Arrêtés sectoriels relatifs à la cybersécurité des OIV

La cybersécurité des OIV opérateurs d’importance vitale est une notion essentielle définie par le Code de la défense.

Cybersécurité des OIV : définitions du cadre légal

Son article L. 1332-1 donne la définition suivante des opérateurs d’importance vitale (OIV) : des « opérateurs publics ou privés exploitant des établissements ou utilisant des installations et ouvrages, dont l’indisponibilité risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la nation ».

Le régime juridique des OIV s’articule autour d’un dispositif hiérarchisé qui se divise en douze secteurs d’activité d’importance vitale (SAIV). Les SAIV se subdivisent en sous-SAIV.

Les règles de sécurité nécessaires à la protection des systèmes d’information (SI) des OIV et des opérateurs publics ou privés qui participent à leurs SI sont fixées par le Premier ministre (art. L. 1332-6-1 al. 1 du Code de la défense).

Les SI des OIV sont qualifiés de systèmes d’information d’importance vitale (SIIV) et sont définis comme tous « systèmes pour lesquels l’atteinte à la sécurité ou au fonctionnement risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ou pourrait présenter un danger grave pour la population » (art. R.1332-41-2 du Code de la défense).

Cybersécurité des OIV : mise en application

Plusieurs arrêtés viennent préciser les règles de sécurité des SIIV des neuf SAIV et sous-SAIV suivants : produits de santé ; gestion de l’eau ; alimentation ; approvisionnement en hydrocarbures pétroliers, transports terrestres, transports maritimes et fluviales, transport aérien ; approvisionnement en énergie électrique ; approvisionnement en gaz naturel ; audiovisuel et information ; communications électroniques et internet ; industrie ; finances ; nucléaire.

L’entrée en vigueur des derniers arrêtés se fera à compter du 1er avril 2017.

Ces arrêtés fixent trois grands types de règles détaillées dans des annexes. Ils déterminent tout d’abord les règles de sécurité que les OIV sont tenus de respecter pour protéger leurs SI. Ils détaillent ensuite les délais dans lesquels les OIV sont tenus d’appliquer les règles de sécurité. Ils fixent enfin les modalités selon lesquelles les OIV déclarent à l’Anssi la liste de leur SIIV et les incidents de sécurité.

Les annexes relatives aux délais de mise en œuvre des règles de sécurité, aux modalités de déclaration des SIIV et des incidents sont classifiées. Elles ne sont donc pas publiées.

Cybersécurité des OIV : harmonisation des règles à respecter

Les règles de sécurité à respecter sont présentées dans une annexe de plusieurs pages propre à chaque SAIV ou sous-SAIV.

Cette annexe se compose des vingt chapitres traitant des thèmes suivants :

1. politique de sécurité des systèmes d’information ;
2. homologation de sécurité ;
3. cartographie ;
4. maintien en condition de sécurité ;
5. journalisation des événements;
6. systèmes de corrélation et d’analyse de journaux qui exploitent les événements enregistrés par le système de journalisation ;
7. systèmes de détection des événements susceptibles d’affecter la sécurité des SI;
8. traitement des incidents de sécurité ;
9. traitement des alertes ;
10. gestion des crises ;
11. identification des utilisateurs ;
12. mécanismes d’authentification ;
13. droits d’accès ;
14. comptes destinés aux personnes chargées d’effectuer les opérations d’administration des ressources des SIIV ;
15. systèmes d’information utilisés pour effectuer l’administration des SIIV ;
16. cloisonnement des SIIV ;
17. mécanismes de filtrage des flux de données;
18. accès aux SIIV à travers des réseaux tiers (accès à distance) ;
19. installation de services et d’équipements ;
20. indicateurs relatifs à l’état des SIIV.

Cybersécurité des OIV : déclaration des SIIV

Les arrêtés prévoient que les OIV doivent transmettre à l’Anssi la liste de leurs SIIV. La liste doit aussi comprendre les SI des opérateurs tiers qui participent aux SIIV. Cette démarche doit se faire dans un délai de trois mois à compter de la date d’entrée en vigueur de l’arrêté ou de la désignation de l’opérateur comme OIV. Le formulaire de déclaration est disponible sur le site Internet de l’Anssi.

Une analyse d’impact doit être réalisée par les OIV afin de savoir si un SI peut être qualifié de SIIV.

L’OIV doit aussi communiquer une fois par an à l’Anssi les mises à jour de sa liste de SIIV et des formulaires de déclaration.

Pour tout nouveau SIIV, l’OIV doit effectuer une déclaration à l’Anssi préalablement à sa mise en œuvre. Si un SI évolue et satisfait alors aux conditions pour être qualifié de SIIV, une déclaration doit aussi être faite.

Lorsqu’un SI perd sa qualification de SIIV, une déclaration doit être transmise à l’Anssi justifiant les raisons de cette évolution.

Cybersécurité des OIV : déclaration des incidents

Les OIV doivent dorénavant déclarer à l’Anssi chacun des incidents de sécurité mentionnés en annexe de l’arrêté qui les concerne. Cette annexe relative aux incidents de sécurité n’est pas publiée. La déclaration est transmise à l’Anssi selon un formulaire spécial disponible sur le site web de l’Agence.

Ce formulaire est un document confidentiel. Il peut être couvert par le secret de la défense nationale. La déclaration doit se faire selon le moyen approprié à la sensibilité de l’information déclarée.

Enfin, les différents arrêtés précisent que les OIV doivent transmettre à l’Anssi les coordonnées de la personne chargée de le représenter auprès de l’Agence. Cette transmission doit se faire dans un délai de trois mois à compter de l’entrée en vigueur de l’arrêté ou de sa désignation comme OIV.

Cybersécurité des OIV : dans la continuité de la directive NIS

La publication des arrêtés commentés s’inscrit dans le prolongement de l’adoption de la directive NIS (2016/1148) par le Parlement européen le 6 juillet 2016. La directive NIS (acronyme de Network and Information Security) définit des critères permettant aux Etats de l’Union d’évaluer si une entité fournit ou non des services nécessaires au maintien de fonctions sociétales ou économiques critiques (1).

La France se place donc en première ligne des avancées réglementaires en matière de protection des SIIV.

A noter également, la création par l’Anssi d’une rubrique dédiée aux OIV sur son site internet.

Didier Gazagne
François Gorriez
Lexing Sécurité et Défense

(1) Directive NIS : enjeux pour les OSE (OIV en France), D. Gazagne, 4-8-2016.