Loi de programmation militaire : mise au point sur le volet cybersécurité

La Loi de Programmation Militaire (ou LPM) a été créée en 2013 sous le gouvernement de Jean-Yves Le Drian. Elle a pour objectif d’imposer à certains opérateurs économiques ou publics de sécuriser leurs systèmes d’information dits « d’importance vitale ».

Comment l’Etat organise la cybersécurité des OIV ?

Depuis 1960, la Loi de Programmation Militaire fixe les objectifs à atteindre afin de garantir la sécurité des installations d’importances vitales. Leurs points communs ? « Une indisponibilité risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la nation (1) ». Si, jusqu’à 2013, les obligations portaient essentiellement sur la mise en œuvre de dispositifs de sécurité physiques pour les Points d’Importance Vitale (PIV), la LPM de 2013 y ajoute un volet lié à la cybersécurité.

Environ 250 Opérateurs d’Importance Vitale (OIV), dont la liste est tenue secrète, sont concernés. Ils sont répartis sur 12 secteurs d’activité (énergie, transport, télécommunications, eau…) définis par décret du Premier Ministre (2). Ces OIV sont garants de  la sécurité des Systèmes d’Information d’Importance Vitale (SIIV) puisqu’ils respectent les normes définies par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI). Cette dernière supervise notamment la mise en œuvre des contrôles publics. Sous la forme d’arrêtés sectoriels, ils précisent les obligations et règles spécifiques à chacun des secteurs ou sous-secteurs d’activité. À ce jour, 13 arrêtés ont été publiés. L’Agence se charge également de créer des référentiels d’exigences à destination des prestataires de cybersécurité. On pense notamment à l’audit (PASSI), à la  détection (PDIS) et à la  réponse à incident (PRIS).

Les exigences de la Loi de Programmation Militaire

La LPM impose donc de nouvelles mesures pour renforcer la sécurisation des systèmes d’information, sur la base de quatre axes principaux :

  • Le respect des règles de sécurité nécessaires à la protection des SIIV ;
  • L’obligation de recourir à des produits et des prestataires qualifiés ;
  • L’obligation de notifier immédiatement les incidents de sécurité affectant un SIIV ;
  • La mise en place d’audits et contrôles réguliers des SIIV afin de vérifier le niveau de sécurité

Comment la LPM va-t-elle être mise en application ?

L’ANSSI est en charge de l’accompagnement des OIV dans leurs démarches et s’assure de la mise en application de la loi. Elle élabore les règles de sécurité, qui sont proposées au Premier ministre et aux  ministres coordinateurs des OIV concernés. À partir de cette base généralisée (la règle de sécurité), les obligations vont se détailler sous la forme d’arrêtés sectoriels.

 Ce sont les arrêtés sectoriels qui vont préciser les obligations et règles spécifiques à chaque secteur d’activité. Publiés en juin 2016, les premiers d’entre eux concernaient les secteurs de l’alimentation, de la gestion de l’eau et des produits de santé. Six autres, publiés en août 2016, détaillent les obligations du secteur des transports (aérien, maritime et fluvial et terrestres) ainsi que celles de l’approvisionnement en énergie (hydrocarbures pétroliers,  gaz naturel et électricité). Les quatres derniers arrêtés  (finances, industrie, communications électroniques, et audiovisuel et information ), publiés en décembre 2016, sont entrés en vigueur au 1er janvier 2017. Enfin, celui applicable au sous-secteur nucléaire vient d’être publié mi-mars.

Dès la publication des arrêtés les OIV concernés doivent :

  • désigner la personne chargée de les représenter auprès de l’ANSSI,
  • fournir la liste des SIIV dans le délai défini,
  • informer obligatoirement des incidents de sécurité affectant les SIIV,
  • mettre en œuvre les règles de sécurité prévues par l’arrêté, dans le délai spécifique.

Les OIV doivent procéder à l’homologation de sécurité de leurs SIIV afin de prouver leur conformité. Pour cela, elles vont suivre un processus similaire à celui des systèmes d’information qui sont soumis aux règles de l’IGI 1300 ou du RGS, celui-ci inclut notamment la réalisation d’un audit de la sécurité du SIIV par un prestataire externe certifié (PASSI).

La phase expérimentale du référentiel Prestataires de Détection des Incidents de Sécurité (PDIS)

La LPM et les textes qui en découlent mentionnent à de nombreuses reprises le recours à des prestataires de confiance pour réaliser certaines  étapes importantes. On pense surtout à celles qui ponctuent l’exécution de la cybersécurité des SIIV : prévention, détection et réaction. Ces prestataires sont soumis à un cadre réglementaire spécifique et devront être qualifiés par l’ANSSI selon ses propres exigences (PASSI, PDIS, PRIS).

Les arrêtés sectoriels exigent qu’une équipe et un système conforme aux règles du référentiel PDIS supervisent la sécurité des SIIV.

Le référentiel PDIS est actuellement en phase d’expérimentation, testé en conditions réelles par quelques prestataires. Ce référentiel permet d’évaluer le niveau d’exigences mis en place par l’ANSSI. Il servira d’enseignement et de base de modifications avant la publication de sa version finale.

L’enjeu n’est pas négligeable. En effet, si le recours à un service qualifié PDIS est imposé, ce dernier peut être interne ou externe, voire hybride.  Les OIV peuvent être poussés à externaliser pour 3 raisons :

  • Les modifications importantes de l’organisation du Security Operations Center (SOC) et de l’architecture de son SI
  • L’adaptation aux nouvelles contraintes opérationnelles
  • Le coût conséquent de la démarche

Il faut néanmoins mettre ces arguments  en balance avec le frein psychologique qu’il peut y avoir à confier cette activité à un prestataire extérieur. C’est pourquoi le référentiel PDIS est le plus significatif dans la démarche de mise en conformité LPM.

Le texte du référentiel PDIS précise qu’il peut être utilisé « à titre de bonnes pratiques, en dehors de tout contexte réglementaire ». Il est possible que, par effet d’entraînement sur le reste du marché (référence systématique à ce nouveau standard dans les appels d’offres) et par attraction vers les « meilleurs pratiques », la contrainte imposée aux OIV devienne une référence pour l’industrie de la cybersécurité française.
Entre règles de sécurité, arrêté sectoriel et référentiel PDIS, la Loi de Programmation Militaire connait depuis 2013 de nombreux domaines d’application. Bien que sa réalisation ne soit pas achevée, les principes développés ont de grandes chances de devenir les outils principaux. Reste à parier sur leur évolution et la cybersécurité post-LPM.

(1) Article L1332-1 du Code de la défense.

(2) Article R1332-2 du Code de la défense et arrêté du 2 juin 2006, modifié par un arrêté du 3 juillet 2008.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *