LPM - OIV : ou comment faire d'une contrainte une opportunité


Publié le: 5 janvier 2016 par Claude Amiens

Les récents décrets d’application n°2015-350 et 351, du 27 mars 2015, relatifs à la Loi de Programmation Militaire (LPM 2014-2019), précisent les obligations et responsabilités des Opérateurs d’Importance Vitale (OIV) en matière de sécurité des Systèmes d’Information d’Importance Vitale (SIIV). La nature et l’ampleur des travaux qu’ils auront à réaliser pour se mettre en conformité seront très variables, mais ce peut être une occasion à saisir.

 

Un OIV est un opérateur public ou privé gérant des infrastructures dont l’indisponibilité, le dommage ou la destruction mettrait gravement en danger la sécurité de la nation ou de sa population. Établie par arrêtés ministériels, la liste des OIV – environ 250 à ce jour – est classée Confidentiel Défense. Si elle comporte à l’évidence les activités régaliennes de l’état, les grands acteurs de l’énergie, des transports, de la finance ou des télécommunications, elle est susceptible d’accueillir des associations ou des entreprises aux activités à risques, comme la chimie ou le traitement des déchets, notamment nucléaires.

Malgré leur hétérogénéité en termes de secteur, de taille, de ressources, les OIV doivent se conformer – à leurs frais – aux mêmes obligations. Ces dernières sont prescrites dans une ou plusieurs Directives Nationale de Sécurité (DNS) émanant de son autorité administrative. L’OIV doit, par exemple, mettre en place un dispositif de détection des incidents de sécurité, afin de signaler tout incident à l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), avoir la capacité à isoler géographiquement ses systèmes, ou encore soumettre son SIIV à un audit annuel par l’ANSSI ou une société qualifiée Prestataire d’Audit de la Sécurité des Systèmes d’Information (PASSI). De plus, les dispositifs techniques mis en œuvre dans les SIIV devront être qualifiés, tout comme les prestataires en charge des services associés, PDIS (Prestataire de Détection des Incidents de Sécurité) ou PRIS (Prestataires de Réponse aux Incidents de Sécurité).

Étant donné le niveau de sécurité recherché, l’État souhaite étendre le contrôle à tous les maillons de la chaîne, y compris humains. Il en résulte un modèle contraignant, qu’il convient d’éclaircir. Pour un OIV, la première tâche sera d’élaborer un plan de mise en conformité. Ce Plan de Sécurité d’Opérateur (PSO) reflète la politique de sécurité du SSIV, situé ou non dans un Point d’Importance Vitale (PIV), potentiellement inscrit dans une Zone d’Importance Vitale (ZIV). Le PSO, qui s’apparente à un schéma directeur, devra être validé par une commission ministérielle. La direction de l’entreprise s’engage alors sur les mesures techniques et organisationnelles qu’elle mettra en place ainsi que sur le calendrier associé, conforme au délai maximum fixé par l’arrêté relatif au secteur. Le PSO contient des mesures de protection internes (Plan Particulier de Protection), sous sa responsabilité, ou externes, définies par le préfet de département (Plan de Protection Externes).

Atos peut accompagner les OIV dans l’élaboration de leur PSO, ou du respect des règles de sécurité et notamment pour la détection des incidents. Cependant, l’agrément par l’ANSSI est une condition nécessaire, mais pas suffisante.

« L'efficacité de ces missions passe par une maîtrise parfaite du contexte et du métier de l’entreprise : le type de menaces, les contraintes techniques ou organisationnelles, la nature et les technologies des systèmes à protéger, les mesures de sécurité déjà en place et leur adaptation par rapport aux contraintes réglementaires… »

Dans une perspective d’amélioration, le PSO permet à l’entreprise non seulement de définir un ensemble de mesures pertinentes et économiquement proportionnées, mais aussi de réaligner sa politique de sécurité avec l’évolution des menaces et des attentes de ses parties prenantes. Pour les OIV, la mise en conformité est donc une contrainte, mais aussi l’opportunité de se moderniser, à condition de s’appuyer sur un partenaire disposant du niveau de maturité requis pour répondre aux défis techniques et, souvent, accompagner la nécessaire transition.


Nota : les modalités d’application de la LPM pour les OIV sont décrites dans l'Instruction Générale Interministérielle N°6600/SGDSN/PSE/PSN du 7 janvier 2014.

Nota2 : au niveau européen, une directive similaire a été adoptée sous l'appellation NIS (Network Information Security) par le parlement européen, le 6 juillet 2016.

Partager


Qui est Claude Amiens

Chief Operating Officer
Claude possède une large expertise en sécurité des systèmes d’information au sein des groupes Thales et CapGemini et Bull . Il a notamment assuré la direction d’un CESTI (Centre d’Evaluation de la Sécurité des Technologies de L’information - agréé par l’ANSSI et dirigé des équipes de consultants et d’experts dans différents projets de cybersécurité pour le Ministère de la Défense (DIRISI, DGA, EMAA, ANSSI…). Il a rejoint Atos en 2013 comme Responsable Avant-Vente, Responsable du développement International Cybersécurité pour Bull. Claude est ingénieur diplômé de l’ISEP en informatique et réseaux.

Suivre ou contacter Claude