Sur quels critères ont été sélectionnés les 218 OIV français ?
La notion d’OIV, sur laquelle s’appuient les mesures de cybersécurité fixées dans le cadre de la Loi de programmation militaire (LPM), est définie dans le dispositif de « Sécurité des activités d’importance vitale » (SAIV) piloté par le SGDSN (Secrétariat général de la Défense et de la sécurité nationale). La désignation d’un OIV relève de manière générale du ministre coordonnateur de son secteur d’activité d’importance vitale. Cette désignation est effectuée après avis de la Commission interministérielle de défense et de sécurité (CIDS) présidée par le SGDSN, sur la base de l’impact qu’aurait sur la Nation une atteinte à la sécurité de cet opérateur. La liste des OIV est mise à jour périodiquement dans le cadre des CIDS.
Quelles sont, à l’heure actuelle, leurs obligations en matière de sécurisation des systèmes d’information, et notamment en matière de divulgation des incidents de sécurité ?
Le dispositif SAIV impose actuellement à un OIV de proposer lui-même, notamment dans son Plan de sécurité d’opérateur (PSO), la politique de sécurité qu’il met en œuvre afin de répondre aux objectifs de sécurité de son secteur.
La publication des arrêtés découlant de l’article 22 de la LPM renforcera significativement les exigences s’appliquant aux OIV en matière de sécurité des systèmes d’information, en leur imposant de mettre en place un socle de règles de sécurité des systèmes d’information défini par le Premier ministre. Ces règles de sécurité, techniques et organisationnelles sont néanmoins en grande partie déjà appliquées par les opérateurs.
Où en sont les différents décrets et arrêté d’applications de la loi ? Quand les OIV sauront-ils vers quels prestataires se tourner ?
Les premiers arrêtés sectoriels, fixant les règles prévues par l’article 22 de la LPM et les décrets d’application qui en découlent, seront publiés prochainement et entreront en vigueur au 1er juillet 2016. Certaines règles vont imposer le recours à des prestataires qualifiés par l’ANSSI, notamment en ce qui concerne l’audit et la détection d’incidents. La liste des prestataires qualifiés sera mise en ligne sur le site Internet de l’ANSSI et régulièrement mise à jour.
Sur quels critères l’ANSSI évalue la sécurité des prestataires habilités à travailler avec les OIV en matière de sécurité informatique ?
Pour les besoins de la sécurité nationale, les OIV doivent recourir à des produits et des services répondant à des exigences de sécurité et de confiance. Le processus de qualification mis en place par l’ANSSI permet de s’assurer à la fois de la compétence et de la confiance des prestataires qui mettent en œuvre des services essentiels à la sécurité des OIV. Cette qualification passe par le respect d’un certain nombre de critères définis dans les référentiels d’exigences disponibles sur le site Internet de l’agence. À ce jour, seuls des prestataires d’audit, dits PASSI, sont qualifiés. Les autres démarches de qualification (détection, réponse aux incidents) sont en cours d’expérimentation.
Comment ces obligations en matière de sécurité informatiques vont s’ajuster avec la directive européenne NIS (Network and information security) ?
L’ANSSI se félicite de la cohérence des approches de l’Union européenne et la France en la matière. La directive NIS, inspirée par la LPM, prévoit des obligations compatibles avec celles définies pour les OIV. L’expérience acquise par la France dans le cadre de l’élaboration des modalités de mise en œuvre de la LPM sera bénéfique à l’ANSSI pour mener à bien les travaux de transposition de la directive dans le droit français d’ici à 2018.
![[Web Only] Tarifs bancaires : les banques amortissent l’inflation](http://www.revue-banque.fr/binrepository/480x320/0c0/0d0/none/9739565/MEBW/gettyimages-968963256-frais-bancaires_221-3514277_20240417171729.jpg "[Web Only] Tarifs bancaires : les banques amortissent l’inflation")
