Eau, santé, alimentation... Pour les opérateurs d'importance vitale, le coût de la cybersécurité sera non négligeable

Les premiers arrêtés concernant les mesures de protection informatique des opérateurs d’importance vitale (OIV) entreront en vigueur le 1er juillet 2016. Ils concernent  le secteur de la santé, de l’alimentation et de la gestion de l’eau. Le coût des mesures de cybersécurité devrait s’élever entre 5 et 10% du budget informatique.

Partager
TESTEZ GRATUITEMENT L'ABONNEMENT À L'USINE NOUVELLE

15 jours gratuits et sans engagement

Eau, santé, alimentation... Pour les opérateurs d'importance vitale, le coût de la cybersécurité sera non négligeable

L’article 22 de la loi de programmation militaire (LPM) qui vise à protéger les infrastructures vitales du pays des cyberattaques, devient enfin une réalité. Les arrêtés concernant les entreprises opérant dans le secteur de la santé, de l’alimentation et de la gestion de l’eau, viennent d’être publiés. Ils précisent concrètement les mesures que les opérateurs d’importance vitale (OIV) dans ce domaine seront amenés à prendre pour être en conformité avec la loi. "Les premiers arrêtés entreront en vigueur le 1er juillet 2016. Le fait que le premier secteur concerné touche d’abord aux activités liées aux personnes montre notre volonté de toucher tous les secteurs", explique Louis Gautier, l’homme fort du secrétariat général de la défense nationale (SGDN).

Les 248 OIV identifiés en France et dont la liste est tenue secrète, ont été répartis en 12 secteurs d’activités (télécoms, transports, finances, énergie…) afin de pouvoir leur appliquer des règles sur-mesure et adaptées. L’Etat estime que si ces entreprises ou services de l’Etat étaient attaqués, leur dysfonctionnement pourrait causer un préjudice grave à la population voire à la sécurité du pays.

des règles édictées avec les opérateurs

Chaque texte est en effet adapté aux différents secteurs d’activité."Les mesures résultent des discussions entre les opérateurs, leur ministère et leur agence de régulation de référence et l’agence nationale pour la sécurité des systèmes d’information (ANSSI). Le but était d’établir des mesures pertinentes qui soient soutenables d’un point de vue technique, financier et humain", explique Guillaume Poupard, président de l’ANSSI.

Les OIV devront notamment faire une cartographie de leurs réseaux, identifier les systèmes d’information considérés comme d’importance vitale. Ils devront cloisonner leurs différents réseaux afin d’éviter la propagation des attaques. Les décrets insistent sur l’obligation de déployer des outils de détection des cyber-attaques et de signaler à l’ANSSI les incidents subis. Ils devront également veiller à transcrire contractuellement ces nouvelles obligations à leurs sous-traitants les plus critiques. Les entreprises auront un délai de 18 à 24 mois pour mettre en œuvre les mesures imposées.

"Ces mesures auront un coût et ce ne sera pas dans l’épaisseur du trait", reconnaît Guillaume Poupard. L’agence a chiffré ce coût entre 5 et 10% du budget informatique des entreprises. Les opérateurs devront recruter des experts en système d’information ou faire appel à des prestataires extérieurs capables de réaliser des audits de sécurité poussés, de détecter et de réagir aux incidents informatiques. "Ces prestataires doivent être compétents et de confiance. Ils doivent être qualifiés par l’ANSSI"», précise Guillaume Poupard. Les fournisseurs d’équipements de logiciels et de services de sécurité pour les OIV ont également dû montrer patte blanche. Pour recevoir le label de l’agence, ils ont dû lui ouvrir le code source de leur logiciel.

Guillaume Poupard justifie l’intérêt de la notification des attaques. "Quand un pirate s’attaque à une entreprise, il reproduit généralement le même type d’attaque vers d’autres acteurs du même secteur. En étant alerté, nous pouvons apporter notre aide et organiser une défense collective". Les notifications seront anonymisées pour ne pas porter préjudice à celui qui aurait donné l’alerte.

La lourde facture de la cyberattaque de TV5 Monde

Les entreprises ont deux ans pour se mettre en conformité avec les arrêtés. Des contrôles sont prévus par la loi. En cas de non-conformité, les amendes iront de 150 000 euros pour les personnes physiques et 750 000 euros pour les personnes morales. Mais selon l’ANSSI, la véritable sanction en cas de non-conformité, sera les dégâts causés par une cyberattaque. Et là la facture est incomparable. Le cas de TV5 Monde qui avait subi une cyberattaque de grande envergure en avril 2015, est révélateur. La chaîne a dépensé 5 millions d’euros pour remplacer les équipements mis hors d’état, et prévoit un budget récurrent de 3 millions d’euros par mettre son informatique au niveau.

La publication des décrets concernant les autres secteurs d’activités devrait s’échelonner jusqu’au début de l’année prochaine.

Hassan Meddah

0 Commentaire

Eau, santé, alimentation... Pour les opérateurs d'importance vitale, le coût de la cybersécurité sera non négligeable

Tous les champs sont obligatoires

Votre email ne sera pas publié

PARCOURIR LE DOSSIER

Tout le dossier

Sujets associés

LES ÉVÉNEMENTS L’USINE NOUVELLE

LES PODCASTS

La vision d'un manager... de brigade en cuisine

La vision d'un manager... de brigade en cuisine

Nouveau

Dans le Podcast Inspiration, Cyril Bosviel, chef à l'institut Paul Bocuse à Lyon, répond aux questions de Christophe Bys. Il revient sur ses débuts, son parcours de chef cuisinier mais...

Écouter cet épisode

Auto et économie circulaire

Auto et économie circulaire

Dans ce nouvel épisode du podcast La Fabrique, Julie Thoin-Bousquié revient sur la prise en compte des enjeux d'économie circulaire dans l'automobile. En toile de fond, l'impératif de...

Écouter cet épisode

La mobilité de demain selon Clotide Delbos et Christel Bories

La mobilité de demain selon Clotide Delbos et Christel Bories

Lors des Assises de l'industrie 2021 organisées par L'Usine Nouvelle, Clotilde Delbos, directrice générale adjointe de Renault et DG de Mobilize (marque du groupe au losange) et Christel Bories,...

Écouter cet épisode

Une bête curieuse

Une bête curieuse

Dans cet épisode d'Industry Story, Guillaume Dessaix nous raconte le parcours de Temple Grandin.  Autiste, experte en psychologie des animaux, ingénieure, chef d’entreprise... Temple Grandin...

Écouter cet épisode

Tous les podcasts

LES SERVICES DE L’USINE NOUVELLE

Trouvez les entreprises industrielles qui recrutent des talents

LE CNAM

Ingénieur chef de projet bâtiment H/F

LE CNAM - 06/12/2021 - CDD - PARIS

+ 550 offres d’emploi

Tout voir
Proposé par

ARTICLES LES PLUS LUS