Cyberdéfense : un décret veut faire collaborer les entreprises stratégiques avec l’Etat

FLORIAN DEBES 

La loi va renforcer les obligations des entreprises d’importance vitales pour la nation en cas de cybersécurité.

La loi de programmation militaire du 18 décembre 2013 prévoie d’obliger certaines entreprises stratégiques à alerter l’Etat en cas d’attaque informatique. Un décret précisant la manière vient de paraître.

Pour les entreprises et les administrations jugées stratégiques par l’Etat, c’est un pas de plus vers l’obligation de notifier les incidents de cybersécurité dont elles sont victimes. Le décret d’application relatif à l’article 22 de la Loi de Programmation Militaire du 18 décembre 2013 a été publié dimanche 29 mars au Journal Officiel. Il précise, entre autres, les conditions de déclarations des « incidents de sécurité ou de fonctionnement » auprès de l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Cette obligation concerne les Opérateurs d’Importance Vitale (OIV), c’est-à-dire ceux apparaissant dans une liste classée « Confidentiel –Défense ». Pour autant, le cas par cas semble s’imposer dans ce domaine sensible : 18 arrêtés viendront compléter les aspects techniques de ces règles. Pour préparer leur rédaction, l’ANSSI réunit déjà les entreprises concernées au sein de groupes de travail sectoriel. L’objectif est d’aller vite.

« Les opérateurs communiquent les informations dont ils disposent dès qu’ils ont connaissance d’un incident et les complètent au fur et à mesure de leur analyse de l’incident », indique le décret. Sur ce point, les arrêtés viendront préciser les informations qui doivent être communiquées, les modes de transmissions ainsi que le type d’incidents auxquels s’appliquera l’obligation. « Chaque jour, une entreprise peut constater des milliers d’incidents de sécurité mais tous ne sont pas critiques comme des attaques par déni de service ou des tentatives de compromission de données », explique un cadre de l’ANSSI. Parfois l’Agence pourra rédiger une synthèse à l’attention du ministère en charge du secteur d’activité de l’organisation victime. En informatique, repérer une attaque c’est déjà être en situation de crise. Un OIV sera tenu de partager avec l’Etat les informations qu’il possède au fur et à mesure qu’il en sait sur l’incident qui le préoccupe. « Heure par heure dans certaines situations », ajoute ce même cadre de l’ANSSI.

Question sur la réciprocité des échanges entre l’ANSSI et les entreprises

Pour l’instant, peu d’entreprises privées collaborent avec l’ANSSI. Reconnaître une défaillance grave n’est jamais agréable. C’est aussi prendre le risque que cela se sache en externe. « Vivons bien, vivons caché est l’état d’esprit qui prévaut », confirme Alain Bouille, le président du Club des Experts de la Sécurité Informatique (Cesin). En quatre ans, l’Agence s’est mobilisée après une centaine de notifications d’incident. Mais la plupart émanait d’administrations publiques. Exception notable, les opérateurs télécoms partagent leurs informations : lorsque l’incident a trait à des données personnelles, ils sont soumis à cette obligation par une directive européenne.

Pour l’Anssi, collecter ces informations devrait permettre de mutualiser les connaissances auprès de tous les OIV. « L’ANNSI va devoir faire preuve de son utilité », souligne Alain Bouillé. Car les entreprises s’interrogent sur la réciprocité des échanges. « Ok pour partager avec l’Etat mais cela doit aller dans les deux sens », notait Didier Gras, le Responsable de la sécurité des systèmes d’information de la BNP Paribas lors d’une conférence entre pairs du Forum des Compétences, vendredi 30 mars. Il aimerait que l’ANSSI évoque aussi les attaques dont est victime l’Etat, comme celles ayant visé l’Elysée ou Bercy.

Ce que précise aussi le décret

La loi oblige les OIV à tenir à jour une liste de leurs systèmes d’information d’importance vitale. Ceux de leurs sous-traitants, interconnectés avec les leurs, devront apparaître dans cette liste et seront soumis aux mêmes exigences de sécurité.

Les OIV sont tenus de s’équiper d’un système de détection des incidents et d’un système de contrôle de la sécurité des Systèmes d’Information. L’ANSSI tient à disposition, « par voie électronique », la liste des prestataires de service qualifiés pour ces tâches. Elle peut aussi se charger de ces contrôles.

Sauf incident majeur, le contrôle de sécurité d’un système d’information ne peut pas survenir plus d’une fois par an.

L’OIV doit fournir à son auditeur diverses informations (la documentation technique des équipements et des logiciels utilisés dans ses systèmes ainsi que les codes sources de ces logiciels) mais aussi les moyens nécessaires pour accéder à ses systèmes d’information et à l’ensemble de leurs composants.