La pression s'accroît sur les opérateurs d'importance vitale

SANDRINE CASSINI / JOURNALISTE ET FLORIAN DEBES | LE 31/03 À 06:00

Un décret précise les nouvelles obligations en matière de cybersécurité.

Des contraintes, des lourdeurs, des coûts, et l'obligation de communiquer ses attaques informatiques aux autorités. Tel sera le prix à payer pour les opérateurs d'importance vitale (OIV), ces entreprises dont l'activité est jugée stratégique pour la nation. Un an et demi après le vote de la loi de programmation militaire, un décret renforçant les obligations de 218 entreprises de tous secteurs (banques, opérateurs télécoms, grande distribution, etc.) a été publié dimanche.

Alors que les risques de cyberattaques pouvant avoir de lourdes conséquences pour le pays se multiplient (panne d'électricité plongeant la France dans le noir ou coupures Internet, par exemple), l'objectif de la loi et de son décret est de permettre aux OIV de mieux se protéger. Ils devront notamment mettre en place des systèmes de détection des intrusions dont il sont l'objet et procéder à des audits en faisant appel soit à l'Agence nationale de la sécurité des systèmes d'information (ANSSI), soit à des prestataires labellisés, comme Thales.

Grincements de dents

Un ensemble de contraintes qui fait grincer des dents. « Cela peut coûter jusqu'à plusieurs centaines de milliers d'euros par an pour les grandes structures. Il y a des oppositions de principe, parce que ces mesures sont coûteuses et peuvent freiner le business », explique Patrick Chambet, membre du conseil d'administration du Club des experts de la sécurité de l'information et du numérique (CESIN). « L'idée, c'est d'imposer des choses, mais intelligemment, en créant un lien de confiance », tentait de calmer vendredi le directeur général de l'ANSSI, Guillaume Poupard, devant des experts de la sécurité informatique dans la banque. « Il faudra être vigilants sur la notion d'OIV, pour éviter que ces obligations très contraignantes ne s'étendent à trop d'acteurs », avertit Thierry Rouquet, président de la commission sécurité de l'Afdel (éditeurs de logiciels).

Autre réticence, les OIV rechignent à communiquer à l'ANSSI les intrusions dont ils sont victimes. Jusque-là, seuls les opérateurs télécoms se pliaient à cette obligation, issue pour eux d'une directive européenne. «  OK pour partager avec l'Etat, mais cela doit aller dans les deux sens », notait Didier Gras, le responsable de la sécurité des systèmes d'information de BNP Paribas, vendredi. Il aimerait que l'ANSSI évoque aussi avec les entreprises les attaques dont est victime l'Etat, comme celles ayant visé l'Elysée ou Bercy. L'expert bancaire en est convaincu, ces informations l'aideraient à mieux se protéger.

Pour l'instant, même si des échanges ont lieu, l'ANSSI est avare d'informations. «  Certains OIV sont si en retard sur leurs procédures de sécurité qu'ils ne pourraient de toute façon pas exploiter de telles informations », relève un cadre de l'agence.

Surtout, l'ANSSI n'a pas envie de confier à des entreprises vulnérables des données classées « confidentiel défense ». « Le partage d'informations est inéluctable, car cela renforce considérablement la protection des entreprises », prédit Thierry Rouquet. Entre l'agence et les OIV, les discussions vont se poursuivre pour préciser la nature des données échangeables.

Sandrine Cassini scassini@lesechos.fr Florian Dèbes, Les Echos

 

En savoir plus sur http://www.lesechos.fr/journal20150331/lec2_high_tech_et_medias/0204265745969-la-pression-saccroit-sur-les-operateurs-dimportance-vitale-1106986.php?ggYtQsuyStOLLPmm.99