Système d’information d’importance vitale ? Cyber-sécurité ? Cyber-attaque ? Rien qu’en lisant le titre, vous vous dites « Ça ? Ça ne me concernera jamais » . [mis à jour le 28 février 2018]
Quelle erreur !
Vous êtes éditeur de solutions logicielles, prestataire SaaS, hébergeur ou développeur ? Il suffit que l’un de vos clients soit classé « Opérateur d’Importance Vitale » (ou « OIV » ) pour que son système d’information (et votre contrat avec ce client) subisse les conséquences de cette législation et des obligations de cyber-sécurité qu’elle impose. Aux frais exclusifs de l’O.I.V. nous dit la loi lorsqu’il s’agit de ses « Systèmes d’Information d’Importance Vitale » .
Et la LPM entre effectivement en vigueur au 1er juillet 2016 avec les premiers arrêtés « SIIV » publiés au JO les 10 et 17 juin 2016.
[28 février 2018] Depuis Bruxelles, la directive 2016/1148 du 6 juillet 2016 « sécurité des réseaux et des systèmes d’information » encadre la cyber-sécurité des « opérateurs de Services essentiels » (voir ci-dessous). Cette Directive vient d’être transposée en droit français par la loi n°2018-133 du 26 février 2018. Cliquez sur ce lien pour accéder à une première analyse de cette (nouvelle) loi.

La cyber-sécurité des Systèmes d’Information d’Importance Vitale
Les règles pratiques de cyber-sécurité et de lutte contre le cyber-terrorisme (et la cyber-délinquance) à mettre en oeuvre par les entreprises classées OIV et leurs partenaires contractuels qui participent au Système d’Information d’Importance Vitale (ou « SIIV » ) sont issues des Directives Nationales de Sécurité (les « DNS« ) en cours d’adoption et de publication (voir les mises à jour ci-dessous).
Petit tours d’horizon de la Loi de Programmation Militaire du 18 décembre 2013 (la fameuse LPM, particulièrement agréable de lecture) à jour de la loi du 28 juillet 2015 qui invente la notion de « Systèmes d’Information d’Importance Vitale » . Si vous aimez les acronymes, vous allez vous régaler…
… et les cyber-attaques
La seconde nouveauté à retenir de la LPM concerne les cyber-attaques. L’Agence Nationale de la Sécurité des Systèmes d’Information (« ANSSI » ) est officiellement chargée de lutter contre les cyber-attaques (décret n°2009-834 du 9 juillet 2009) avec des pouvoirs que nous allons vous faire (re)découvrir, puisque cette partie de la loi a d’ores et déjà été mise en pratique par l’ANSSI.
[mise à jour du 16 juin 2016] L’information a été diffusée mollement malgré sa grande importance de principe. Selon Euronews du 15 juin 2016, ça y est, l’OTAN considère officiellement le cyber-espace comme un théâtre d’opérations militaires, au même titre que la terre, les mers et les airs.
La 4° dimension de la guerre est dans le cyber-espace ! Les conséquences de cette reconnaissance (faite en réalité depuis 2013) est que désormais, si un membre de l’Alliance est attaqué dans le cyber-espace, il peut demander aux autres membres de lui apporter une assistance (cyber) militaire.
C’est ce que prévoit l’article 5 du traité de l’OTAN. Certains parmi vous se souviennent peut-être de l’attaque en 2007 contre le système bancaire et les administrations d’Estonie ? L’Estonie est membre de l’OTAN…
[mise à jour du 8 juin 2016] La nouvelle nous avait échappée : « Les USA mènent des cyber-attaques contre l’État islamique » (Numerama 3 mars 2016). Oui, nous sommes d’ores et déjà entrés dans l’ère des cyber-guerres (plus ou moins) secrètes.
Les premiers arrêtés cyber-sécurité de l’ANSSI : juin 2016
[mise à jour du 29 août 2016] Le premier arrête sectoriel a été publié au JO le 10 juin 2016 :
- sous-secteur d’activités d’importance vitale « produites de santé«
Deux autres arrêtés ont été publiés le 17 juin 2016 :
- secteur d’activités d’importance vitale « gestion de l’eau«
- secteur d’activités d’importance vitale « alimentation« .
La presse spécialisée en parle à peine, sauf silicon.fr le 23 juin et l’excellent Mag-Securs le 24 juin, très en pointe sur le sujet. Et quelques remarques intéressantes sur le site ZDNet en date du 27 juin sur la protection informatique des centrales nucléaires.
L’ANSSI l’annonce officiellement sur son site par communiqué du 23 juin 2016 : « Pour faire face aux nouvelles menaces cyber et répondre aux besoins de la sécurité nationale, les opérateurs d’importance vitale (OIV), dont le bon fonctionnement est indispensable à celui de la Nation, vont mettre en œuvre à partir du 1er juillet 2016, pour les premiers d’entre eux, des mesures relatives à la sécurisation de leurs systèmes d’information« .
L’ANSSI précise « A partir du 1er juillet 2016, l’entrée en vigueur d’une première vague d’arrêtés marquera la mise en place effective de ce dispositif pour les secteurs d’activité suivants « produits de santé », « gestion de l’eau » et « alimentation ». D’autres arrêtés seront progressivement publiés au cours de l’année 2016 » .
Signe des temps ? Vous trouverez maintenant sur le site de l’ANSSI une rubrique « spécial OIV » . Car « l’Etat veut uniformiser la sécurité des OIV » (ZDNet 12 juillet 2016).
La rafale d’arrêtés du 11 août 2016
Il devait y avoir des pages vides dans le JO du mois d’août… L’ANSSI s’est chargée de les remplir (JO du 25 août 2016 – merci Marc Rees et Next INpact du 25 août 2016) :
- sous-secteur d’activités d’importance vitale « transport aérien«
- sous-secteur d’activités d’importance vitale « transports terrestres«
- sous-secteur d’activités d’importance vitale « transports maritime et fluvial«
- sous-secteur d’activités d’importance vitale « approvisionnement en hydrocarbures pétroliers«
- sous-secteur d’activités d’importance vitale « approvisionnement en énergie électrique«
- sous-secteur d’activités d’importance vitale « approvisionnement en gaz naturel«
On se demande bien qui sont les OIV concernés…
Systèmes d’Information d’Importance Vitale et « Opérateurs de Service Essentiel » ?
[28 février 2018] La directive 2016/1148 du 6 juillet 2016 « sécurité des réseaux et des systèmes d’information » vient d’être transposée en droit français par la loi n°2018-133 du 26 février 2018. Cliquez sur ce lien pour accéder à une première analyse de cette (nouvelle) loi.
[mise à jour du 28 juillet 2016] Le Parlement européen vient d’adopter la directive « Sécurité des réseaux et des systèmes d’information » ou N.I.S. (pour « Network and Information Security« ) dont plusieurs projets avaient été rendus public depuis 2013.
La directive NIS n°2016/1148 du 6 juillet 2016 a pour objet d’étendre la législation de type « Systèmes d’Information d’Importance Vitale » non seulement à l’ensemble des pays membres de l’Union Européenne, mais également à des opérateurs « essentiels » (et non plus seulement « d’importance vitale« ).
On raconte que la France aurait volontairement joué le rôle de pionnier dans l’adoption de cette législation, de manière à pouvoir mieux influer sur le contenu de la future directive…
Date effective d’entrée en vigueur : 10 mai 2018 (presque en même temps que le Règlement UE 2016/679 sur la protection des données personnelles).
Mais l’UE ne s’arrête pas à des dispositions législatives : « la Commission européenne a annoncé mettre 450 millions d’euros au pot, le 5 juillet lors de la signature d’un partenariat public privé cybersécurité à Strasbourg. Elle espère un effet de levier de trois et donc arriver à 1,8 milliard d’euros avec les contributions des entreprises » rapporte le site L’Usine Digitale le 7 juillet 2016.
Ne croyez pas que l’Europe (avec ou sans le Royaume-Uni) soit seule à se pencher sur ce problème.
Les Etats-Unis ont adopté fin 2015 une loi dite CISA (Cybersecurity Information Sharing Act) « to improve cybersecurity in the United States through enhanced sharing of information about cybersecurity threats… » .
Et plus proche du coeur de l’Europe, lisez comment en 2016 la Confédération suisse veut développer son image de bastion de protection des données en communiquant via la presse sur le monitoring des flux de données de l’Etat fédéral.
Merci aux auteurs de « La Brigade Chimérique » , Serge Lehman et Fabrice Colin (scénario), Gess (dessins) et Céline Bessonneau (couleurs) pour leur autorisation de réutilisation de leurs personnages avec modification des phylactères.
C’est suffisamment rare pour que cela soit rappelé. Merci à Annette Werther-Médou et Mireille Rivalland des éditions L’Atalante pour leur aide précieuse et bienveillante (si ! si !).
PS : pour les BDphiles : si vous accrochez à cet univers époustouflant, vous aimerez certainement les superbes 4 tomes de « Masqué » par le même Serge Lehman au scénario et Serge Créty au dessin (paru chez Delcourt) et surtout l’exceptionnel série « L’oeil de la nuit« (3 tomes chez Delcourt), préquel de la Brigade Chimérique par les mêmes Serge Lehman (scénario) et Gess (dessins).
Je pensais Gess au top avec la Brigade Chimérique. Et bien, le tome 3 de « L’oeil de la nuit » est (est-ce possible ?) encore meilleur ! UN CHEF D’OEUVRE !!!
Et le coup de coeur du week end du vote du Brexit « L’homme truqué » (éditions L’Atalante), toujours par Lehman et Gess, qui fait le lien entre La Brigade Chimérique et L’oeil de la nuit. SUPERBE !
—> cyber-sécurité : pour aller plus loin
- DoD cyber strategy for web – avril 2015
- Loi n°2005-1550 du 12 décembre 2005 modifiant diverses dispositions relatives à la défense
- Loi n°2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019
- Loi n°2015-917 du 28 juillet 2015 actualisant la programmation militaire pour les années 2015 à 2019
- Décret n°2006-212 du 23 février 2006 relatif à la sécurité des activités d’importance vitale
- Décret n°2007-585 du 23 avril 2007 [modifiant le Code de la défense]
- Décret n°2009-254 du 4 mars 2009 [modifiant le Code de la défense]
- Décret n°2010-225 du 4 mars 2010 [modifiant le Code de la défense]
- Décret n°2012-491 du 16 avril 2012 [Point d’Importance Vitale]
- Décret n°2015-351 du 27 mars 2015 relatif à la sécurité des SIIV
- Décret n°2015-350 du 27 mars 2015 relatif à la qualification des produits et des prestataires [non codifié]
- Arrêté du 2 juin 2006 fixant la liste des secteurs d’activités d’importance vitale
- Arrêté du 3 juillet 2008 rectificatif
- Livre blanc FEVRIER 2011 ANSSI – Défense et sécurité des systèmes d’information – Stratégie de la France
- INHESJ – Rapport des auditeurs – la LPM appliquée à la cyber-sécurité – 22 juillet 2015
- Référentiel général de sécurité (RGS) | ANSSI
- Liste des documents constitutifs du RGS v.2.0 | ANSSI






































