« Renforcer la cybersécurité des infrastructures les plus critiques pour la Nation »

Quel r&ocirc;le joue l&rsquo;ANSSI en termes de r&eacute;glementation de la cybers&eacute;curit&eacute; ? L&rsquo;ANSSI est l&rsquo;autorit&eacute; nationale en mati&egrave;re de s&eacute;curit&eacute; et de d&eacute;fense des syst&egrave;mes d&rsquo;information. Rattach&eacute;e au secr&eacute;taire g&eacute;n&eacute;ral de la d&eacute;fense et de la s&eacute;curit&eacute; nationale, elle est plac&eacute;e sous l&rsquo;autorit&eacute; du Premier ministre, qui d&eacute;finit la politique et coordonne l&rsquo;action gouvernementale en la mati&egrave;re. Depuis sa cr&eacute;ation, l&rsquo;ANSSI a un r&ocirc;le d&rsquo;assistance, de conseil et d&rsquo;expertise. Avec la loi de programmation militaire (LPM) du 18 d&eacute;cembre 2013, qui d&eacute;coule du Livre blanc sur la d&eacute;fense et la s&eacute;curit&eacute; nationale de 2013, l&rsquo;agence est devenue un r&eacute;gulateur multisectoriel qui &eacute;dicte des r&egrave;gles en mati&egrave;re de s&eacute;curit&eacute; des syst&egrave;mes d&rsquo;information (SSI) pour les op&eacute;rateurs d&rsquo;importance vitale (OIV [1] ). Les OIV sont un &eacute;l&eacute;ment d&rsquo;un dispositif beaucoup plus large, les secteurs d&rsquo;activit&eacute; l&rsquo;importance vitale (SAIV), au nombre de douze, parmi lesquels le secteur financier, qui regroupe &eacute;tablissements bancaires, infrastructures de march&eacute; et op&eacute;rateurs de paiement. Lors de sa cr&eacute;ation, le dispositif SAIV a &eacute;t&eacute; mis en place afin de prot&eacute;ger, en mati&egrave;re de s&eacute;curit&eacute; physique, les sites sensibles des OIV. Le volet cybers&eacute;curit&eacute; de la LPM s&rsquo;adosse &agrave; ce dispositif d&eacute;j&agrave; existant. L&rsquo;article 22 de la loi de programmation militaire traduit la volont&eacute; du l&eacute;gislateur de renforcer la cybers&eacute;curit&eacute; des infrastructures les plus critiques pour la Nation. Le d&eacute;cret n&deg; 2015-351 du 27 mars 2015 d&eacute;taille les quatre mesures &agrave; destination des op&eacute;rateurs d&rsquo;importance vitale : l&rsquo;application de r&egrave;gles de s&eacute;curit&eacute; obligatoires visant &agrave; prot&eacute;ger leurs syst&egrave;mes d&rsquo;information sensibles ; la mise en place d&rsquo;audits de s&eacute;curit&eacute; ; la d&eacute;claration des incidents de s&eacute;curit&eacute; informatique affectant les syst&egrave;mes d&rsquo;information critiques ; la r&eacute;ponse aux crises majeures. Le nombre d&rsquo;OIV, estim&eacute; &agrave; plus de 200 aujourd&rsquo;hui, peut-il varier ? Il varie selon la vie &eacute;conomique, le niveau et les &eacute;volutions de la menace. La liste peut &eacute;voluer r&eacute;guli&egrave;rement &agrave; partir des travaux r&eacute;alis&eacute;s par les diff&eacute;rents minist&egrave;res coordonnateurs des douze secteurs d&rsquo;activit&eacute;. Comment ont &eacute;t&eacute; &eacute;labor&eacute;es les r&egrave;gles de s&eacute;curit&eacute; pour les OIV du secteur financier ? Des groupes de travail ont r&eacute;uni, &agrave; partir de janvier 2015, les responsables de la s&eacute;curit&eacute; des syst&egrave;mes d&rsquo;information (RSSI) des OIV du secteur financier, des repr&eacute;sentants de leur minist&egrave;re coordinateur, en l&rsquo;occurrence Bercy, et leurs autorit&eacute;s de contr&ocirc;le, AMF et ACPR. Les &eacute;changes portant sur la coconstruction des r&egrave;gles de s&eacute;curit&eacute; ont dur&eacute; jusqu&rsquo;&agrave; septembre 2015. L&rsquo;ANSSI a veill&eacute; &agrave; ce que ces r&egrave;gles soient d&eacute;fendables et soutenables &eacute;conomiquement, vis-&agrave;-vis des budgets de s&eacute;curit&eacute; informatique des acteurs concern&eacute;s. Ensuite, le processus administratif a consist&eacute; &agrave; r&eacute;diger au format &laquo; arr&ecirc;t&eacute; &raquo; les r&egrave;gles techniques &agrave; mettre en place par les OIV. Chaque secteur d&rsquo;activit&eacute; d&rsquo;OIV a men&eacute; ce type de d&eacute;marche et co-&eacute;labor&eacute; ses r&egrave;gles avec les acteurs concern&eacute;s. Quand l&rsquo;arr&ecirc;t&eacute; concernant le secteur finances va-t-il sortir et quand ses nouvelles r&egrave;gles de s&eacute;curit&eacute; seront-elles mises en place ? Cet arr&ecirc;t&eacute; devrait &ecirc;tre publi&eacute; au premier semestre 2016, en m&ecirc;me temps que plusieurs autres. Les d&eacute;lais de mise en œuvre des r&egrave;gles vont de quelques mois pour les plus simples, jusqu&rsquo;&agrave; deux ans pour les plus complexes. Les banques et les op&eacute;rateurs de march&eacute; de paiements disposant d&rsquo;un bon niveau de maturit&eacute; en s&eacute;curit&eacute; informatique, certaines r&egrave;gles sont d&eacute;j&agrave; appliqu&eacute;es, enti&egrave;rement ou en partie, par ces &eacute;tablissements. Quelles r&egrave;gles leur reste-t-il &agrave; mettre en place ? La r&egrave;gle concernant la d&eacute;tection, par exemple, impose &agrave; l&rsquo;op&eacute;rateur de mettre en place des sondes de d&eacute;tection qualifi&eacute;es par l&rsquo;ANSSI exploit&eacute;es par un prestataire, lui aussi qualifi&eacute; par l&rsquo;agence. La d&eacute;marche de qualification de prestataires de d&eacute;tection d&rsquo;incident de s&eacute;curit&eacute; (PDIS) a commenc&eacute; &agrave; la fin de l&rsquo;ann&eacute;e 2015. L&rsquo;ANSSI publiera une liste des prestataires et des sondes qualifi&eacute;es prochainement. Une &eacute;quipe interne d&rsquo;un OIV peut devenir prestataire qualifi&eacute;, sous r&eacute;serve de respecter le r&eacute;f&eacute;rentiel d&rsquo;exigence PDIS et d&rsquo;&ecirc;tre qualifi&eacute; par l&rsquo;ANSSI. Par ailleurs, certaines r&egrave;gles de s&eacute;curit&eacute;, comme le chapitre &laquo; r&egrave;gles d&rsquo;administration &raquo;, am&egrave;nent certains changements de paradigme sur la mani&egrave;re d&rsquo;administrer un syst&egrave;me d&rsquo;information, c&rsquo;est pourquoi un d&eacute;lai de deux ans est pr&eacute;vu pour sa mise en œuvre. Ces r&egrave;gles pourraient-elles &ecirc;tre modifi&eacute;es dans le temps, alors que les cybermenaces et les syst&egrave;mes d&rsquo;information &eacute;voluent ? L&rsquo;objectif est de se reposer la question de ces diff&eacute;rentes r&egrave;gles d&rsquo;ici deux &agrave; trois ans et &eacute;ventuellement de les reformuler, de les adapter &agrave; l&rsquo;&eacute;volution des menaces, mais aussi aux premiers retours d&rsquo;exp&eacute;rience des op&eacute;rateurs. Quelles sont les autres missions de l&rsquo;ANSSI ? Agence &agrave; comp&eacute;tence nationale, nous avons une mission d&rsquo;assistance, de conseil et d&rsquo;expertise notamment aupr&egrave;s des administrations et des OIV. Nous pouvons &ecirc;tre sollicit&eacute;s pour une assistance technique par les op&eacute;rateurs. Nous sommes d&eacute;sormais un r&eacute;gulateur en mati&egrave;re de cybers&eacute;curit&eacute;, avec la mission d&rsquo;&eacute;dicter des r&egrave;gles et d'en contr&ocirc;ler la bonne application. Nous qualifions des prestataires d'audit, de d&eacute;tection d'incident, de r&eacute;ponse aux incidents et de contr&ocirc;le, selon des r&eacute;f&eacute;rentiels d&rsquo;exigences. 1 Un OIV est un op&eacute;rateur public ou priv&eacute; dont l&rsquo;indisponibilit&eacute; risquerait de diminuer d&rsquo;une fa&ccedil;on importante le potentiel de guerre ou &eacute;conomique, la s&eacute;curit&eacute;, la capacit&eacute; de survie de la Nation ou de mettre gravement en cause la sant&eacute; ou la vie de population (Article R. 1332-1 du Code de la d&eacute;fense).

RECHERCHEZ UN ARTICLE, UNE CHRONIQUE, PARMI L'ENSEMBLE DES PUBLICATIONS

RECHERCHEZ UN AUTEUR

Archive

Réglementation

« Renforcer la cybersécurité des infrastructures les plus critiques pour la Nation »

À retrouver dans la revue

Paiements

Chahuté, Worldline se bouge

Macro-économie

Dette et déficit publics : comment éviter le précipice

Paiements

DeluPay, une appli alternative aux cartes de paiement

Services financiers spécialisés

Le leasing, notre meilleur atout pour une mobilité décarbonée

Archive

Panorama réglementaire des actifs numériques

Archive

Sberbank : une valeur anéantie à zéro en fonds de portefeuille

Archive

La transformation repose sur des directions responsables et des équipes pluridisciplinaires

Suivez-nous