La sécurité des OIV mise au pas par l’Etat… petit à petit
Les premiers arrêtés encadrant la sécurité des OIV illustrent la difficulté à mettre en place un dispositif encadrant la cybersécurité des entreprises. L’Anssi vante une démarche pionnière et reconnaît que les organisations concernées devront investir pour se conformer aux nouvelles règles.
Trois arrêtés sectoriels sur 18. L’entrée en vigueur, au 1er juillet, des premières mesures encadrant la sécurité des OIV (Opérateurs d’importance vitale), 249 organisations dont le bon fonctionnement est jugé essentiel au fonctionnement de la Nation, illustre bien la difficulté à poser un cadre réglementaire sur la cybersécurité des grandes entreprises. Découlant de l’article 22 de la Loi de programmation militaire (LPM), votée fin 2013, cet ensemble de règles, qui comprend notamment la notification des incidents de sécurité à l’Anssi (Agence nationale de sécurité des systèmes d’information), avait fait l’objet d’un décret en mars 2015. Restait à adapter ce décret à la réalité des différents secteurs d’activité. Ce qui, de toute évidence, a pris plus de temps que prévu. Rappelons qu’à l’origine, l’Anssi espérait voir les premiers arrêtés sectoriels sortir à l’automne 2015…
Mais Guillaume Poupard, le directeur général de l’Anssi, assume tant le choix de la France d’en passer par la loi (plutôt que par un simple référentiel de bonnes pratiques) que le décalage de calendrier, révélateur de la difficulté à traduire sur le terrain l’article 22 de la LPM. Lors d’une conférence de presse organisée à l’occasion de la sortie des premiers arrêtés, dédiés aux secteurs de l’eau, de l’alimentation et de la santé, il explique : « Je préfère avoir dès le départ annoncé un calendrier ambitieux et avoir aujourd’hui un dispositif en place. Avec l’Allemagne, la France fait partie des pays pionniers de ce type de démarche. Et si nous avons pu prendre quelques mois de retard sur le calendrier initial, nous restons très en avance sur nos alliés. » D’autres arrêtés sectoriels devraient sortir en octobre 2016 et janvier 2017. Une fois ces textes publiés, les OIV ont, pour les règles les plus complexes, jusqu’à 18 mois ou 2 ans pour les mettre en œuvre. « On a déjà vérifié que ces règles étaient efficaces et soutenables financièrement », assure Guillaume Poupard.
« Oui, cela coûte de l’argent »
La définition de ces règles, au sein de 12 groupes de travail sectoriels, n’a pourtant pas été simple. Tout simplement parce qu’elles se traduisent par des investissements contraints pour les entreprises concernées sur les systèmes d’information considérés d’importance vitale. Certaines se verront dans l’obligation de revoir leurs architectures réseau par exemple. « On va imposer des règles, des contrôles, des notifications d’incidents, la capacité pour l’Anssi à imposer sa réponse aux incidents en cas de crise. C’est assez violent. Mais, il faut garder à l’esprit que ces règles ont été élaborés au sein de groupes de travail associant les OIV », tranche Guillaume Poupard. Selon ce dernier, la sécurité devrait peser entre 5 et 10 % du budget de la DSI de tout OIV. « Nos mesures ne s’inscrivent pas dans l’épaisseur du trait budgétaire. Mais ce n’est pas grand-chose comparé au prix à payer lorsqu’on est victime d’une attaque informatique », tranche-t-il. Et d’assurer qu’aucun groupe de travail ne connaît une situation de blocage empêchant d’avancer sur la rédaction des arrêtés.
Si le dispositif se met donc en place au forceps, tout n’est pas encore parfaitement défini. Illustration avec les incidents de sécurité que les OIV doivent notifier à l’Anssi. Cette dernière ne peut matériellement pas consolider l’ensemble des incidents des 249 OIV français. Dès lors quels événements devront être communiqués et lesquels devront rester cantonnés entre les murs de l’organisation visée ? « C’est un sujet complexe car les premiers indices d’une attaque sont souvent de la taille d’une tête d’épingle, reconnaît Guillaume Poupard. C’était par exemple le cas pour l’affaire TV5 Monde. » Selon le directeur général de l’Anssi, des expérimentations sont en cours pour placer le curseur au bon endroit.
De l’efficacité de ce dispositif dépendra la réalisation d’un des objectifs de l’Anssi, la capacité à organiser la défense collective. L’Agence se voit en effet comme un tiers anonymisateur permettant d’assurer le partage d’informations sur les menaces à l’intérieur d’un secteur ou à l’échelle de l’ensemble des OIV. Une mise en commun que rechignent à effectuer les entreprises – même si des secteurs comme la banque se sont organisés en ce sens – pour des raisons concurrentielles.
L’Anssi veut les codes sources
En parallèle, pour compléter ce dispositif, l’Anssi s’est lancée dans un travail de qualification des prestataires et fournisseurs à même d’implémenter les règles édictées dans les arrêtés. Un processus plus lourd qu’une simple certification. Aujourd’hui, une vingtaine de prestataires d’audit ont ainsi été qualifiés. L’agence doit également publier des listes de prestataires de détection d’incidents, de réactions aux incidents ainsi que des sondes de détection. Si Guillaume Poupard écarte toute volonté de protectionnisme économique déguisé, il reconnaît que cette démarche de qualification – qui va jusqu’à l’évaluation des experts eux-mêmes ou l’audit du code source pour les logiciels – introduit un biais, favorisant les entreprises hexagonales. « L’accès au code source est par exemple accepté par certains industriels américains, mais refusé par d’autres », reconnaît-il.
Si, malgré les réticences de certains OIV, la France a décidé de presser le pas, c’est que les signaux d’alerte se multiplient. « Nous craignons notamment la diffusion des savoirs aux groupes terroristes, via le mercenariat. Nous avons des informations des services de renseignement nous indiquant que ces groupes ont la volonté de recruter des compétences cyber », assure Louis Gautier, le secrétaire général de la défense et de la sécurité nationale. Un pirate informatique kosovar, arrêté en Malaisie en octobre 2015, a ainsi reconnu avoir vendu ses services à Daesh. Connu sous le pseudonyme Th3Dir3ctorY, il vient de plaider coupable devant la justice américaine et risque 20 ans de prison.
De son côté, Guillaume Poupard s’inquiète du comportement de certains assaillants qui semblent mener des missions d’exploration sur les réseaux des entreprises françaises. « Comme s’ils voulaient préparer l’avenir. Que cherchent-ils à faire exactement ? Nous ne le savons pas, mais ces opérations de préparation sont particulièrement inquiétantes », dit le directeur général de l’Anssi, qui précise que les alliés de la France observent le même phénomène.
A lire aussi :
Eau, santé et alimentation, les premiers arrêtés sur les OIV publiés
L’Etat français va certifier les Cloud de confiance
Cybersécurité : les grandes entreprises trouvent un modus vivendi avec l’Anssi
