LPM & cybersécurité des OIV : quel bilan 10 mois après ?

Dix mois après la promulgation de la Loi de Programmation Militaire (LPM), quel bilan peut-on faire de la cybersécurité des OIV ? Qu’en est-il des décrets d’application de la Loi ? Quels impacts la LPM aura-t-elle pour les opérateurs, et plus globalement sur le marché du numérique ? Les 2ème Rencontres Parlementaires de la cybersécurité, organisées par le Cyber Cercle Défense & Stratégie, ouvrent le débat à l’occasion d’une table ronde présidée et animée par Jean-Marie Bockel, ancien ministre, sénateur du Haut-Rhin, et Eduardo Rihan-Cypel, député de Seine-et-Marne.

Promulguée le 18 décembre 2013, la Loi de Programmation Militaire (LPM) fait suite aux orientations fixées par le Livre blanc sur la défense et la sécurité nationale 2013. Son article 22 prévoit l’adoption de mesures de renforcement de la sécurité des Opérateurs d’Importance Vitale (OIV) et confère à l’ANSSI de nouvelles prérogatives, explique le Contre-amiral Dominique Riban, Directeur général adjoint, Agence Nationale de la Sécurité des Systèmes d’Information. Pour rappel, la Loi prévoit entre autres que « Le Premier ministre fixe les règles de sécurité nécessaires à la protection des systèmes d’information des OIV et des opérateurs publics ou privés qui participent à ces systèmes pour lesquels l’atteinte à la sécurité ou au fonctionnement risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation. » Les OIV devront également mettre en œuvre des systèmes qualifiés de détection des événements susceptibles d’affecter la sécurité de leurs SI, et notifier sans délai tout incident de sécurité affectant le fonctionnement ou la sécurité de ces derniers. Ils devront, de plus, soumettre leurs Systèmes d’Information à des contrôles destinés à vérifier le niveau de sécurité et le respect des règles de sécurité prévues par la Loi.

Quel bilan peut-on faire 10 mois après la légifération de la LPM ?

La LPM a permis de mettre un coup d’arrêt sur la non prise en compte de la cybersécurité au sein des OIV, estime Philippe Loudenot, FSSI, ministères chargés des Affaires sociales. Globalement, rien n’a véritablement évolué en matière de sécurité depuis la fin du siècle dernier. Les systèmes de santé ne sont pas bien protégés aujourd’hui, constate-il, et ce ne sont pas les seuls. La possibilité de pirater des équipements médicaux, de modifier des données de santé… est un risque bien réel qui doit impérativement être pris en compte. Toutefois, si elle se veut efficiente, la sécurité ne doit pas uniquement être perçue comme un problème technique. C’est avant tout un problème de management et de gouvernance. Le fait de légiférer va obliger les OIV à bouger et à passer à une sécurité renforcée.

Selon Lionel Gervais, Directeur Stratégie et Marketing de l’entité Cybersecurity, Airbus Defence & Space, la LPM permet effectivement de remettre à plat le sujet de la cybersécurité, mais aussi de légitimer le travail effectué par les responsables sécurité auprès de leurs entreprises.

Un niveau d’avancement disparate entre les OIV

Tous les OIV ne sont pas aujourd’hui au même niveau d’avancement en termes de sécurité, constate le Contre-amiral Dominique Riban. Certains acteurs, comme les opérateurs télécoms, sont en avance sur ces questions, tandis que d’autres sont très en retard et disposent de systèmes complètement percés. L’ANSSI a mené une expérimentation en 2014 afin d’évaluer la sécurité des systèmes industriels SCADA. Et force est de constater que la plupart d’entre eux sont très mal sécurisés. L’Agence a d’ailleurs publié un guide dédié à la sécurité des systèmes SCADA afin d’accompagner les entreprises dans cette démarche.

Une expérimentation a également été menée sur la gestion et notification des incidents, à laquelle EDF a participé. Un travail reste encore à faire afin de disposer d’un process qui soit plus industriel, remarque Alain Jeandat, Chef du Pôle Sécurité et Conformité Réglementaires des SI, EDF. Il faut, de plus, pouvoir s’appuyer sur des dispositifs déjà existants de remontée d’incidents. En effet, cette gestion d’alertes et ce reporting ne doivent pas venir encore ajouter une couche supplémentaire aux autres flux d’alertes de l’entreprise, complète Philippe Verdier Directeur Sécurité globale, Groupe La Poste. Car trop d’alertes tuent l’alerte. Nous avons besoin d’un système, défini avec l’ANSSI, qui permette d’effectuer ce reporting sans être noyé dans les alertes. Effectivement, le souci est de ne pas venir ajouter une couche supplémentaire, observe le Contre-amiral Dominique Riban. C’est pour cela que nous travaillons en commun avec les OIV et sur les systèmes déjà existants, afin de mettre sur pied un processus qui soit le plus optimal pour tous. La remontée d’un incident de sécurité chez un OIV permettra, en outre, de diffuser l’alerte à l’ensemble des OIV, qui auront peut-être également été impactés.
D’ailleurs, « reconnaître qu’on a été attaqué est une force », estime Jean-Marie Bockel. Les mentalités doivent encore évoluer en la matière.

« A l’heure actuelle, le problème est que, bien souvent, les DSI mettent la poussière sous le tapis », déplore Philippe Loudenot. Le système d’alertes est donc souvent occulté pour des raisons diverses et variées. La qualité du système de remontée d’alertes s’avère donc fondamentale si l’on veut que le processus soit opérationnel. De plus, « il reste illusoire d’imaginer qu’un OIV puisse détecter tous les incidents de sécurité, comme l’impose la Loi de Programmation Militaire », estime Michel Van Den Berghe, Directeur général, Orange Cyberdéfense.
Pour lui, un autre facteur doit être pris en compte afin d’améliorer la sécurité, car « le vrai danger, c’est les utilisateurs ». Il souligne, de ce fait, l’importance de la formation des individus, qui devrait même être intégrée dans le cursus scolaire.

Il faut également aborder ces questions par des communautés d’intérêts, explique Philippe Verdier. D’ailleurs, cette communauté d’intérêts devra, selon lui, à l’avenir dépasser le seul cadre des OIV pour s’étendre à toutes les entreprises.

Même si le niveau de sécurité ne pourra jamais être parfait, les travaux effectués à ce jour, conjointement avec les différents acteurs et les OIV, permettent désormais à l’ANSSI d’avoir une bonne vue sur ce qu’il est possible de faire ou non, remarque le Contre-amiral Dominique Riban. Les règles techniques et les procédures adaptées aux différents métiers sont actuellement à l’étude. C’est, en effet, un travail qui doit se faire au cas par cas, chaque OIV ayant des particularités et des besoins divers. Le décret d’application de l’article 22, dont la publication est prévue en fin d’année, sera suivi d’arrêtés spécifiques, qui définiront les délais de mise en œuvre de ces différentes règles. Les premiers arrêtés sortiront au second trimestre 2015. La progression devra se faire pas à pas.

La LPM devrait contribuer à la création d’un écosystème de confiance français et européen

Quel sera l’impact de la LPM sur le marché du numérique ? Pour Lionel Gervais, la demande va être de plus en plus exigeante. Il va falloir s’adapter à ce référentiel et innover pour répondre à cette demande. La LPM va faire évoluer le marché de la sécurité dans le bon sens et va contribuer à la création d’un écosystème de confiance français et européen. En effet, il faut pouvoir proposer des solutions et services souverains aux clients, complète Michel Van Den Berghe.

Le problème, selon Philippe Loudenot, est que la France manque actuellement de confiance dans ses entreprises innovantes, alors qu’elle dispose de véritables pépites en matière de sécurité. Les entreprises elles-mêmes ont peur de faire confiance à des start-ups et PME. Nous sommes en train de tuer l’innovation dans le domaine de la sécurité en France. Forcément, ces entreprises se tournent alors vers l’étranger, où l’accueil y est complètement différent.

Les mentalités doivent encore évoluer et beaucoup de travail reste à faire en matière de sécurité, mais la LPM devrait pousser et accompagner les acteurs dans le bon sens. Cette avancée contribuera à renforcer la sécurité des OIV dans un premier temps, puis peu à peu de l’ensemble des entreprises. Elle devrait également accroître dans la durée la sensibilisation des utilisateurs et la prise de conscience quant aux enjeux. Car la cybersécurité est, avant tout, une question de souveraineté pour la nation, l’industrie et les individus. C’est effectivement une question de libertés publiques, car aucune liberté ne sera possible si les utilisateurs ne peuvent pas protéger leurs données à caractère personnel, conclut Eduardo Rihan-Cypel.

Emmanuelle Lamandé
Source

Contactez-nous

Contactez-nous

Nous construisons des solutions sur mesure pour nos clients.
Les informations recueillies à partir de ce formulaire font l’objet d’un traitement informatique destiné à la société Claranet afin de nous permettre de traiter la demande pour laquelle vous nous sollicitez. Les destinataires des données sont les services marketing et commerciaux du groupe Claranet. Conformément à la loi « informatique et libertés » du 6 janvier 1978 modifiée, vous disposez d’un droit d’accès et de rectification aux informations qui vous concernent. Veuillez-vous rapportez à la section des mentions légales de notre site internet pour de plus amples informations sur les modalités d’exercice de ces droits. Vous pouvez également, pour des motifs légitimes, vous opposer au traitement des données vous concernant.
5 + 13 =
Trouvez la solution de ce problème mathématique simple et saisissez le résultat. Par exemple, pour 1 + 3, saisissez 4.

Pour contacter un commercial

N'hésitez pas à nous appeler au 0826 007 656

Besoin de contacter le support technique ?
Nos équipes sont disponibles en 24x7x365.

Support Virtual Data Centre au 0826 007 653 (Numéro indigo)
Support Infogérance applicative au 0810 278 385 (Numéro indigo)
Support Colocation au 0826 007 653 (Numéro indigo)
Support Cloud Public en envoyant un mail à support