ANSSI

La sécurité des réseaux et systèmes d’information des opérateurs de services essentiels – Une nouvelle opportunité

Alors que le règlement général sur la protection des données s’applique dans tous les États membres depuis le 25 mai 2018, la mise en œuvre d’une autre initiative européenne entrainera un nouveau pic d’activité dans le monde de la sécurité des systèmes d’information et une opportunité pour les prestataires de service habilités à mener les contrôles de sécurité.

Les services essentiels au fonctionnement de la société ou de l’économie et « dont la continuité pourrait être gravement affectée par des incidents touchant les réseaux et systèmes d’information nécessaires à la fourniture desdits services » sont mentionnés à l’article 5 de la loi n° 2018-133 du 26 février 2018. Cette loi transpose dans le droit français les mesures « destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union ».

Le décret n° 2018-384 du 23 mai 2018 étend considérablement les secteurs concernés par ces « services essentiels ». La directive 2016/1148 du 6 juillet 2016 liste les sept secteurs de l’énergie, des transports, des banques, des infrastructures de marchés financiers, du secteur de la santé, de la fourniture et de la distribution de l’eau potable et des infrastructures numériques. La réglementation française impose également des règles de sécurité drastiques aux gestionnaires de plateformes logistiques, aux entreprises de transport de fonds, aux organismes d’assurance, aux opérateurs du secteur de l’éducation chargés de l’organisation d’examens nationaux ou aux entreprises de restauration collective destinée au secteur de la détention pénitentiaire.

La désignation des opérateurs de services essentiels suit des règles proches de celles en vigueur pour l’identification des opérateurs d’importance vitale, encadrée par l’instruction générale n° 6600/SGDSN/PSE/PSN du 7 janvier 2014[1]. Sept critères portant sur le nombre d’utilisateurs, la part de marché ou l’existence de moyens alternatifs permettront au Premier ministre de notifier aux « heureux élus » son intention de les désigner, les potentiels opérateurs disposant d’un mois pour présenter ses observations.

Dans un délai de trois mois après sa désignation comme opérateur de service essentiel, la société concernée communiquera à l’Agence nationale de la sécurité des systèmes d’information la liste des réseaux et systèmes d’information concernés. Ceux-ci devront répondre à un certain nombre de règles de sécurité dans le domaine de la gouvernance, de la protection ou de la résilience et tout incident susceptible d’avoir un impact significatif sur la continuité du service devra être déclaré dès que l’opérateur en aura connaissance.

Les contrôles de sécurité seront réalisés directement par l’Agence nationale de la sécurité des systèmes d’information ou par un prestataire de service qualifié que l’opérateur pourra choisir dans une liste préétablie. Le décret précise que le coût des contrôles effectués par un prestataire de service sera « déterminé librement par les parties ». Un nouveau marché s’ouvre.

VA(2S) Alain Christienne, directeur du Centre méditerranéen des études stratégiques

[1] Les établissements, installations ou ouvrages d’importance vitale sont ceux dont le dommage, l’indisponibilité ou la destruction par suite d’un acte de malveillance, de sabotage ou de terrorisme risquerait, directement ou indirectement, d’obérer gravement le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ou de mettre gravement en cause la santé ou la vie de la population.

28° SMHES – Au cœur de Naval Group et de la 3ème division « Monsabert »

Les auditeurs de la session 2017-2018 méditerranéenne des hautes études stratégiques ont été accueillis le 15 mars 2018 sur le site d’Ollioules par monsieur Julien Mifsud, directeur et DRH du site.

Situé au cœur du Technopôle de la Mer, le site Naval Group de Toulon-Ollioules est le centre névralgique des activités de haute technologie du Groupe et plus largement des systèmes navals de défense made in-France. Naval Group rassemble à Ollioules plus de mille cadres et ingénieurs spécialisés dans le développement de systèmes de combat complexes équipant les navires militaires.

Avant de visiter le showroom, vitrine des évolutions technologiques développées par Naval Group au profit des prochaines frégates et sous-marins de la Marine nationale, les auditeurs ont profité d’une présentation des grands enjeux de Naval Group face à la concurrence internationale. Malgré d’excellents résultats financiers, le Groupe est en effet confronté à une concurrence acharnée des acteurs industriels européens et mondiaux. Si des partenariats ont été trouvés, tels celui passé avec Fincantieri, illustré par le lancement quasi-simultané des frégates Antonio Marceglia et Normandie, l’arrivée de nouveaux constructeurs, turc ou chinois nécessite d’être toujours à la pointe de la technologie et de l’innovation, qualités qui caractérisent les fleurons de Naval Group, tels que la corvette Gowind, déjà commandée à plus d’une dizaine d’exemplaires, ou la frégate de taille intermédiaire Belh@rra.

L’évocation de cette frégate « numérique » introduisait tout naturellement aux présentations dédiées aux technologies de l’information, avec une visite consacrée à la nouvelle infrastructure navale embarquée ACCESS (Afloat Common Computing Evolutive and Secured System Project) qui sera mise en œuvre de façon native sur cette frégate. Les auditeurs ont achevé cette journée par une présentation de la vision Naval Group de la cybersécurité, caractérisée par la création récente du CSIRT (Computer Security Information Response Team), équipe d’une dizaine d’ingénieurs dédiée à l’anticipation et à l’analyse de la menace et à la réponse aux incidents.

*
**

La journée du 15 mars s’est achevée par une conférence donnée par monsieur Moïse Moyal, référent sécurité des systèmes d’information pour la région Sud Provence-Alpes-Côte d’Azur à l’ANSSI (Agence nationale de la sécurité des systèmes d’information). Créée par le décret n° 2009-834 du 7 juillet 2009, l’ANSSI assure la fonction d’autorité de défense et de sécurité des systèmes d’information. Elle a notamment pour mission de proposer les mesures destinées à répondre aux crises affectant ou menaçant la sécurité des systèmes d’information des autorités publiques et des opérateurs d’importance vitale mais également de proposer les mesures de protection des systèmes d’information.

L’importance de ces missions essentielles à la sécurité nationale a été souligné par l’étude d’impact annexée au projet de loi relatif à la programmation militaire pour les années 2019 à 2025 : « à l’issue de la révélation d’une vulnérabilité majeure affectant les systèmes Windows, l’Agence nationale de la sécurité des systèmes d’information avait réalisé début 2017 des tests techniques lui permettant d’identifier plusieurs milliers d’adresses IP vulnérables en France. L’agence avait alors demandé aux opérateurs de communications électroniques d’alerter les détenteurs des systèmes concernés, mais n’a reçu aucun engagement de la part de ces derniers. Quelques mois plus tard, le code malveillant WannaCry utilisait cette même vulnérabilité pour se propager massivement en France. »

*
**

Après une journée centrée sur les nouvelles technologies, le 16 mars 2018 a remis l’homme au cœur du système avec une visite de l’état-major de la 3ème division, établi au quartier Rendu, dans le 9ème arrondissement de Marseille. L’ancre de marine conservée à l’entrée du quartier rappelle que le 72ème régiment (puis bataillon) d’infanterie de marine a occupé les lieux de 1991 à 2009.

Créée le 20 juin 2016 dans le cadre du projet « au contact » de l’armée de terre, la 3ème division Scorpion reprend les traditions de la 3ème division d’infanterie algérienne, qui avait libéré la cité phocéenne en 1944, emmenée par le général Joseph de Goislard de Monsabert. Elle engerbe sous les ordres du général de division Bruno Guibert trois brigades, la 11ème brigade parachutiste, la 6ème brigade légère blindée et la 2ème brigade blindée.

Accueillis par le général de brigade Michel Ledanseur, les auditeurs ont bénéficié d’une présentation générale des récentes évolutions de l’armée de terre et de l’activité de la 3ème division, complétant ainsi les éléments recueillis au Cannet-des-Maures en décembre 2017. Répondant totalement aux attentes de l’Institut FMES et à l’importance de montrer la réalité de l’action des forces armées, les officiers ont fait part de leur expérience au sein de la force Barkhane, mais également dans les entités de l’Union européenne (EUTM Mali) ou des Nations Unies (MINUSMA), offrant ainsi une superbe transition entre le séminaire de février, dédié à l’Union européenne, et celui d’avril, qui se déroulera au Palais des Nations de Genève.

De ces deux journées, c’est sans doute la vidéo présentée dans un silence de cathédrale par le GB Michel Ledanseur qui aura le plus marqué nos auditeurs, qui pendant 1 minute et 15 secondes, auront partagé la vie de nos forces spéciales.

VA(2S) Alain Christienne, directeur du centre méditerranéen des études stratégiques.