Loi de Programmation militaire

Sur fond de recrudescence des cyber-menaces étatiques et de contexte géopolitique tendu, certains acteurs économiques ou industriels font figure de cibles de premier choix. Parmi eux, on retrouve les Opérateurs d’Importance vitale (OIV), qui sont des acteurs publics ou privés dont les activités sont jugées indispensables au bon fonctionnement et à la survie de la Nation (la liste est confidentielle mais on estime le nombre d’OIV entre 200 et 300). Afin d’améliorer la protection de ces OIV tout en permettant à l’ANSSI (Agence nationale de la sécurité des systèmes d’information) de mieux les soutenir et de les accompagner en cas d’attaque informatique, l’État a fait évoluer le Code de la défense via la Loi de Programmation militaire de 2013 (LPM), pour imposer un certain nombre de règles relatives à leur cybersécurité. Retour sur cette loi bouleversant le secteur de la cybersécurité française et sur les obligations qui en découlent pour les OIV.

Que prévoit la Loi de Programmation militaire (LPM) et en quoi consiste-t-elle ?

La LPM s’inscrit dans la continuité d’une importante prise de conscience étatique du « risque cyber ». Un large dispositif interministériel de sécurité des activités d’importance vitale (SAIV) protège les OIV des risques de sûreté habituels depuis 2006. Les SAIV représentent des activités qui ont trait à la production et à la distribution de biens ou de services indispensables à la continuité de l’État et pour subvenir aux besoins vitaux de la population. Pour faire face aux nouvelles menaces cyber, l’article 22 de cette loi vient définir les responsabilités et les obligations des OIV en termes de protection de leurs systèmes d’information critiques. Il oblige ainsi les OIV à faire auditer leurs SIIV (Systèmes d’Information d’Importance Vitale) par des organismes qualifiés PASSI (Prestataires d’Audit SSI) ainsi qu’à mettre en œuvre les mesures de sécurité des systèmes d’informations (SSI) et des systèmes de détection qualifiés. Plus encore, l’article contraint les OIV à déclarer de façon immédiate des incidents SSI affectant de manière significative leurs SIIV.

Entrées en vigueur à partir du 1er juillet 2016 via les premiers arrêtés sectoriels, les mesures de la LPM méritent d’être observées de plus près au vu du rôle central qu’elles sont désormais amenées à jouer dans le secteur de la cybersécurité française.

Tableau synthétique des différentes règles et obligations imposées aux OIV par la LPM

Catégories de règlesRègles relatives…Principales obligations
Maîtrise des SI (règles 3 et 4) :

il est attendu de l’OIV qu’il connaisse à tout moment les composants constituant chacun de ses SIIV (cartographies à jour) et qu’il sache y déployer tous les correctifs de sécurité nécessaires ou mettre en œuvre des mesures compensatoires appropriées.

À la cartographieCartographie de chaque SIIV et disponible en cas d’audit
Au maintien en condition de sécuritéSuivi et prise en compte des correctifs de sécurité

Gestion des mises à jour des SIIV

Gestion des incidents de sécurité (règles 5 à 10) :

au niveau de la détection des incidents, les journaux d’événements clés doivent être activés, centralisés et archivés, puis corrélés et analysés sur une infrastructure dédiée et conformément au référentiel PDIS. Des sondes réseaux qualifiées doivent être mise en place entre les SIIV et les réseaux tiers à ceux de l’OIV.

À la journalisationMise en place d’un système de journalisation pour chaque SIIV
À la corrélation et à l’analyse de journauxMise en œuvre d’un système de corrélation et d’analyse des journaux, exploité en s’appuyant sur les exigences du référentiel PDIS
À la détectionMise en œuvre de sondes de détection qualifiées opérées par l’ANSSI, d’autres services de l’Etat ou des prestataires qualifiés, positionnées de manière à pouvoir analyser les flux échangés entre les SIIV et les autres systèmes
Au traitement des incidents de sécuritéMise en place d’une organisation de gestion des incidents de sécurité informatique
Traitement des incidents de sécurité en s’appuyant sur les exigences du référentiel PRIS
Au traitement des alertesCommunication à l’ANSSI d’un point de contact fonctionnel pouvant prendre connaissance à toute heure des signalements de l’ANSSI
À la gestion des crisesMise en œuvre d’une procédure de gestion de crise en cas d’attaques informatiques majeures
Protection des systèmes (règles 11 à 19) :

chaque SIIV devra respecter les bonnes pratiques de sécurité sur l’authentification et l’habilitation des utilisateurs des SIIV, sur les principes et infrastructures d’administration, sur le cloisonnement des SIIV et la gestion des flux ainsi, sur les principes d’accès à distance, ainsi que sur le durcissement des composants à leur installation

À l’identificationIdentification par comptes individuels
À l’authentificationProtection des éléments secrets d’authentification
Aux droits d’accèsGestion des autorisations selon le principe du moindre privilège
Connaissance des comptes privilégiés et des droits associés
Aux comptes d’administrationUtilisation de comptes dédiés à l’administration pour l’administration des SIIV
Aux systèmes d’information d’administrationMise en place de ressources matérielles et logicielles dédiées aux opérations d’administration
Séparation entre les flux d’administration et les autres flux
Au cloisonnementCloisonnement entre les différentes parties du SIIV et vis-à-vis des systèmes extérieurs au SIIV
Au filtrageApplication d’une politique de filtrage pour s’assurer que seuls les flux strictement nécessaires sont utilisés
Aux accès à distanceContrôle strict des connexions distantes
À l’installation de services et d’équipementsDurcissement des éléments du SIIV

La LPM : des enjeux forts pour les OIV

L’entrée en application de la LPM amène inévitablement les responsables des OIV à réaliser des investissements conséquents ; d’une part afin de décliner la notion de SIIV sur leur périmètre, d’autre part afin de se mettre en conformité à chacune des règles énoncées ci-dessus et aligner leurs processus de corpus documentaire sur le formalisme imposé par la Loi. Le dispositif LPM prévoit que l’ANSSI ou d’autres prestataires qualifiés réalisent des contrôles de sécurité afin de s’assurer de la bonne application des règles de sécurité. Un non-respect des règles entraînera une mise en demeure d’appliquer la règle, et en dernier recours une sanction financière.

Cette loi a le mérite d’attiser l’intérêt des décideurs, traditionnellement peu mobilisés sur le sujet de la cybersécurité, que ce soit au sein des OIV ou chez leurs fournisseurs. Cette prise de conscience collective, quelque peu contraignante, est incontestablement de bon augure pour une sécurisation pérenne des SIIV et même plus largement de tous les SI.

Dès lors, le principal enjeu pour les responsables d’OIV est de ne surtout pas limiter les questions de cybersécurité aux programmes LPM mais, au contraire, de les utiliser comme accélérateurs pour leurs autres projets. La LPM apparaît donc, derrière son lot de contraintes préalables, comme une véritable rampe de lancement pour tout le secteur français de la cybersécurité, dans les entreprises et chez les fournisseurs. Une évolution qui passe peut-être en premier lieu par le renforcement de la cybersécurité des OIV.

Dans ce contexte, la solution Sentryo ICS CyberVision s’impose comme un système de détection innovant et performant pour garantir l’intégrité et la sécurité des SIIV à caractère industriel et lutter efficacement contre les cyberattaques qui les ciblent.