L’Agence nationale de la sécurité des systèmes d’informations renforce sa collaboration avec les Opérateurs d’Importance Vitale. Un décret obligera ces derniers à communiquer tous les incidents informatiques dont ils sont victimes.
Le décret d’application de la loi de programmation militaire vient d’être publié
La loi de programmation militaire visait à renforcer les échanges entre les Opérateurs d’importance vitale et l’État. Les entreprises œuvrant au sein de domaines stratégiques avaient pour obligation de communiquer les attaques et incidents informatiques dont elles étaient victimes. Aucun détail sur les modalités de cette loi n’a cependant permis son application effective. Durant de nombreuses années, les OIV étaient ainsi restés dans le flou et la plupart ne savaient pas comment informer l’ANSSI des éventuels cas de cyberpiratage. Les choses vont cependant changer à partir d’aujourd’hui puisque le décret d’application de cette loi vient de paraître fin mars et a été publié au Journal officiel.
Mis à part l’obligation de communiquer sur les incidents auxquels ils font face, les Opérateurs d’importance vitale seront également tenus de respecter de nouvelles obligations en matière de sécurité informatique. Le décret d’application de la loi de programmation militaire stipule que les entreprises dites stratégiques devront installer des solutions facilitant la détection des attaques. Elles devront également effectuer des audits aux côtés d’entreprises disposant d’un label. Il s’agira soit de l’Agence nationale de la sécurité des systèmes d’information soit d’autres prestataires labellisés à l’instar de Thales. Les OIV comptent pour rappel 218 entreprises œuvrant dans de nombreux secteurs d’activités allant de la grande distribution au secteur bancaire en passant par les télécoms. Ces domaines sont considérés comme stratégiques pour l’État.
Les entreprises ne sont pas convaincues par cette mesure
L’obligation de communiquer les incidents dont elles sont l’objet ne séduit pas forcément les entreprises concernées par la loi de programmation militaire. La plupart d’entre elles considèrent qu’informer l’ANSSI des attaques s’apparenterait à un aveu de défaillance de leur système de sécurité. Il leur est pourtant difficile d’accepter que leurs installations ne soient pas aussi fiables qu’on voudrait le faire croire. D’un autre côté, il y a le risque de voir la concurrence connaître ses faiblesses, ce qui n’est pas toujours une bonne chose. Autre problème à l’application effective de la loi de programmation militaire : les entreprises souhaitent que la communication se fasse dans les deux sens.
Si elles doivent communiquer les incidents et autres attaques dont elles sont victimes, l’Agence nationale de la sécurité des systèmes d’information doit également être au courant des attaques subies par l’État. Même si cette condition est respectée, il reste toutefois encore un obstacle à la mise en œuvre de la loi de programmation militaire. Communiquer les intrusions à l’ANSSI et mettre en place des dispositifs de sécurité performants impliquent d’importants investissements. Jusqu’à plusieurs milliers d’euros par an devront être investis par les Opérateurs d’importance vitale. On parle même de plusieurs centaines de milliers d’euros pour les grandes entreprises. Or, de telles dépenses pourraient réduire leurs performances et leur rentabilité. Il n’est donc pas certain que toutes acceptent de se plier à cette mesure.