Par la rédaction le 24/06/2016
La publication de trois arrêtés sectoriels relatifs à la LPM au Journal Officiel de la République Française (JORF), juste avant la publication de la Directive NIS, met certains RSSI dans l’expectative. Une clarification s’impose pour les secteurs sur lesquels les arrêtés n’ont pas été publiés.
En publiant 3 arrêtés sectoriels relatifs à la loi de programmation militaire 2014-2019 (LPM) au JORF du 23 juin 2016, portant la signature du SGDSN, la France évite que ne soit votée et publiée au JOEU la directive NIS avant les premiers travaux français, au JOFR d’ici quelques jours. Il s’en est fallu de peu.
Les arrêtés sectoriels français portent sur les « produits de santé », daté du 10 juin 2016, sur « l’alimentation », daté du 17 juin 2016, et sur « gestion de l’eau » daté également du 17 juin 2016. Tous les autres secteurs font l’objet de discussions qui ne sont pas encore finalisées en ce moment. Les responsables de sécurité des systèmes d’information s’inquiètent des délais de mise en œuvre, puisqu'au final, aucune date précise n’a été arrêtée pour la publication des autres arrêtés. La fin de l’année 2016 a été évoquée par l’ANSSI.
Les budgets 2016 risquent d’être perdus
Les arrêtés français avaient été annoncés à de multiples reprises depuis un certain nombre de trimestres, et reportés de nombreuses fois. Certains professionnels n’y croyaient plus … Après avoir mobilisé les esprits, et entraîné la consolidation de nombreux budgets, la non-publication de plus de la majorité des arrêtés démobilise les entreprises françaises, qui ne savent plus quelle posture tenir. Les budgets 2016 risquent d’être perdus, et on sait dans la vie des entreprises que, lorsqu’un budget est perdu, il est très difficile de le reconduire sur l’année suivante... D’où un sentiment de frustration de certains responsables SSI.
La directive NIS sera, pour sa part, votée le 5 juillet prochain, et proposera de travailler sur une notion d’opérateurs de services essentiels, différente de la notion française d’opérateur d’importance vitale. La machine européenne prendra alors le pas sur les initiatives françaises, inéluctablement. Etait-ce la logique souhaitée par les professionnels français ? On ne sait plus : quelle est la différence entre un opérateur d’importance vitale et un opérateur de service essentiel ? Le mouvement n’est pas hostile, mais la perte de gouvernance réelle.
Sur les douze secteurs d’activité d’importance vitale (SAIV) définis par l’arrêté français du 2 juin 2006, neuf font donc l’objet de prolongations de discussion, dont 75 % hors du jeu défini initialement.
La directive NIS ne conduit pas encore à proposer des règles de sécurité (mesures de sécurité) précises, Mais la dynamique est lancée. La réglementation française reste, pour le moment, au premier plan des actions européennes, mais vient, manifestement, de se prendre du retard. Quelle sera la suite ? Peut-être un référentiel européen ?
Force est de constater que beaucoup de temps a été perdu, et que beaucoup de retard a été pris. Il devient urgent de poursuivre la dynamique française et de publier et d’appliquer les règles sur lesquelles quasiment tous les professionnels s’accordent dès la rentrée automne 2016. Pour tirer la cybersécurité européenne avec les travaux initiés en France depuis plus de 10 ans.
Que faut-il retenir du contenu des 3 arrêtés publiés le 23 juin 2016 ?
• La question entre les règles militaires et les règles civiles est apaisée. Les processus d’homologation de la sécurité des SIIV relèvent de la direction des OIV. Il est contrôlé a posteriori par l’ANSSI et les PASSI. Les règles relatives à l’homologation s’appliquent sans préjudice des dispositions prévues par l’arrêté relatif à l’IGI 1300. Il n’est donc pas nécessaire de faire habiliter « confidentiel défense » tous les personnels de tous les OIV. C’est plus simple et plus réaliste.
• Les processus associés à la déclaration des incidents (les attaques) s’intègrent pour leur part dans le cadre de formulaires susceptibles de contenir des informations couvertes par le secret de la défense nationale. C’est du bon sens.
• C’est une réponse pragmatique à la réalité du fonctionnement des entreprises civiles. Celles-ci devront entrer dans une logique d’habilitation militaire, tout à fait proportionnée à leur métier.
Les entreprises civiles ne doivent pas se transformer en structures militaires. Ce premier point répond à de nombreuses questions suscitées par une première lecture des décrets du 27 mars 2015. Les entreprises civiles ne doivent pas se transformer en structures militaires, mais prendre les précautions adéquates sur les sujets concernant les attaques dont elles font l’objet. Cela touche plus le « run en situation de crise » que le « build ». Les DSI savent maîtriser cela.
Les arrêtés sont publics, avec leur annexe I. Pour autant, les annexes II, III et IV ne sont pas publiques et restent notifiées « aux seules personnes ayant besoin d’en connaître ». Il s’agit des questions relatives aux délais dans lesquels les opérateurs sont tenus d’appliquer les règles de sécurité, des questions relatives à la liste des SIIV, et des questions relatives aux modalités avec lesquelles les opérateurs déclarent à l’agence certains types d’incidents.
La source des règles de sécurité, à savoir la PSSIE, n’est pas explicitement nommée dans les arrêtés. Elle demeure cependant un référentiel sur lequel peuvent travailler les OIV.
Les règles de sécurité sont pour leur part connues depuis plusieurs années. Elles sont simples à énoncer, mais demandent un travail conséquent pour être mises en œuvre. Elles constituent l’annexe I des 3 premiers arrêtés. Voici la liste, une vingtaine de règles :
1. Règle relative à la politique de sécurité des systèmes d’information ;
2. Règle relative à l’homologation de sécurité ;
3. Règle relative à la cartographie ;
4. Règle relative au maintien en condition de sécurité ;
5. Règle relative à la journalisation ;
6. Règle relative à la corrélation et à l’analyse de journaux ;
7. Règle relative à la détection ;
8. Règle relative au traitement des incidents de sécurité ;
9. Règle relative au traitement des alertes ;
10. Règle relative à la gestion des crises ;
11. Règle relative à l’identification ;
12. Règle relative à l’authentification ;
13. Règle relative aux droits d’accès ;
14. Règle relative aux comptes d’administration ;
15. Règle relative aux systèmes d’information d’administration ;
16. Règle relative au cloisonnement ;
17. Règles relatives au filtrage ;
18. Règle relative aux accès à distance ;
19. Règle relative à l’installation de services et d’équipements ;
20. Règle relative aux indicateurs.
Où vont se situer les neuf autres secteurs d’activités qui ne sont pas parvenus à élaborer un arrêté avec l’ANSSI ? La PSSIE de 2014 qui a servi de base à ces travaux était riche et fondée. Le travail de communication, de sensibilisation et finalement de responsabilisation reste à finaliser. Vite, de préférence.
Vous trouverez ci-après un accès direct aux arrêtés en version PDF.