La loi de programmation militaire (LPM) de décembre 2013 a notamment servi de véhicule législatif pour adresser le sujet de la cybersécurité des opérateurs d’importance vitale (OIV). Elle traduit les orientations du livre blanc sur la défense et la sécurité nationale, publié en avril de la même année.
En particulier, le chapitre IV de la LPM donne plus de pouvoirs au Premier ministre et à l’ANSSI en matière de sécurité et de défense des systèmes d’information. Ce texte responsabilise pour la première fois les OIV quant à la sécurisation de leurs systèmes d’information d’importance vitale (SIIV).
Depuis mi-2016, les OIV se voient préciser secteur par secteur ce que l’État attend officiellement d’eux, via la publication d’arrêtés sectoriels. Les secteurs « produits de santé », « gestion de l’eau » et « alimentation » ont ainsi ouvert le bal le 23 juin dernier pour une entrée en vigueur le 1er juillet 2016, suivis le 11 août par le « transport terrestre », le « transport maritime et fluvial », le « transport aérien », l’ « énergie électrique », le « gaz naturel » et les « hydrocarbures pétroliers », pour une entrée en vigueur au 1er octobre. Le 28 novembre 2016, les secteurs « finances », « industrie », « communications électroniques » et « audiovisuel et information »ont clôturé l’année pour une entrée en vigueur au 1er janvier 2017. En six mois 13 arrêtés ont décliné la LPM, ne laissant plus que quelques secteurs et sous-secteurs à couvrir dans les mois à venir.
Cet article vise, en respectant le secret de la défense nationale, à partager nos retours d’expérience liés aux projets de mise en conformité qui ont marqué l’actualité ces derniers mois.
Cinq idées clés pour une mise en conformité à la LPM réussie
L’entrée en application de la LPM mène nécessairement à un investissement conséquent de la part des OIV, ne serait-ce que pour décliner la notion de SIIV sur leur périmètre, démontrer leur conformité à chacune des règles et aligner leurs processus et corpus documentaire sur le formalisme imposé par la LPM.
De par ses relations privilégiées avec l’ANSSI et son rôle sur la SSI au sein de son entreprise, le RSSI est l’acteur légitime pour piloter et animer cette mise en conformité. De la mobilisation des acteurs à la généralisation des principes de sécurité, en passant par le cadencement des chantiers et la construction de cibles acceptées par tous, quels sont les facteurs clés de réussite ?
1. Par où commencer ? Dresser la liste des SIIV
Tous les OIV doivent déclarer leurs SIIV à l’ANSSI dans un délai de 3 mois à compter de l’entrée en vigueur de l’arrêté les concernant. Il est important de noter que les exigences portent uniquement sur les SIIV, et non sur l’ensemble du SI de l’OIV. L’identification des SIIV doit par conséquent être un chantier réalisé avec le plus grand soin pour être conforme à la loi tout en limitant les impacts au maximum.
Au-delà des typologies de SI éligibles (proposées en annexe III de chaque arrêté), l’analyse doit partir des missions d’importance vitale (MIV) confiées par l’État à l’OIV. Elles sont listées dans les Directives Nationales de Sécurité (DNS), en possession de l’Officier de Sécurité de l’OIV puisque c’est un document classifié Confidentiel Défense. Des rencontres avec les métiers permettront ensuite d’affiner la compréhension des processus et de leur transcription sur le SI en termes d’applications.
L’enjeu est ici de définir une méthode systématique et une justification rigoureuse sur les critères d’inclusion et d’exclusion des applications potentiellement éligibles.
D’autre part, nos retours d’expérience sur l’identification des SIIV montrent que la logique « d’importance vitale » diffère entre une vision de l’entreprise (qui vise à assurer sa propre survie) et celle de l’État (qui vise à assurer la sécurité des citoyens). Concrètement, les systèmes commerciaux assurant les ventes ou la facturation, ne sont souvent pas répertoriés dans la liste des SIIV.
Les applications d’importance vitale représentent aujourd’hui au maximum 3% du parc applicatif de nos clients grands comptes sur le volet SI de gestion. Les SIIV sont quant à eux constitués de l’ensemble des applications concourant à un même processus d’importance vitale.
2. Recenser les écarts et dessiner des premières cibles
L’analyse d’écart doit elle aussi débuter au plus vite, sans attendre la stabilisation de la liste des SIIV.
Certes des subtilités techniques seront présentes, mais des tendances devraient rapidement apparaître sur les nombreux thèmes transverses tels que la supervision SSI, les cartographies, les principes d’authentification voire la gestion des correctifs de sécurité. Cela, en particulier sur les SI industriels, n’est pas sans poser des interrogations assez importantes.
Ici, l’enjeu est double : anticiper le macro-budget qui sera nécessaire à la mise en conformité et l’inscrire dans l’exercice de prévision budgétaire pluriannuel. Expliquer la LPM aux futurs porteurs d’actions et les mobiliser autour de l’identification de cibles qui pourraient répondre aux différentes exigences.
Il est crucial de ne pas traiter la mise en conformité règle par règle : selon les cas, certaines cibles d’apparence plus complexe permettent de couvrir plusieurs règles à la fois, diminuant ainsi l’investissement nécessaire au global. Ce constat est d’autant plus fort sur la protection des systèmes, où les principes de cloisonnement, les pratiques d’administration et les mécanismes d’authentification sont très liés.
3. Favoriser la pratique à la théorie
Les situations où il est difficile de faire converger les différentes approches sont légions dans ce type de programme. Aussi, le passage à la pratique est souvent le meilleur des alliés :
- La réalisation d’un audit à blanc technique et organisationnel permettra d’obtenir des réponses factuelles et détaillées et ainsi de débloquer les éventuelles analyses d’écart fastidieuses ;
- De même, la réalisation d’une homologation sur un SIIV pilote permettra à la fois de préciser le processus d’homologation et le contenu du dossier et fluidifiera d’autant les autres homologations ;
- Enfin, la mise en œuvre sur un SIIV pilote des principes de sécurisation retenus permettra de concrétiser les modalités d’implémentation spécifiques et transverses et d’affiner les modèles initialement retenus, avant généralisation. Il permettra en particulier d’identifier précisément les besoins relatifs aux systèmes transverses (administration, surveillance, contrôle d’accès…).
4. Paralléliser les chantiers
Les délais associés aux différentes règles sont très ambitieux. Aussi, il est indispensable de traiter en parallèle tous les sujets qui peuvent l’être.
C’est notamment le cas de la formalisation des guides de durcissement, des évolutions de la PSSI, des processus d’intégration de la sécurité dans les projets, des modifications au niveau des clauses contractuelles et des processus de sélection des fournisseurs, etc.
5. Tirer parti de la complémentarité des équipes
La LPM aborde le sujet de la cybersécurité au travers d’une loi et en l’inscrivant dans le dispositif SAIV. Les interlocuteurs sont donc tout aussi nombreux que variés : les dirigeants dans la mesure où la responsabilité pénale de l’OIV est engagée, les responsables de la sûreté garants du bon maintien du dispositif SAIV, les RSSI interlocuteurs habituels de l’ANSSI, les responsables de la conformité, les métiers en regard des missions d’importances vitales qu’ils peuvent porter, les DSI au vu des impacts potentiels sur le SI, les achats sur la gestion des fournisseurs, les équipes techniques opérant le SI au quotidien, etc.
Face à cette multitude d’interlocuteurs et d’approches parfois radicalement opposées, il est impératif de voir au-delà de la complexité apparente : cette situation est surtout l’occasion de mobiliser un nombre inédit d’acteurs autour de la cybersécurité et d’ainsi actionner des leviers jusque-là souvent inaccessibles. Il est notamment plus facile d’obtenir les ressources nécessaires à la bonne réussite du programme lorsqu’autant d’enjeux sont réunis.
Un paysage cybersécurité modelé en profondeur
Les cadrages menés jusqu’à présent par les OIV démontrent une forte volonté de prendre en compte la LPM le plus en amont possible, avec au sein des grands comptes que nous accompagnons, plusieurs dizaines de millions d’euros budgétés pour les années à venir.
Par ailleurs, la LPM a démontré l’intérêt de la cybersécurité à des décideurs historiquement peu mobilisés sur ce sujet, que ce soit au sein des OIV ou de leurs fournisseurs. Gageons que cette prise de conscience annonce une sécurisation pérenne des SIIV et des SI plus largement.
Un autre aspect structurant et positif de la LPM est à noter : afin de répondre aux besoins des OIV, le marché est incité à se structurer autour des thématiques cybersécurité. Il sera donc plus facile, pour les OIV mais aussi les autres entreprises d’avoir recours à des fournisseurs respectant les bonnes pratiques de sécurité.
Dans tous les cas, l’enjeu à venir pour les OIV est de ne surtout pas réduire la cybersécurité aux programmes LPM mais bien au contraire de les utiliser comme accélérateur pour leurs autres projets, sous peine de délaisser leurs SI critiques non considérés comme vitaux pour la survie de la nation (et ils sont nombreux). Cet équilibre est crucial pour assurer une cybersécurité servant à la fois l’État mais aussi les entreprises concernées.
Consultez notre synthèse LPM via le site officiel du cabinet, www.wavestone.com.