Qu’apportent les derniers décrets relatifs à la sécurité des SI des OIV ?

Gouvernance Risques et Conformité
Qu’apportent les derniers décrets relatifs à la sécurité des SI des OIV ?

Le décret 2015-351 relatif à la sécurité des Systèmes d'Information des Opérateurs d'Importance Vitale  (1) est paru le 27 mars dernier.

S'il n'apporte au final pas de grande surprise à ceux qui ont suivi sa construction, il a le mérite de bien replacer les exigences de l'Etat sur les SI des Opérateurs d'Importance Vitale.

Rappel de la notion d’Opérateur d'Importance Vitale

L'Etat identifie comme Opérateurs d'Importance Vitale, les organisations publiques ou privées pour lesquelles une défaillance de certaines de leurs activités, suite à un acte de malveillance, sabotage ou terrorisme, pourrait compromettre le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la nation, ou de mettre en cause gravement la santé ou la vie de la population.

La liste des OIV n'est évidemment pas publique, mais on y retrouve aussi bien des administrations, des médias, que des entreprises de transports, financières, industrielles ou dans le secteur de l’énergie, de la distribution ou de gestion des services d'urgence, de soin ou de secours.

Les OIV ont déjà de grandes obligations, notamment dans l'identification des activités les plus critiques, nommés Points d'Importance Vitale, et l'assurance de la continuité des activités par un Plan de Sécurité Opérateur.

Système d'Information d'Importance Vitale

Le décret amène une vraie prise de conscience au niveau des systèmes d'information : les OIV ne pourront pas protéger leurs activités et par là les intérêts de la nation, sans protéger leurs propres systèmes d'information, support à la majorité si ce n'est la totalité des activités critiques.

Les OIV vont donc devoir identifier leurs SI critiques et mettre en place les moyens nécessaires pour les protéger. Le concept de Système d’Information Importance Vitale (SIV) est enfin lancé.

L'exemple de l'attaque récente des sites de TV5 et la réaction de grande ampleur immédiatement démarrée par les services de l'Etat sont une bonne illustration. Il suffit d'imaginer les conséquences potentielles sur la nation d'une prise de contrôle de radios ou télévisions nationales, et de la panique potentielle que pourrait créer la diffusion de faux messages en période de crise terroriste pour comprendre que la protection des SI des OIV devient simplement un pré-requis majeur pour la cyberdéfense nationale.

L'ANSSI fixe les règles 

Le décret est clair, ce sera l'ANSSI qui fixera les règles à respecter. Ces règles vont évoluer souvent avec les menaces et les technologies, donc les sortir du décret est intelligent. La mise en place d'une veille permanente au sein des OIV sur les règles à appliquer va devenir essentielle.

Détecter les événements de sécurité

Qui dit Cybermenace dit Cyberdéfense, et qui dit Cyberdéfense dit capacité de détection des attaques.

Les OIV vont donc se doter d'une capacité de détecter les événements de sécurité sur leurs SIV. Le passage par un opérateur externe est possible sous réserve d'utiliser les services d'un Prestataire Qualifié ou, pour certains OIV publics, directement les services de l'ANSSI. 

LE seul conseil que nous pourrions donner aux OIV est surtout de ne pas se précipiter dans la mise en œuvre d’une solution de type SIEM (système de gestion des événements de sécurité).

Ces SIEM sont certainement des composants majeurs d'un système de détection, mais les déployer sans réfléchir en préalable aux périmètres, aux modes de fonctionnements, à l'organisation associée  peut constituer un vrai facteur d'échec.

Au contraire, il est nécessaire de déterminer au plus tôt ce que l'on veut observer et surtout se mettre en capacité de corriger les problèmes détectés. Filtrer les sources de données pertinentes au plus vite, limiter les alertes à ce qui est vraiment utile, organiser la réaction sont les priorités de ces chantiers.

Fort de cette préparation, l’opérateur pourra faire le choix d'une solution internalisée avec tout ce qu’elle implique en termes de maintien de compétences et de ressources, ou bien d’une solution externalisée avec un cahier des charges très précis et la garantie de la maîtrise dans le temps.

Dans tous les cas, il faudra viser un mode d'amélioration continue et d'enrichissement progressif pour laisser à l’organisation le temps de murir sur un sujet où beaucoup se sont déjà cassé les dents. 

Prestataire de service Qualifié 

La notion est lancée ! Et c'est une très bonne chose. Elle permettra d'homogénéiser les services externalisés de détection d'événements de sécurité et de forcer certaines bonnes pratiques.

Les définitions et les exigences sont régies par un autre décret : le 2015-350 du 27 mars 2015 (2), qui distingue évaluation des produits de sécurité et qualification des prestataires de services de confiance.

La mise en application de ce décret reste à faire. Les laboratoires d'évaluation actuels, ou CESTI, ne me semblant pas forcément en capacité de faire toutes les évaluations de ces services.

Reste une question importante : faut-il attendre d'avoir des prestataires de services qualifiés pour mettre en place une détection des événements de sécurité ? De mon point de vue, la qualification des premiers prestataires de service pourrait prendre du temps alors que l'actualité nous rappelle que la cybermenace est bien présente. Par contre, challenger son prestataire, pour s'assurer qu'il partira bien dans une démarche de qualification dès que possible, est tout simplement indispensable.

 

(1)   http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000030405967

(2)   http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000030405903

Tristan Savalle, Consultant sénior, Advens