LPM : certains opérateurs d’importance vitale partent de très loin

Les arrêtés qui définissent les obligations en matière de sécurisation des systèmes d’information les plus critiques des opérateurs d’importance vitale (OIV) ont été publiés tout au fil du second semestre 2016. Comportant quatre annexes, ils n’ont été assortis que d’une seule, très largement comparable d’un secteur d’activité à l’autre. Au point de donner l’impression que, malgré les discussions ayant eu lieu avec les acteurs concernés, ceux-ci se trouvés imposés une forme de « mariage forcé », comme Guillaume Poupard y faisait référence lors de l’édition 2015 des Assises de la Sécurité.

En fait, le plus intéressant est peut-être caché dans les annexes deux à quatre qui, elles, ne sont pas publiées et uniquement communiquées aux personnes devant en avoir connaissance.

A l’occasion d’une conférence de presse organisée au Forum International de la Cybersécurité, qui se déroule actuellement à Lille, le patron de l’Agence nationale pour la sécurité des systèmes d’information (Anssi) a expliqué pourquoi il a été choisi de ne pas publier certaines annexes.

Et cela commence par celle décrivant les types de systèmes d’information que les OIV doivent déclarer comme d’importance vitale, les SIIV : « il s’agit là de les aider à identifier ce qui se passe chez eux. Et pour le coup, c’est très différent d’un secteur à l’autre. Nous n’avons pas voulu publier les typologies de systèmes pour ne pas donner des idées à des attaquants, même s’ils n’ont pas besoin de nous pour ça ».

Quant à l’annexe précisant le calendrier de mise en conformité, pas question non plus de le publier, « parce que l’on voit en gros quels secteurs sont matures et ceux qui le sont beaucoup moins. Et là, on pourrait donner des indications à des attaquants ; ce que l’on ne veut pas faire ». Pour autant, l’éventail de délais s’étend de… « deux mois à deux ans ». Et pas question de laisser plus de temps aux moins matures : « je ne voulais pas de règles qui s’appliquent dans cinq ans, parce que d’ici là, les arrêtés auront probablement été réécrits avec un véritable retour d’expérience ».

Mais le fait est que certains semblent vraiment partir de loin. Et l’on se souviendra notamment de la réflexion d’Eric Egéa, conseiller en cybersécurité et criminalistique, qui estimait que le délai de un an offert mi-septembre aux organismes de santé pour se tenir prêts à signaler leurs incidents de sécurité était « très court ». Sans mentionner de secteur en particulier, Guillaume Poupard souligne que certaines exigences vont être difficiles à suivre, comme la détection des attaques, même si « on ne peut pas lâcher » : « pour beaucoup, c’est compliqué. Ce n’est pas dans leur culture et c’est complètement nouveau ». Et cela vaut aussi pour la règles « qui consiste à dire ‘séparez votre réseau d’administration de votre réseau utilisateurs’. Oui, c’est évident. Mais pour ceux qui ne l’ont jamais fait, c’est compliqué ».

Mais il y a un point noir : les types d’incidents à demander aux OIV de déclarer à l’Anssi. « On ne l’a pas écrit. On ne l’a pas gravé dans le marbre », reconnaît Guillaume Poupard : « on va apprendre en marchant où mettre le curseur. Il n’est pas question que les OIV nous appellent à chaque fois qu’un anti-virus tire la sonnette d’alarme ; nous serions saturés. Et en même temps, on sait très bien que, sur certaines grosses opérations que l’on a eu à traité, tout a commencé par une tête d’épingle qui dépassait ». Dès lors, « le curseur est très difficile à placer ». Mais c’est bien la plus importante, notamment pour le partage d’informations avec les autres OIV. Et cela même si, pour l’intégration d’indicateurs de compromission, une majorité apparaît « non outillée » pour cela. Et pire encore sur des systèmes de contrôle industriel : « même avec de la bonne volonté, il y a une vraie marge de progrès ». A charge pour les entreprises concernées d’apprendre à tirer profit du renseignement fournit par l’Anssi.

Mais cette réflexion sur les incidents méritant d’être remontés à l’Agence pose aussi la question du chiffre récemment avancé par le ministère de la Défense de 24 000 attaques qui auraient été déjouées dans l’Hexagone en 2016. Car pour Guillaume Poupard, une attaque qui compte est une attaque « réussie, qui a des conséquences critiques en France […] qui déclenche des opérations de cyberdéfense ». Et de telles attaques, sur l’an passé, il en compte une vingtaine. Alors c’est bien simple, pour lui, « on ne compte pas la même chose ».