Quel rôle joue l’ANSSI en termes de réglementation de la cybersécurité ?
L’ANSSI est l’autorité nationale en matière de sécurité et de défense des systèmes d’information. Rattachée au secrétaire général de la défense et de la sécurité nationale, elle est placée sous l’autorité du Premier ministre, qui définit la politique et coordonne l’action gouvernementale en la matière.
Depuis sa création, l’ANSSI a un rôle d’assistance, de conseil et d’expertise. Avec la loi de programmation militaire (LPM) du 18 décembre 2013, qui découle du Livre blanc sur la défense et la sécurité nationale de 2013, l’agence est devenue un régulateur multisectoriel qui édicte des règles en matière de sécurité des systèmes d’information (SSI) pour les opérateurs d’importance vitale
Les OIV sont un élément d’un dispositif beaucoup plus large, les secteurs d’activité l’importance vitale (SAIV), au nombre de douze, parmi lesquels le secteur financier, qui regroupe établissements bancaires, infrastructures de marché et opérateurs de paiement. Lors de sa création, le dispositif SAIV a été mis en place afin de protéger, en matière de sécurité physique, les sites sensibles des OIV. Le volet cybersécurité de la LPM s’adosse à ce dispositif déjà existant.
L’article 22 de la loi de programmation militaire traduit la volonté du législateur de renforcer la cybersécurité des infrastructures les plus critiques pour la Nation.
Le décret n° 2015-351 du 27 mars 2015 détaille les quatre mesures à destination des opérateurs d’importance vitale :
- l’application de règles de sécurité obligatoires visant à protéger leurs systèmes d’information sensibles ;
- la mise en place d’audits de sécurité ;
- la déclaration des incidents de sécurité informatique affectant les systèmes d’information critiques ;
- la réponse aux crises majeures.
Le nombre d’OIV, estimé à plus de 200 aujourd’hui, peut-il varier ?
Il varie selon la vie économique, le niveau et les évolutions de la menace. La liste peut évoluer régulièrement à partir des travaux réalisés par les différents ministères coordonnateurs des douze secteurs d’activité.
Comment ont été élaborées les règles de sécurité pour les OIV du secteur financier ?
Des groupes de travail ont réuni, à partir de janvier 2015, les responsables de la sécurité des systèmes d’information (RSSI) des OIV du secteur financier, des représentants de leur ministère coordinateur, en l’occurrence Bercy, et leurs autorités de contrôle, AMF et ACPR. Les échanges portant sur la coconstruction des règles de sécurité ont duré jusqu’à septembre 2015. L’ANSSI a veillé à ce que ces règles soient défendables et soutenables économiquement, vis-à-vis des budgets de sécurité informatique des acteurs concernés.
Ensuite, le processus administratif a consisté à rédiger au format « arrêté » les règles techniques à mettre en place par les OIV.
Chaque secteur d’activité d’OIV a mené ce type de démarche et co-élaboré ses règles avec les acteurs concernés.
Quand l’arrêté concernant le secteur finances va-t-il sortir et quand ses nouvelles règles de sécurité seront-elles mises en place ?
Cet arrêté devrait être publié au premier semestre 2016, en même temps que plusieurs autres. Les délais de mise en œuvre des règles vont de quelques mois pour les plus simples, jusqu’à deux ans pour les plus complexes.
Les banques et les opérateurs de marché de paiements disposant d’un bon niveau de maturité en sécurité informatique, certaines règles sont déjà appliquées, entièrement ou en partie, par ces établissements.
Quelles règles leur reste-t-il à mettre en place ?
La règle concernant la détection, par exemple, impose à l’opérateur de mettre en place des sondes de détection qualifiées par l’ANSSI exploitées par un prestataire, lui aussi qualifié par l’agence. La démarche de qualification de prestataires de détection d’incident de sécurité (PDIS) a commencé à la fin de l’année 2015.
L’ANSSI publiera une liste des prestataires et des sondes qualifiées prochainement. Une équipe interne d’un OIV peut devenir prestataire qualifié, sous réserve de respecter le référentiel d’exigence PDIS et d’être qualifié par l’ANSSI.
Par ailleurs, certaines règles de sécurité, comme le chapitre « règles d’administration », amènent certains changements de paradigme sur la manière d’administrer un système d’information, c’est pourquoi un délai de deux ans est prévu pour sa mise en œuvre.
Ces règles pourraient-elles être modifiées dans le temps, alors que les cybermenaces et les systèmes d’information évoluent ?
L’objectif est de se reposer la question de ces différentes règles d’ici deux à trois ans et éventuellement de les reformuler, de les adapter à l’évolution des menaces, mais aussi aux premiers retours d’expérience des opérateurs.
Quelles sont les autres missions de l’ANSSI ?
Agence à compétence nationale, nous avons une mission d’assistance, de conseil et d’expertise notamment auprès des administrations et des OIV. Nous pouvons être sollicités pour une assistance technique par les opérateurs. Nous sommes désormais un régulateur en matière de cybersécurité, avec la mission d’édicter des règles et d'en contrôler la bonne application. Nous qualifions des prestataires d'audit, de détection d'incident, de réponse aux incidents et de contrôle, selon des référentiels d’exigences.
