Réussir la mise en conformité de ses systèmes d’informations d’importance vitale (SIIV)

#LPM  #CyberSécurité  #RGPD

Introduction

L’article 22 de la loi de programmation militaire (LPM) entrée en vigueur au 1er juillet 2016 via les premiers arrêtés sectoriels, introduit le concept d’opérateur d’importance vitale.

Le concept d’opérateur d’importance vitale (OIV) est défini par l’article R. 1332-1 du Code de la Défense.

Un OIV est une organisation qui :

  • Exerce des activités comprises dans un secteur d’activités d’importance vitale ;
  • Gère ou utilise au titre de cette activité un ou des établissements ou ouvrages, une ou des installations dont le dommage ou l’indisponibilité ou la destruction par suite d’un acte de malveillance, de sabotage ou de terrorisme risquerait, directement ou indirectement :
    • D’obérer gravement le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ;
    • ou de mettre gravement en cause la santé ou la vie de la population ».

L’article 22 de la loi de programmation militaire prévoit une mise à niveau de la sécurité des systèmes d’information des opérateurs dits d’importance vitale (OIV), afin d’éviter, par exemple, qu’une cyberattaque ne permette de pirater le trafic ferroviaire, d’infecter les canalisations d’eau potable ou de prendre le contrôle d’une centrale nucléaire.

Douze secteurs d’activités d’importance vitale (SAIV) ont été définis dans un arrêté du 2 juin 2006, modifié par un arrêté du 3 juillet 2008 :

  • Secteurs étatiques :
    • Activités civiles de l’État ;
    • Activités militaires de l’État ;
    • Activités judiciaires ;
    • Espace et recherche.
  • Secteurs de la protection des citoyens (dominante humaine) :
    • Santé ;
    • Gestion de l’eau ;
    • Alimentation.
  • Secteurs de la vie économique et sociale de la nation (dominantes économiques et technologiques) :
    • Énergie ;
    • Communications électroniques, audiovisuel et information ;
    • Transports ;
    • Finances ;
    • Industrie.

Actuellement, environ 250 opérateurs d’importance vitale ont été identifiés en France dont l’identité est classée confidentiel défense.

Mise en conformité de la LPM

L’entrée en application de la LPM implique nécessairement un investissement conséquent de la part des OIV, ne serait-ce que pour décliner la notion de SIIV (Système d’information d’importance vitale), mettre en conformité leurs SI à chacune des règles et aligner leurs processus et corpus documentaire sur les exigences imposées par la LPM.

L’ANSSI estime à 3 ans la durée nécessaire aux OIV pour assurer un déploiement global des mesures de cybersécurité de la LPM.

Par où commencer ?

Pour une mise en conformité efficace, il convient de commencer par dresser la liste des SIIV, réaliser la cartographie des SIIV et recenser les écarts en matière de protection des systèmes d’information.

Ci-dessous une liste précise des différentes étapes du processus d’homologation :

– Stratégie d’homologation et mise en place d’une architecture robuste :

  • Identifier les Systèmes d’information d’importance vitale de l’opérateur ;
  • (SIIV) à homologuer et le justifier ;
  • Identifier les acteurs de l’homologation et leur rôle ;
  • Instruire le contenu du dossier d’homologation et définir le planning ;
  • Mettre en conformité les systèmes d’information avec la LPM : gestion des incidents de sécurité et protection des systèmes des systèmes d’information

– Maitrise des risques :

  • Effectuer une analyse des risques pesant sur les SIIV
  • Mesurer l’écart entre les objectifs de sécurité et la réalité (audit PASSI)
  • Mise en place du plan d’actions nécessaires à la réduction des risques
  • Identifier les risques résiduels

– Décision d’homologation

Les 20 règles de la LPM

Les arrêtés de la loi de programmation militaire prévoient un délai variant de 3 mois à 2 ans pour mettre en place les mesures de mise en conformité des SIIV.

Ces mesures sont listées dans la loi, au nombre de 20, et regroupées en fonction des thématiques de mise en conformité présentées ci-dessous :

Le coût :

Les SIIV représentent en moyenne 3% des SI des OIV, ainsi les budgets nécessaires à leur mise en conformité sont encore difficiles à déterminer.

Selon l’enquête de Synetis, selon la taille des SI, le budget nécessaire peut aller de 5 à 45 millions d’euros.

Toutefois, ces budgets peuvent être largement minorés lorsque le niveau de maturité de l’opérateur en matière de cybersécurité est déjà élevé.

Les acteurs :

De par ses relations privilégiées avec l’ANSSI et son rôle au sein de son entreprise, le RSSI (responsable de la sécurité des systèmes d’information) est l’acteur légitime pour piloter et animer la mise en conformité.

Ainsi, le RSSI est le chef d’orchestre qui mobilise les différents acteurs, de la généralisation des principes de sécurité à la planification des différents chantiers de mise en conformité.

Les RSSI sont les premiers interlocuteurs de l’ANSSI, mais aussi la direction, les responsables de la sécurité, les équipes conformité, les métiers, la DSI, et les achats.

Le contenu du dossier d’homologation :

  • PSSI (politique de sécurité des systèmes d’information)
  • Stratégie d’homologation
  • Procédure d’homologation
  • Rapport d’analyse de risque
  • Rapport de l’audit PASSI (audit de configuration, architecture, organisationnel et physique)
  • Plan d’actions réduisant les risques
  • Liste des risques résiduels
  • Cartographie des SIIV
  • Avis commission d’homologation
  • Décision d’homologation

Le cycle d’homologation :

cycle d'homologation

Ce cycle d’homologation est à renouveler tous les 3 ans.

Si le SIIV est déjà en production, c’est une rétro homologation.

Si le SIIV est nouveau, l’homologation permettra la mise en production.

Si un SIIV connait un changement majeur, cela peut impliquer un réexamen du dossier d’homologation pouvant conduire à une nouvelle décision d’homologation ou à un retrait de la décision d’homologation. Il est donc recommandé que la commission d’homologation soit réunie une fois par an par l’autorité d’homologation pour vérifier le respect des conditions d’homologation.

Conclusion :

Ces 20 règles qui sont une contrainte réglementaire permettent aux OIV d’améliorer leur niveau de sécurité de leur SI en matière de processus, d’organisation humaine, d’analyse des risques et de sécurisation technique.

Cela permet de réduire grandement le risque de piratage des systèmes d’information d’importance vitale des opérateurs, de sensibiliser les équipes informatiques et de se préparer

La sécurité informatique a un coût, mais également un bénéfice : le vol d’informations stratégiques, le sabotage d’une infrastructure ou l’indisponibilité d’un système vital peuvent engendrer des impacts négatifs bien supérieures au cout de la cybersécurité que ce soit en matière de cout financier, organisationnel, juridique, réglementaire ou de déficit de réputation et d’image.

Ce qui peut occasionner un cout global pour un opérateur d’importance vitale de plusieurs centaines de millions d’euros.

Dans une stratégie de réduction des risques, il s’agit donc plus d’une opportunité qu’une contrainte.


Sources :

– Arrêté du 28 novembre 2016 fixant les règles de sécurité et les modalités de déclaration des systèmes d’information d’importance vitale et des incidents de sécurité : https://www.legifrance.gouv.fr/eli/arrete/2016/11/28/PRMD1630592A/jo/texte

– Guide d’homologation en 9 étapes de l’ANSSI : https://www.ssi.gouv.fr/actualite/lhomologation-en-9-etapes-simples-nouvelle-publication-de-lanssi/