La cybersécurité en action

Pour chaque secteur d’activité, un arrêté du Premier ministre précise les critères permettant aux opérateurs d’identifier les systèmes d’information soumis à ce nouveau dispositif, les règles de sécurité informatique qui s’y appliqueront et les modalités de déclaration des incidents les affectant.

Les arrêtés sectoriels sont entrés en vigueur par vague :

Produits de santé (1er juillet 2016)
Gestion de l’eau (1er juillet 2016)
Alimentation(1er juillet 2016)
Approvisionnement en énergie électrique (1er octobre 2016)
Gaz naturel (1er octobre 2016)
Hydrocarbures pétroliers (1er octobre 2016)
Terrestres (1er octobre 2016)
Maritime et fluvial (1er octobre 2016)
Aérien (1er octobre 2016)
Audiovisuel et information (1er janvier 2017)
Communications électroniques et Internet (1er janvier 2017)
Industrie (1er janvier 2017)
Finances (1er janvier 2017)
Nucléaire (1er avril 2017)
Activités industrielles de l’armement (1er octobre 2017)
Espace (1er octobre 2017)
Activités Civiles de l’Etat (1er octobre 2019)
Recherche publique (1er octobre 2020)
Activités judiciaires (1er février 2022)

Les arrêtés sectoriels qui concernent les autres secteurs d’activités seront mis en ligne au fur et à mesure de leur publication.

Les mesures de cybersécurité définies par la LPM

Déclaration des SIIV

Identification et déclaration des systèmes d’information d’importance vitale par les OIV selon les critères définis par l’ANSSI

Objectif : identifier les systèmes les plus critiques pour lesquels une attaque avérée aurait des conséquences graves pour la Nation.Déclaration d’un système d’information d’importance vitale

Ce formulaire une fois rempli est couvert par le secret de la défense nationale. A cet égard, le formulaire électronique devra être complété via l’utilisation de moyens adaptés conformes à l’instruction générale interministérielle 1300 sur la protection du secret de la défense nationale. Les opérateurs d’importance vitale sont invités à le transmettre à l’ANSSI sur CD-ROM accompagné d’une copie papier, et dans le respect de ladite instruction.

Déclaration des incidents de sécurité

Notification des incidents de sécurité affectant les SIIV. La nature des incidents à notifier est précisée par arrêté.

Objectif : proposer une assistance adaptée aux OIV grâce à une évaluation rapide et précise de la menace.

Ces informations, anonymisées, pourront notamment être partagées par l’ANSSI avec les OIV du même secteur afin de renforcer leur capacité à détecter des attaques sophistiquées.

Déclaration d’un incident de sécurité

Ce formulaire une fois rempli est un document confidentiel ou un document couvert par le secret de la défense national. Il devra être transmis à l’ANSSI via un support adapté à la sensibilité des informations déclarées. A cet égard, dans le cas où le formulaire est de niveau « Confidentiel Défense », les opérateurs sont invités à le transmettre à l’ANSSI sur CD-ROM accompagné d’une copie papier, et dans le respect des dispositions de l’instruction 1300 sur la protection du secret de la défense nationale.

Les règles de sécurité

Application par les OIV à chaque SIIV déclaré d’une vingtaine de règles de sécurité définies pour chaque secteur d’activité par un arrêté spécifique.

Objectif : protéger les systèmes vitaux contre une menace informatique aux conséquences potentiellement graves.

A la fois organisationnelles et techniques, elles doivent être appliquées par l’ensemble des opérateurs – ainsi que par leurs éventuels sous-traitants – pour sécuriser efficacement leurs systèmes d’information.

Pour connaître les règles de sécurité plus en détail, rendez-vous sur la rubrique dédiée.

Contrôle de sécurité

Déclenchement, par l’ANSSI, de contrôles de sécurité des OIV effectués par les équipes de l’ANSSI, par un autre service de l’Etat ou par un prestataire qualifié.

Objectif : permettre à l’ANSSI d’accompagner les OIV dans leur démarche de sécurisation de leurs SIIV via l’évaluation du niveau de sécurité mis en place et du suivi du respect des règles de sécurité.

Quel est le rôle joué par les produits et des services dits de confiance ?

Pour les besoins de la sécurité nationale, et notamment dans le cadre de la LPM, les OIV doivent recourir à des produits et des services répondant à des exigences de sécurité et de confiance.

Sont notamment concernés les :

systèmes de détection des incidents de sécurité (systèmes de détection qualifiés);
prestataires de détection des incidents de sécurité (PDIS) ;
prestataires chargés du contrôle de la sécurité des systèmes d’information (PASSI)

A titre d’exemple, pour les prestataires PASSI, la valeur ajoutée d’une prestation qualifiée d’audit, par rapport à une prestation classique, repose sur les points suivants :

Garantie de compétences des auditeurs en charge de l’audit ;
Garantie de déontologie, de protection et de confidentialité des données, rapports et documents échangés ;
Garantie d’une méthodologie appropriée aux audits de sécurité ;
Recours possible auprès de l’ANSSI si la prestation réalisée s’avère non conforme au référentiel PASSI et autres.

Pour en savoir plus, rendez-vous dans la rubrique « Qualification ».