont souvent plusieurs centaine de
sous-traitants qui vont de la TPE à de grandes entreprises.

Lors du débat, animé par Henri Codron, Vice-Président du CLUSIF, un intervenant a noté que dans le Télécom la plus grande
difficulté a été l’identification des SIIV. Selon Thomas Hautesserres la mise en
œuvre de la LPM n’a posé de problème majeur tout le monde ayant joué le jeu.
L’homologation a été pratiquée par peu d’OIV. Pour les règles de
Sécurité c’est aux dirigeants des OIV à les déterminer et de fait accepter les risques résiduels en participant des analyses de risques.

Pour Olivier Iteanu, pour le RGPD l’analyse de risque nécessaire à la mise en conformité incombe plutôt aux services juridiques à le déterminer. Thomas Hautesserres de
l’ANSSI explique que pour le moment la directive NIS est encore en cours de
transposition. En fait, l’ANSSI ne souhaite pas mettre encore plus
de complexité par rapport à la LPM, même si les objectifs des deux sont
différents. La LPM vise la défense et la sécurité nationale, domaine souverain de l’Etat, alors que la directive NIS vise la sécurité numérique du marché intérieur, domaine de compétence de la commission européenne.

Etienne Capgras, pour sa part, considère que dans certain cas une PSSI par SIV pourra être
nécessaire. Par contre, aucune méthode d’analyse de risque n’est imposé même si
l’ANSSI est à l’origine d’EBIOS. Quant aux PME, il semble qu’au niveau
organisationnel les frais inhérents à l’organisation peuvent être réduit par
contre sur les outils comme le sondes de détection des coûts sont incompressibles.


Voir les articles précédents

    

Voir les articles suivants