Protéger les opérateurs d’importance vitale (OIV) est un enjeu stratégique prioritaire auquel s’attaque la directive NIS.
En effet, il s’agit d’assurer la protection d’établissements publics ou privés fournissant des produits ou des services dont l’indisponibilité ou la destruction seraient particulièrement préjudiciables à la Nation et à ses citoyens.
Les secteurs considérés comme étant d’importance vitale sont donc essentiellement ceux en rapport avec les activités régaliennes de l’Etat (armé, santé et police) mais également ceux relatifs à l’énergie, aux transports ou encore aux communications électroniques.
Ainsi, à l’ère du numérique, la protection des systèmes d’information est aussi nécessaire que la protection des infrastructures physiques des opérateurs d’importance vitale. En effet, il n’est que d’imaginer les conséquences dramatiques que pourrait avoir une attaque informatique massive rendant indisponibles, pendant plusieurs heures, les services de renseignements, l’armée ou encore les services hospitaliers.
Face à l’ampleur des menaces informatiques et de leur impact potentiellement destructeur pour la Nation, un arsenal législatif et règlementaire a été récemment mis en œuvre par la France afin de renforcer la protection des systèmes d’information des opérateurs d’importance vitale.
L’un des derniers arrêtés en date concerne la protection des systèmes d’information des OIV du secteur des communications électroniques et de l’internet. Cet arrêté du 28 novembre 2016 est entré en vigueur le 1er janvier 2017.
Un arsenal législatif étoffé
L’article 1er du décret n°2015-351 du 27 mars 2015 relatif à la sécurité des systèmes d’information des opérateurs d’importance vitale indique que le Premier ministre doit publier un arrêté relatif aux mesures de sécurité des systèmes d’information pour chacun des secteurs considérés comme étant d’importance vitale.
A ce titre, plusieurs arrêtés ont déjà été promulgués entre le 1er juillet et le 1er octobre 2016, concernant, entre autres, les secteurs de la santé, de la gestion de l’eau ou encore de l’énergie électrique. La mise en œuvre de cet arsenal se poursuit donc encore avec la publication de nouveaux arrêtés publiés, dont un s’appliquant exclusivement au secteur des communications électroniques et de l’internet.
L’objectif de cet arrêté est de fixer des règles de sécurité des systèmes d’information des OIV du secteur des communications électroniques afin de prévenir au mieux toute éventuelle attaque informatique qui entraînerait l’indisponibilité des réseaux de communications électroniques et donc l’indisponibilité de tout service numérique utilisant internet.
Afin de prévenir et de contrecarrer ces attaques, l’arrêté impose un certain nombre d’obligations aux OIV.
Mise en œuvre d’une politique de sécurité
L’arrêté du 28 novembre 2016 impose aux OIV de développer une politique de sécurité des systèmes d’information (PSSI) qui doit formellement être approuvée par la direction de l’opérateur et faire l’objet d’un rapport annuel.
La politique de sécurité fixe les grandes lignes prises par l’opérateur en ce qui concerne la sécurité de ses systèmes d’information d’importance vitale (SIIV) et a vocation à évoluer avec le temps et avec l’évolution technologique.
Cette politique de sécurité doit, notamment, décrire l’ensemble des moyens organisationnels et techniques mis en œuvre pour assurer la protection des systèmes d’information, ce qui se traduit notamment par un plan de sensibilisation ainsi que par un plan de formation du personnel aux problématiques de la cyber-sécurité.
Homologation des systèmes de sécurité
Afin de s’assurer que l’opérateur prend l’ensemble des mesures nécessaires à la protection des systèmes d’informations, l’arrêté du 28 novembre 2016 impose aux OIV de procéder à l’homologation du système de sécurité de chaque système d’information utilisé.
Cette décision d’homologuer la sécurité des réseaux ne peut être prise qu’à la suite d’un audit interne des mesures de sécurité élaborées par l’opérateur afin de s’assurer que le niveau de protection est suffisamment élevé.
L’homologation attestera donc que les risques pesant sur la sécurité des systèmes d’information ont été effectivement identifiés par l’OIV et que ce dernier a pris les mesures nécessaires pour protéger ses systèmes d’information en toute connaissance de cause, notamment car l’audit est censé avoir permis de vérifier que les mesures de sécurité sont suffisantes.
Il s’agit donc d’une décision qui engage fermement l’OIV et qui pourra lui être opposée en cas de défaillance ou d’indisponibilité des services de communications électroniques due à un manque de protection des systèmes d’information.
Mise en œuvre de règles préventives
L’arrêté impose également aux OIV de mettre en œuvre de nombreuses mesures préventives de sécurité, visant à limiter au maximum les risques de succès d’une attaque informatique ou d’en limiter l’impact.
Entre autres, l’arrêté impose de développer une procédure de maintien des conditions de sécurité afin de pallier les évolutions des vulnérabilités et des menaces informatiques. En effet, le secteur de l’informatique est en constante évolution et les menaces informatiques évoluent avec les évolutions technologiques.
Afin de prévenir ces risques, l’opérateur doit, par exemple, se tenir informé des vulnérabilités et des mesures correctrices de sécurité susceptibles de concerner les ressources matérielles et logicielles de ses SIIV.
Dans cette même logique, il est préconisé d’établir des règles de cloisonnement afin d’éviter que les « virus informatiques » se propagent à l’ensemble des systèmes d’information. Il s’agit donc d’utiliser plusieurs systèmes d’information différents ayant chacun un rôle spécifique et n’étant pas interdépendants afin de limiter au maximum les risques de propagation du virus. Il s’agit, d’une sorte de « quarantaine » au titre de laquelle si tous les systèmes d’information sont séparés et non interdépendants, le virus restera confiné au système d’information attaqué et ne pourra pas s’étendre au-delà.
En outre, il est également prévu de limiter les risques d’attaque de types « Ddos » ou « Deny of Service » qui consiste à submerger un réseau d’information afin, soit de limiter son utilisation, soit de le faire tomber en panne, par la mise en œuvre de filtres des flux inutiles au fonctionnement des systèmes d’information d’importance vitale. En effet, le fait de limiter le flux d’information et de filtrer certaines données restreint nécessairement les risques d’attaque informatique de ce type.
De même, afin de prévenir au mieux tout risque d’attaque informatique, l’arrêté préconise la mise en œuvre de plusieurs procédures de contrôle des utilisateurs notamment par l’établissement d’un système de journalisation enregistrant les événements relatifs à l’authentification des utilisateurs, à la gestion des comptes et des droits d’accès, qui permet de détecter des événements susceptibles d’affecter la sécurité des SIIV grâce, notamment, au croisement de données.
Mise en œuvre de règles curatives
Enfin, dans le cas d’une attaque informatique, il est nécessaire que l’opérateur soit en capacité de se protéger. Ainsi, l’arrêté prévoit des mesures relatives au traitement des incidents de sécurité et au traitement des alertes.
A titre d’exemple, l’opérateur doit disposer d’un service de permanence 24h sur 24 afin de prendre connaissance, à tout moment et sans délai, d’informations transmises par l’Anssi relatives à des incidents, des vulnérabilités et des menaces informatiques.
En outre, l’opérateur doit mettre en œuvre une procédure de gestion de crise en cas d’attaques informatiques majeures qui décrit les moyens à développer dans le cas d’une telle situation et, qui consiste, par exemple, en l’installation de mesures correctrices de sécurité ou en l’isolation des systèmes d’information du réseau internet.
Compte tenu de leur caractère stratégique, les OIV sont tenus de respecter de lourdes obligations en matière de sécurité. Il convient donc qu’ils soient particulièrement vigilants dans la mise en œuvre de leur politique de sécurité et de leur procédure d’homologation afin de s’assurer que les moyens de sécurité techniques et juridiques dont ils disposent sont suffisants.
Il est également conseillé de s’y prendre à l’avance afin d’être en capacité de répondre à l’ensemble des exigences demandées par l’arrêté, notamment, en ce qui concerne les aspects techniques de sécurité, mais également de répondre aux exigences de la directive NIS qui entrera en vigueur en droit interne en 2018.
Enfin, il est recommandé de réaliser, avant toute homologation, un audit juridique permettant de déterminer si l’ensemble des obligations de sécurité est respecté par l’OIV afin de prévenir toute éventuelle mise en cause pour non-conformité.