Le livre que j’ai commis l’an dernier parle notamment de l’indispensable protection de l’informatique de production, trop souvent négligée, voire occultée.

Des décrets sectoriels post LPM concernant les entreprises traitant de produits de santé, d’alimentation, et de gestion de l’eau viennent d’être publiés au JO, obligeant les opérateurs d’importance vitale (OIV) à renforcer leur sécurité informatique. Il était temps. Espérons que, par la suite, ce renforcement se diffusera jusqu’aux entreprises de toute taille.

Source.

Une présentation succincte de ces décrets peut être trouvée ici.

On y lit notamment que Les processus associés à la déclaration des incidents (les attaques) s’intègrent pour leur part dans le cadre de formulaires susceptibles de contenir des informations couvertes par le secret de la défense nationale. C’est du bon sens.

C’est une réponse pragmatique à la réalité du fonctionnement des entreprises civiles. Celles-ci devront entrer dans une logique d’habilitation militaire, tout à fait proportionnée à leur métier.

Les arrêtés sont publics, avec leur annexe I. Pour autant, les annexes II, III et IV ne sont pas publiques et restent notifiées « aux seules personnes ayant besoin d’en connaître ». Il s’agit des questions relatives aux délais dans lesquels les opérateurs sont tenus d’appliquer les règles de sécurité, des questions relatives à la liste des SIIV, et des questions relatives aux modalités avec lesquelles les opérateurs déclarent à l’agence certains types d’incidents.

Le pragmatisme ne s’arrête pas là. Les OIV devront homologuer leurs SI d’importance vitale (SIIV). Pour cela, une grande autonomie est laissée aux OIV, ce qui est logique car non seulement l’État n’en aurait pas les moyens, mais il est aussi nécessaire que, pour des sujets d’une telle importance, les OIV se prennent en main.

Dans le même ordre d’idées, les OIV devront effectuer une revue des droits des utilisateurs au moins une fois par an. Se pose cependant la question des comptes partagés, parfois inévitables : Pour Gérôme Billois, « malheureusement, les comptes partagés sont parfois toujours incontournables, pour des raisons techniques historiques. Les arrêtés visent clairement à diminuer et encadre leur usage. Des indicateurs sur le nombre de ces comptes sont prévus pour suivre précisément ce point ».

Une question plus délicate est celle de la confidentialité de la déclaration des incidents de sécurité. C’est une vraie question. Les diffuser montre à l’attaquant qu’il a été mis à jour et peut générer une inquiétude au sein de l’entreprise. Cependant, diffuser le mode opératoire permet aux autres cibles potentielles de se prémunir d’une attaque, car dans le cyber, c’est comme dans le monde réel, un mode opératoire qui fonctionne est un mode opératoire qu’on reconduit.

Pour information, la déclaration des incidents de cybersécurité suit ce modèle, disponible sur le site de l’ANSSI, et la consultation des décrets fait apparaître les 20 règles suivantes :

1. Règle relative à la politique de sécurité des systèmes d’information ;
2. Règle relative à l’homologation de sécurité ;
3. Règle relative à la cartographie ;
4. Règle relative au maintien en condition de sécurité ;
5. Règle relative à la journalisation ;
6. Règle relative à la corrélation et à l’analyse de journaux ;
7. Règle relative à la détection ;
8. Règle relative au traitement des incidents de sécurité ;
9. Règle relative au traitement des alertes ;
10. Règle relative à la gestion des crises ;
11. Règle relative à l’identification ;
12. Règle relative à l’authentification ;
13. Règle relative aux droits d’accès ;
14. Règle relative aux comptes d’administration ;
15. Règle relative aux systèmes d’information d’administration ;
16. Règle relative au cloisonnement ;
17. Règles relatives au filtrage ;
18. Règle relative aux accès à distance ;
19. Règle relative à l’installation de services et d’équipements ;
20. Règle relative aux indicateurs.