Usine Nouvelle

S’inscrire à la newsletter
Abonnez-vous Identifiez-vous

Identifiez-vous

Vos codes d'accès sont erronés, Veuillez les saisir à nouveau. Mot de passe oublié ?

La France renforce sa législation en matière de protection des actifs vitaux contre les cyberattaques

Publié le

Publi-rédactionnel

La France renforce sa législation en matière de protection des actifs vitaux contre les cyberattaques

Au cours de ces trois dernières années, l'Union européenne a ardemment négocié une nouvelle directive NIS sur la sécurité des réseaux et des systèmes d'information qui vise à harmoniser, au sein des états membres, les exigences en matière de protection des infrastructures vitales, des réseaux et des systèmes d'information contre les cyberattaques. Certains états membres trouveront que leur législation actuelle satisfait déjà plus ou moins à ces exigences, mais pour d'autres, il faudra des ressources publiques et un temps considérables pour mettre en œuvre une stratégie de cybersécurité. La France est l'un des pays les plus avancés, non seulement d'Europe, mais aussi du monde, en matière de protection des infrastructures vitales contre les cyberattaques. Premier exportateur d'électricité de l'UE, avec le nucléaire comme principale source d'énergie (59 réacteurs sur le territoire), la France aspire à être à la pointe de la législation sur la cyberprotection de l'entreprise numérique, non par choix, mais par nécessité.

D’ici fin 2016, l'ANSSI, l'Agence nationale de la sécurité des systèmes d'information, publiera 20 nouvelles règles qui seront obligatoires pour les actifs les plus vitaux à l'échelle nationale, et mettra en place des amendes pour non-conformité. En juin dernier, l'ANSSI a publié de nouvelles normes pour l'industrie alimentaire, les services de l'eau et le secteur de la santé. Les secteurs concernés seront bientôt rejoints par l'énergie, le transport, et d'autres. Les normes appliquées à ces trois industries exigent des opérateurs d'importance vitale (OIV) qu'ils partitionnent les systèmes d'information d'importance vitale (SIIV) afin de limiter la propagation des cyberattaques au sein des réseaux et des sous-réseaux.

L'ANSSI vise à mieux aider les entreprises françaises à se protéger, non seulement pour se prémunir des menaces criminelles, mais aussi pour conserver leur compétitivité. Dans un entretien, Guillaume Poupard, directeur général de l'ANSSI, déclarait que la mission de l'ANSSI est de protéger efficacement les actifs nationaux contre les attaques, et non de se préoccuper de savoir d'où proviennent ces menaces. Les entreprises et les services d'état devront sans doute mettre en œuvre un système de détection d'intrusion (IDS), et la gestion à distance des systèmes critiques (réseaux SCADA/OT) sera interdite ou fortement réglementée, étant donné que la gestion à distance de tels réseaux présente une sérieuse et évidente vulnérabilité aux cyberattaques. Les auteurs et les experts derrière la nouvelle législation partent du postulat que l'essentiel est d'empêcher toute attaque, plutôt que de développer des réponses ou des moyens d'atténuation.

Lorsque tout dommage aux biens vitaux est inacceptable

Afin de protéger adéquatement les actifs vitaux et éviter tout risque inacceptable, le choix de la technologie mise en œuvre revêt une importance capitale. La stratégie de cybersécurité prend une tout autre forme lorsque la législation détermine ce qui constitue et ce qui ne constitue pas un risque acceptable. Il sera très intéressant de voir comment la réglementation à venir renforcera les exigences en matière de protection des infrastructures essentielles du pays et pourrait constituer un exemple pour le reste de l'Union européenne.

Les bonnes pratiques des systèmes de contrôle industriel (SCI) sont encouragées par l'ANSSI, notamment l'intégration des passerelles de sécurité unidirectionnelles, une technologie mise au point par Waterfall Security. Cette technologie a été adoptée par les normes internationales et dans les guides de bonnes pratiques par de nombreuses normes gouvernementales et industrielles.

Les passerelles unidirectionnelles telles que celles de Waterfall sont une protection imposée par le matériel qui garantit une intégration réseau en toute sécurité. Les passerelles permettent aux données de circuler du système industriel au réseau d'entreprise, mais coupent vers le réseau de contrôle ou des opérations tout flux de communication susceptible d'endommager les actifs vitaux. Elles permettent néanmoins au personnel des unités opérationnelles de surveiller leur équipement de système de contrôle comme à l'habitude. Mais la passerelle rend physiquement impossible le renvoi d'un message d'attaque vers ces réseaux vitaux. En instaurant ces mesures, les équipes de sécurité peuvent éradiquer tout risque de cyberattaque.

Cette solution permet de répondre aux exigences de l’ANSSI concernant le cloisonnement des réseaux de classe 3 (les plus critiques) mais permet aussi de fournir une solution de surveillance à distance du réseau industriel sûre qui bloque toute attaque venant de l’extérieur.

Les passerelles de sécurité unidirectionnelles de Waterfall sont déployées à travers le monde et dans tous les secteurs des infrastructures essentielles et du contrôle industriel, notamment dans la production d'énergie (nucléaire et non-nucléaire), l'eau et les eaux usées, le pétrole et le gaz, les pipelines et raffineries, ainsi que d'autres industries automatisées et manufacturières pour lesquelles la protection des biens essentiels contre les cyberattaques est capitale.

Pour plus d'informations, rendez-vous sur www.waterfall-security.com ou contacter info@waterfall-security.com

 

Par Lior Frenkel, directeur général et co-fondateur, Waterfall Security Solutions

Suivez-nous Suivre Usine Nouvelle sur Facebook Suivre Usine Nouvelle sur Twitter RSS Usine Nouvelle

Les cookies assurent le bon fonctionnnement de nos sites et services. En utilisant ces derniers, vous acceptez l’utilisation des cookies.

OK

En savoir plus