[mis à jour le 21 juillet 2019] OIV et Système d’Information d’Importance Vitale [LPM n°2013-1168 du 18 décembre 2013]. Pour la sécurité des systèmes d’information des OIV, la bascule s’est opérée fin 2013.

Il fallait s’y attendre, si certains « opérateurs » (techniques et/ou économiques) sont vitaux pour le fonctionnement de la Nation, et que le fonctionnement du coeur de leur activité est informatisé, alors les obligations de sécurité s’appliquent spécifiquement à ce système d’information devenant « d’Importance Vitale » (d’où le délicieux acronyme de « S.I.I.V. »).

Acte II de notre étude sur la sécurité des systèmes d’information vitaux, illustré avec les « Souvenirs de la Grande Armée » aux éditions Delcourt, et quelques incursions dans l’univers chamarré de « La nef des fous » (également aux éditions Delcourt) qui m’a servi à illustrer en 2018 la sécurité des systèmes d’information (article 32 RGPD) et la transposition en droit français de la Directive N.I.S., qu’il s’agisse du régime applicable aux Opérateurs de Service Essentiel ou aux Fournisseurs de Service Numérique.

cyber-sécurité OIV Système d’Information d’Importance Vitale : pourquoi tant de règles ?

Pourquoi ? parce que, malgré le caractère stratégique de ces systèmes d’information, manifestement, certains de leurs opérateurs n’avaient pas mis en oeuvre certaines règles d’hygiène informatique élémentaires (d’aucuns diraient « de base »…).
La citation ci-dessous est tirée d’un podcast de NoLimitSecu, mais reflètent apparemment une réalité assez largement répandue en 2015.
Vous trouverez aussi dans la présentation en BD quelques éléments vous permettant de réviser les notions de « sécurité », de « réseau » et de « système d’information » dont je vous épargne ici le détail.

cyber-sécurité OIV Système d’Information d’Importance Vitale : une « atteinte à la sécurité ou au fonctionnement »

Comme pour le risque pesant sur un OIV, le SIIV doit risquer d’être impacté « d’une façon importante ». J’insiste sur ce critère qui ne va pas apparaitre lorsqu’il s’agira pour l’Etat d’organiser sa réponse aux Cyber-attaques (nous y reviendrons dans notre Acte III sur la LPM 2019-2025).
Remercions le législateur en 2015 qui a (enfin) pensé aux risques qui pourraient présenter « un danger grave pour la population » (loi n°2015-917 du 28 juillet 2015  actualisant la programmation militaire pour les années 2015 à 2019).

cyber-sécurité OIV Système d’Information d’Importance Vitale : « la liste des systèmes d’information d’importance vitale est couverte par le secret de la défense nationale »

Vous pouvez choisir de réviser « le secret de la défense nationale » (en BD). Apparemment, cette législation est en cours de révision nous apprend le SGSDN.
Mais quoi qu’il en soit, vous n’accèderez pas facilement à la liste des S.I.I.V…

cyber-sécurité OIV Système d’Information d’Importance Vitale : les arrêtés sectoriels de 2016

Suer ce point, il faut se féliciter d’une évolution de la doctrine de l’ANSSI. A l’origine, la politique de sécurité imposée aux SIIV devait rester secrète. Heureusement, ces arrêtes sont aujourd’hui publics et librement consultables.
Le premier arrête sectoriel a été publié au JO le 10 juin 2016 :

• sous-secteur d’activités d’importance vitale produites de santé

Deux autres arrêtés ont suivi le 17 juin 2016 :

• secteur d’activités d’importance vitale gestion de l’eau
• secteur d’activités d’importance vitale alimentation

Il devait y avoir des pages vides dans le JO du 25 août 2016… L’ANSSI s’est chargée de les remplir (merci Marc Rees et Next INpact du 25 août 2016) :

• sous-secteur d’activités d’importance vitale transport aérien
• sous-secteur d’activités d’importance vitale transports terrestres
• sous-secteur d’activités d’importance vitale transports maritime et fluvial
• sous-secteur d’activités d’importance vitale approvisionnement en hydrocarbures pétroliers
• sous-secteur d’activités d’importance vitale approvisionnement en énergie électrique
• sous-secteur d’activités d’importance vitale approvisionnement en gaz naturel

On se demande bien qui sont les OIV concernés…

cyber-sécurité OIV Système d’Information d’Importance Vitale : les « incidents affectant la sécurité ou le fonctionnement » des SIIV

C’est le critère central d’application de la LPM de 2013 : « incidents affectant la sécurité ou le fonctionnement des SIIV« . Ne cherchez pas de définition de cette notion, il n’y en a pas de publique… c’est fait exprès…

cyber-sécurité OIV Système d’Information d’Importance Vitale : la notion d’incident de « sécurité » de la Directive N.I.S. ?

Pour comprendre ce que pourraient être les « incidents affectant la sécurité ou le fonctionnement« , le texte de la Directive NIS est particulièrement intéressant.
Si la notion « d’incident » n’y est pas définie, celle de « sécurité » l’est, et de manière extrêmement large.
Si vous reprenez les termes de l’article 32 RGPD, vous constaterez que les notions se rejoignent.

cyber-sécurité OIV Système d’Information d’Importance Vitale – SYNTHESE : les 4 obligations principales des OIV sur leur « S.I.I.V. »

cyber-sécurité OIV Système d’Information d’Importance Vitale : et qui va payer ?

Si vous lisez la slide ci-dessous, ne vous en prenez pas à moi, je n’ai pas modifié les phylactères de la BD, je n’ai fait que les reprendre tels quels.

cyber-sécurité OIV Système d’Information d’Importance Vitale : OBLIGATION n°1 – les « dispositifs » obligatoires de détection des menaces

C’est le volet « prévention » (obligatoire) de la LPM de 2013 : les OIV ont l’obligation de mettre en oeuvre dans le coeur de leur SIIV des « dispositifs » de détection.
« Dispositif matériel ou logiciel » ? Difficile d’en dire moins avec une définition aussi large…

Mais le dispositif ne peut être exploité que par l’ANSSi ou un prestataire qualifié par l’ANSSI (c’est la raison du décret – non codifié – n°2015-350 du 27 mars 2015 « relatif à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité nationale« ).

cyber-sécurité OIV Système d’Information d’Importance Vitale : OBLIGATION n°2 – se soumettre aux contrôles de l’ANSSI

Comme le disait assez justement ce grand démocrate de Lénine « la confiance n’exclut pas le contrôle« … Ainsi en va-t-il de l’obligation pour les OIV de soumettre leur SIIV au contrôle des professionnels du boulevard de la Tour-Maubourg.

Et en cas de contrôle, l’OIV est sensé pouvoir mettre à disposition de l’ANSSI (ou du contrôleur qualifié par l’ANSSI) les « codes source » de ses logiciels. Et de ceux de ses partenaires contractuels qui interviennent sur le SIIV (hébergeur, prestataire de maintenance, prestataire SaaS, etc.).
D’ou les annexes « sécurité » non négociables lors de la contractualisation du service entre un OIV et ses prestataires…

cyber-sécurité OIV Système d’Information d’Importance Vitale : les obligations transférées à l’identique aux prestataires tiers

cyber-sécurité OIV Système d’Information d’Importance Vitale : OBLIGATION n°3 – notifier les « incidents de sécurité » à l’ANSSI

Depuis l’entrée en application du RGPD-GDPR en mai 2018, l’obligation généralisée de notification à la CNIL des « violations de données » (à caractère personnel) est entrée dans les moeurs.
Pourtant, avec la LPM de 2013, l’obligation était tout à fait nouvelle.
Vous noterez ici que le destinataire de la notification est l’ANSSI (et non la CNIL) et que cette notification est obligatoire, que des données à caractère personnel soient ou non concernées.
Cependant, si la « fuite de données » concernant des données à caractère personnel, l’OIV devra aussi notifier cette « violation de données » à la CNIL.

cyber-sécurité OIV Système d’Information d’Importance Vitale : OBLIGATION n°4 – les mesures que peut imposer l’ANSSI « en cas de crise majeure »

Il faut s’en féliciter : en cas de crise majeure, l’ANSSI peut prendre la main sur le Système d’Information d’Importance Vitale victime d’une attaque. C’est du bon sens que de permettre à des professionnels d’agir en cas de crise !

cyber-sécurité OIV Système d’Information d’Importance Vitale : des sanctions potentielles contre les « dirigeants » des OIV

ATTENTION  : Ce n’est pas la personne morale qui exploite le SIIV qui prend un risque de 150.000 €uros d’amende, c’est le dirigeant ! Rassurez-vous, à ce jour, pas de condamnation sur ce fondement de qui que ce soit.
Tiens, dans la transposition de la Directive NIS (loi SRSI du 26 février 2018), ce sont également les dirigeants personnes physiques des Opérateurs de Service Essentiel ou des Fournisseurs de Service Numérique qui sont susceptibles de faire l’objet de sanctions.
Il n’ a donc que dans le RGPD que la personne morale supporte seule le poids des sanctions consécutives à sa négligence.

cyber-sécurité OIV Système d’Information d’Importance Vitale : la présentation complète en BD dans le slider ci-dessous !