Vous êtes ici

L’équipe de la Chaire Castex de Cyberstratégie s’absente pour quelques mois. Notre site demeure intégralement accessible et nous restons joignables par courriel à l’adresse . Nous ne manquerons pas de vous informer de la reprise de nos activités. Bonne visite !

La loi de programmation militaire et la protection des opérateurs d'importance vitale (OIV)

La cybersécurité est désormais devenue une priorité stratégique pour la France. Le Livre blanc sur la défense et la sécurité nationale de 2013, avec un volet particulier consacré à la cyberdéfense, confirme cette tendance. Après le temps de la prise de conscience, il s’agit maintenant d’enclencher la vitesse supérieure et de mettre en place un système efficace de protection des infrastructures vitales. Dans le contexte du débat parlementaire sur la loi de programmation militaire (LPM) 2014-2019, le think-tank Défense&Stratégie a organisé, le 23 octobre dernier, les 1ères rencontres parlementaires de la cybersécurité sous la présidence du sénateur Jean-Marie Bockel et du député Eduardo Rihan Cypel. Une table ronde était spécifiquement dédiée à la question de la protection des opérateurs d’importance vitale. Cette rencontre était l’occasion de débattre sur les mesures proposées par  la LPM.

La Ministre de l’Economie Numérique Fleur Pellerin a ouvert les travaux en rappelant que les enjeux liés à la société numérique relèvent de la souveraine nationale. Pour la Ministre « renforcer la résilience de notre société contre les cybermenaces est une question majeure pour la confiance des citoyens dans les nouvelles technologies ».

Les évolutions apportées par la LPM pour le renforcement de la sécurité des OIV

La table ronde sur la protection des OIV, modérée par le député Rihan Cypel et le sénateur Berthou regroupait le directeur général de l’ANSSI, des représentants de Cassidian Cybersecurity et de Thales pour les industriels, de l’administration publique (Ministère de la Santé et Ministère de l’Energie) et du groupe RATP.

Emmanuel Pitron, représentant le Groupe RATP est tout d’abord revenu sur la définition d’un OIV. Les infrastructures de transport sont identifiées comme essentielles au bon fonctionnement de la nation. Au nom  du développement économique du pays et de la sécurité des 11 millions de passagers journaliers, l’intervenant estime que la RATP mérite l’appellation d’OIV. Si les infrastructures de la RATP utilisent une large infrastructure physique (200 km de métro et 115 km de RER), leur gestion quotidienne est assurée par des systèmes d’information (les lignes automatiques de métro, les systèmes de régulation des autobus, les modalités de paiement). En cas d’attaque majeure sur ces systèmes informatiques, le secteur du transport pourrait subir des dégâts dévastateurs qui impacteraient la société entière.

La LPM 2014-2019  affirme qu’il est de la responsabilité de l’Etat d’assurer une sécurité suffisante des systèmes critiques des OIV. Le projet de loi à travers quatre mesures principales vise à établir un socle minimum de sécurité pour les OIV. Il s’agit pour l’Etat de :

  • Fixer des obligations comme l’interdiction de connecter certains systèmes à Internet ;
  • Mettre en place de systèmes de détections par des prestataires labélisés par l’Etat ;
  • Vérifier le niveau de sécurité des SI critiques à travers un système d’audit ;
  • Et en cas de crise majeure, de pouvoir imposer les mesures nécessaires aux opérateurs.

Il y aura également obligation pour l’OIV de déclarer les incidents aux autorités compétentes. Si la discrétion sera assurée par l’Etat, cela permettra de pré-alerter des sociétés potentiellement impactées par le même type d’attaque.

L’évolution en matière de politique industrielle

L’autre thème largement débattu lors de cette table ronde a été la question de l’impact de la LPM sur la structuration de l’offre en matière de cybersécurité. Selon la Ministre, l’Europe qui était leader dans les télécoms au début des années 2000, « a raté le virage de l’économie numérique dans la dernière décennie » au détriment des Etats-Unis et l’Asie qui ont été capables de lancer de vrais géants de l’Internet. Le gouvernement affiche une volonté forte et claire de développer le tissu industriel en France en utilisant tous les leviers disponibles notamment par le biais de commandes publiques et des programmes d’investissements d’avenir. L’action du gouvernement va également passer  par la coordination de l’ANSSI du « Plan Cybersécurité» mentionné parmi les 34 plans de "reconquête industrielle » de la France proposés par le Ministère du redressement productif. Avec  plus de  400 PME sur le segment de la cybersécurité selon Patrick Pailloux (ANSSI), il s’agit de réunir à la fois les fournisseurs et les acheteurs pour « identifier l’équipe France » afin de mieux organiser la filière industrielle et accompagner les entreprises à l’étranger.

Selon les participants à la table ronde, l’Europe doit faire face au défi majeur de l’harmonisation du cadre réglementaire. En effet la protection des OIV, de part leur structure (interdépendance entre différents sites et secteurs au niveau européen) doit être abordée à l’échelle internationale. La principale difficulté sera de faire face aux différentes cultures de la sécurité selon le secteur et les sites de chaque OIV.

A l’attention des OIV, l’ANSSI a lancé un groupe de travail sur les SCADA (les systèmes informatiques industriels) avec les industriels de la sécurité et les producteurs des systèmes de command and control comme Siemens et Schneider. L’objectif de ce groupe est d’identifier les mesures à mettre en place pour une protection efficace des OIV.

Si le débat qui s’est tenu à l’occasion des ces 1éres rencontres parlementaires a mis en évidence que le projet de la LPM 2014-2019 constitue un pas important dans la mise en place d’une meilleure sécurité pour les OIV, il a également permis d’en dégager les principaux freins. Les intervenants ont notamment mis l’accent sur l’existence de réticences qualifiées de « culturelles ». Il s’agit principalement de la difficulté pour l’opérateur à intégrer la prise en compte du « risque cyber » au plus haut niveau de l’entreprise et de considérer  les mesures de sécurité comme un levier à la compétitivité de l’entreprise.

En effet, l’instauration de mesures de sécurité est souvent assimilée, par les dirigeants,  à un coût pour l’entreprise sans possibilité de retour sur investissement. Pour Sébastien Héon de Cassidian, il faudrait considérer le risque cyber comme un risque « presque » normal de l’entreprise. Quelles sont les menaces ? Comment les hiérarchiser ?   Quelles réponses techniques y apporter ? Comment séparer les réseaux des systèmes industriels ? Ces sont des questions, parmi d’autres, à poser au moment de l’élaboration d’une stratégie de gestion du « risque cyber ». En partant de ce postulat, l’intervenant estime que les spécialistes de la gestion du risque que sont les assurances vont proposer des offres d’assurance spécifiques aux risques informatiques et par conséquent devenir un protagoniste de la structuration du marché de la cybersécurité.

Cependant, le directeur général de l’ANSSI estime que si pour les cas de sabotage, le recours à une assurance s’applique assez bien, les attaques à but d’espionnage posent davantage de difficultés notamment parce que le coût des impacts directs et indirects sur la compétitivité de l’entreprise est beaucoup plus difficile à évaluer.

La question de la définition et compréhension du « risque cyber » pour les entreprises reste un sujet à explorer. Dans le but d’avancer dans cette réflexion, nous rappelons que la Chaire Castex organise une série de rencontres autour du thème « Pourquoi les entreprises ont-elles besoin d'une cyberstratégie ? », dont la prochaine journée d’étude sur la  « Cyberstratégie des entreprises : stratégie compréhensive et outils » est prévue pour le 2 décembre au siège du Medef Ile-de-France à Paris.

Danilo D’Elia
Doctorant à l'Institut Français de Géopolitique
Chercheur associé à la chaire Castex de cyberstratégie

Catégorie: 
d l m m j v s
 
 
 
 
1
 
2
 
3
 
4
 
5
 
6
 
7
 
8
 
9
 
10
 
11
 
12
 
13
 
14
 
15
 
16
 
17
 
18
 
19
 
20
 
21
 
22
 
23
 
24
 
25
 
26
 
27
 
28
 
29
 
30
 
 

Derniers Tweets