La protection des systèmes d’information des OIV

Le 4 décembre, l’ANAJ-IHEDN invitait à une conférence-débat le directeur de l’agence nationale de sécurité des systèmes d’information (ANSSI), Guillaume Poupard, pour discuter de la protection des systèmes d’information des « Opérateurs d’Importance Vitale » (OIV) et du rôle de la politique publique dans ce domaine. Le Portail de l’IE était présent et revient pour vous sur la teneur de ces échanges.

L’expression « opérateur d’importance vitale » (OIV) désigne les organisations et entreprises dont les activités sont indispensables à la vie de la Nation : satisfaction des besoins essentiels pour la vie des populations (eau, électricité, transport, alimentation, santé), exercice de l’autorité de l’État, sécurité de la Nation, fonctionnement de l’économie etc.

L’article 22 de la loi de programmation militaire (LPM) 2014-2019 confère à l’ANSSI le mandat d’assurer la cyberprotection des systèmes informatiques de ces OIV. Après la définition de douze secteurs d’importance vitale, l’ANSSI identifie, le 21 janvier 2014, 218 OIV publics et privés, à cyberprotéger en priorité, cette liste étant classifiée secret défense.

Cet article définit une série d’obligations aux OIV :

–       Les organismes concernés doivent prendre des mesures adaptées comme l’interdiction de connecter certains systèmes à internet.

–       Ils doivent également installer des mécanismes pour détecter des évènements susceptibles d’affecter leur SSI. Les outils de détection (sondes etc.) doivent être mis en place par des prestataires labellisés par l’ANSSI.

–       Les OIV ont l’obligation de notifier à l’ANSSI tout incident de SSI ayant un impact significatif et qui pourrait entraîner une perturbation des fonctions économiques ou sociétales essentielles à la France. Cette disposition ne définit pas la notion d’incident, qui doit être précisée par décret, ainsi que les modalités de la notification. La LPM ne prévoit pas expressément la possibilité pour l’État d’informer le public en cas d’incident, contrairement aux dispositions européennes en matière de cybersécurité adoptée en avril 2014 par le Parlement européen.

–       Les OIV sont soumis à des audits de SSI réguliers, menés par des organismes qualifiés agréés par l’ANSSI, ou par l’ANSSI elle-même afin de vérifier le niveau de sécurité et le respect des règles de cybersécurité.

–       En cas de crise majeure, l’État est en mesure d’imposer toute mesure nécessaire additionnelle aux opérateurs.

La LPM sanctionne les manquements à la loi d’une amende de 150 000 €, et 750 000 € pour les personnes morales, que le manquement soit intentionnel ou non. La simple négligence est donc en principe condamnable en ce domaine.

Lors du débat, M. Poupard a offert un retour d’expérience après un peu moins d’un an de travail en partenariat avec les OIV. Il a été rappelé que les processus industriels et autres exigences-métiers peuvent représenter des défis pour la refonte des systèmes d’information. On ne peut par exemple pas se permettre de stopper l’activité de certaines industries tournant 24 heures sur 24 sous prétexte d’une mise à jour logicielle. C’est pour cela qu’il faut que la cyberdéfense des OIV rassemble des personnes avec des compétences cybersécurité ainsi que des compétences-métiers.

Il a aussi souligné la difficulté de reconstruire entièrement des SI lorsqu’une attaque a été détectée, ce qui peut prendre plusieurs mois. Cette refonte doit parfois être réalisée avec la certitude que le hacker est encore présent dans le système, et que des fuites d’information ont encore lieu, mais l’impératif de continuité du service oblige à maintenir malgré tout l’activité.

Ont été abordés des exemples récents d’attaques OIV dans le monde, allant du simple vol de propriété intellectuelle jusqu’à la destruction physiques d’infrastructures (comme les centrifugeuses iraniennes attaquées par le virus Stuxnet). Par exemple, des hackers ont réalisé un piratage sophistiqué contre le système de gestion des conteneurs du port d’Anvers pendant deux ans, de 2011 à 2013, afin d’acheminer de la drogue d’Amérique du Sud à destination de l’Europe. Le cartel, basé aux Pays-Bas, cachait l’héroïne et la cocaïne dans des containers légitimes, affichant du transport de bananes par exemple, avant de les récupérer à Anvers avant leur propriétaire légitime. Autre exemple célèbre mentionné : la vague de piratages massifs par DDOS d’organismes en Estonie en 2007, tels que des banques, sites gouvernementaux, organismes de presse et SI de partis politiques.

Les discussions du débat ont également porté sur l’écosystème actuel des PME françaises de cybersécurité, qui sont actuellement au nombre d’environ 400. Il a été rappelé que l’animation et le financement de ce réseau d’entreprises nationales était aussi un des défis d’une politique publique de cyberdéfense. Un de ces enjeux est que ces PME puissent passer à l’échelle et étendre leur couverture du marché, s’exporter à l’international, et également proposer notamment des solutions clé-en-main aux TPE et PME avec des tarifs adaptés aux petites structures.

De plus, il est préférable que les prestataires de solutions en cybersécurité en France qui proposent leurs services aux grandes entreprises stratégiques soient de nationalité française et sous l’autorité du droit français, dans un monde de la cybersécurité où la règle nationale prime, même en Union européenne. Par ailleurs, il est souvent plus efficace pour l’ANSSI de traiter en externe une partie de ses missions auprès de prestataires qualifiés, en raison du nombre d’OIV à auditer et de l’ampleur de la tâche qu’est la cyberdéfense.

Enfin, M. Poupard a insisté sur l’importance de la praticité et la dimension humaine des mesures de cybersécurité : si ces dernières ne sont pas implémentables concrètement et adaptés à la nature humaine, cela n’intéresse personne. Les générations aléatoires de mots de passe à 42 caractères font donc partie du passé. Car il est essentiel que les contraintes inhérentes aux mesures de cybersécurité soient comprises et acceptables par l’humain.

La vidéo de l’allocution : https://www.youtube.com/watch?v=02rUYQYAIcY