Abonnez-vous Identifiez-vous

Identifiez-vous

Vos codes d'accès sont erronés, Veuillez les saisir à nouveau. Mot de passe oublié ?

L'Usine Agro

Eau, santé, alimentation... Pour les opérateurs d'importance vitale, le coût de la cybersécurité sera non négligeable

Hassan Meddah , , ,

Publié le

Les premiers arrêtés concernant les mesures de protection informatique des opérateurs d’importance vitale (OIV) entreront en vigueur le 1er  juillet 2016. Ils concernent  le secteur de la santé, de l’alimentation et de la gestion de l’eau. Le coût des mesures de cybersécurité devrait s’élever entre 5 et 10% du budget informatique.

Eau, santé, alimentation... Pour les opérateurs d'importance vitale, le coût de la cybersécurité sera non négligeable © OVH

L’article 22 de la loi de programmation militaire (LPM) qui vise à protéger les infrastructures vitales du pays des cyberattaques, devient enfin une réalité. Les arrêtés concernant  les entreprises  opérant dans le secteur de la santé, de l’alimentation et de la gestion de l’eau, viennent d’être publiés. Ils précisent concrètement les mesures que les opérateurs d’importance vitale (OIV) dans ce domaine seront amenés à prendre pour être en conformité avec la loi. "Les premiers arrêtés entreront en vigueur le 1er juillet 2016. Le fait que le premier secteur concerné touche d’abord aux activités liées aux personnes montre notre volonté de toucher tous les secteurs", explique Louis Gautier, l’homme fort du secrétariat général de la défense nationale (SGDN).

Les 248 OIV identifiés en France et dont la liste est tenue secrète, ont été répartis en 12 secteurs d’activités (télécoms, transports, finances, énergie…) afin de pouvoir leur appliquer des règles sur-mesure et adaptées. L’Etat estime que si ces entreprises ou services de l’Etat étaient attaqués, leur dysfonctionnement pourrait causer un préjudice grave à la population voire à la sécurité du pays.

des règles édictées avec les opérateurs 

Chaque texte est en effet adapté aux différents secteurs d’activité."Les mesures résultent des discussions entre les opérateurs, leur ministère et leur agence de régulation de référence et l’agence nationale pour la sécurité des systèmes d’information (ANSSI). Le but était d’établir des mesures pertinentes qui soient soutenables d’un point de vue technique, financier et humain", explique Guillaume Poupard, président de l’ANSSI.

Les OIV devront notamment faire une cartographie de leurs réseaux, identifier les systèmes d’information considérés comme d’importance vitale. Ils devront cloisonner leurs différents réseaux afin d’éviter la propagation des attaques. Les décrets insistent sur l’obligation de déployer des outils de détection des cyber-attaques et de signaler à l’ANSSI les incidents subis. Ils devront également veiller à transcrire contractuellement ces nouvelles obligations à leurs sous-traitants les plus critiques. Les entreprises auront un délai de 18 à 24 mois pour mettre en œuvre les mesures imposées.

"Ces mesures auront un coût et ce ne sera pas dans l’épaisseur du trait", reconnaît Guillaume Poupard. L’agence a chiffré ce coût entre 5 et 10% du budget informatique des entreprises. Les opérateurs devront recruter des experts en système d’information ou faire appel à des prestataires extérieurs capables de réaliser des audits de sécurité poussés, de détecter et de réagir aux incidents informatiques. "Ces prestataires doivent être compétents et de confiance. Ils doivent être qualifiés par l’ANSSI"», précise Guillaume Poupard. Les fournisseurs d’équipements de logiciels et de services de sécurité pour les OIV ont également dû montrer patte blanche. Pour recevoir le label de l’agence, ils ont dû lui ouvrir le code source de leur logiciel.

Guillaume Poupard justifie l’intérêt de la notification des attaques. "Quand un pirate s’attaque à une entreprise, il reproduit généralement le même type d’attaque vers d’autres acteurs du même secteur. En étant alerté, nous pouvons apporter notre aide et organiser une défense collective". Les notifications seront anonymisées pour ne pas porter préjudice à celui qui aurait donné l’alerte.

La lourde facture de la cyberattaque de TV5 Monde

Les entreprises ont deux ans pour se mettre en conformité avec les arrêtés. Des contrôles sont prévus par la loi. En cas de non-conformité, les amendes iront de 150 000 euros pour les personnes physiques et 750 000 euros pour les personnes morales. Mais selon l’ANSSI, la véritable sanction en cas de non-conformité, sera les dégâts causés par une cyberattaque. Et là la facture est incomparable. Le cas de TV5 Monde qui avait subi une cyberattaque de grande envergure en avril 2015, est révélateur. La chaîne a dépensé 5 millions d’euros pour remplacer les équipements mis hors d’état, et prévoit un budget récurrent de 3 millions d’euros par mettre son informatique au niveau.

La publication des décrets concernant les autres secteurs d’activités devrait s’échelonner jusqu’au début de l’année prochaine.

Hassan Meddah

 

Réagir à cet article

Testez L'Usine Nouvelle en mode abonné. Gratuit et sans engagement pendant 15 jours.

Créez votre compte L’Usine Connect

Fermer
L'Usine Connect

Votre entreprise dispose d’un contrat
L’Usine Connect qui vous permet d’accéder librement à tous les contenus de L’Usine Nouvelle depuis ce poste et depuis l’extérieur.

Pour activer votre abonnement vous devez créer un compte

Créer votre Compte
Suivez-nous Suivre Usine Nouvelle sur Facebook Suivre Usine Nouvelle sur Twitter RSS Usine Nouvelle