Loi de Programmation Militaire Conséquences

Les bouleversements de la Loi de Programmation Militaire

Le renforcement des règles de cybersécurité a réellement été mis en place via la Loi de Programmation Militaire. Quelles en sont aujourd’hui les conséquences pour les Opérateurs d’Importance Vitale et leur Système d’Importance Vitale ?

Quels sont les impacts de la Loi de Programmation Militaire sur les Opérateurs d’Importance Vitale ?

L’application de la Loi de Programmation Militaire (LPM) amène les Opérateurs d’Importance Vitale (OIV) à fournir un investissement conséquent. Dans quel but ? Pour se mettre en conformité avec les règles qui leur sont imposées. En effet, les OIV doivent effectuer une adaptation de l’existant, voire, créer une architecture entièrement nouvelle. Dans les deux cas, les OIV sont amenés à identifier des nouveaux besoins et/ou à mettre en place des nouveaux moyens. Et ce, dans les domaines organisationnel, technique ou financier.

  • Les impacts organisationnels

En premier lieu, les OIV doivent désigner un responsable de la sécurité des SIIV pour être l’interlocuteur de l’ANSSI et s’assurer que les OIV respectent les obligations réglementaires.

Le responsable doit également définir sa Politique de Sécurité du SI (PSSI) qui pose les exigences en matière de formation, de sensibilisation et de reporting. Cette politique délivre des indicateurs pertinents, cohérents et fiables aux modes de calculs compréhensibles et interprétables. Ce nouveau système conduit donc l’OIV à redéfinir son organisation, ainsi qu’à former et habiliter certains employés.

Pour les missions externalisées, le recours à des prestataires validés par l’ANSSI impacte les achats de services de l’OIV. Si l’opérateur a déjà recours à des prestataires, il doit contrôler la démarche de qualification de ses contacts. S’ils répondent négativement, il doit en sélectionner de nouveaux. Dans le cadre particulier du choix des PRIS, il est recommandé que l’OIV effectue un référencement et établisse des contrats-cadres. Grâce à ce travail, il pourra les solliciter dans l’urgence en cas de crise.

  • Les impacts techniques

Les jeunes OIV 

Les OIV qui ne disposent pas de SIIV suffisamment sécurisés sont les plus susceptibles de rencontrer des difficultés dans leur mise en conformité. Ils ne sont en effet pas en mesure de se baser sur des initiatives existantes. Ces OIV plus « immatures » doivent donc développer de nouveaux moyens techniques pour se conformer à la LPM.

Les OIV obsolètes

Les OIV plus matures (qui disposent de mesures ou de SIIV anciens) doivent les faire évoluer. Si cela s’avère impossible, ils vont déterminer les mesures compensatoires à mettre en œuvre.

Les OIV inadaptés

Les OIV ayant déployé des mesures incohérentes avec les règles de l’ANSSI pourraient avoir à refondre la sécurité de leurs SIIV. Dans certains cas, il faudra même envisager la refonte de l’ensemble de leur SI (notamment, le cloisonnement des réseaux et l’utilisation de moyens dédiés à l’administration des SIIV).

Une autre difficulté concerne le périmètre des SIIV qui, selon l’OIV, sont de natures différentes. Ainsi, certains OIV possèdent des SIIV très centralisés. D’autres SIIV présentent de fortes adhérences au reste du SI. Enfin, certains SIIV sont très répartis, comme c’est le cas des OIV de réseaux (eau, électricité, transports, etc). La sécurisation de ces derniers représente un réel défi, leur cloisonnement ne devant pas empêcher la fluidité des opérations de l’Opérateur.

  • Les impacts financiers

En cas de non-respect des obligations de la Loi de Programmation Militaire, l’OIV s’expose à une amende pouvant s’élever jusqu’à 150 000 € pour le dirigeant et jusqu’à 750 000 € pour les personnes morales.  Par ailleurs, la mise en conformité d’un OIV engage nécessairement des coûts importants en termes de moyens humains et techniques. Cet investissement varie selon la taille, la répartition géographique et la typologie des SIIV.

Ainsi, il est nécessaire pour l’OIV de déterminer et d’inscrire le budget de la mise en conformité dans sa prévision budgétaire pluriannuelle. Pour ce faire, elle développe une analyse d’impact. Cette analyse (ou étude) permet de déterminer le chantier et les coûts que représente la mise en conformité exigée par la Loi de Programmation Militaire. L’étude d’impact constitue donc une étape indispensable. Elle se construit en amont de la décision de l’OIV de s’engager dans le processus de mise en conformité.

De plus, l’ensemble des mesures (issues des arrêtés sectoriels) sont entièrement à la charge de l’OIV (1). Certaines d’entre elles peuvent conduire à des investissements considérables : cloisonnement réseau, SOC PDIS, sondes de détection qualifiées… Il ne faut pas oublier également le renchérissement des coûts d’opérations dédiées aux SIIV. Pour finir, les contrôles effectués par l’ANSSI ou les PASSI sont à la charge de l’OIV (2).

Quelles difficultés l’application de la LPM soulève-t-elle ?

Ce nouveau cadre réglementaire apporte son lot de difficultés pour les OIV et l’ANSSI.

D’une part, le corpus juridique de la Loi de Programmation Militaire est complexe. Certains OIV seront tentés de limiter leur mise en conformité aux vingt règles des arrêtés sectoriels. Pourtant, les exigences « à tiroirs » des textes ne doivent pas être négligées. Ces renvois multiples, explicites ou non, aux référentiels ANSSI, aux règles de protection du secret de la défense nationale (IGI 1300), à la protection des systèmes d’information sensibles (II 901) ou à la PSSIE limitent la lisibilité de ces règles.

Par ailleurs, tous les OIV ne sont pas soumis aux mêmes délais ni aux mêmes règles. Bien que la plupart des règles soient identiques entre les secteurs, elles peuvent être formulées différemment, ce qui complique leur interprétation et leur application.

Les opérateurs peuvent aussi interpréter différemment les critères de qualification d’un SIIV. Ces différences de lectures conduisent à des disparités entre OIV et, in fine, à des niveaux de sécurité variables.

La classification de certaines informations (liste d’OIV, liste de SIIV) ou la restriction de leur diffusion (délais d’application des règles, notification d’incidents de sécurité) renforcent les difficultés de compréhension. Pour le méfait de tous puisque ces informations sont essentielles afin de mettre en œuvre les exigences communiquées. Cela complexifie notamment la sensibilisation du personnel, la réalisation des projets et les échanges avec les prestataires.

D’autre part, le contrôle des SIIV est complexe pour l’ANSSI. Avec un dossier d’homologation à réaliser par SIIV, et plusieurs SIIV pour chacun des 250 OIV, l’Agence aura aussi ses propres défis à relever. Le nombre de dossiers à traiter étant plus que conséquent, tout vérifier semble relever de la gageure.

De plus, il faut noter que les dossiers d’homologation ne lui sont pas transmis, mais laissés à disposition, l’OIV gérant de manière autonome l’homologation de ses propres SIIV.

Il n’y aura donc qu’un contrôle des SIIV a posteriori. L’ANSSI devra également définir les priorités dans son programme de contrôle. Elle pourra donc déléguer certains audits à d’autres services de l’État ou des prestataires qualifiés.

Enfin, aucune sonde de détection qualifiée n’est disponible à ce jour alors que leur utilisation est imposée par les arrêtés sectoriels. L’ANSSI doit donc qualifier une « gamme » de produits et son évolution dans le temps.

 

Bien qu’utile à long terme, la Loi de Programmation Militaire pose encore aujourd’hui des problèmes de mise en place sur divers niveaux. Ces réorganisations complètes des services, des moyens et des outils laissent à penser que les effets ne seront pas immédiats. Reste à voir où en sont les acteurs à la fin du programme, en 2019.

 

(1) Article L1332-6- 1 du code de la défense.

(2) Article L1332-6- 3 du code de la défense.

Une réflexion sur “Les bouleversements de la Loi de Programmation Militaire

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *