Assises de la sécurité 2015 : L'Anssi couve les OIV
Au terme d'un dialogue « rugueux » avec les grandes entreprises, l'Anssi met la dernière main à son dispositif encadrant les opérateurs d'importance vitale (OIV). Des arrêtés, attendus dans les prochaines semaines, préciseront comment ces OIV feront remonter des informations lors des incidents de sécurité.
Le directeur général de l'Anssi (Agence nationale de la sécurité des systèmes d'information) avait laissé les participants de l'édition 2014 des Assises de la Sécurité sur une proposition de main tendue aux professionnels de la sécurité. Au cours de l'année écoulée, Guillaume Poupard a beaucoup dialogué et ses équipes ont surtout beaucoup travaillé sur une période marquée par les évènements du mois de janvier 2015 et par le piratage de TV5 Monde. Les attaques sont de plus en plus fortes et rapides, martèle-t-il. « Elles sont la concrétisation de ce à quoi on s'attendait et de ce à quoi on doit se préparer », a indiqué le responsable lors de son discours d'ouverture de la 15ème édition des Assises de la Sécurité, qui se tiennent du 30 septembre au 2 octobre à Monaco. Une menace qui nécessite que les différents acteurs unissent leurs forces, plaide l'Anssi.
Un dialogue rugueux avec les OIV
Au premier rang des acteurs concernés, il y a les OIV soit les opérateurs d'importance vitale. Ils regroupent les sociétés, les groupes, les administrations dont les infrastructures sont critiques pour la Nation. La liste est secrète, mais elle comprend environ 220 entités. Via son article 22, la loi de programmation militaire a imposé aux OIV l'obligation de remonter les incidents de sécurité à l'Anssi. L'agence a créé 12 groupes de travail couvrant les différents secteurs d'activité pour mettre en place les modalités pratiques de ces échanges.
« Il s'agit d'un mariage forcé. Il y a eu des doutes quant à la capacité à dialoguer, mais aujourd'hui je suis serein sur ce point et les OIV retenus ont joué le jeu », avoue Guillaume Poupard. Pour autant, quand il s'agit de qualifier la nature des discussions avec ces opérateurs, il file la métaphore rugbystique : les échanges ont parfois été « rugueux ». « Il y a dans certains cas des impacts profonds sur les architectures réseaux qui ont fait peur. Pour nous, l'administration réseau doit être isolée des usages, sinon il y a des risques d'intrusion et d'élévation de privilèges. Cela demande de repenser ces architectures et il y a un héritage qui va devoir s'adapter progressivement ». Pour le directeur de l'Anssi, « 90% des problèmes rencontrés dans les groupes de travail provenaient d'incompréhensions que nous avons aplanies ».
Des arrêtés révisables
Fruit de ces travaux communs, la production des arrêtes est en passe d'être finalisée. « Les textes sont quasiment prêts et les premiers vont sortir au cours de l'automne ». Les arrêtés seront publiés par vagues et concerneront dans un premier temps les plus anciens groupes de travail. Des textes qui ne sont pas gravés dans le marbre et qui ont vocation à être révisés « tous les 2 ou 3 ans ». « Il faut les adapter pour être le plus efficace possible et pour que l'effort soit soutenable pour les OIV. Par contre, certains éléments seront intangibles comme la maîtrise des réseaux et la gouvernance des flux de données », complète le directeur général de l'Anssi.
Des modifications pourraient intervenir en fonction de la directive européenne NIS (Network Information Security). Cette dernière prévoit des obligations d'information sur les incidents pour toute entreprise considérée comme une plateforme numérique. La question de la définition de la notion de « plateforme numérique » est en discussion, mais Guillaume Poupard lance des signaux d'alertes : « il ne s'agit pas d'abaisser les niveaux de sécurité, il faut des produits robustes, pas des bouts de logiciel et de la poudre de perlimpinpin ». Et de saluer les travaux menés avec ses homologues allemands sur différents sujets comme la qualification des prestataires de Cloud.
Des sondes capables de garder des secrets
Une fois les arrêtés sectoriels publiés, la main va passer aux offreurs de sécurité qui pourront proposer des solutions de confiance de détection d'incident. « Les travaux sont en cours. Nous avons publié un référentiel et nous sommes en phase de tests sur des cobayes », poursuit M. Poupard. Il ne cache pas que la détection c'est bien, mais il faut aussi que les outils soient capables de conserver le secret des bases de connaissance et de signatures : « avec ces systèmes, nous avons un peu d'avance sur les attaquants, il faut la garder » et d'évoquer des investissements en R&D « sur des sondes qui respectent ces secrets ». Thales vient de faire une annonce en ce sens avec un système de « diode » issue du monde la défense pour les OIV. Nous aurons l'occasion de revenir sur ces différentes offres dans nos colonnes.
A lire aussi :
L'Anssi met son nez dans la sécurité des grandes entreprises
Les bons conseils de sécurité de l'ANSSI aux PME
Sur le même thème
Voir tous les articles Cybersécurité