• Print
  • Decrease text size
  • Reset text size
  • Larger text size
10/05/2016

Clarification des ambitions de la LPM en termes de sécurité des SI pour les OIV

Devant la croissance des attaques informatiques et des actes de cybercriminalité, l’état souhaite une redéfinition de la stratégie de sécurité des opérateurs d’importance vitale. Si la LPM dressait un cadre global pour la définition de cette stratégie (cf. article Sia Partners novembre 2015), les derniers arrêtés parus en juin et août eux énumèrent les obligations précises attendues par l’Etat et l’ANSSI, coordinatrice de ces actions.
 
Les arrêtés des secteurs de la gestion de l’eau, de l’alimentation et des produits de santé, des transports et de l’énergie sont déjà publiés. Les arrêtés des secteurs financiers et des activités régaliennes et technologiques (militaire, juridique, recherche, industrie, espace & communications) devraient être publiés sous peu.
Les différents arrêtés sectoriels présentent peu de différence. Ils sont constitués en effet tous vingt mesures de sécurité dont nous aborderons ci-après les points essentiels.

Gouvernance de la SSI

L’avancée principale des arrêtés sectoriels publiés modifie la relation avec l’ANSSI. Avec les arrêtés, l’agence nationale devient à la fois “le coordinateur”, “le responsable” et “le gendarme” de l’organisation de la sécurité dans les OIV. La loi prévoit des échanges réguliers de contenus tels que la cartographie des SIIV, un rapport annuel sur la mise en œuvre des mesures de sécurité ou la déclaration des incidents.

Cette relation intensifiée s’appuiera sur une personne nommée au sein de chaque OIV responsable des relations avec l’ANSSI. Dans l’optique d’une valorisation de cette fonction, une équipe de projet sera nécessaire. Elle sera composée d’experts (accrédités ou non) occupant plusieurs rôles tels que : responsable de la SSI, directeur de la SSI, administrateur d’accès aux données etc. La répartition d’internes et de prestataires de confiance est libre. Cette équipe travaillera sur les différentes dispositions nécessaires à la mise en œuvre des obligations sectorielles.

La sensibilisation de tous les utilisateurs est un des leviers de la gestion des incidents. En effet, la sécurité et la cyber sécurité apparaissent trop souvent comme des aspects techniques et éloignés de l'activité quotidienne des opérationnels. Or ces opérationnels sont les manipulateurs des systèmes d’informations d’importance vitale et doivent être les premiers à acquérir les bonnes pratiques de sécurité. Dans cette lignée, les décrets mettent en avant la mise en place de plan de formation et de sensibilisation à destination des utilisateurs. Les formations pourront être dispensées aussi bien aux responsables et directeurs de la sécurité (pour les habiliter et/ou les certifier à la gestion de crises par exemple, ou tout simplement les sensibiliser aux obligations de la LPM) qu’aux utilisateurs des SIIV en général (sensibilisation aux bonnes pratiques de sécurité).

Le responsable des relations avec l’ANSSI est préconisé pour être le garant de la qualité et de la pertinence des ressources pédagogiques de sensibilisation.

La PSSI : un dispositif au cœur des arrêtés

A la suite de la définition des bases de la gouvernance avec l’ANSSI, la LPM insiste sur la politique de sécurité des systèmes d’information(PSSI). La PSSI est un élément incontournable dans la mise en conformité avec la LPM. Sa mise à jour permettra de s’aligner sur les exigences de la LPM. Elle regroupe non seulement les grandes lignes du plan stratégique de sécurité, mais également les grands jalons à respecter pour sa réussite et son plan de mise en œuvre.

Cette PSSI doit être en adéquation avec le schéma directeur des systèmes d’information et la stratégie de l’entreprise. En effet, une PSSI analyse l’ensemble du système d’information de l’OIV afin d’en déterminer les systèmes d’information d’importance vitale (SIIV).

Pour les SIIV déterminés, une analyse approfondie permet de définir une stratégie claire de leur mise en conformité pour définir le cadre de la sécurité pour les SIIV.

Déterminer le cadre de la PSSI va permettre de dresser les bases de la sécurité à mettre en place au sein de l’OIV.  La prise en compte des contraintes réglementaires générales et spécifiques à chaque secteur d’activité permet affiner les exigences de sécurité. Ces besoins sont priorisés et exprimés dans un plan d’action qui sera alimenté régulièrement en fonction de l’évolution du contexte.

L’identification des règles passe d’abord par une mise à jour de l’analyse des risques. Cette dernière vise à identifier les risques auxquels s’expose l’OIV. Suite à cette analyse, les principes et les règles de sécurité à respecter sont dressés. Ils sont formalisés sous forme de notes de synthèse pour pouvoir être communiqués.

Une architecture robuste des SIIV

Améliorer la sécurité passe également par l’évolution des composantes techniques des systèmes d’information d’importance vitale. L’annexe de l’arrêté prévoit en vingt mesures un ensemble de dispositions techniques à mettre en œuvre. L’une des premières repose sur un triptyque d’obligations : la déclaration, l’homologation et la cartographie (physique, logique et fonctionnelle) des SIIV. L’obligation imposée par la LPM notamment en termes de cartographie est un élément dimensionnant qui nécessitera beaucoup de documentation et une vigilance quant aux ajustements et mises à jour à réaliser dans les mois et années suivants la création de la cartographie. Ces premières obligations marquent l’ambition de proposer une vision complète des SI, ainsi que leur positionnement au sein de l'organisation.

Cette première étape indispensable est accompagnée d’un certain nombre de dispositions techniques pouvant être regroupées selon les catégories suivantes :

  • La mise en place d’une architecture résiliente

D’une part, l’arrêté précise qu'une procédure de maintien en condition opérationnelle doit être mise en place. Celle-ci, contenant des dispositifs de veille, de mise à jour des versions des logiciels ainsi que la correction des vulnérabilités s'apparentera à un CERT.
D’autre part, les SIIV devront être cloisonnés physiquement ou logiquement. Ceci se traduira notamment par un durcissement des systèmes avec la mise en place de mesure de filtrage. Les systèmes devront être indépendants et les accès à distance soumis à authentification et chiffrement. Les fonctions d’administrations requièrent également d’être parfaitement indépendantes pour éviter toutes pénétration ou prise en main des réseaux et des SIIV.

  • Une gestion des accès aux SIIV

La demande forte en termes d’architecture sécurité implique également une gestion des accès aux SIIV. Les droits d’accès, les comptes privilégiés devront être gérés selon des procédures spécifiques. Les accès au SIIV seront obligatoirement authentifiés selon les moyens d'authentification acceptables définis dans les guides de l’ANSSI. De même, l’ensemble des accès aux SIIV seront identifiés*. 

La gestion des incidents, une obligation qui induit de créer un SOC

La détection et la gestion des incidents est un des points indispensables du dispositif prévu par l’ANSSI. La mise en place d’un SOC (Security Operations Center) est l’une des mesures phares. Elle permettra d’analyser et de corréler les journaux d’événements issus de la journalisation.

Chaque incident sera identifié et qualifié, permettant de déclencher la procédure adéquate contenant les mesures à prendre et la communication à effectuer. La gestion des incidents interviendra en conformité avec les principes du référentiel Prestataire de Réponse aux Incidents de Sécurité (PRIS) défini par l’ANSSI. Une procédure de gestion de crise complètera cette mesure, afin de prévoir les moyens de répondre aux potentielles attaques.
En parallèle, la création d’une cellule permettant de traiter les alertes émanant de l’ANSSI favorise une veille continue des incidents et des alertes de sécurité, car les menaces évoluent en permanence. 

 

Les différents arrêtés sectoriels parus à date permettent de structurer et de clarifier les exigences de la LPM. Les arrêtés sont détaillés et permettent de cadrer les exigences compris normalement dans le seul cadre d’une PSSI : gouvernance, architecture, gestion des incidents. L’ensemble des dispositions techniques et organisationnelles démontre l’engagement de l’ANSSI pour uniformiser et mettre à niveau les pratiques de sécurité entre les OIV. De plus, l’obligation de mettre en place des indicateurs ainsi que la constitution d’un rapport annuel sont autant d’engagements pour dépasser l’enthousiasme des premières années.

---------------------------------------------

* L’ANSSI certifie les solutions de gestions des accès. Sur son site internet, une liste de l’ensemble des logiciels est disponible sur : http://www.ssi.gouv.fr/entreprise/qualifications/produits-qualifies-par-lanssi/les-produits/

Adam Wojnicki - Senior Manager 
Taha Barakate - Senior Consultant 
Badr Bouganga - Consultant 
Marguerite Delalonde - Consultante
 
0 comment
Post a comment

Plain text

  • No HTML tags allowed.
  • Web page addresses and e-mail addresses turn into links automatically.
  • Lines and paragraphs break automatically.
Image CAPTCHA
Enter the characters shown in the image.
Back to Top