L’Anssi met son nez dans la sécurité des grandes entreprises

Plus de 200 entreprises dites d’importance vitale sont soumise à un dispositif de sécurité contraignant, régi par l’Anssi. La rédaction des arrêtés leur laisse toutefois le temps de s’adapter.

Et une étape franchie dans la longue marche menant à un encadrement de la sécurité des opérateurs d’importance vitale (OIV), ces organisations de divers secteurs d’activité (énergie, santé, télécoms, finance, transports…) choisies en raison de l’importance de leurs activités pour le pays. 15 mois après la publication de la Loi de programmation militaire (LPM) qui, notamment via son article 22, prévoit une structuration de la sécurité informatique des OIV et le renforcement des prérogatives de l’Anssi (Agence nationale de la sécurité des systèmes d’information), un décret paru dimanche au Journal Officiel pose les fondations de l’entrée en vigueur de ces mesures.

Un texte attendu de longue date par l’Agence. Guillaume Poupard, le directeur général de l’Anssi, le qualifie de « bonne première approximation pour élever la cybersécurité dans des secteurs d’activité pas forcément exemplaires. Même si, pour d’autres entreprises, le texte sera relativement indolore ». Car, selon lui, la situation est parfois préoccupante : « des assaillants volent à nos entreprises des plans, des informations commerciales ou autres données ayant un intérêt en matière de renseignement économique. Ca fait froid dans le dos ». Pour Gérôme Billois, spécialiste de la gestion des risques et de la sécurité chez Solucom, un cabinet de conseil intervenant surtout auprès des grandes entreprises, « le décret permet de commencer à entrer dans le concret. On assiste à quelques calages, par exemple les OIV pourront choisir la méthode d’évaluation des risques la plus pertinente pour leur métier et non s’aligner sur une méthodologie unique. »

L’Anssi prend le contrôle…

Le décret encadre avant tout les relations entre les 218 opérateurs classés d’importance vitale (dont la liste, évolutive, reste secrète), les services du Premier ministre et l’Anssi. En résumé, les premiers sont priés d’appliquer, à leur frais, le canevas défini par l’Etat. A commencer par la définition et la mise à jour d’une liste de systèmes d’information critiques, y compris ceux opérés par des tiers. Liste transmise à l’Anssi et couverte par le secret-défense.

Ces SI se voient soumis à un nouveau régime. D’abord, ils devront être couverts par un système de détection d’incidents de sécurité, opéré par un prestataire de service obligatoirement qualifié par l’Anssi. Ce contrat fera l’objet d’une convention précisant les SI surveillés, les fonctions du service, les systèmes utilisés, les moyens humains et techniques mis en œuvre, convention qui devra être déposée à l’Anssi. Signalons que l’Agence pourra opérer directement ces services de détection « lorsque l’opérateur d’importance vitale est une administration de l’Etat ». « On va lister des règles de sécurité, s’assurer que des plans de crise existent, que des organisations sont en place ou encore qu’une cartographie des réseaux a été établie. Quand on intervient sur un incident, cette cartographie est la première chose qu’on demande. Or on l’obtient rarement, car c’est compliqué à réaliser et à maintenir », détaille Guillaume Poupard.

C’est aussi l’Agence qui recueillera les déclarations d’incidents de sécurité des OIV. « Les opérateurs communiquent les informations dont ils disposent dès qu’ils ont connaissance d’un incident et les complètent au fur et à mesure de leur analyse de l’incident », précise le décret. Sans oublier de répondre aux éventuelles demandes d’informations complémentaires de l’Anssi. Pour Guillaume Poupard, il ne s’agit pas de classer les bons et les mauvais élèves, mais plutôt d’organiser « une défense collective. Car, en face, les attaquants progressent et se spécialisent. Il est courant qu’ils ciblent un secteur d’activité donné, en réexploitant les mêmes techniques. » En somme, l’Anssi jouera un rôle de tiers de confiance dans ce partage d’informations techniques sur les marqueurs d’attaques. Ces données seront anonymisées afin de protéger l’identité de l’entreprise victime, avant d’être transmises aux autres OIV.

… Et veut les codes sources

L’ensemble du dispositif est soumis à des contrôles décidés par le Premier ministre, et opérés par l’Anssi, un autre service de l’Etat ou un prestataire qualifié. « De nombreux OIV ont déjà des cycles d’audit, parfois imposés par d’autres réglementations. L’idée consiste à être complémentaire », assure Guillaume Poupard. Chaque système d’information d’importance vitale peut ainsi être soumis à un audit de sécurité annuel, sauf en cas d’incident de vulnérabilité, ou de manquement constaté aux règles de sécurité. Des cas qui peuvent aboutir à des contrôles plus fréquents. A noter que les pouvoirs de l’organisation chargée du contrôle sont extrêmement étendus puisqu’elle aura accès au besoin à la documentation technique des équipements et logiciels, aux moyens d’accès au SI, mais aussi aux codes sources des logiciels utilisés. Une dernière disposition qui risque de faire grincer des dents quand les logiciels ciblés sont issus de grands éditeurs du monde propriétaire.

La remarque vaut également pour le processus de certification, qui fait l’objet d’un second décret. Les éditeurs des solutions soumises à approbation devront transmettre leur code source dans le cadre de leur certification délivrée par des centres dédiés, agréés par l’Anssi. Là encore de quoi crisper de grands acteurs de la sécurité notamment américains, qui y verront une mesure protectionniste. Pour le directeur général de l’Anssi, ce processus doit permettre de désigner des « entreprises compétentes et de confiance ». Sous-entendu : plus question de faire confiance aux plaquettes commerciales des grands éditeurs. L’Agence qualifie également des prestataires. Elle l’a déjà fait pour l’audit de sécurité et prévoit d’en faire de même pour la détection d’incident et la réaction aux incidents.

Les arrêtés manquent à l’appel

Le régime contraignant auquel seront soumis les OIV devra toutefois attendre une série d’arrêtés pour entrer réellement en vigueur, arrêtés qui viendront adapter les règles des décrets secteur d’activité par secteur d’activité. Ceux-ci fixeront les modalités d’application des obligations et surtout les délais dont disposent les OIV pour répondre à ces contraintes. Depuis septembre dernier, 18 groupes de travail ont été réunis par l’Anssi pour avancer concrètement secteur par secteur. « Ce travail n’est pas toujours simple car certaines règles peuvent avoir un impact financier non négligeable pour certains opérateurs », admet Guillaume Poupard. Gérôme Billois estime, lui, que les réactions des OIV sont très partagées : « Certains y voient une occasion de placer la question de la sécurité en pleine lumière. D’autres appréhendent ces mesures comme une intrusion, et cherchent à en limiter l’impact par une approche juridique. Mais on est davantage ici dans une posture sectorielle que dans des arguments directement liées aux coûts de mise en œuvre. »

L’Anssi espère que les premiers arrêtés seront publiés à la rentrée et que la liste sera complétée tout au long de l’année. Un calendrier optimiste comme le reconnaît d’ailleurs à demi-mot Guillaume Poupard. « Je ne crois pas que tous les arrêtés puissent être publiés fin 2015. Et l’application des règles dépendra de prestataires qui devront être habilités par l’Anssi, ce qui prend du temps, relève de son côté Gérôme Billois. On travaille sur un horizon s’étalant entre un à trois ans. »