La loi de programmation militaire, entre controverses et opportunités pour la sécurité

Gouvernance Risques et Conformité
La loi de programmation militaire, entre controverses et opportunités pour la sécurité

LOI n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale : derrière ce petit nom, issu du Journal Officiel de la République Française (N° 0294 du 19 décembre 2013) se cache la fameuse LPM, ou Loi de Programmation Militaire.

De quoi se compose ce texte ?

D’après le Sénat, ce texte a pour objet la mise en œuvre des orientations de la politique de défense française pour les six prochaines années. Autant dire qu’il s’agit d’un texte d’une très grande importance pour le pays et pour son armée. Mais cela va plus loin que la planification des dépenses du Ministère de la Défense : le texte comporte des articles fondamentaux en matière de sécurité de l’information et plus particulièrement en ce qui concerne la protection des opérateurs d’importance vitale (OIV) et la lutte contre la cybermenace.

Cybermenace : le mot est lâché. Depuis quelques temps, les textes officiels faisant référence au « cyber-» se sont multipliés. Il ne s’agit plus d’une notion réservée à quelques experts ou quelques amateurs de scénario catastrophe. La menace sur les systèmes d’information, les attaques criminelles contre ces systèmes, le besoin de se protéger et de se défendre : la cybermenace est de plus en plus sérieuse et la cybercriminalité est une réalité dont bon nombre d’entreprises ou organisations se passeraient bien. On ne peut que se réjouir d’une telle prise de conscience. S’il y a bien un domaine où le retard ou le manque de considération peut faire mal, c’est bien celui de la sécurité. Il était donc essentiel (ou tout simplement normal ?) que les autorités prennent la mesure du sujet et adoptent les politiques publiques en conséquence.

La LPM devient donc l’un des instruments essentiels dont l’Etat s’est doté pour mettre en place une réponse adaptée et d’envergure face à la cybermenace. L’ANSSI est directement concernée et peut se réjouir de voir ses budgets protégés, malgré un contexte économique plus que jamais tourné vers la réduction des coûts et l’optimisation des budgets. Le nouveau directeur de l’Agence, Guillaume Poupard, a déjà fait part de ses intentions et a souligné le rôle de la LPM, « véhicule important pour moderniser nos questions de sécurité ».

Le texte officialise notamment la capacité de réponse de l’ANSSI. Face à un attaquant, il n’est plus question de rester les bras croisés : il est maintenant possible de procéder à la « caractérisation » de l’attaque (article 21) et même à la « neutralisation de ses effets en accédant aux systèmes d’information qui sont l’origine de l’attaque » (toujours dans cet article 21 issu du chapitre IV de la LPM). C’est alors que l’ANSSI passe du rôle d’observateur au rôle de défenseur, pour ne pas dire de « contre-attaquant ». On imagine alors le chantier à mettre en place : quel cyber-armement pour réagir face aux cyber-attaques ? On ne peut qu’espérer que l’Agence se dotera des meilleurs outils et des meilleurs profils pour déployer des réponses adaptées. Notons que le nouveau directeur de l’ANSSI prône le développement d’une communauté publique et privée, française et européenne notamment. Il sera intéressant de suivre la dynamique associée, en espérant qu’elle favorise l’innovation et le développement d’un marché français pertinent, capable de répondre aux attentes des acteurs du territoire mais également capable de briller au-delà de nos frontières.

Pour l’heure, l’ANSSI poursuit ses travaux en matière d’homologation et de qualification : les prestataires d’audit seront bientôt qualifiés et les travaux sont en cours pour formaliser le référentiel applicable aux prestataires spécialisés dans le forensic et la réponse aux incidents de sécurité. Tout cela devrait permettre de faire émerger une sphère de confiance autour des acteurs qualifiés, rendant plus lisible, pour les entreprises et les collectivités, le marché des prestations de sécurité. On ne peut qu’espérer qu’une saine émulation permette de tirer le niveau vers le haut et de voir émerger une excellence à la française autour de la cyber-sécurité.

Mais la LPM n’est pas destinée qu’à l’ANSSI… bien au contraire. De nombreux articles s’adressent aux fameux Opérateurs d’Importance Vitale, les OIV. Ce sont des acteurs, du monde public ou privé, dont la sécurité apparait comme vitale pour le pays. Transports, énergie, télécommunications, santé… une cyberattaque qui paralyserait ces acteurs pourrait paralyser tout le pays. Il est donc en effet essentiel de protéger ces acteurs. La LPM réserve donc quelques-uns des articles du chapitre IV à ces acteurs (dont la liste est classifiée, rappelons-le).

L’article 22 rappelle délicatement que si le Premier Ministère fixe les règles de sécurité nécessaires à la protection des SI des OIV, il appartient aux OIV « d'appliquer ces règles à leurs frais ». Il faudra également à ces opérateurs de déclarer les incidents de sécurité informatique et de se soumettre à des audits de l’ANSSI. Et bien entendu, le manquement à ces obligations pourra mener à une amende de 150 000 euros pour les personnes physiques et de 750 000 euros pour les personnes morales…

Enfin l’article 24 glisse au passage que l’ANSSI pourra obtenir quelques informations de la part des opérateurs de télécom : identité, adresse postale et adresse électronique d’utilisateurs ou de détenteurs de SI vulnérables, menacés ou attaqués. Sur ce même sujet, un peu plus haut, en article 20, le texte permet aux services de renseignement d’avoir accès à des données de contenu et pas seulement des données de connexion aux réseaux et services de communications. La CNIL a officiellement déclaré qu’elle ne voit pas les choses sous ce Prism-là et regrette de ne pas avoir été saisie.

Outre la controverse sur les risques d’atteinte aux libertés individuelles (débat que les échanges récents sur le projet de loi de lutte contre le terrorisme n’ont pas apaisé…), c’est peut-être sur les obligations imposées aux OIV que le bât blesse… L’Etat promulgue un texte de la plus haute importance, l’ANSSI souligne le besoin de se conformer à la loi… et les principaux concernés doivent…. se débrouiller ? Toute ressemblance avec la diffusion d‘un référentiel général bien connu ne saurait être que fortuite !

L’ANSSI multiplie les recrutements et voit sa force de frappe grandir jour après jour. Tout cela va bien évidemment dans le bon sens. Mais, sur le terrain, nombreux sont les RSSI et les DSI qui se posent de nombreuses questions sur leurs obligations et la mise en application de la LPM. Comme pour le RGS, un texte comme la LPM représente une réelle opportunité de faire avancer les choses et de renforcer les démarches de sécurisation et de protection du patrimoine informationnel. Entre les sanctions et les obligations, les RSSI disposent d’arguments de poids pour trouver les budgets et les énergies nécessaires à l’enrichissement et à la mise en application de leur PSSI.

On peut cependant s’interroger sur l’accompagnement à déployer lorsqu’un texte aussi engageant voit le jour. L’ANSSI n’a jamais eu vocation à tenir la plume de chacun des RSSI des OIV, ni à valider la démarche d’homologation des autorités administratives… mais face à de tels enjeux, on peut se montrer intéressé, pour ne pas dire exigeant, quant aux décrets d’application de cette fameuse LPM… Rassurons-nous, les principaux concernés y travaillent déjà !

Benjamin Leroux, Innovation & Marketing, Advens