vendredi 13 décembre 2019    || Inscription
BanniereNews
 
 
Enfin ! C’est avec sans nul doute un certain soulagement que les RSSI des OIV des secteurs concernés ont appris la publication de trois arrêtés sectoriels sur le secteur des produits de la santé, de la gestion de l’eau et de l’alimentation. L'annonce en a été faite par l'Anssi et le SGDSN. 

 

C’est après des discussions parfois âpres dans les groupes de travail que l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) et le SGDSN (Secrétariat Général de la Défense et de la Sécurité Nationale) ont annoncé conjointement, lundi dernier, la publication de trois arrêtés sectoriels concernant la gestion de l’eau, les produits de la santé et l’alimentation . Ces trois arrêtés sectoriels fixent les règles relatives à la sécurité des systèmes d’information des OIV (Opérateurs d’Importance Vitale) prévues par l’article 22 de la LPM (Loi de Programmation Militaire) du 18 décembre 2013. Ces règles prévoient notamment l’identification des systèmes d’importance vitale (SIIV), la notification des incidents de sécurité à l’ANSSI et les contrôles pour suivre la mise en place du dispositif. 

Une homologation de chaque SSIV

Parmi ces mesures, il est précisé dans les arrêtés que les OIV des secteurs concernés procèdent «  à l’homologation de sécurité de chaque système d’information d’importance vitale.[…]. L’homologation d’un système est une décision formelle prise par l’opérateur qui atteste que les risques pesant sur la sécurité de ce système ont été identifiés, et que les mesures nécessaires pour le protéger sont mises en œuvre. Elle atteste également que les éventuels risques résiduels ont été identifiés et acceptés par l’opérateur. Dans le cadre de l’homologation, un audit de sécurité du SIIV doit être réalisé […] ». 

Un calendrier à définir 

Concernant le calendrier, Guillaume Poupard, directeur de l’ANSSI, indique que les arrêtés concernant les autres secteurs industriels seront publiés dans le courant du deuxième semestre 2016, probablement aux alentours du mois d’octobre. L’industrie, les services financiers devraient, entre autres, ainsi suivre le pas.

Ce retard à l’allumage dans la publication des arrêtés s’explique par l’animation des discussions dans les groupes de travail, et par le fait que tous les secteurs ne sont pas « prêts au même niveau » justifie Guillaume Poupard. Pour autant, ce retard crispe parfois les entreprises qui étaient au taquet pour la publication des arrêtés, et voient leurs efforts, sinon réduits à néant, du moins prolongés jusqu'à une date ultérieure… ce qui n’est jamais bon pour la négociation des budgets de sécurité. 


Lire aussi à ce sujet notre commentaire :

Publication de trois arrêtés sectoriels LPM : le règne de l’expectative


Vous trouverez ci-après un accès direct aux arrêtés en version PDF.




Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

RSS
12



Événements SSI

FIC

Ayant pour thème cette année "Replacer l'humain au coeur de la cybersécurité", le Forum International de la Cybersécurité occupe les 28, 29 et 30 janvier 2020 le Grand Palais de Lille. Organisé par la Région Hauts-de-France et Euratechnologies, la Gendarmerie Nationale et CEIS.

RSS