Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Directives Nationales de Sécurité : Quels impacts pour la SSI ?

juin 2009 par Marc Jacob

Le Cercle de la Sécurité a organisé son dernier dîner débat avant les Assises de la Sécurité de Monaco sur le thème : Directives Nationales de Sécurité (DNS) : Quels impacts pour la SSI ? Animé par Isabelle Tisserand coordinatrice du Cercle ce débat s’est articulé autour des interventions de Pierre Lasbordes, Député de la 5ème circonscription de l’Essonne, Président du groupe Parlementaire sur l’Espace. D’un RSSI d’une entreprise qui a déjà mis en œuvre la DNS et Commandant Luc Alloin, fondateur de la société d’ingénierie de sécurité SecurYmind.

Au centre Député Pierre Lasbordes, à sa droite Luc Alloin, SecurYmind et Isabelle Tisserand

Le Député Pierre Lasbordes a analysé les DNS d’un point de vue politique. C’est les événements du 11 septembre qui ont été à l’origine de la création de ces directives. Leur objectif est de pouvoir assurer la continuité d’activité en cas de crise majeur. Ainsi, 12 secteurs ont été définis comme faisant partie d’activités vitales. Ces 12 secteurs ont été raccrochés à des Ministères coordinateurs qui ont la charge de suivre les opérateurs désignés pour assurer cette continuité. Ces opérateurs sont soit des entreprises privées ou des administrations, organismes publics ou parapublics. Le Député Pierre Lasbordes a précisé que le coût de mis en œuvre des DNS reste à la charge des organisations désignées. Ainsi, un RSSI d’une entreprise concernée aurait provisionné près de 3 millions d’euros pour assurer la mise en œuvre de sa DNS…

Selon le Député Pierre Lasbordes, 241 sociétés auraient été identifiées et désignées à ce jour. Concernant les opérateurs, il faut noter que leurs sous-traitants sont aussi concernés par la mise en œuvre des DNS. Lorsqu’une entreprise est désignée, elle a six mois pour mettre en œuvre son Plan de Sécurité et deux ans pour déployer son Plan Particulier. Des audits sont effectués et en cas de non-conformité c’est l’article R1332-30 du Code de la Défense qui est applicable. La DNS apporte donc des contraintes mais aussi des compétences supplémentaires qui pourraient se transformer en avantages concurrentiels.

A ce jour, 234 entreprises auraient été désignées soit 80% des entreprises concernées. Le Député Pierre Lasbordes a conclu son intervention en précisant que l’objectif des DNS est d’être facilement implémentables et applicables. Pour cela, il a incité les RSSI des entreprises désignées à dialoguer avec leur Ministère de tutelle afin d’arriver à atteindre les objectifs dans les meilleurs délais. Concernant les PME la mis en oeuvre des DNS pourraient être une occasion supplémentaire pour les sensibiliser à la sécurité car elles ne sont pas assez protégées.

DNS en entreprise applicable sous réserve d’avoir une bonne politique de gestion des risques

Ce RSSI d’une entreprise qui a déjà mis en œuvre sa DNS estime qu’elle lui a permis de renforcer son niveau de sécurité global. Selon lui, il y a deux principaux freins à leur déploiement. Le premier est un problème d’adhésion des collaborateurs dans un contexte de classement confidentiel défense où donc il est difficile de donner des explications sur les procédures mises en œuvres. Le second provient du fait que ce projet est à mener seul et sans visibilité sur l’ensemble de la stratégie. La DNS a trois parties :

La gouvernance : l’état demande une démarche proche de l’ISO 27001 mais particulière au secteur d’activité concernée avec en plus une prise en compte de la sécurité des personnes et continuité d’activité. L’Etat défini le rôle de la SSI en incluant un plan de secours opérateur.

La partie Internet vitale : cette partie en incluse dans le Plan de Protection Particulier est à la charge du RSSI. Dans certains cas l’Etat peut apporter son aide pour sécuriser les sites à protéger. VigiPirate : l’Etat fournit des mesures en avance et fait une veille. Cela implique la mise en place par l’entreprise d’un service d’astreinte pour pouvoir être opérationnel le plus rapidement possible en cas de crise.

Selon cet RSSI, pour pouvoir mettre en place rapidement une DNS, il faut avoir un bon niveau d’analyse de risque. Il a regretté qu’il n’y ait pas encore de « DNS Internet ». Pour lui, le principal problème qu’il a rencontré est le manque de vision d’ensemble. En revanche, sa mise en œuvre n’est pas très difficile sous réserve d’avoir une bonne compréhension de la notion de risque management.

… Et les RSSI pourraient se faire aider au déploiement des DNS

Le Commandant Luc Alloin estime que les attaquants ciblent toujours les points les plus faibles et les plus faciles à atteindre en fait ceux qui procurent le meilleur rapport « qualité de l’attaque/coût ». Le facteur aggravant des attaques provient aujourd’hui de celles qui concernent les systèmes électriques et des communications. Il a ainsi dénombré 7 thématiques qui touchent à l’informatique de la destruction du réseau au vol de données confidentiel. Il a précisé que dans le dispositif, le Préfet de Région est le correspondant des opérateurs.

Il a identifié 3 problèmes :

- Les flux électriques, informatique et Internet

- Le traitement des DNS fait apparaître une véritable nécessité pour mettre en place une protection globale qui transversalement tous les domaines de la sécurité logique à celles des personnes.

- Les DNS posent un problème de cloisonnement du fait de la notification Confidentielle Défense. Ainsi, il est clair que la circulation de l’information est rendue plus difficile. Toutefois, pour Luc Allouin, elle n’est pas insurmontable car dans toute entreprise, la confidentialité sur certaines informations est souvent demandée aux collaborateurs.

Concernant, la possibilité pour les RSSI de faire appel à des sociétés de conseil, prenant l’exemple des opérateurs portuaires, il a estimé que certains cabinets devraient être habilités par l’Etat.




Voir les articles précédents

    

Voir les articles suivants