Home
La Loi de Programmation miLitaire aPPLiquée à La
Contents
1. tete 27 les impacis 28 ANALYSE DES OPPORTUNIT S MENACES FORCES ET FAIBLESSES 29 MISE EN UVRE DES MESURES DE PROTECTION DES SIIV 31 INHESJ Juillet 2015 Cycle S curit des usages num riques LA LOI DE PROGRAMMATION MILITAIRE APPLIQU E LA CYBERS CURIT Travaux de la 5 promotion 2014 2015 du Cycle S curit des usages num riques LA LPM ET LE SECTEUR FRAN AIS DE LA CYBER S CURIT 32 S CURIT NATIONALE SOUVERAINET dead 32 ANALYSE DES IMPACTS DE LA LPM SUR L INDUSTRIE 32 Impacts organisationnels technologiques financiers 32 RES 33 bille conomiques dame LR ae 33 ACRONYMES ET GLOSSAIRE gt 5 82 dessein ctes sd 34 ANNEXES sus dns monte d nude na date eine dre nb dense eurent die fige 38 Annexe 1 LE DISPOSITIFIDNS 33 34 ereire r Uaia de de db ae donnee etage 38 Annexe 2 LPM ARTICLE 20 44 43 cu cs gene una da 40 Annexe LPM ARTICLE 21 24
2. 12 D APPOCATION DE LA PM 22582 ereti 13 Synoptique g n ral 4 444444 neue 13 Notions d organisation associ es la DNS et la LPM 14 QT 14 mets 15 SR EE 15 NOn de Bones 16 ANALYSE DE LA MISE EN UVRE DE LA LPM 4 4 17 D fense d la Nation ses it oni iT T dre aiumi pet matos 17 Soutenabilit de la IPM E EE E EERTE EDT ENET 17 Em 17 CONTEXTE EUROPEEN Ne near mt droit ter one 18 Cybercriminalit et Conseil de l Europe 18 Cybercriminalit et Union europ enne 19 DIRECTIVE NIS 2 donnee Tee ane nine nds 20 LA LPM D CLIN E DE MANI RE PRATIQUE 21 Fiche Pratique er Plan Projek iei risanare anea ae ae de net def did 21 ANALYSE DESIMPACIS DE LAILPM Basien eme Rens die 24 L s impacis Re AM NE NN 25 l s impacis organisdtionnels2 43 speed 26 les impacts
3. 4 44e eee eee eee 42 Annexe 4 ARTICLE 20 ANALYSE sis us doses ne dia een deb de 48 Annexe 5 D CRET RELATIF LA S CURIT DES SYST MES D INFORMATION DES OIV 49 Annexe 6 D CRET RELATIF LA QUALIFICATION DES PRODUITS ET PRESTATAIRES DE SERVICE DE CONFIANCE 56 amp Juillet 2015 Cycle S curit des usages num riques LA LOI DE PROGRAMMATION MILITAIRE APPLIQU E LA CYBERS CURIT Travaux de la 5 promotion 2014 2015 du Cycle S curit des usages num riques PR AMBULE Ce document a pour ambition de pr senter les implications de la Loi de Programmation Militaire 2014 2019 pour son volet relatif la Cybers curit et en particulier pour les Op rateurs d Importance Vitale Nous essayons de r pondre aux questions que se pose un responsable Comment ce sujet se situe dans le contexte r glementaire fran ais et europ en Quel est le contenu de la loi Quelles sont ses incidences obligations ou contraintes pour les entreprises concern es Que faut il faire pour se conformer la loi Qu est ce qu un syst me d information d importance vitale 51 2 Qui sont les acteurs autour de ce sujet Ce point de l tat de l art est partiel ou temporaire car d une part comme on le verra une partie du volet r glementaire n est aujourd hui pas finalis les arr t s sectoriels qui eux m mes sont porteurs des exigences d
4. En cas de manquement aux conditions et r serves fix es par la d cision de qualification ou en cas de changement des circonstances de droit ou de fait dans lesquelles le produit a t qualifi le Premier ministre peut apr s que le demandeur pu faire valoir ses observations suspendre ou abroger la qualification Qualification des prestataires de service de confiance valuation et qualification des prestataires Art 8 La demande de qualification est adress e par le prestataire de service de confiance l Agence nationale de la s curit des syst mes d information Celle ci met la disposition du public par voie lectronique la liste des pi ces joindre la demande qui contient notamment 1 La description des services sur lesquels porte la demande 2 l organisation les proc dures et les m thodes mises en place par le prestataire pour fournir les services 3 Les coordonn es du centre d valuation choisi par le prestataire pour valuer les services sur lesquels porte la demande 4 Le programme de travail d fini par le prestataire avec le centre d valuation Art 9 Lorsque le dossier de demande est complet l Agence nationale de la s curit des syst mes d information s assure au vu des pi ces fournies que 1 Les services fournis par le prestataire sont susceptibles de r pondre aux besoins de s curit des syst mes d information 2 le centre d valuation choisi est agr
5. la d tection sondes firewalls etc a Refonte et application des r gles et mesures de la LPM gr ce au r sultat de l analyse des risques et de l tude de l existant le RSSI et le DSSI sont dans la capacit de proposer un plan technique de mise en uvre des r gles et mesures respecter pour l application de la LPM a Le syst me d alerte et reporting diff rents dispositifs d alerte et d intrusion peuvent tre mis en place pour r pondre aux r gles et pr conisations de la LPM comme par exemple la mise en place de dispositifs de supervision de la s curit SOCSs SIEMs CERT Cela permettra l OIV d appliquer le processus de reporting unifi avec les diff rents organismes internes de l entreprise gouvernance et avec l ANSSI Qualification de la s curit du syst me d information un premier test de qualification et d homologation doit tre ex cut en interne pour v rifier la r silience et la r ponse aux attaques du syst me mis en place Lorsque le syst me a t test et qualifi une expertise ext rieure permettra de valider la s curit et la gestion de la crise en temps r el Il faut pr voir pour un syst me jug tr s critique l interdiction de sa connexion sur Internet si n cessaire lors d une attaque de grande ampleur Article 15 Juillet 2015 Cycle S curit des usages num riques 27 LA LOI DE PROGRAMMATION MILITAIRE APPLIQU E LA
6. Juillet 2015 Cycle S curit des usages num riques 13 LA LOI DE PROGRAMMATION MILITAIRE APPLIQU E LA CYBERS CURIT Travaux de la 5 promotion 2014 2015 du Cycle S curit des usages num riques Les Syst mes d information d importance vitale 511 peuvent tre situ s sur des PIV mais cela n est pas obligatoire ils peuvent a priori tre r partis sur plusieurs PIV voire en dehors de tout PIV Les 51 sont d ailleurs d finis ind pendamment de la notion de PIV Les organismes d importance vitale auxquels la LPM impose des obligations sont parfois r partis sur plusieurs zones d importance vitale Notions d organisation associ es la DNS et la LPM Ces r glementations renvoient des organisations et syst mes dont les principaux niveaux utiles la compr hension sont d crits ici OIV la LPM s applique aux Organismes d importance vitale OIV d finis dans les articles L1332 1 et 2 du Code de la d fense Article L1332 1 Les op rateurs publics ou priv s exploitant des tablissements ou utilisant des installations et ouvrages dont l indisponibilit risquerait de diminuer d une facon importante le potentiel de guerre ou conomique la s curit ou la capacit de survie de la nation sont tenues de coop rer leurs frais dans les conditions d finies au pr sent chapitre la protection desdits tablissements installations et ouvrages contre toute menace notamment caract r
7. Le Ibis de l article 6 de la loi n 2004 575 du 21 juin 2004 pour la confiance dans l conomie num rique est abrog IV Le pr sent article entre en vigueur le 1 janvier 2015 INHES Juillet 2015 Cycle S curit des usages num riques 41 42 LA LOI DE PROGRAMMATION MILITAIRE APPLIQU E LA CYBERS CURIT Travaux de la 5 promotion 2014 2015 du Cycle S curit des usages num riques Annexe 3 LPM ARTICLE 21 24 e Chapitre IV Dispositions relatives la protection des infrastructures vitales contre la cybermenace Art 21 red finit les responsabilit s et les actions possibles en mati re de cyber s curit en modifiant le code de la d fense e Article L2321 2 Cr par LOI n 2013 1168 du 18 d cembre 2013 art 21 Pour r pondre une attaque informatique qui vise les syst mes d information affectant le potentiel de guerre ou conomique la s curit ou la capacit de survie de la Nation les services de l tat peuvent dans les conditions fix es par le Premier ministre proc der aux op rations techniques n cessaires la caract risation de l attaque et la neutralisation de ses effets en acc dant aux syst mes d information qui sont l origine de l attaque Pour tre en mesure de r pondre aux attaques mentionn es au premier alin a les services de l tat d termin s par le Premier ministre peuvent d tenir des quipements des instruments des progr
8. car la protection des infrastructures vitales est trait e dans de nombreuses enceintes internationales telles que le G8 l OTAN et surtout l Union europ enne NIS Network and Information Security Les r centes affaires r v l es au grand jour par les lanceurs d alertes Snowden ou Wikileaks ont amen les autorit s r agir compte tenu des enjeux conomiques et strat giques sous jacents et aussi face aux inqui tudes des citoyens sur la pr servation des libert s individuelles INHES Juillet 2015 Cycle S curit des usages num riques LA LOI DE PROGRAMMATION MILITAIRE APPLIQU E LA CYBERS CURIT Travaux de la 5 promotion 2014 2015 du Cycle S curit des usages num riques Focus sur les articles ayant un impact sur la S curit des Syst mes d Information Cinq articles de la LPM 2014 2019 traitent de sujets cyber Tout d abord dans le chapitre Ill Dispositions relatives au renseignement l article 20 relatif l acc s administratif aux donn es de connexion annexes 2 et 4 Puis les articles 21 22 23 et 24 qui font parties du chapitre IV Dispositions relatives la protection des infrastructures vitales contre la cybermenace annexe 3 L article 21 red finit les responsabilit s et les actions possibles en mati re de cybers curit en modifiant le code de la d fense L article 22 d signation responsabilit s et obligations des OIV en termes
9. pour valuer les services sur lesquels porte la demande 3 Le programme de travail d fini avec le centre d valuation est coh rent 4 Les documents n cessaires l valuation sont disponibles 5 Les conditions d acc s aux locaux au personnel et aux moyens techniques du prestataire sont satisfaisantes Lorsqu elle estime que les conditions pr vues aux 1 5 sont remplies Agence nationale de la s curit des syst mes d information invite le prestataire faire valuer ses services en vue d obtenir une qualification Dans le cas contraire elle lui indique es motifs pour lesquels il ne peut tre qualifi Art 10 Les services fournis par le prestataire sont valu s au regard de r gles fix es par des r f rentiels propres chaque type de services Ces r f rentiels sont labor s par l Agence nationale de la s curit des syst mes d information et approuv s par le Premier ministre Le cas ch ant les r f rentiels peuvent imposer au prestataire de respecter les prescriptions pr vues aux articles R 2311 1 et suivants du code de la d fense l valuation est r alis e sur pi ce et sur place par un centre d valuation agr dans les conditions pr vues la section 2 du pr sent chapitre Elle vise s assurer que le prestataire respecte les r gles pr vues par les r f rentiels mentionn s au premier alin a en particulier qu il dispose du personnel comp tent ainsi que des mo
10. re ues par la voie lectronique ou de proc der l installation d appareils de nature permettre la r alisation de telles interceptions Article 226 3 Modifi par LOI n 2013 1168 du 18 d cembre 2013 art 23 Est puni de cinq ans d emprisonnement et de 000 euros d amende 1 fabrication l importation la d tention l exposition l offre la location ou la vente d appareils ou de dispositifs techniques de nature permettre la r alisation d op rations pouvant constituer l infraction pr vue le second alin a de l article 226 15 ou qui con us pour la d tection distance des conversations permettent de r aliser l infraction pr vue par l article 226 1 ou ayant pour objet la captation de donn es informatiques pr vue par l article 706 102 1 du code de proc dure p nale et figurant sur une liste dress e dans des conditions fix es par d cret en Conseil d tat lorsque ces faits sont commis compris par n gligence en l absence d autorisation minist rielle dont les conditions d octroi sont fix es par ce m me d cret ou sans respecter les conditions fix es par cette autorisation 2 Le fait de r aliser une publicit en faveur d un appareil ou d un dispositif technique susceptible de permettre la r alisation des infractions pr vues par l article 226 1 et le second alin a de l article 226 15 lorsque cette publicit constitue une incitation commettre cette infraction ou ayant pour ob
11. Les op rateurs d importance vitale prennent les mesures n cessaires notamment par voie contractuelle pour garantir l application des dispositions pr vues la pr sente section aux syst mes d information des op rateurs tiers mentionn s au premier alin a de l article R 1332 41 2 Art R 1332 41 20 Chaque op rateur d importance vitale d signe une personne charg e de le repr senter aupr s de l Agence nationale de la s curit des syst mes d information pour toutes les questions relatives l application des dispositions pr vues la pr sente section Nul peut tre d sign s il n est titulaire de l habilitation mentionn e l article R 2311 7 Art R 1332 41 21 l Agence nationale de la s curit des syst mes d information peut imposer aux op rateurs d importance vitale et aux prestataires de service mentionn s aux articles L1332 6 1 et L 1332 6 3 l utilisation d un moyen particulier pour prot ger les changes d information pr vus la pr sente section lorsqu ils sont effectu s par voie lectronique Art 1332 41 22 Les services de l tat et les prestataires de service mentionn s aux articles L1332 6 1 et L1332 6 3 acc dent aux syst mes d information des op rateurs d importance vitale et le cas ch ant aux informations qu ils contiennent dans le respect des secrets prot g s par la loi Art 1332 41 23 Si un op rateur d importance vitale ne satisfait pas aux obligations pr
12. S curit des usages num riques Mise en uvre des Mesures de protection des SIIV Historiquement le dispositif SAIV avait pr vu d s le d part la notion de point d importance vitale des op rateurs et des plans de protection de ces PIV En introduisant la notion de SIIV le paradigme change un peu la protection doit s appliquer non plus un point mais sur un syst me potentiellement diffus et ventuellement r parti Cela n cessite une appr hension un peu diff rente de la conception des protections de ces composants Dans la d marche les fondamentaux demeurent valides L aspect protection physique les espaces h bergeant des centres n vralgiques de SIIV devront par h ritage b n ficier des mesures applicables au PIV Cela veut dire s curisation physique p rim trique anti intrusion limitation et tra abilit des acc s protection lectrique climatique et redondance t l coms L aspect protection Logique les syst mes logiques proprement dit devront a minima respecter les r gles d hygi ne informatique de l ANSSI L objectif est de prot ger les informations confidentialit et int grit des donn es de garantir la d livrance des services m tiers disponibilit int grit et enfin de permettre une s gr gation stricte des r les et des habilitations afin de garantir une imputabilit des actions r alis es sur les SIIV tra abilit r pudiation L aspect RH il conv
13. curit des usages num riques Les impacts organisationnels l application la LPM peut requ rir une adaptation ou modification structurelle dans l organisation de l OIV Les impacts organisationnels dans l OIV sont les suivants Gouvernance bien que ce point ne soit pas impos la LPM il conviendrait de nommer un AQSSI Autorit Qualifi e de S curit des Syst mes d Information dont le r le de RSSI est compl t par celui de contact officiel avec le minist re de coordination et l ANSSI ou tout autre service de l tat De plus une modification de la cha ne interne de gestion des SIIV va s imposer en particulier du fait que Les syst mes de d tection sont exploit s sur le territoire national par des prestataires de service qualifi s en mati re de s curit de syst mes d information par l Autorit nationale de s curit des syst mes d information ou par d autres services de l tat d sign s par le Premier ministre Ma trise de risques et veille mise en place ou renforcement des moyens et des hommes n cessaires la r alisation des diff rents process comme l identification des menaces l analyse de risques la cyber ntelligence pour anticiper et g rer les atteintes compromissions ou attaques contre les SIIV et plus globalement le SI de l OIV a Gestion de crise mise en place d un dispositif de gestion de cyber crise qui permettra d agir de communiquer de cr er les liaisons op
14. de protection de leurs installations L article 23 est relatif l utilisation non autoris e de dispositifs d interception ou d coute par voie lectronique L article 24 est relatif la protection et l utilisation des donn es personnelles et de localisation Notre tude porte sur l article 22 Que dit l article 22 2 En voici un r sum Art 22 responsabilit s et obligations des OIV en termes de protection de leurs installations Les op rateurs publics ou priv s exploitant des tablissements ou utilisant des installations et ouvrages dont l indisponibilit risquerait de diminuer d une fa on importante le potentiel de guerre ou conomique la s curit ou la capacit de survie de la Nation sont tenus de coop rer leurs frais la protection desdits tablissements installations et ouvrages contre toute menace notamment caract re terroriste Dans le cadre des dispositions sp cifiques aux Syst mes d information Le Premier ministre fixe les r gles de s curit n cessaires la protection des syst mes d information des op rateurs publics ou priv s qui participent ces syst mes Aux SI des OIV pour lesquels l atteinte la s curit ou au fonctionnement risquerait de diminuer d une fa on importante le potentiel de guerre ou conomique la s curit ou la capacit de survie de la Nation 8 Juillet 2015 Cycle S curit des usages num riques LA LOI DE PR
15. s que le centre d valuation a pu faire valoir ses observations suspendre ou abroger l agr ment Dispositions diverses Art 21 Sous l intitul S curit et d fense nationale du point 2 de l annexe au d cret du 19 d cembre 1997 susvis il est ajout apr s le tableau relatif au d cret n 2010 112 du 2 f vrier 2010 le titre et le tableau suivants D cret n 2015 350 du 27 mars 2015 relatif la qualification des produits de s curit et des prestataires de service de confiance pour les besoins de la s curit nationale 1 D livrance suspension et abrogation de la qualification des produits de Deuxi me et troisi me alin as de l article 7 s curit Deuxi me alin a de l article 14 et second alin a 2 D livrance suspension et abrogation de la qualification des prestataires de de l article 15 service de confiance Deuxi me alin a de l article 19 et second alin a 3 D livrance suspension et abrogation de l agr ment des centres de l article 20 d valuation Art 22 En application du 4 du I de l article 21 de la loi du 12 avril 2000 susvis e le silence gard pendant deux mois par le Premier ministre sur les demandes mentionn es aux articles 2 8 et 16 vaut d cision de rejet Art 23 1 1 de l article R 114 2 du code de la s curit int rieure est compl t deux alin as ainsi r dig s m Des prestataires de service de conf
16. tendues des tablissements mentionn s l article L511 1 du Code de l environnement ou comprenant une installation nucl aire de base vis e l article 1 593 1 du Code de l environnement quand la destruction ou l avarie de certaines installations de ces tablissements peut pr senter un danger grave pour la population Ces tablissements sont d sign s par l autorit administrative Article L 1332 2 1 l acc s tout ou partie des tablissements installations et ouvrages d sign s en application du pr sent chapitre est autoris par l op rateur qui peut demander l avis de l autorit administrative comp tente dans les conditions et selon les modalit s d finies par d cret en Conseil d tat INHES Juillet 2015 Cycle S curit des usages num riques LA LOI DE PROGRAMMATION MILITAIRE APPLIQU E LA CYBERS CURIT Travaux de la 5 promotion 2014 2015 du Cycle S curit des usages num riques L avis est rendu la suite d une enqu te administrative qui peut donner lieu la consultation du bulletin n 2 du casier judiciaire et de traitements automatis s de donn es caract re personnel relevant de l article 26 de la loi n 78 17 du 6 janvier 1978 relative informatique aux fichiers et aux libert s l exception des fichiers d identification personne concern e est inform e de l enqu te administrative dont elle fait l objet Article L 1332 3 Les op rateurs don
17. 1332 6 5 Cr par LOI n 2013 1168 du 18 d cembre 2013 art 22 L tat pr serve la confidentialit des informations qu il recueille aupr s des op rateurs mentionn s aux articles L 1332 1 et L 1332 2 dans le cadre de l application de la pr sente section Article L 1332 6 6 Cr par LOI n 2013 1168 du 18 d cembre 2013 art 22 Un d cret en Conseil d tat pr cise les conditions et limites dans lesquelles s appliquent les dispositions de la pr sente section Dispositions p nales relatives aux manquements aux obligations d OIV Article L 1332 7 Modifi par LOI n 2013 1168 du 18 d cembre 2013 art 22 Est puni d une amende de 150000 euros le fait pour les dirigeants des op rateurs mentionn s l article L 1332 4 et l expiration du d lai d fini par l arr t de mise en demeure d omettre d tablir un plan de protection ou de r aliser les travaux pr vus Est puni d une amende de 150000 euros le fait pour les m mes personnes apr s une mise en demeure d entretenir bon tat les dispositifs de protection ant rieurement tablis 44 INHES Juillet 2015 Cycle S curit des usages num riques LA LOI DE PROGRAMMATION MILITAIRE APPLIQU E LA CYBERS CURIT Travaux de la 5 promotion 2014 2015 du Cycle S curit des usages num riques Est puni d une amende de 150000 euros le fait pour les m mes personnes de ne pas satisfaire aux obligations pr vues
18. CYBERS CURIT Travaux de la 5 promotion 2014 2015 du Cycle S curit des usages num riques Les impacts financiers Loi de Programmation Militaire dans son article 22 impose aux la prise en charge financi re des diff rentes modalit s d application de la loi dans sa mise en uvre toutes les modifications de leurs syst mes d information les expertises et homologations sont leur charge et dans son contr le Le co t des contr les est la charge de l op rateur Les principaux postes de co ts pour appliquer la loi correspondent aux investissements techniques n cessaires aux co ts d volution de l organisation au budget de Maintien en Conditions Op rationnelles et le Maintien en Conditions de S curit aux assurances si elles existent aux provisions financi res en cas d attaque et destruction des donn es aux co ts associ s aux tests de s curit aux provisions pour la non conformit amendes apr s audit Les impacts financiers pour l application de la LPM sont les suivants nous auront pu d crire les diff rents postes de d penses cependant il n est pas tr s r aliste de pr voir une enveloppe financi re d l h t rog n it et la complexit des OIV Le co t de l organisation comme nous avons pu le constater dans les chapitres pr c dents l organisation de l OIV doit s adapter pour appliquer la LPM L organisation LPM gt peut devenir complexe p
19. Cycle S curit des usages num riques 49 LA LOI DE PROGRAMMATION MILITAIRE APPLIQU E LA CYBERS CURIT Travaux de la 5 promotion 2014 2015 du Cycle S curit des usages num riques Le Premier ministre Vu le Code de la d fense notamment ses articles 1332 1 et suivants L2321 1 R 1132 3 R 1332 1 et suivants et R 2311 1 et suivants Vu le Code p nal notamment son article 413 9 Vu le d cret n 97 1184 du 19 d cembre 1997 modifi pris pour l application au Premier ministre du 1 de l article 2 du d cret n 97 34 du 15 janvier 1997 relatif la d concentration des d cisions administratives individuelles Vu le d cret n 2009 834 du 7 juillet 2009 modifi portant cr ation d un service comp tence nationale d nomm Agence nationale de la s curit des syst mes d information Vu le d cret n 2015 350 du 27 mars 2015 relatif la qualification des produits de s curit et des prestataires de service de confiance pour les besoins de la s curit nationale Le Conseil d tat section de l administration entendu D cr te Art 1 Apr s la section 7 du chapitre Il du titre Ill du livre de la partie 1 du code de la d fense partie r glementaire il est ins r une section 7 bis ainsi r dig e Dispositions sp cifiques la s curit des syst mes d information R gles de s curit Art R 1332 41 1 l Agence nationale de la s curit des
20. SI ceux qui supportent les processus vitaux ceux pour lesquelles une atteinte la disponibilit la confidentialit ou l int grit pourrait avoir un impact important pour l OIV le niveau d impact tant d fini par l OIV Sont aussi consid rer comme SIIV les SI dont le dysfonctionnement au del d une certaine p riode conduit l op rateur ne plus pouvoir satisfaire des obligations d finies avec leur modalit d ex cution soit dans un contrat de service public soit de fa on l gale ou r glementaire provoque des cons quences financi res pouvant compromettre gravement la situation conomique de l op rateur et par voie de cons quence compromettre la r alisation des missions vitales qui lui ont t notifi es Le d cret n 2015 351 du 27 mars 2015 pr voit que les OIV tablissent la liste de leurs SIIV sur la base de crit res fix s dans les arr t s sectoriels et la transmettent l ANSSI Ces listes ne feront pas l objet d une validation INHES Juillet 2015 Cycle S curit des usages num riques 15 LA LOI DE PROGRAMMATION MILITAIRE APPLIQU E LA CYBERS CURIT Travaux de la 5 promotion 2014 2015 du Cycle S curit des usages num riques formelle par l tat Cependant l ANSSI pourra transmettre aux op rateurs des observations sur ces listes Les op rateurs devront prendre en compte ces ventuelles observations en mettant jour leur liste de SIIV C
21. articles 1 13 et 10 14 du Code des postes et des communications lectroniques ainsi qu l article 1 du d cret du 25 f vrier 2011 relatif la conservation et la communication des donn es permettant d identifier toute personne ayant contribu la cr ation d un contenu mis en ligne En pratique cela devrait concerner e Les caract ristiques techniques ainsi que la date l horaire et la dur e de chaque communication e Les donn es permettant d identifier le ou les destinataires d une communication lectronique e Les donn es permettant d identifier l origine de la communication l identifiant de la connexion Les dates et heures de d but et de fin de la connexion Les types de protocoles utilis s pour la connexion au service et pour le transfert des contenus e Les informations fournies lors de la souscription d un contrat d abonnement Internet ou lors de la cr ation d un compte aupr s d un h bergeur l identifiant de la connexion utilis e pour la cr ation du compte les noms et pr noms adresse postale pseudonymes utilis s adresse email num ros de t l phone mot de passe ainsi que es donn es permettant de le v rifier ou de le modifier D veniuelles informations relatives un paiement type montant et r f rence du paiement ou bien encore date et heure de la transaction D s lors les autorit s ne pourront donc pas aller plus loin que ce que la loi leur p
22. d fense et de s curit de la Nation Initialement pr vu sur des visions 15 ans l acc l ration du monde et des menaces a n cessit de revoir le rythme de sa r vision 1994 2008 puis plus r cemment l dition 2013 permis d adapter les priorit s g ostrat giques au nouvel environnement international Il introduit notamment explicitement et pour la premi re fois la dimension des cyberattaques La loi de programmation militaire 2014 2019 s appuie sur cette analyse de risques pour prioriser les actions et en planifier la mise en uvre L instruction g n rale interminist rielle IGI n 6600 SGDN PSE PSN du 07 janvier 2014 remplace celle du 26 septembre 2008 Elle constitue en quelque sorte le mode d emploi de la mise en uvre de ce dispositif Elle apporte notamment des pr cisions sur les acteurs de la SA V instances nationales ministre coordonnateur instances territoriales op rateurs d importance vitale et sur le dispositif directive nationale de s curit plan de s curit d op rateur point d importance vitale zone d importance vitale Le texte d taille galement le dispositif des audits internes des OIV et des contr les administratifs et explicite l articulation avec les autres plans et dispositifs r glementaires y compris l chelle europ enne Cet arsenal de textes bien fourni est encore en pleine volution tant l chelle nationale arr t s sectoriels LPM para tre en 2015 qu au del
23. dans l identification et la d claration des SIIV donc r duit le march INHES Juillet 2015 Cycle S curit des usages num riques 33 LA LOI DE PROGRAMMATION MILITAIRE APPLIQU E LA CYBERS CURIT Travaux de la 5 promotion 2014 2015 du Cycle S curit des usages num riques 1 5 ACRONYMES ANSSI Agence nationale de s curit des syst mes d information AME Activit s militaires de l tat AQSSI Autorit qualifi e pour la s curit des syst mes d information ASS Aire sp ciale de surveillance BIA Bussines Impact Analysis CEMA Chef d tatmajor des arm es CERT Computer Emergency Response Team CIDS Commission interminist rielle de d fense et de s curit CDAOA Commandement de la d fense a rienne et des op rations a riennes CZDS Commission zonale de d fense et de s curit DDS D l gu pour la d fense et la s curit DGA Direction g n rale de l armement DNS Directives nationales de s curit DOT D fense op rationnelle du territoire DSI Direction Directeur des syst mes d information DSSI Directeur de la s curit des syst mes d information EBIOS Expression des besoins et Identification des objectifs de s curit EMIZDS tatmajor Interminist riel de la zone de d fense et de s curit EUROPOL Police europ enne FSD Fonctionnaire de s curit de d fense FFDN F d ration de fournisseurs Internet FSSI Fonction
24. en place 3 mesures de r action configuration sp cifique filtrage isolement Internet Durcir les acc s distants hors op rateur ou prestataire qualifi 51 authentification chiffrement des flux et des m moires de masse Durcir les SIIV par la d sactivation des services non n cessaires et un filtrage des m dia amovibles INHES Juillet 2015 Cycle S curit des usages num riques 23 LA LOI DE PROGRAMMATION MILITAIRE APPLIQU E LA CYBERS CURIT Travaux de la 5 promotion 2014 2015 du Cycle S curit des usages num riques Analyse des impacts de la LPM La Loi de Programmation Militaire va modifier structurellement les diff rents organismes de l entreprise par sa mise en uvre et par les divers impacts dans son fonctionnement en particulier par les r gles li es la s curit des syst mes d information Toutefois si elle se veut efficiente la s curit ne doit pas uniquement tre per ue comme un probl me technique C est avant tout un probl me de management et de gouvernance le fait de l gif rer va obliger les OIV r agir et passer une s curit renforc e La LPM permet effectivement de remettre plat le sujet de la cybers curit mais aussi de l gitimer le travail effectu par le DSI et les responsables s curit aupr s de leurs entreprises La loi de programmation militaire aura des impacts caract re L gal comment appliquer les diff rents artic
25. es sont couvertes par le secret de la d fense nationale Qualification des syst mes de d tection et des prestataires de service exploitant ces syst mes Art R 1332 41 7 Les syst mes de d tection et les prestataires de service mentionn s l article L 1332 6 1 sont qualifi s dans les conditions pr vues respectivement par les chapitres Il et 1 du d cret n 2015 350 du 27 mars 2015 relatif la qualification des produits de s curit et des prestataires de service de confiance pour les besoins de la s curit nationale INHES Juillet 2015 Cycle S curit des usages num riques 51 LA LOI DE PROGRAMMATION MILITAIRE APPLIQU E LA CYBERS CURIT Travaux de la 5 promotion 2014 2015 du Cycle S curit des usages num riques Art 1332 41 8 Un op rateur d importance vitale peut agir comme prestataire de service exploitant des syst mes de d tection au profit d autres op rateurs d importance vitale ou pour ses besoins propres sous r serve d tre qualifi dans les conditions pr vues l article R 1332 41 7 Art R 1332 41 9 l Agence nationale de la s curit des syst mes d information met la disposition du public par voie lectronique la liste des syst mes de d tection et des prestataires de service exploitant ces syst mes qualifi s dans les conditions pr vues l article R 1332 41 7 D claration des incidents de s curit Art R 1332 41 10 En application de
26. et des mesures temporaires et gradu es n est requis que si l op rateur g re plusieurs points d importance vitale Plan particulier de protection plan tabli pour chaque point d importance vitale partir du plan de s curit d op rateur d importance vitale qui lui est annex et comportant des mesures permanentes de protection et des mesures temporaires et gradu es Plan de protection externe plan tabli pour chaque point d importance vitale par le pr fet de d partement en liaison avec le d l gu de l op rateur pour la d fense et la s curit de ce point r capitulant les mesures planifi es de vigilance de pr vention de protection et de r action pr vues par les pouvoirs publics Point d importance vitale PIV tout tablissement installation ou ouvrage dont le dommage l indisponibilit ou la destruction par suite d un acte de malveillance de sabotage ou de terrorisme risquerait directement ou indirectement si son activit est difficilement substituable ou rempla able d ob rer gravement le potentiel de guerre ou conomique la s curit ou la capacit de survie de la Nation ou de gravement en cause la sant ou la vie de la population Risque encouru appr ciation combin e de la vraisemblance d une agression r ussie r sultant des sc narios de menace et de l analyse des vuln rabilit s et de ses impacts Secteur d activit d importance vitale secteur cons
27. et le type de syst me de d tection utilis 3 Les syst mes de d tection qualifi s utilis s et leurs modalit s d installation et d exploitation par le service de l tat ou le prestataire 4 La nature des informations chang es entre l op rateur et le service de l tat ou le prestataire les conditions dans lesquelles elles sont utilis es et prot g es ainsi que les moyens de communication s curis s n cessaires ces changes 5 Les moyens techniques et humains n cessaires l op rateur pour la mise en uvre du service de d tection La convention est conclue dans des d lais compatibles avec ceux pr vus pour la mise en service des syst mes de d tection Une copie de la convention sign e est adress e sans d lai par l op rateur l Agence nationale de la s curit des syst mes d information Art R 1332 41 6 Afin de rechercher et d analyser des v nements susceptibles d affecter la s curit des syst mes d information d importance vitale l Agence nationale de la s curit des syst mes d information peut demander aux services de l tat et aux prestataires de service charg s d exploiter les syst mes de d tection d utiliser dans ces syst mes des donn es techniques qu elle leur fournit L utilisation de ces donn es techniques est soumise des conditions particuli res d finies par l Agence nationale de la s curit des syst mes d information en particulier lorsque les donn
28. et son d cret d application sur le p rim tre concern Pour chacune d entre elles il conviendra de trouver une impl mentation qui ait du sens dans le contexte et qui soit r alisable aussi bien d un point de vue organisationnel que financier ou technique Attention les r gles de s curit LPM sont en Diffusion Restreinte Leur contenu ne peut donc pas tre diffus largement In fine les arr t s sectoriels ne seront pas publi s et seront galement en Diffusion Restreinte Un espace d di la LPM qui pr sentera les objectifs de chaque r gle et fournira pour chaque r gle un lien vers un guide de mise en uvre sera publi sur le site de l ANSSI lors de la sortie du premier arr t sectoriel Ci dessous les 15 r gles r parties en 5 th matiques et pour chacune d entre elles des exemples de projet ou d impl mentation possibles bleu qui pourront tre d clin s PILOTAGE DE LA GOUVERNANCE DE LA CYBERS CURIT o R les et responsabilit a impliquer les porteurs de risques m tier dans le comit strat gique a Identifier les r les manquants dans la gestion des SIIV et d finir les objectifs de la mission D cliner sur le p rim tre des SIIV les proc dures et r f rentiels d j en place sur le reste du p rim tre des SI INHESJ Juillet 2015 Cycle S curit des usages num riques 21 LA LOI DE PROGRAMMATION MILITAIRE APPLIQU E LA CYBERS CURI
29. fournis par les op rateurs sur les caract ristiques techniques des communications assur es par ces derniers et sur la localisation des quipements terminaux Elles ne peuvent en aucun cas porter sur le contenu des correspondances chang es ou des informations consult es sous quelque forme que ce soit dans le cadre de ces communications La conservation et le traitement de ces donn es s effectuent dans le respect des dispositions de la loi 78 17 du 6 janvier 1978 relative l informatique aux fichiers et aux libert s Les op rateurs prennent toutes mesures pour emp cher une utilisation de ces donn es des fins autres que celles pr vues au pr sent article Article L 2321 3 Cr par LOI n 2013 1168 du 18 d cembre 2013 art 24 Pour les besoins de la s curit des syst mes d information de l tat et des op rateurs mentionn s aux articles L 1332 1 et L1332 2 les agents de l autorit nationale de s curit des syst mes d information habilit s par le Premier ministre et asserment s dans des conditions fix es par d cret en Conseil d tat peuvent obtenir des op rateurs de communications lectroniques en application du Ill de l article L 34 1 du code des postes et des communications lectroniques l identit l adresse postale et l adresse lectronique d utilisateurs ou de d tenteurs de syst mes d information vuln rables menac s ou attaqu s afin de les alerter sur la vuln rabilit ou la compromissi
30. l article L 1332 6 2 les op rateurs d importance vitale communiquent l Agence nationale de la s curit des syst mes d information les informations relatives aux incidents affectant la s curit ou le fonctionnement de leurs syst mes d information d importance vitale Les op rateurs communiquent les informations dont ils disposent d s qu ils ont connaissance d un incident et les compl tent au fur et mesure de leur analyse de l incident Ils r pondent aux demandes d informations compl mentaires de l Agence nationale de la s curit des syst mes d information concernant l incident Le Premier ministre pr cise par arr t en distinguant le cas ch ant selon le secteur ou le type d activit de l op rateur les informations qui doivent tre communiqu es les modalit s de leur transmission ainsi que les types d incident auxquels s applique l obligation pr vue l article L1332 6 2 Lorsque l arr t n est pas publi il est notifi aux personnes ayant besoin d en conna tre Art R 1332 41 11 l Agence nationale de la s curit des syst mes d information transmet aux ministres coordonnateurs des secteurs d activit s d importance vitale concern s lorsque son analyse de l incident le justifie une synth se des informations recueillies relatives cet incident Contr les de s curit Art R 1332 41 12 le Premier ministre apr s avis des ministres coordonnateurs des secteurs d activit s d impo
31. les prestataires de service mentionn s l article L1332 6 3 sont qualifi s dans les conditions pr vues par le chapitre III du d cret n 2015 350 du 27 mars 2015 relatif la qualification des produits de s curit et des prestataires de service de confiance pour les besoins de la s curit nationale l Agence nationale de la s curit des syst mes d information met la disposition du public par voie lectronique la liste des prestataires de service qualifi s mentionn s au premier alin a Art R 1332 41 17 Le co t des contr les effectu s par un service de l tat en application de l article L 1332 6 3 est calcul en fonction du temps n cessaire la r alisation du contr le et du nombre d agents publics qui y participent Un arr t du Premier ministre fixe le co t d un contr le mobilisant un agent public pendant une journ e Le co t des contr les effectu s par un prestataire de service est d termin librement par les parties R ponse aux crises majeures Art R 1332 41 18 l Agence nationale de la s curit des syst mes d information propose au Premier ministre les mesures mentionn es l article L 1332 6 4 INHES Juillet 2015 Cycle S curit des usages num riques 53 LA LOI DE PROGRAMMATION MILITAIRE APPLIQU E LA CYBERS CURIT Travaux de la 5 promotion 2014 2015 du Cycle S curit des usages num riques Dispositions diverses Art R 1332 41 19
32. notifie une d cision attestant sa capacit respecter les r gles mentionn es au premier alin a de l article 10 et pr cisant s il y a lieu le niveau de qualification obtenu La d cision pr cise les services qualifi s et est assortie e cas ch ant de conditions et de r serves La qualification est valable pour une dur e maximale de trois ans et peut tre renouvel e dans es m mes conditions Art 15 l Agence nationale de la s curit des syst mes d information peut s assurer tout moment que le prestataire respecte les r gles au vu desquelles il a t qualifi Le prestataire l informe sans d lai de toute modification des circonstances dans lesquelles il a t qualifi En cas de manquement aux conditions et r serves fix es par la d cision de qualification ou en cas de changement des circonstances de droit ou de fait dans lesquelles le prestataire a t qualifi le Premier ministre peut apr s que le prestataire a pu faire valoir ses observations suspendre ou abroger la qualification Agr ment des centres d valuation Art 16 la demande d agr ment est adress e par le centre d valuation l Agence nationale de la s curit des syst mes d information Celle ci met la disposition du public par voie lectronique la liste des pi ces joindre la demande qui contient notamment 1 La description des moyens des ressources et de l activit pass e du centre d valu
33. rationnelles avec ANSSI lors des cyber attaques qui s imposent une intervention coordonn e a Communication l OIV par l interm diaire de l AQSSI doit mettre en place un processus de communication et de remont e d incidents vers l ANSSI Plan de formation utilisateurs le RSSI propose des plans de formation et de sensibilisation la s curit des syst mes d information en appliquant les diverses recommandations de l ANSSI en particulier sur les r gles de l arr t sectoriel concernant son secteur d activit Un plan de suivi des utilisateurs est mis en place pour entretenir une base de connaissances d am lioration des formations pour les utilisateurs a Plan de formation des informaticiens qualification et habilitation le RSSI l aide du DSI met en place un plan de formation la s curit des syst mes d information devient n cessaire de faire habiliter les personnels concern s car l identification des processus vitaux l inventaire des SIIV sont des informations classifi es de niveau confidentiel d fense A minima cet obligation concerne l AQSSI 26 Juillet 2015 Cycle S curit des usages num riques LA LOI DE PROGRAMMATION MILITAIRE APPLIQU E LA CYBERS CURIT Travaux de la 5 promotion 2014 2015 du Cycle S curit des usages num riques Les impacts technologiques Les impacts technologiques de la LPM pour les OIV peuvent amener une modification techniqu
34. tout moment demander assister ces travaux ou obtenir des informations sur leur d roulement Elle peut galement demander aux centres de compl ter leur valuation Art 6 Au terme de l valuation chaque centre d valuation concern remet un rapport au demandeur et l Agence nationale de la s curit des syst mes d information Lorsqu elle a r alis tout ou partie de l valuation l agence remet un rapport d valuation au demandeur INHES Juillet 2015 Cycle S curit des usages num riques 57 LA LOI DE PROGRAMMATION MILITAIRE APPLIQU E LA CYBERS CURIT Travaux de la 5 promotion 2014 2015 du Cycle S curit des usages num riques rapports d valuation sont des documents confidentiels susceptibles de contenir des informations dont la r v lation est r prim e par les dispositions de l article 226 13 du Code p nal Ils sont le cas ch ant couverts par le secret de la d fense nationale Art 7 Au vu des rapports d valuation l Agence nationale de la s curit des syst mes d information propose au Premier ministre de qualifier ou non le produit Lorsqu il d cide de qualifier le produit le Premier ministre notifie au demandeur une d cision mentionnant les objectifs de s curit que satisfait le produit et pr cisant le niveau de qualification obtenu La d cision est assortie le cas ch ant de conditions et de r serves et pr cise sa dur e de validit
35. 002 plac aupr s du Premier ministre est le point pivot du dispositif sur un plan technique puisqu il re oit les donn es fournies par les op rateurs et h bergeurs travaille en lien direct avec la personnalit qualifi e charg e d examiner puis de transmettre les demandes d interception aux op rateurs ou aux h bergeurs suite la requ te d un service section de recherches de la gendarmerie service central du renseignement territorial Cette personnalit et ses adjoints seront d sign s par la Commission nationale de contr le des interceptions de s curit sur proposition du Premier ministre qui devra fournir une liste de plusieurs noms Le d cret pr voit que chaque demande d acc s comporte obligatoirement Le nom le pr nom et la qualit du demandeur ainsi que son service d affectation et l adresse de celui ci La nature pr cise des informations ou des documents dont le recueil est demand et le cas ch ant la p riode concern e e date de la demande et sa motivation au regard des finalit s mentionn es l article L241 2 pr vention du terrorisme e L autorisation formelle est prise par d cision crite du Premier ministre ou des personnes sp cialement d sign es par lui pour une dur e maximale de 30 jours renouvelables Au travers de ce texte d application les documents et informations pouvant faire l objet d une demande d acc s sont ceux d j mentionn s aux
36. 015 Cycle S curit des usages num riques 29 LA LOI DE PROGRAMMATION MILITAIRE APPLIQU E LA CYBERS CURIT Travaux de la 5 promotion 2014 2015 du Cycle S curit des usages num riques En premier lieu l existence d un plan de continuit informatique n est d s lors plus une option au moins sur toutes les poutres techniques porteuses du 1 r seaux datacenter serveurs d infrastructure DNS syst mes d acc s VPN IPS IDS annuaires d acc s et d habilitations au SI IAM Si le dispositif de continuit SI est n cessaire il n est bien s r pas suffisant Le PCIT plan de continuit informatique et t l coms doit forc ment tre compl t par l organisation de la continuit d activit des m tiers qui devront commencer par identifier les impacts business d une indisponibilit des SI et d finir les modes de travail et dispositions compensatrices adapt es et test es proc dures d grad es sans SI principal Si la LPM est une opportunit pour les OIV elle pr sente aussi certains risques li s l ambition et la port e de la d marche notamment pour les stocks de syst mes existants pas toujours en mesure de supporter simplement les volutions demand es ce stade 4 risques majeurs d applicabilit ont t identifi s Risque sur les d lais de mise en uvre des mesures exig es par l ANSSI qui pourraient tre incompatibl
37. Cycle S curit des usages num riques LA LOI DE PROGRAMMATION MILITAIRE APPLIQU E LA CYBERS CURIT Travaux de la 5 promotion 2014 2015 du Cycle S curit des usages num riques Analyse des opportunit s menaces forces et faiblesses La LPM appara t clairement comme une opportunit et un levier fort d am lioration de la S curit de l information des entreprises OIV Elle doit permettre de faire avancer les choses et de renforcer les d marches de s curisation et de protection du patrimoine informationnel et des syst mes critiques de la Nation en impliquant les m tiers au plus haut niveau Entre les obligations l gales et les sanctions pr vues les RSSI disposent sur ce point particulier d un arsenal et d arguments de poids pour obtenir les moyens et f d rer les nergies n cessaires la mise en application op rationnelle de leur PSSI Comme l histoire l a montr si les directions sont promptes d prioriser des actions SSI souvent consid r es comme des projets lourds et des centres de co ts quand appara t le risque l gal pour les dirigeants l arbitrage est moins facile et la sanctuarisation des moyens SSI est en g n ral la sage d cision Reste que la rupture profonde marqu e par ce texte engageant va n cessiter un accompagnement important dans les entreprises pour amener les m tiers s approprier les sujets des risques SI jusqu alors d l gu s un peu trop facilement Tou
38. INSTITUT NATIONAL pes HAUTES TUDES LA S CURIT ET DE LA JUSTICE TRAVAUX DES AUDITEURS LA LOI DE PROGRAMMATION E MILITAIRE APPLIQU E LA 18 CYBERS CURIT cigref g R seau de Grandes Entreprises JUILLET 2015 ISSN 2265 447X LA LOI DE PROGRAMMATION MILITAIRE APPLIQU E LA CYBERS CURIT Travaux de la 5 promotion 2014 2015 du Cycle S curit des usages num riques les AUTEURS Les auteurs de ce travail intitul La Loi de Programmation Militaire appliqu e la Cybers curit sont M Gilles BERTHELOT Responsable de la s curit des syst mes d information R seau ferr de France M Juan Carlos CERON ARANA Pr sident Createch sas M Bruno DELPHIN Responsable de la s curit des syst mes d information Vetech Veolia M Bertrand de FOURNAS Responsable de la s ret du patrimoine informationnel Total M Ramesh PAVADEPOULLE Engagement manager Dell Sous la direction de Nicolas Arpagian directeur scientifique du cycle S curit des usages num riques L Institut national des hautes tudes de la s curit et de la justice publie chaque ann e des rapports et tudes sur les champs de la s curit et de la justice Dans le cadre du cycle de sp cialisation S curit des usages num riques les auditeurs stagiaires r alisent un travail collectif tutor par le d partement Intelligence et S curit conomiques de l INHESJ Ces tra
39. OGRAMMATION MILITAIRE APPLIQU E LA CYBERS CURIT Travaux de la 5 promotion 2014 2015 du Cycle S curit des usages num riques Aux 51 des op rateurs publics et priv s qui participent aux syst mes cit s ci dessus Ces syst mes d information sont appel s syst mes d information d importance vitale SIIV Ces op rateurs sont tenus d appliquer ces r gles leurs frais Les r gles peuvent notamment prescrire que les op rateurs mettent en uvre des syst mes qualifi s de d tection des v nements susceptibles d affecter la s curit de leurs syst mes d information Ces syst mes de d tection sont exploit s sur le territoire national par des prestataires de service qualifi s en mati re de s curit de syst mes d information par l autorit nationale de s curit des syst mes d information ou par d autres services de l tat d sign s par le Premier ministre Les qualifications des syst mes de d tection et des prestataires de service exploitant ces syst mes sont d livr es par le Premier ministre Les op rateurs informent sans d lai le Premier ministre des incidents affectant le fonctionnement ou la s curit des syst mes d information d importance vitale 511 la demande du Premier ministre les op rateurs soumettent leurs syst mes d information des contr les destin s v rifier le niveau de s curit et le respect des r gles de s curit Les contr
40. RS CURIT Travaux de la 5 promotion 2014 2015 du Cycle S curit des usages num riques Les moyens Une organisation g n rique de d fense a t mise en place par le Premier ministre le Secr tariat g n ral de la d fense et de la s curit nationale SGDSN et de fait embrasse les nouveaux sujets li s la Cyberd fense Secr tariat pour le conseil de d fense et s curit notionole Affaires intemationales Protection du secret de la d fense D veloppement des technologies de s curit om Organigramme publi par le SGDSN Parall lement l organisation mise en place par le Premier ministre dont ANSSI est l acteur principal le minist re de la D fense l tatmajor des Arm es s est dot e d un Officier g n ral la cyberd fense et le minist re de l Int rieur cr er une fonction de Cyberpr fet Ainsi est organis le renforcement des capacit s de l tat dans le domaine de la protection des SI notamment au travers du recrutement de plusieurs centaines de sp cialistes de la mise en place d une organisation et d une cha ne op rationnelle centralis e et d un effort important dans le cadre des tudes en amont pour d velopper les instruments de pilotage de la cyberd fense dont doit disposer le gouvernement et pour permettre une protection plus efficace des op rateurs d importance vitale OIV De plus le Premier ministre pourra imposer aux op ra
41. T Travaux de la 5 promotion 2014 2015 du Cycle S curit des usages num riques o PSSI Politique de s curit des SI a D montrer une strat gie interne de contr le de la s curit des SIIV o Indicateurs a Cr er des indicateurs et des donn es d inventaires pour chaque SIIV Transmettre annuellement les indicateurs de chaque SIIV l ANSSI o Formation a Mettre en place un programme de sensibilisation et formation la cyber s curit Formation certifiante ou sp cialis e au moins au niveau de l entreprise d administrateur SIIV D montrer un plan de formation sensibilisation SSI au p rim tre SIIV DES RISQUES o Homologation Adapter les processus existants et les proc dures d audit a Revoir annuellement le processus d homologation Faire homologuer chaque SIIV tous les ans par un audit d homologation classii CD audit d architecture audit de configuration audit organisationnel et physique avec plan d action DES SYST MES D INFORMATION o Cartographie Cartographier ou mettre jour la cartographie de chaque SIIV Int grer tr s en amont dans la conception des syst mes Cahier des charges des exigences de cartographie Cartographier les processus vitaux essentiels aux missions vitales et leurs d pendances respectives a Classifier les processus vitaux en correspondance avec ma classification ANSSI o MCS Main
42. TRATIF AUX DONN ES DE CONNEXION Art 1 246 1 Pour les finalit s num r es l article L241 2 peut tre autoris le recueil aupr s des op rateurs de communications lectroniques et des personnes mentionn es l article L 34 1 du code des postes et des communications lectroniques ainsi que des personnes mentionn es aux 1 et 2 du de l article de la loi n 2004 575 du 21 juin 2004 pour la confiance dans l conomie num rique des informations ou documents trait s ou conserv s par leurs r seaux ou services de communications lectroniques compris les donn es techniques relatives l identification des num ros d abonnement ou de connexion des services de communications lectroniques au recensement de l ensemble des num ros d abonnement o de connexion d une personne d sign e la localisation des quipements terminaux utilis s ainsi qu aux communications d un abonn portant sur la liste des num ros appel s et appelants la dur e et la date des communications Art 1 246 2 1 Les informations ou documents mentionn s l article L 246 1 sont sollicit s par les agents individuellement d sign s et d ment habilit s des services relevant des ministres charg s de la s curit int rieure de la d fense de l conomie et du budget charg s des missions pr vues l article L241 2 Les demandes des agents sont motiv es et soumises la d cision d une personnalit qualifi e plac
43. ammes informatiques et toutes donn es susceptibles de permettre la r alisation d une plusieurs des infractions pr vues aux articles 323 1 323 3 du Code p nal en vue d analyser leur conception et d observer leur fonctionnement Art 22 d signation responsabilit s et obligations des OIV en termes de protections de leurs installations Dans le cadre des dispositions g n rales du Code de la d fense Article L 1332 1 Les op rateurs publics ou priv s exploitant des tablissements ou utilisant des installations et ouvrages dont l indisponibilit risquerait de diminuer d une fa on importante le potentiel de guerre o conomique la s curit ou la capacit de survie de la Nation sont tenues de coop rer leurs frais dans les conditions d finies au pr sent chapitre la protection desdits tablissements installations et ouvrages contre toute menace notamment caract re terroriste Ces tablissements installations ou ouvrages sont d sign s par l autorit administrative Loi 2005 1550 du 12 d cembre 2005 art 3 Les dispositions du pr sent article produisent effet compter de l entr e en vigueur des dispositions r glementaires d signant l autorit administrative comp tente Cette autorit administrative a t d sign e par le d cret n 2006 212 du 23 f vrier 2006 publi au JORF du 24 f vrier 2006 Article L 1332 2 Les obligations prescrites par le pr sent chapitre peuvent tre
44. ans lequel il exerce Ce document d crit les menaces identifie les vuln rabilit s g n riques fixe les exigences de protection et d termine les mesures gradu es mettre en uvre en fonction de l intensit de la menace en coh rence avec le plan gouvernemental Vigipirate 21 directives ont t approuv es par le Premier ministre Elles sp cifient les menaces prendre en compte les enjeux les vuln rabilit s et les objectifs de s curit correspondants l laboration des directives nationales de s curit et des documents m thodologiques a constitu une phase essentiellement conceptuelle Lui succ de actuellement la premi re mise en uvre des directives 150 op rateurs d importance vitale ont t d sign s dans sept secteurs dont l alimentation la gestion de l eau l nergie la sant et les transports Ils ont commenc laborer leurs plans de s curit L op rateur con oit un syst me de s curit deux tages un plan de s curit pour l ensemble de ses activit s relevant du ou des secteurs trait s et des plans particuliers de protection pour chacun de ses points d importance vitale Un guide m thodologique a t labor cet effet Les 12 secteurs d activit d importance vitale sont Secteurs tatiques D activit s civiles de l tat D activit s militaires de l tat D activit s judiciaires D espace et recherche Secteurs de la protection des citoyens D sant D gesti
45. ar l ANSSI Points de contact avec l ANSSI Identifier et communiquer les points de contact l ANSSI Fournir la cartographie applications r seaux flux filtrage des interconnexions solutions d administration liste des comptes admin et privil ges adresse IP des sous r seaux de chaque SIIV l ANSSI Mettre en place le dispositif de remont e d alerte vers l ANSSI o Gestion de crise Adapter les cellules de crise astreintes et proc dures pour les d cliner sur le p rim tre industriel Tous les 2 ans d montrer sa capacit pouvoir activer les mesures de crise PROTECTION DES SYST MES o Gestion des identit s et des acc s Identifier et valider les habilitations des personnes autoris es acc der aux donn es confidentielles rapports d audit inventaires etc a Cr er un SI confidentiel d fense afin de stocker les informations classifi es Mettre en place des infrastructures de contr le d acc s et de gestion des habilitations o Administration Formaliser une politique de gestion et de rationalisation des comptes privil ge Int grer en amont la conception des clauses de s curit int grant entre autre la gestion des comptes o D fense en profondeur Durcir les acc s d administration d ing nierie maintenance pas d Internet de messagerie venant d Internet r seau d di ou chiffr Mettre en place du cloisonnement intra SIIV Mettre
46. ation 2 Les types de services pour l valuation desquels le centre demande un agr ment 3 Une accr ditation comme centre d valuation de services d livr e par une instance nationale mentionn e au premier alin a de l article L115 28 du code de la consommation Lorsque le dossier de demande est complet l Agence nationale de la s curit des syst mes d information instruit la demande et en informe le centre d valuation INHES Juillet 2015 Cycle S curit des usages num riques 59 LA LOI DE PROGRAMMATION MILITAIRE APPLIQU E LA CYBERS CURIT Travaux de la 5 promotion 2014 2015 du Cycle S curit des usages num riques Art 17 l Agence nationale de la s curit des syst mes d information audite sur pi ce et sur place le centre demandeur au regard des comp tences de son personnel de ses moyens de ses ressources et de son activit pass e Lors de cet audit l agence peut demander assister au d roulement d une valuation de services effectu e par le centre centre permet l agence d acc der ses locaux et de rencontrer son personnel Il lui communique en outre tous documents n cessaires l audit Art 18 Le centre d valuation ne peut tre agr s il n est en mesure de respecter les prescriptions pr vues aux articles R 2311 1 et suivants du code de la d fense Art 19 Au vu des r sultats de l audit pr vu l article 17 et le cas ch ant
47. au vu des conclusions d une enqu te administrative sur le centre d valuation men e en application de article L 114 1 du code de la s curit int rieure l Agence nationale de la s curit des syst mes d information propose au Premier ministre d agr er ou non le centre d valuation Lorsqu il d cide d agr er le centre d valuation le Premier ministre lui notifie une d cision pr cisant les types de service pour l valuation desquels le centre est agr La d cision est assortie le cas ch ant de conditions et de r serves l agr ment est valable pour une dur e maximale de trois ans et peut tre renouvel dans es m mes conditions L Agence nationale de la s curit des syst mes d information met la disposition du public par voie lectronique la liste des centres d valuation agr s Art 20 l Agence nationale de la s curit des syst mes d information peut s assurer tout moment que le centre d valuation respecte les conditions au vu desquelles il a t agr centre d valuation l informe sans d lai de toute modification des circonstances dans lesquelles il a t agr notamment de la suspension du retrait ou de toute modification de son accr ditation En cas de manquement aux conditions et r serves fix es dans la d cision d agr ment ou en cas de changement des circonstances de droit ou de fait dans lesquelles le centre d valuation a t agr le Premier ministre peut apr
48. autre part aucune entreprise n ayant encore mis en uvre les r gles et principes dict s par la loi il n est pas possible de s appuyer sur un retour d exp rience convient donc de consid rer ce document comme une version transitoire Attention comme les l ments de mise en uvre de la DNS dans l entreprise les informations relatives la LPM font l objet de restriction de diffusion Ainsi La liste des SIIV d un OIV et les informations qui leurs sont rattach es sont du niveau Confidentiel D fense Les r gles de s curit LPM contenues dans les arr t s sectoriels sont en Diffusion Restreinte Leur contenu doit donc tre diffus qu aux personnes habilit es INHESJ Juillet 2015 Cycle S curit des usages num riques LA LOI DE PROGRAMMATION MILITAIRE APPLIQU E LA CYBERS CURIT Travaux de la 5 promotion 2014 2015 du Cycle S curit des usages num riques ANALYSE DE LA Contexte et historique Le dispositif de s curit des activit s d importance vitale SAIV ins r dans le Code de la d fense constitue l un des fondements r glementaires permettant d associer les op rateurs d importance vitale OIV au syst me national de protection contre le terrorisme le sabotage et les actes de malveillance Selon le Code de la d fense 81332 2 Un secteur d activit s d importance vitale est constitu d activ
49. aux articles L 1332 6 1 L 1332 6 4 Hormis le cas d un manquement l article L 1332 6 2 cette sanction est pr c d e d une mise en demeure Les personnes morales d clar es responsables dans les conditions pr vues l article 121 2 du code p nal des infractions pr vues la pr sente section encourent une amende suivant les modalit s pr vues l article 131 38 du m me code Article 131 38 Modifi par Loi n 2004 204 du 9 mars 2004 art 55 JORF 10 mars 2004 taux maximum de l amende applicable aux personnes morales est gal au quintuple de celui pr vu pour les personnes physiques par la loi qui r prime l infraction Lorsqu il s agit d un crime pour lequel aucune peine d amende n est pr vue l encontre des personnes physiques l amende encourue par les personnes morales est de 1000000 euros Art 23 relatif l utilisation non autoris e de dispositifs d interception ou d coute par voie lectronique Article 226 15 Modifi par LOI n 2013 1168 du 18 d cembre 2013 art 23 Le fait commis de mauvaise foi d ouvrir de supprimer de retarder ou de d tourner des correspondances arriv es ou non destination et adress es des tiers ou d en prendre frauduleusement connaissance est puni d un an d emprisonnement et de 45000 euros d amende Est puni des m mes peines le fait commis de mauvaise foi d intercepter de d tourner d utiliser ou de divulguer des correspondances mises transmises o
50. compos es d un ensemble de mesures de s curit chaque ligne devant contribuer affaiblir l attaque et permettre aux suivantes de se renforcer en vue soit d emp cher la destruction ou la prise de contr le des composants n vralgiques du PIV soit d en limiter les effets Directive nationale de s curit DNS fond es sur une analyse de risque du secteur concern en tenant compte des sc narios de menaces labor s par le ministre coordonnateur la ou les directives nationales de s curit d un secteur d activit d importance vitale pr cisent les objectifs et les politiques de s curit du secteur ou d une partie du secteur DSI Direction Directeur des Syst mes d Information tablissement unit g ographique de production ou d exploitation Exigences de s curit l ments requis pour atteindre les objectifs de s curit exprim s dans un ou plusieurs des cinq domaines que sont la planification la sensibilisation l organisation la pr vention et la protection Faisabilit d une action malveillante ou d un acte de terrorisme possibilit de conduire une telle action partir de connaissances de l acquisition de moyens de l exploitation de vuln rabilit s de la capacit acc der la cible sans tre d tect dans un d lai qui rendrait l action impossible Fonctionnaire de S curit de D fense FSD nomm par le Pr sident il a pour mission la protection du patrimoine scientifique et techniq
51. d fense la ligne suivante D cisions imposant aux op rateurs d importance vitale un contr le de leurs syst mes d information Art 5 l Au 2 des articles R 1641 2 1551 3 R 1661 3 et R 1671 3 du code de la d fense apr s les mots R 1332 38 sont ajout s les mots R 1332 41 1 R 1332 41 23 Il l article 2 du pr sent d cret est applicable sur l ensemble du territoire de la R publique Art 6 La ministre des Outre mer est charg e de l ex cution du pr sent d cret qui sera publi au Journal officiel de la R publique fran aise Fait le 27 mars 2015 Par le Premier ministre MANUEL VALLS La ministre des outre mer GEORGE PAU LANGEVIN INHES Juillet 2015 Cycle S curit des usages num riques 55 LA LOI DE PROGRAMMATION MILITAIRE APPLIQU E LA CYBERS CURIT Travaux de la 5 promotion 2014 2015 du Cycle S curit des usages num riques Annexe D CRET RELATIF LA QUALIFICATION DES PRODUITS ET PRESTATAIRES DE SERVICE DE CONFIANCE D cret n 2015 350 du 27 mars 2015 relatif la qualification des produits de s curit et des prestataires de service de confiance pour les besoins de la s curit nationale Publics concern s fournisseurs ou fabricants de produits de s curit prestataires de service de confiance centres d valuation de services de confiance dans le domaine de la s curit des syst mes d information Objet d terminer le
52. de permettre au service de l tat ou au prestataire de r aliser des analyses sur les syst mes notamment des relev s d informations techniques 52 Juillet 2015 Cycle S curit des usages num riques LA LOI DE PROGRAMMATION MILITAIRE APPLIQU E LA CYBERS CURIT Travaux de la 5 promotion 2014 2015 du Cycle S curit des usages num riques Art R 1332 41 14 l op rateur d importance vitale conclut une convention avec le service de l tat ou le prestataire de service charg d effectuer le contr le Cette convention pr cise 19 Les syst mes d information qui font l objet du contr le 2 Les objectifs et le p rim tre du contr le 39 Les modalit s de d roulement du contr le notamment les conditions d acc s aux sites et aux syst mes d information de l op rateur 4 Les informations n cessaires la r alisation du contr le fournies par l op rateur et les conditions de leur protection 5 Les modalit s selon lesquelles sont effectu es les analyses techniques sur les syst mes d information de l op rateur La convention est conclue dans des d lais compatibles avec le d lai fix par le Premier ministre pour la r alisation du contr le Une copie de la convention sign e est adress e sans d lai par l op rateur l Agence nationale de la s curit des syst mes d information Art R 1332 41 15 Le service de l tat ou le prestataire a
53. des services qui contribuent la s curit des syst mes d information Qualification des produits de s curit Art 2 la demande de qualification d un produit de s curit est adress e l Agence nationale de la s curit des syst mes d information Celle ci met la disposition du public par voie lectronique la liste des pi ces joindre la demande qui contient notamment une description d taill e du produit et de ses fonctions de s curit ainsi que les objectifs de s curit qu il vise satisfaire Lorsque le dossier de demande est complet l Agence nationale de la s curit des syst mes d information s assure au vu des pi ces fournies que 1 Les objectifs de s curit du produit sont d finis de mani re pertinente au regard des menaces pesant sur la s curit des syst mes d information 2 Les fonctions de s curit du produit sont coh rentes avec les objectifs de s curit qu il vise satisfaire 3 Les mat riels les logiciels leurs codes sources et la documentation n cessaires pour r aliser valuation des fonctions de s curit du produit sont disponibles sans restriction Lorsqu elle estime que les conditions pr vues aux 1 3 sont remplies l Agence nationale de la s curit des syst mes d information invite le demandeur faire valuer les fonctions de s curit du produit en vue d obtenir une qualification Dans le cas contraire elle lui indique les motifs pour
54. e aupr s du Premier ministre Cette personnalit est d sign e pour une dur e de trois ans renouvelable par la Commission nationale de contr le des interceptions de s curit sur proposition du Premier ministre qui lui pr sente une liste d au moins trois noms Des adjoints pouvant la suppl er sont d sign s dans les m mes conditions La personnalit qualifi e tablit un rapport d activit annuel adress la Commission nationale de contr le des interceptions de s curit Ces d cisions accompagn es de leur motif font l objet d un enregistrement et sont communiqu es la Commission nationale de contr le des interceptions de s curit Art L 246 3 Pour les finalit s num r es l article L 241 2 les informations ou documents mentionn s l article L 246 1 peuvent tre recueillis sur sollicitation du r seau et transmis en temps r el par les op rateurs aux agents mentionn s au de l article L 246 2 L autorisation de recueil de ces informations ou documents est accord e sur demande crite et motiv e des ministres de la s curit int rieure de la d fense de l conomie et du budget ou des personnes que chacun d eux a sp cialement d sign es par d cision crite du Premier ministre ou des personnes sp cialement d sign es par lui pour une dur e maximale de trente jours Elle peut tre renouvel e dans les m mes conditions de forme et de dur e Elle est communiqu e dans un d lai d
55. e de son syst me d information laquelle est directement proportionnelle celle de l organisation Il faut commencer par l analyse du syst me d information existant et ses risques gr ce aux m thodes pr conis es par l ANSSI Ces diff rentes actions permettront de proposer l volution des applications pour r pondre aux r gles de la LPM et ainsi de r aliser une qualification du syst me Apr s la qualification du syst me existant il restera mettre en place des syst mes de techniques d alerte et de suivi Les impacts technologiques pour l OIV sont les suivants Analyse du syst me d information d importance Vitale apr s une identification des processus vitaux par et avec les m tiers directement concern s et l tablissement de l inventaire des Syst mes d Information d Importance Vitale associ s ces processus vitaux une expertise technique des SIIV existant doit tre r alis e par la DSI et le RSSI L tude du syst me existant peut d montrer la non applicabilit des diverses exigences de la LPM du fait par exemple de l anciennet des syst mes bon exemple est celui de la SNCF Analyse et ma trise des risques le RSSI met en place un processus technique d analyse des risques en utilisant les diff rentes m thodes propos es l ANSSI D fense en profondeur MEHARI EBIOS etc r sultat qui permettra de faire voluer le syst me de protection Firewalls Antivirus
56. e l on sait que les principales attaques informatiques proviennent de pays ext rieurs l Union europ enne et m me plus globalement de l Europe Directive NIS La directive Network and Information Security NIS en cours de discussion au niveau europ en a notamment pour objectif d imposer aux tats membres des obligations similaires en mati re de protection de leurs syst mes d information La directive pr voit cet gard que les op rateurs qui seront soumis ces obligations soient d sign s par chaque tat membre les r gles de s curit s appliquant ces op rateurs soient d finies par chaque tat les op rateurs doivent notifier les incidents leur autorit nationale comp tente 20 Juillet 2015 Cycle S curit des usages num riques LA LOI DE PROGRAMMATION MILITAIRE APPLIQU E LA CYBERS CURIT Travaux de la 5 promotion 2014 2015 du Cycle S curit des usages num riques Fiche pratique et Plan projet Ce chapitre a pour ambition de donner les grandes lignes que pourrait suivre un qui doit se mettre en ad quation avec les attentes formul es par la LPM Une fois identifi s les diff rents l ments processus vitaux et SIIV d finis dans les pr c dents chapitres les PIV sont d j connus ayant t d finis dans le cadre de la mise en uvre de la DNS il convient de balayer les r gles nonc es par la LPM
57. e quarante huit heures au pr sident de la Commission nationale de contr le des interceptions de s curit Si celui ci estime que la l galit de cette autorisation au regard des dispositions du pr sent titre n est pas certaine il r unit la commission qui statue dans les sept jours suivant la r ception par son pr sident de la communication mentionn e au deuxi me alin a Au cas o la commission estime que le recueil d une donn e de connexion a t autoris en m connaissance des dispositions du pr sent titre elle adresse au Premier ministre une recommandation tendant ce qu il y soit mis fin Elle porte galement cette recommandation la connaissance du ministre ayant propos le recueil de ces donn es et du ministre charg des communications lectroniques 40 Juillet 2015 Cycle S curit des usages num riques LA LOI DE PROGRAMMATION MILITAIRE APPLIQU E LA CYBERS CURIT Travaux de la 5 promotion 2014 2015 du Cycle S curit des usages num riques Art L 246 4 La Commission nationale de contr le des interceptions de s curit dispose d un acc s permanent au dispositif de recueil des informations ou documents mis en uvre en vertu du pr sent chapitre afin de proc der des contr les visant s assurer du respect des conditions fix es aux articles L 246 1 L246 3 En cas de manquement elle adresse une recommandation au Premier ministre Celui ci fait con
58. e terroriste Ces tablissements installations ou ouvrages sont d sign s par l autorit administrative Article L1332 2 Les obligations prescrites par le pr sent chapitre peuvent tre tendues des tablissements mentionn s l article LS511 1 du Code de l environnement ou comprenant une installation nucl aire de base vis e l article L593 1 du Code de l environnement quand la destruction ou l avarie de certaines installations de ces tablissements peut pr senter un danger grave pour la population Ces tablissements sont d sign s par l autorit administrative e Secteurs tatiques activit s civiles de l tat activit s militaires de l tat activit s judiciaires espace et recherche Secteurs de la protection des citoyens sant gestion de l eau alimentation e Secteurs de la vie conomique et sociale de la Nation nergie communication lectronique audiovisuel et information transports finances industrie 14 Juillet 2015 Cycle S curit des usages num riques LA LOI DE PROGRAMMATION MILITAIRE APPLIQU E LA CYBERS CURIT Travaux de la 5 promotion 2014 2015 du Cycle S curit des usages num riques PIV Les OIV mentionn s plus haut poss dent des Points d importance vitale Un point d importance vitale est un tablissement une installation ou un ouvrage sis sur le territoire national dont le dommage l indisponibilit ou la destr
59. ermettait jusqu ici La CNIL a ainsi salu ces dispositions qui ne permettent en aucun cas de r aliser des interceptions de contenus ou des perquisitions en ligne et visent uniquement les donn es mentionn es aux articles R 10 13 et R 10 14 CPCE et 1 du d cret du 25 f vrier 2011 susvis l exclusion de toute autre information N anmoins ce d cret a peine publi vient en f vrier 2015 de faire l objet d un recours aupr s du Conseil d tat par les fournisseurs d acc s associatifs de la f d ration FFDN au titre de la neutralit d Internet et sur la base de r centes d cisions de la Cour de Justice de l Union europ enne sur le sujet suivre donc 48 Juillet 2015 Cycle S curit des usages num riques LA LOI DE PROGRAMMATION MILITAIRE APPLIQU E LA CYBERS CURIT Travaux de la 5 promotion 2014 2015 du Cycle S curit des usages num riques Annexe 5 D CRET RELATIF LA S CURIT DES SYST MES D INFORMATION DES D cret 2015 351 du 27 mars 2015 relatif a s curit des syst mes d information des op rateurs d importance vitale et pris po de Publics c ur l application de la section 2 du chapitre Il du titre 111 du livre IIl la premi re partie de la partie l gislative du Code de la d fense oncern s op rateurs d importance vitale mentionn s aux articles L1332 1 et L1332 2 du Code de la d fense services de l ta
60. es avec les cycles de r g n ration des syst mes industriels des OIV Risque de soutenabilit de la d marche compte tenu de la port e financi re et organisationnelle de ces mesures estimer des co ts r currents importants d j identifi s 4 Risque sur l impossibilit technique s curiser des syst mes existants obsol tes pour appliquer les r gles ANSSI sans une r ing nierie compl a Risque d exploitation et de maintien en condition de s curit des syst mes dans la dur e Les mesures techniques de maintien en condition de s curit sont particuli rement contraignantes pour des syst mes informatiques industriels ayant une long vit difficilement compatibles avec l volution rapide des technologies informatiques et de t l communication l objectif des groupes de travail sectoriels mis en place par l ANSSI est bien de prendre en compte ces quatre risques majeurs afin d crire avec les OIV des r gles soutenables et adapt es aux m tiers des op rateurs et leurs syst mes Dans la pratique un projet de r gles g n riques est propos par l ANSSI aux op rateurs de chaque secteur et des r unions de travail permettent d identifier les adaptations sectorielles n cessaires 30 Juillet 2015 Cycle S curit des usages num riques LA LOI DE PROGRAMMATION MILITAIRE APPLIQU E LA CYBERS CURIT Travaux de la 5 promotion 2014 2015 du Cycle
61. europ en de lutte contre la cybercriminalit a finalement vu le jour le 11 janvier 2013 Bas La Haye aux PaysBas et rattach EUROPOL il est depuis cette date op rationnel Parmi ses missions il a en charge le soutien des enqu tes criminelles au niveau de l Union europ enne en assurant une coordination optimale des diff rents services de police et des diff rentes instances judiciaires Notamment il se concentre sur les activit s illicites en ligne men es par des organisations criminelles sp cifiquement sur les attaques dirig es contre les services de banque en ligne ou d autres activit s financi res en ligne l exploitation sexuelle en ligne des enfants et la criminalit touchant aux infrastructures critiques et aux syst mes d information de l Union Il est aussi charg du recueil des donn es relatives la cybercriminalit donn es qui permettront ult rieurement l laboration de rapports d valuation ou d anticipation des menaces Enfin un service d assistance help desk est mis en place par cette nouvelle institution dont l objet est la mise disposition des unit s r pressives des tats membres de toutes les donn es collect es aff rentes la cybercriminalit En sus de la cr ation de ce nouveau centre l Union europ enne a r it r dans une communication en date du 7 f vrier 2013 sa volont de combattre la criminalit sur les r seaux L objectif de ce nouveau plan cybers cur
62. haque arr t sectoriel pr cisera pour chaque secteur une typologie de syst mes Pour chacune des cat gories de cette typologie les op rateurs devront identifier les 51 appartenant cette cat gorie Cette typologie ne sera ni limitante ni contraignante Cependant si aucun SIIV n est identifi pour une cat gorie donn e de la typologie les op rateurs devront le justifier Certains minist res coordinateurs ont mis un guide pour la d finition des Syst mes d importance vitale destination des op rateurs relevant de leur comp tence Processus vitaux pour l op rateur Rouge s v R seau Orange SI concourant la mission vitale Source MEDDE Non OIV Les dispositions se cantonnent pour l instant aux OIV entreprises ou administrations concourant la survie de la Nation Il faudra bien s r s curiser les autres entreprises et leur imposer des mesures en les identifiant par d autres crit res celles qui emploient des personnels nombreux celles qui traitent de secrets technologiques et industriels cruciaux Mais plus que d assurer la survie de la Nation il s agira ici de prot ger la comp titivit de ces entreprises mais aussi l emploi qu elles g n rent En effet les entreprises fran aises sont attaqu es en permanence espionn es et copi es et ces attaques informatiques ont un impact direct sur leur comp titivit l chelle internationale En attendant cet largissement du cham
63. iance mentionn s au chapitre IIl du d cret n 2015 350 du 27 mars 2015 relatif la qualification des produits de s curit et des prestataires de service de confiance pour les besoins de la s curit nationale 60 Juillet 2015 Cycle S curit des usages num riques LA LOI DE PROGRAMMATION MILITAIRE APPLIQU E LA CYBERS CURIT Travaux de la 5 promotion 2014 2015 du Cycle S curit des usages num riques Des centres d valuation mentionn s au chapitre du d cret 2015 350 du 27 mars 2015 relatif la qualification des produits de s curit et des prestataires de service de confiance pour les besoins de la s curit nationale Art 24 l Apr s le troisi me alin a de l article 4 du d cret du 7 juillet 2009 susvis il est ins r l alin a suivant de la qualification des produits de s curit et des prestataires de service de confiance ainsi que de l agr ment des centres d valuation pr vus par le d cret n 2015 350 du 27 mars 2015 relatif la qualification des produits de s curit et des prestataires de service de confiance pour les besoins de la s curit nationale Il l article 4 du d cret du 7 juillet 2009 susvis dans sa r daction r sultant du du pr sent article peut tre modifi par d cret Art 25 Le chapitre le chapitre Il le chapitre IIl ainsi que les articles 22 23 et 26 du pr sent d cre
64. ien a co te 24 Juillet 2015 Cycle S curit des usages num riques LA LOI DE PROGRAMMATION MILITAIRE APPLIQU E LA CYBERS CURIT Travaux de la 5 promotion 2014 2015 du Cycle S curit des usages num riques Les impacts l gaux L application l gale de la LPM dans l entreprise va modifier les diff rentes r gles juridiques internes et externes de Ces changements en interne peuvent tre la politique de gestion des brevets le suivi de l innovation la gestion comptable la gestion des ressources humaines le suivi financier la production l ensemble du syst me d information l intervention d un organisme ext rieur certifi par l ANSSI pour audit control et arr t de production si n cessaire En externe ces changements vont tre influenc s par le respect des recommandations de la LPM avec ses relations avec les partenaires commerciaux ses relations avec les prestataires de services ses clients La LPM par d finition a une port e strictement nationale au sens territorial et de fait ne peut pas s tendre au del des fronti res Ceci peut avoir une incidence sur certains SIIV qui peuvent tre g n riques pour une entreprise et donc s tendre d autres pays De m me il est possible que l administration de certains SIIV soit assur par des quipes positionn es dans
65. iendra aussi de traiter la dimension humaine de la d marche en garantissant la probit et la fiabilit des personnes habilit es intervenir avec des privil ges sur ces syst mes directement o sur les couches d infrastructures techniques qui les supportent administrateurs des syst mes informatiques d veloppeur de solutions infog rant des syst mes et en tra ant les actions r alis es sur les syst mes De la m me mani re les contrats de sous traitance devront tre bord s par des clauses sp cifiques aux SIIV strictes dans les plans d assurance s curit Le recours des prestataires qualifi s de confiance sera galement impos INHES Juillet 2015 Cycle S curit des usages num riques 31 LA LOI DE PROGRAMMATION MILITAIRE APPLIQU E LA CYBERS CURIT Travaux de la 5 promotion 2014 2015 du Cycle S curit des usages num riques LA LPM ET LE SECTEUR FRAN AIS DE LA CYBER S CURIT S curit nationale et souverainet Par essence cette loi a pour objet de participer la s curit nationale dans ses aspects li s la vie quotidienne de la Nation sa survie Par ailleurs sur ce petit p rim tre de la cyber s curit elle a pour ambition de mettre en place les conditions pour favoriser le d veloppement ou le maintien d un secteur industriel et de service ind pendant de toute l gislation externe contraignante ou contraire la souverainet et l ind pendance na
66. ier 2006 publi au JORF du 24 f vrier 2006 INHES Juillet 2015 Cycle S curit des usages num riques 43 LA LOI DE PROGRAMMATION MILITAIRE APPLIQU E LA CYBERS CURIT Travaux de la 5 promotion 2014 2015 du Cycle S curit des usages num riques Dans le cadre des dispositions sp cifiques au Syst mes d information Article L 1332 6 1 Cr par LOI n 2013 1168 du 18 d cembre 2013 art 22 Le Premier ministre fixe les r gles de s curit n cessaires la protection des syst mes d information des op rateurs mentionn s aux articles L 1332 1 et L 1332 2 et des op rateurs publics ou priv s qui participent ces syst mes pour lesquels l atteinte la s curit ou au fonctionnement risquerait de diminuer d une fa on importante le potentiel de guerre ou conomique la s curit ou la capacit de survie de la Nation Ces op rateurs sont tenus d appliquer ces r gles leurs frais Les r gles mentionn es au premier alin a peuvent notamment prescrire que les op rateurs mettent en uvre des syst mes qualifi s de d tection des v nements susceptibles d affecter la s curit de leurs syst mes d information Ces syst mes de d tection sont exploit s sur le territoire national par des prestataires de service qualifi s en mati re de s curit de syst mes d information par l autorit nationale de s curit des syst mes d information ou par d autres services de l tat d sign
67. ions pr vues l article 121 2 du code p nal des infractions pr vues la pr sente section encourent une INHES Juillet 2015 Cycle S curit des usages num riques 9 LA LOI DE PROGRAMMATION MILITAIRE APPLIQU E LA CYBERS CURIT Travaux de la 5 promotion 2014 2015 du Cycle S curit des usages num riques amende suivant les modalit s pr vues l article 131 38 du m me code Le taux maximum de l amende applicable aux personnes morales est gal au quintuple de celui pr vu pour les personnes physiques par la loi qui r prime l infraction Lorsqu il s agit d un crime pour lequel aucune peine d amende n est pr vue l encontre des personnes physiques l amende encourue par les personnes morales est de 1 euros Depuis le 27 mars 2015 deux d crets compl tent la Loi D cret n 2015 351 du 27 mars 2015 relatif la s curit des syst mes d information des op rateurs d importance vitale et pris pour l application de la section 2 du chapitre Il du titre 11 du livre de la premi re partie de la partie l gislative du code de la d fense annexe 5 D cret n 2015 350 du 27 mars 2015 relatif la qualification des produits de s curit et des prestataires de service de confiance pour les besoins de la s curit nationale annexe Les objectifs les moyens et les acteurs Les objectifs L objectif de la LPM est de suivre les lignes directrices et orientations exp
68. ions sociales et conomiques ou une d t rioration de l environnement Pour la d marche de s curit des secteurs d activit s d importance vitale les menaces seront r put es avoir un caract re malveillant ou tre de nature terroriste Mesures de s curit syst mes ou proc dures identifi s pour r pondre aux exigences de s curit Ministre coordonnateur le ministre coordonnateur d un secteur d activit d importance vitale d signe les op rateurs d importance vitale relevant du ou des secteurs d activit s dont il a la charge labore la ou les directives nationales de s curit du ou de ces secteurs et notifie la liste des points d importance vitale Il est responsable de la coordination du secteur vis vis des autres secteurs et pour chaque secteur dont il est charg de la prise en compte des int r ts des autres minist res Ce r le ne lui donne toutefois aucune tutelle sur les op rateurs du secteur concern par la directive nationale de s curit qui rel vent d autres minist res Objectif de s curit but atteindre pour amener un risque identifi un niveau acceptable en agissant sur l attractivit la faisabilit la vuln rabilit ou les impacts Ouvrage construction Plan de s curit d op rateur PSO plan d finissant la politique g n rale de protection de l ensemble des activit s de l op rateur notamment celles organis es en r seau comportant des mesures permanentes de protection
69. iques LA LOI DE PROGRAMMATION MILITAIRE APPLIQU E LA CYBERS CURIT Travaux de la 5 promotion 2014 2015 du Cycle S curit des usages num riques GLOSSAIRE ACSSI CD SD DR Articles Contr l s de la S curit des Syst mes d Information Classifi s Confidentiel D fense Secret D fense Diffusion Restreinte ou Non Prot g Aire Sp ciale de Surveillance ASS aire g ographique d finie par le pr fet autour d un point estim particuli rement sensible et dans laquelle s exerce en permanence une recherche coordonn e du renseignement au profit des autorit s responsables de la s curit de l installation Attractivit attrait d une cible pour un acte de malveillance ou de terrorisme par suite des effets attendus sur les plans humain conomique m diatique ou psychologique Composant n vralgique l ment la fois indispensable au fonctionnement d une installation prioritaire de d fense ou d un point d importance vitale et vuln rable de niveau plus fin que ce point salle de contr le ou de commande DACSSI D cision d Acc s aux Articles Contr l s de la S curit des Syst mes d Information Danger toute situation condition ou pratique qui comporte en elle m me une capacit occasionner des dommages aux personnes aux biens ou l environnement D fense dans la profondeur la d fense en profondeur consiste en la superposition de plusieurs lignes de d fense
70. it est d aboutir un cyberespace ouvert s r et s curis respectueux des droits fondamentaux de chacun De ce fait l Union europ enne s assigne cinq objectifs r aliser e parvenir la cyber r silience e faire reculer consid rablement la cybercriminalit e d velopper une politique et des moyens de cyberd fense en liaison avec la politique de s curit et de d fense commune PSDC d velopper les ressources industrielles et technologiques en mati re de cybers curit instaurer une politique internationale de l Union europ enne coh rente en INHES Juillet 2015 Cycle S curit des usages num riques 19 LA LOI DE PROGRAMMATION MILITAIRE APPLIQU E LA CYBERS CURIT Travaux de la 5 promotion 2014 2015 du Cycle S curit des usages num riques mati re de cyberespace et promouvoir les valeurs essentielles de l UE Nul ne doute que la r alisation de ces objectifs se fera en troite collaboration avec le tr s r cent Centre europ en de lutte contre la cybercriminalit Ce Centre constitue une r elle avanc e dans le domaine de la criminalit en ligne car il dote l Union de r els pouvoirs pour lutter efficacement contre les actes illicites d mat rialis s N anmoins Internet ayant par essence une vocation mondiale ce projet appara t quelque peu vain puisqu il cantonne la lutte une chelle exclusivement europ enne Cela est fortement dommageable lorsqu
71. it s concourant un m me objectif Ces activit s soit ont trait de mani re difficilement substituable ou rempla able la production et la distribution de biens ou de services indispensables soit peuvent pr senter un danger grave pour la population Ces biens ou services doivent tre indispensables la satisfaction des besoins essentiels pour la vie des populations e ou l exercice de l autorit de l tat ou au fonctionnement de l conomie ou au maintien du potentiel de d fense ou la s curit de la Nation La r silience de la Nation d finie comme tant La volont et la capacit d un pays de la soci t et des pouvoirs publics r sister aux cons quences d une agression ou d une catastrophe majeures puis r tablir rapidement leur capacit de fonctionner normalement a depuis longtemps t prise en compte par les autorit s gouvernementales Il existe donc tout un arsenal l gislatif et r glementaire encadrant et organisant ce dispositif La constitution de 1958 art 5 fonctionnement r gulier des pouvoirs publics ainsi que la continuit de l tat L ordonnance n 58 1371 du 29 d cembre 1958 les entreprises sensibles se doivent de coop rer leur protection L ordonnance du 7 janvier 1959 15 Chaque ministre est responsable des mesures de d fense incombant au d partement dont il a la charge gt Le Code de la d fense R 1332 1 d finissa
72. itale concern s Ces arr t s peuvent pr voir des modalit s diff rentes selon le secteur ou le type d activit de l op rateur Lorsque l arr t n est pas publi il est notifi aux personnes ayant besoin d en conna tre Chaque op rateur communique sa liste de syst mes d information d importance vitale et les mises jour de celle ci l Agence nationale de la s curit des syst mes d information selon des modalit s et dans des d lais fix s par l arr t mentionn au troisi me alin a l Agence nationale la s curit des syst mes d information peut apr s avis des ministres coordonnateurs concern s faire des observations l op rateur sur sa liste Dans ce cas l op rateur modifie sa liste conform ment ces observations et communique la liste modifi e l Agence nationale de la s curit des syst mes d information dans un d lai de deux mois compter de la r ception des observations La liste des syst mes d information d importance vitale est couverte par le secret de la d fense nationale 50 Juillet 2015 Cycle S curit des usages num riques LA LOI DE PROGRAMMATION MILITAIRE APPLIQU E LA CYBERS CURIT Travaux de la 5 promotion 2014 2015 du Cycle S curit des usages num riques D tection des v nements de s curit Art R 1332 41 3 Les r gles de s curit pr vues l article L 1332 6 1 fixent les conditions et le
73. jet la captation de donn es informatiques pr vue par l article 706 102 1 du code de proc dure p nale lorsque cette publicit constitue une incitation en faire un usage frauduleux INHES Juillet 2015 Cycle S curit des usages num riques 45 LA LOI DE PROGRAMMATION MILITAIRE APPLIQU E LA CYBERS CURIT Travaux de la 5 promotion 2014 2015 du Cycle S curit des usages num riques Art 24 relatif la protection et l utilisation des donn es personnelles et de localisation Article L 34 1 Modifi par LOI n 2013 1168 du 18 d cembre 2013 art 24 1 Le pr sent article s applique au traitement des donn es caract re personnel dans le cadre de la fourniture au public de services de communications lectroniques il s applique notamment aux r seaux qui prennent en charge les dispositifs de collecte de donn es et d identification IL Les op rateurs de communications lectroniques et notamment les personnes dont l activit est d offrir un acc s des services de communication au public en ligne effacent ou rendent anonyme toute donn e relative au trafic sous r serve des dispositions des IIl IV V et VI Les personnes qui fournissent au public des services de communications lectroniques tablissent dans le respect des dispositions de l alin a pr c dent des proc dures internes permettant de r pondre aux demandes des autorit s comp tentes Les personnes qui au titre d u
74. les sans tre hors la loi d passer les limites fix es par la LPM ou simplement l incompatibilit avec brevets par exemple 2 Organisationnel il faut que l organisation interne des OIV soit modifi e et adapt e pour r pondre aux diff rentes contraintes de la LPM Technologique selon les directives de la LPM une diversit des technologies va tre d ploy e pour r pondre aux diff rentes prescriptions gestion du changement au niveau technique Financier la mise en uvre a un co t associ aux modifications d organisation la mise en place des nouveaux dispositifs techniques leur exploitation et leur contr le Comment appliquer les diff rents articles sans tre hors la loi ou UEGAUXS d passer les limites fig es parla Adeptetion juridique dientreprise LPM Gouvernance Cellule de gestion de crise Matnemsenciouss G rer contraintes de la LPM Technologique Formation d utilisateurs Formation des informaticiens Analyse de l existant Prot ger Selon les prescriptions de la LPM Analyse et Ma trise des risques une diversit des technologies D tecter vont tre d ploy es pour r pondre aux diff rentes prescriptions Il faut que l organisation interne Communication des OIV soit modifi e et adapt e pour r pondre aux diff rentes Veille Strat giques tant donn que le respect de cette loi deviens une contrainte de plus dans la gouvernance d entreprise comb
75. les sont effectu s par l autorit nationale de s curit des syst mes d information ou par des services de l tat d sign s par le Premier ministre ou par des prestataires de service qualifi s par ce dernier Le co t des contr les est la charge de l op rateur Pour r pondre aux crises majeures mena ant ou affectant la s curit des syst mes d information le Premier ministre peut d cider des mesures que les op rateurs doivent mettre en uvre L tat pr serve la confidentialit des informations qu il recueille aupr s des op rateurs Dispositions p nales relatives aux manquements aux obligations d OIV La LPM repr cise que des sanctions sont pr vues pour le non respect des obligations qu elle introduit Ainsi pour rappel est puni d une amende de 150000 euros le fait pour les dirigeants des op rateurs et l expiration du d lai d fini par l arr t de mise en demeure d omettre d tablir un plan de protection ou de r aliser les travaux pr vus Est puni d une amende de 150000 euros le fait pour les m mes personnes d omettre apr s une mise en demeure d entretenir en bon tat les dispositifs de protection ant rieurement tablis Est puni d une amende de 150000 euros le fait pour les m mes personnes de ne pas satisfaire aux obligations pr vues Hormis le cas d un manquement cette sanction est pr c d e d une mise en demeure Les personnes morales d clar es responsables dans les condit
76. lesquels le produit ne peut tre qualifi Art 3 Pour faire valuer les fonctions de s curit du produit le demandeur choisit un ou plusieurs centres d valuation agr s dans les conditions pr vues par le d cret du 18 avril 2002 susvis I d termine avec chacun de ces centres le programme de travail et les d lais n cessaires pour r aliser l valuation ainsi que les conditions dans lesquelles sera prot g e la confidentialit des informations trait es dans le cadre de l valuation Lorsque l valuation de certaines fonctions de s curit n cessite des comp tences techniques particuli res dont ne disposent pas les centres d valuation l Agence nationale de la s curit des syst mes d information value elle m me ces fonctions En l absence de centre d valuation agr l Agence nationale de la s curit des syst mes d information peut r aliser l ensemble de l valuation Art 4 Le demandeur met la disposition de l Agence nationale de la s curit des syst mes d information et de chaque centre d valuation concern l ensemble des mat riels des logiciels des codes sources et de la documentation n cessaires pour valuer les fonctions de s curit du produit Art 5 l Agence nationale de la s curit des syst mes d information veille la bonne ex cution des travaux d valuation Les centres d valuation l informent sans d lai de toute difficult l agence peut
77. m me Zone d importance vitale ZIV zone g ographique continue dans laquelle sont implant s plusieurs points d importance vitale relevant d op rateurs diff rents et interd pendants Zone prot g e zone cr e par arr t des ministres int ress s et faisant l objet d une interdiction d acc s sans autorisation sanctionn e p nalement en cas d infraction articles 413 7 et R 413 1 R 413 5 du code p nal DOCUMENTS INSTRUCTION G N RALE INTERMINIST RIELLE RELATIVE LA S CURIT DES ACTIVIT S D IMPORTANCE VITALE n 6600 SGDSN PSE PSN du 7 janvier 2014 e PM e 1 INHES Juillet 2015 Cycle S curit des usages num riques 37 LA LOI DE PROGRAMMATION MILITAIRE APPLIQU E LA CYBERS CURIT Travaux de la 5 promotion 2014 2015 du Cycle S curit des usages num riques ANNEXES Annexe 1 LE DISPOSITIF DNS teimas Douze secteurs d activit s d importance vitale ont t d finis dans un arr t du 2 juin 2006 modifi par un arr t du 3 juillet 2008 Chaque secteur est rattach un ministre coordonnateur charg du pilotage des travaux et des consultations interminist rielles 1 revient chaque op rateur d identifier dans son syst me de production les composants n vralgiques et de les proposer comme points d importance vitale devant faire l objet d une protection particuli re dispose pour cela de la directive nationale de s curit du secteur d
78. n ceci afin de cr er un point de rupture titre d exemple si l OS 32 Juillet 2015 Cycle S curit des usages num riques LA LOI DE PROGRAMMATION MILITAIRE APPLIQU E LA CYBERS CURIT Travaux de la 5 promotion 2014 2015 du Cycle S curit des usages num riques de la machine le routeur l administrateur du r seau sont de technologiels trang re s ne convientil pas que l outil de chiffrement des donn es soit souverain On verra alors un secteur d offres qui trouvera un march mais celui ci sera t il suffisant pour supporter l activit p renne d a minima un fournisseur Impacts l gaux mise en uvre de l article 22 de la LPM dans les entreprises identifi es comme aura des impacts l gaux dont on ne mesure pas encore l ampleur titre d exemples Comment s organise l entreprise pour se conformer la certification Confidentiel D fense pour les acteurs du SI concern s Quelles sont les mesures contre les OlVs qui se refusent appliquer les r gles pr cis es dans l arr t d application 2 Quelles sont les mesures contre les qui ne respectent pas le calendrier de mise en uvre des r gles pr cis es dans l arr t d application Quels sont les impacts pour les cyber agresseurs d un OIV2 Quelles sont les responsabilit s de l tat dans la prise de d cision d isoler un syst me en cas d agression externe 2 De quel
79. na tre la commission dans un d lai de quinze jours les mesures prises pour rem dier au manquement constat Les modalit s d application du pr sent article sont fix es par d cret en Conseil d tat pris apr s avis de la Commission nationale de l informatique et des libert s et de la Commission nationale de contr le des interceptions de s curit qui pr cise notamment la proc dure de suivi des demandes et les conditions et dur e de conservation des informations documents transmis Art L 246 5 les surco ts identifiables et sp cifiques ventuellement expos s par les op rateurs et personnes mentionn es l article L 246 1 pour r pondre ces demandes font l objet d une compensation financi re de la part de l tat 3 Les articles L 222 2 L2223 et L 243 12 sont abrog s 4 la premi re phrase du premier alin a de l article L 243 7 les mots de l article L243 8 et au ministre de l Int rieur en application de l article 1 34 1 1 du code des postes et des communications lectroniques et de l article 6 de la loi n 2004 575 du 21 juin 2004 pour la confiance dans l conomie num rique sont remplac s par les r f rences des articles 1243 8 L 246 3 et L246 4 5 l article L 245 3 apr s le mot violation sont ins r es les r f rences des articles L246 1 1246 3 L article L 34 1 1 du code des postes et des communications lectroniques est abrog
80. naire de s curit des syst mes d information FSSI Service du HFDS HFDS Haut fonctionnaire de d fense et de s curit IAN nspection des armements nucl aires ICE nfrastructure critique europ enne ICPE nstallation class e pour la protection de l environnement IDA nspection des arm es IGI nstruction g n rale interminist rielle INB nstallation nucl aire de base INID nstallations nucl aires int ressant la dissuasion IPD nstallation prioritaire de d fense MEHARI M thode harmonis e d analyse de risques MSD Missions de s curit et de d fense NIS Network and Information Security OIV Op rateur d importance vitale PIV Point d importance vitale PSDC Politique de s curit et de d fense commune PSO Plan de s curit d op rateur PPE Plan de protection externe PPP Plan particulier de protection PSSI Politique de s curit des syst mes d information RSSI Responsable de s curit des syst mes d Information SAIV S curit des activit s d importance vitale SGDSN Secr tariat g n ral de la d fense et de la s curit nationale SHFD Service du haut fonctionnaire de d fense SIC Standard Industrial Classification SIEM Security Event Information Management Management de la s curit des v nements de l information SIIV Syst me d information d importance vitale SOC Centre op rationnel de s curit ZIV Zone d importance vitale 34 Juillet 2015 Cycle S curit des usages num r
81. nce pour les besoins de la s curit nationale annexe 6 INHES Juillet 2015 Cycle S curit des usages num riques 17 LA LOI DE PROGRAMMATION MILITAIRE APPLIQU E LA CYBERS CURIT Travaux de la 5 promotion 2014 2015 du Cycle S curit des usages num riques Les arr t s sectoriels sont r dig s par l ANSSI l issue de groupes de travail impliquant les OIV concern s le minist re coordonnateur et l ANSSI compter de la publication de l arr t sectoriel les entreprises OIV dudit secteur sont soumises e l obligation de fournir la liste des SIIV dans un d lai d fini dans l arr t e l obligation de remonter les incidents affectant les SSIV avec effet imm diat e la mise en uvre des r gles pr cis es dans l arr t dont le d lai de mise en place sera sp cifi dans l arr t pour chaque r gle de s curit Le calendrier global est encore incertain d pendant de l avancement des travaux de d clinaison sectorielle en cours et de la publication des arr t s sectoriels qui suivra Contexte europ en Cybercriminalit et Conseil de l Europe l Europe a tr s t t tent d appr hender ce sujet D s 2001 le Conseil de l Europe a labor une Convention d di e la cybercriminalit C est la premi re fois qu un trait vocation internationale aborde de front les infractions li es l informatique et sp cifiquement celles commises via Internet Elle tabli
82. ne activit professionnelle principale o accessoire offrent au public une connexion permettant une communication en ligne par l interm diaire d un acc s au r seau y compris titre gratuit sont soumises au respect des dispositions applicables aux op rateurs de communications lectroniques en vertu du pr sent article Pour les besoins de la recherche de la constatation et de la poursuite des infractions p nales ou d un manquement l obligation d finie l article L 336 3 du code de a propri t intellectuelle ou pour les besoins de la pr vention des atteintes aux syst mes de traitement automatis de donn es pr vues et r prim es par les articles 323 1 323 3 1 du code p nal et dans le seul but de permettre en tant que de besoin a mise disposition de l autorit judiciaire ou de la haute autorit mentionn e l article L 331 12 du code de la propri t intellectuelle ou de l autorit nationale de s curit des syst mes d information mentionn e l article L 2321 1 du code de la d fense il peut tre diff r pour une dur e maximale d un an aux op rations tendant effacer ou rendre anonymes certaines cat gories de donn es techniques Un d cret en Conseil d tat pris apr s avis de la Commission nationale de l informatique et des libert s d termine dans les limites fix es par le VI ces cat gories de donn es et la dur e de leur conservation selon l activit des op rateu
83. nt les OIV R 1332 42 fixant l obligation de contr le des Les directives nationales de s curit DNS en cours de r vision par secteurs d activit voir annexe 1 DNS 6 Juillet 2015 Cycle S curit des usages num riques LA LOI DE PROGRAMMATION MILITAIRE APPLIQU E LA CYBERS CURIT Travaux de la 5 promotion 2014 2015 du Cycle S curit des usages num riques la suite des attentats du 11 septembre 2001 la France a engag une r flexion sur la notion d infrastructure critique afin de moderniser la protection des points et des r seaux sensibles Cette r flexion a abouti au d cret du 23 f vrier 2006 relatif la s curit des activit s d importance vitale qui sont d finies comme un ensemble d activit s essentielles et difficilement substituables ou remplacables concourant un m me objectif ou visant produire et distribuer des biens ou des services indispensables Ainsi les installations qui contribuent de fa on essentielle la pr servation du potentiel de guerre et conomique de la s curit et de la capacit de survie de la Nation ou dont la destruction ou l avarie peut pr senter un danger grave pour la population doivent tre prot g es contre toute menace notamment caract re terroriste Le Livre Blanc d fense et s curit nationale v ritable analyse de risque de la Nation fixe les grandes directions strat giques de
84. on de leur syst me INHES Juillet 2015 Cycle S curit des usages num riques 47 LA LOI DE PROGRAMMATION MILITAIRE APPLIQU E LA CYBERS CURIT Travaux de la 5 promotion 2014 2015 du Cycle S curit des usages num riques Annexe 4 ARTICLE 20 ANALYSE C est la veille des f tes de No l 2014 qu a t publi le tr s attendu d cret d application de l article 20 de la loi de programmation militaire qui a fait pol mique Il pr cise donc les modalit s d application de cet article relatif l acc s administratif aux donn es de connexion Applicable depuis le 1 janvier 2015 son objectif est que les autorit s publiques puissent avoir acc s tous les documents et informations stock s chez les h bergeurs ou transmis au travers des c bles des op rateurs t l coms FAI etc Pour cela il suffit que les pouvoirs publics justifient de la recherche de renseignements int ressant notamment la s curit nationale la pr vention du terrorisme la criminalit et la d linquance organis es ou surtout de la sauvegarde des l ments essentiels du potentiel scientifique et conomique de la France une notion assez floue Les interm diaires peuvent tre tenus de transmettre en temps r el ces donn es recueillies apr s sollicitation du r seau Le texte sign le 24 d cembre indique que le groupement interminist riel de contr le cr en 1960 et officialis en 2
85. on de l eau D alimentation Secteurs de la vie conomique et sociale de la Nation D nergie D communications lectroniques audiovisuel et information D transports D finances D industrie 38 Juillet 2015 Cycle S curit des usages num riques LA LOI DE PROGRAMMATION MILITAIRE APPLIQU E LA CYBERS CURIT Travaux de la 5 promotion 2014 2015 du Cycle S curit des usages num riques Les obligations des op rateurs d importance vitale D Former leurs responsables et leurs directeurs de la s curit tant au niveau central qu au niveau local D Apr s une analyse de risques tablir un plan de s curit op rateur PSO prenant en compte les attendus de la directive nationale de s curit au titre de laquelle ils ont t d sign s op rateurs d importance vitale D Identifier leurs points d importance vitale qui feront l objet d un plan particulier de protection leur charge et d un plan de protection externe la charge du pr fet de d partement Dispositif SAIV Traitement de la menace Secteur 2 Traitement Op rateur des risques Point d importance vitale 39 INHES Juillet 2015 Cycle S curit des usages num riques LA LOI DE PROGRAMMATION MILITAIRE APPLIQU E LA CYBERS CURIT Travaux de la 5 promotion 2014 2015 du Cycle S curit des usages num riques Annexe 2 ART 20 ACC S ADMINIS
86. os es dans le Livre Blanc sur la d fense et la s curit nationale de 2013 Cette loi par son article 22 pr voit donc l adoption de mesures de renforcement de la s curit des Op rateurs d importance Vitale et conf re l ANSSI de nouvelles pr rogatives Ainsi Obligation faite aux OIV et op rateurs publics ou priv s pour lesquels l atteinte la s curit ou au fonctionnement de certains de leurs syst mes risquerait de diminuer d une fa on importante le potentiel de guerre ou conomique la s curit ou la capacit de survie de la Nation de se conformer aux directives et r gles de s curit n cessaires la protection des syst mes d information essentiels fix es par le Premier ministre Ces syst mes seront par la suite identifi s comme Syst me d information d importance vitale 511 Obligation pour les OIV de mettre en uvre des syst mes qualifi s de d tection des v nements susceptibles d affecter la s curit de leurs SIIV I Notification sans d lai par les OIV de tout incident de s curit affectant le fonctionnement ou la s curit des SIIV Les OIV devront soumettre leurs Syst mes d information d importance vitale des contr les destin s v rifier le niveau de s curit et le respect des r gles de s curit pr vues la Loi 10 Juillet 2015 Cycle S curit des usages num riques LA LOI DE PROGRAMMATION MILITAIRE APPLIQU E LA CYBE
87. our l OIV cause du changement de son mode de fonctionnement Le co t de l organisation inclut entre autres le co t de l audit du syst me existant les co ts de la mise en place des nouveaux processus d analyse des risques la communication la mise en place de la gestion de crise les co ts des plans de formation les co ts de la veille strat gique et technologique a Le co t de la technique est un volet important car apr s la mise en place de tous les processus organisationnels et d expertise il faut financer les modifications les adaptations les nouveaux syst mes de mesure d alerte de s curit Maintien en Condition Op rationnel et le Maintien en Condition S curit et de qualification pour r pondre aux diff rents d crets de la LPM Le co t de la non conformit convient aussi de pr voir les provisions en cas de cyber attaque les prix des tests de conformit apr s une attaque les provisions pr voir en cas d amende de non conformit ou de non respect des dispositions de la LPM Les assurances si elles existent Le co t le plus important apr s l application des adaptations techniques est celui du Maintien en Condition Op rationnel Compte tenu des quelques cas de mise en uvre des prescriptions de la LPM le budget additionnel est environ de l ordre de 5 des co ts d exploitation des infrastructures techniques backbone des entit s porteuses de SIIV 28 Juillet 2015
88. p d application des textes actuellement en pr paration l ensemble du tissu conomique fran ais ANSSI esp re que la premi re salve de mesures applicables aux OIV fera t che d huile et se r pandra ainsi par des bonnes pratiques De bonnes pratiques stimul es la cr ation d un v ritable march de l assurance aux cyber risques o la cybers curit deviendra un enjeu de baisse la prime incontournable 16 Juillet 2015 Cycle S curit des usages num riques LA LOI DE PROGRAMMATION MILITAIRE APPLIQU E LA CYBERS CURIT Travaux de la 5 promotion 2014 2015 du Cycle S curit des usages num riques Analyse de la mise en uvre de la LPM D fense de la Nation La LPM dans son aspect cyber protection a bien pour objet la d fense de la Nation et de la population savoir en cas de cyber attaque les Op rateurs d importance vitale doivent tre en mesure d assurer le service qui est le leur ou d viter une attaque dont les effets catastrophiques auraient un impact sur des populations environnantes Pour cela les Op rateurs prot geront et maintiendront les Syst mes d information qui supportent ou participent leur mission de service vitale Soutenabilit de la LPM Une des clefs du succ s de la mise en uvre de l article 22 de la LPM dans les entreprises commencer par les OIV repose sur la soutenabilit financi re technique et organisationnelle des me
89. puis une entr e en vigueur aux tats Unis le 1 janvier 2007 Elle t moigne de la volont f d rative des 18 Juillet 2015 Cycle S curit des usages num riques LA LOI DE PROGRAMMATION MILITAIRE APPLIQU E LA CYBERS CURIT Travaux de la 5 promotion 2014 2015 du Cycle S curit des usages num riques tats de combattre la criminalit en ligne m me s il convient de remarquer qu une majorit d entre eux reste l chelle plan taire l cart de cette convention Cybercriminalit et Union europ enne L Union europ enne distinguer du Conseil de l Europe a quant elle abond dans le sens de la pr sidence fran aise Cette derni re souhaitait mettre en place une plateforme europ enne de lutte contre la cybercriminalit h berg e par EUROPOL et capable de traiter le signalement des infractions commises via Internet compris en mati re de p dopornographie Le Conseil Justice et affaires int rieures r uni Bruxelles les 24 et 25 juillet 2008 a rapidement valid la proposition fran aise Ce n est que pr s de quatre ans plus tard que la Commission europ enne a d cid de relancer le projet tout en l tayant En effet le 28 mars 2012 elle proposa d riger un Centre europ en de lutte contre la cybercriminalit rattach EUROPOL et v ritable centre n vralgique de la lutte contre la criminalit en ligne au sein de l Union europ enne Ce Centre
90. rier 2006 Article L 1332 5 Le plan de protection tabli dans les conditions pr vues l article L 1332 4 l autorit administrative met par arr t s les chefs d tablissements ou d entreprises en demeure de le r aliser dans le d lai qu elle fixe NOTA Loi 2005 1550 du 12 d cembre 2005 art 3 Les dispositions du pr sent article produisent effet compter de l entr e en vigueur des dispositions r glementaires d signant l autorit administrative comp tente Cette autorit a t d sign e par le d cret n 2006 212 du 23 f vrier 2006 publi au JORF du 24 f vrier 2006 Article L 1332 6 Les arr t s de mise en demeure pr vus aux articles L 1332 4 et L 1332 5 fixent un d lai qui ne peut tre inf rieur un mois et qui est d termin en tenant compte des conditions de fonctionnement de l op rateur et des travaux ex cuter Les arr t s concernant les entreprises nationales ou faisant appel au concours financier de l tat sont transmis au ministre de tutelle et au ministre de l conomie et des finances qui sont imm diatement inform s des difficult s susceptibles de se produire dans l application de l arr t NOTA Loi 2005 1550 du 12 d cembre 2005 art 3 Les dispositions du pr sent article produisent effet compter de l entr e en vigueur des dispositions r glementaires d signant l autorit administrative comp tente Cette autorit a t d sign e par le d cret n 2006 212 du 23 f vr
91. rmation et le centre d valuation peuvent chacun demander assister au d roulement d une prestation de service effectu e par le prestataire Art 12 l Agence nationale de la s curit des syst mes d information veille la bonne ex cution des travaux d valuation Le centre d valuation l informe sans d lai de toute difficult l agence peut tout moment demander assister ces travaux ou obtenir des informations sur leur d roulement Elle peut galement demander au centre de compl ter son valuation Art 13 Au terme de l valuation le centre d valuation remet un rapport au prestataire et l Agence nationale de la s curit des syst mes d information Lorsqu elle a r alis l valuation l agence remet un rapport d valuation au prestataire Le rapport d valuation est un document confidentiel susceptible de contenir des informations dont la r v lation est r prim e par les dispositions de l article 226 13 du code p nal Il est le cas ch ant couvert par le secret de la d fense nationale Art 14 Au vu du rapport d valuation et le cas ch ant des conclusions d une enqu te administrative sur le prestataire men e en application de l article 1114 1 du Code de la s curit int rieure l Agence nationale de la s curit des syst mes d information propose au Premier ministre de qualifier ou non le prestataire Lorsqu il d cide de qualifier le prestataire le Premier ministre lui
92. rs et la nature des communications ainsi que les modalit s de compensation le cas ch ant des surco ts identifiables et sp cifiques des prestations assur es ce titre la demande de l tat par les op rateurs IV Pour les besoins de la facturation et du paiement des prestations de communications lectroniques les op rateurs peuvent jusqu la fin de la p riode au cours de laquelle la facture peut tre l galement contest e ou des poursuites engag es pour en obtenir le paiement utiliser conserver et le cas ch ant transmettre des tiers concern s directement par la facturation ou le recouvrement les cat gories de donn es techniques qui sont d termin es dans les limites fix es par le VI selon l activit des op rateurs et la nature de la communication par d cret en Conseil d tat pris apr s avis de la Commission nationale de l informatique et des libert s Les op rateurs peuvent en outre r aliser un traitement des donn es relatives au trafic en vue de commercialiser leurs propres services de communications lectroniques ou de fournir des services valeur ajout e si les abonn s consentent express ment et pour une dur e d termin e Cette dur e ne peut en aucun cas tre sup rieure la p riode n cessaire pour la fourniture ou la commercialisation de ces services Ils peuvent galement conserver certaines donn es en vue d assurer la s curit de leurs r seaux V San
93. rtance vitale concern s notifie aux op rateurs d importance vitale sa d cision d imposer un contr le pr vu l article L 1332 6 3 Il pr cise les objectifs et le p rim tre du contr le et fixe le d lai dans lequel le contr le est r alis Il pr cise en fonction de la nature des op rations mener si ce contr le est effectu par l Agence nationale de la s curit des syst mes d information par un autre service de l tat ou par un prestataire de service qualifi Dans ce dernier cas l op rateur choisit le prestataire sur la liste pr vue l article R 1332 41 16 Le Premier ministre ne peut imposer un op rateur plus d un contr le par ann e civile d un m me syst me d information sauf si les syst mes d information de cet op rateur sont affect s par un incident de s curit ou si des vuln rabilit s ou des manquements aux r gles de s curit ont t constat s lors d un contr le pr c dent subi par l op rateur Art R 1332 41 13 l op rateur d importance vitale fournit au service de l tat ou au prestataire de service charg du contr le 1 Les informations n cessaires pour valuer la s curit de ses syst mes d information notamment la documentation technique des quipements et des logiciels utilis s dans ses syst mes ainsi que les codes sources de ces logiciels 2 Les moyens n cessaires pour acc der ses syst mes d information et l ensemble de leurs composants afin
94. s notamment son article 21 Vu le d cret n 97 1184 du 19 d cembre 1997 modifi pris pour l application au Premier ministre du 1 de l article 2 du d cret n 97 34 du 15 janvier 1997 relatif la d concentration des d cisions administratives individuelles Vu le d cret n 2002 535 du 18 avril 2002 modifi relatif l valuation et la certification de la s curit offerte par les produits et les syst mes des technologies de l information Vu le d cret n 2009 834 du 7 juillet 2009 modifi portant cr ation d un service comp tence nationale d nomm Agence nationale de la s curit des syst mes d information Le Conseil d tat section de l administration entendu 56 Juillet 2015 Cycle S curit des usages num riques LA LOI DE PROGRAMMATION MILITAIRE APPLIQU E LA CYBERS CURIT Travaux de la 5 promotion 2014 2015 du Cycle S curit des usages num riques D cr te Dispositions g n rales Art 1 est institu une proc dure de qualification des produits de s curit et des prestataires de service de confiance pour les besoins de la s curit nationale Au sens du pr sent d cret on entend par 1 Produit de s curit tout dispositif mat riel ou logiciel mettant en uvre des fonctions qui contribuent la s curit des syst mes d information 2 Prestataire de service de confiance toute personne fournissant
95. s d cisions y compris celles relatives aux affaires pour lesquelles il a lui m me re u d l gation Il l article 3 du d cret du 7 juillet 2009 susvis est modifi comme suit 1 Au troisi me alin a la deuxi me phrase est remplac e par la phrase suivante En cette qualit elle propose au Premier ministre les mesures destin es r pondre aux crises affectant ou mena ant la s curit des syst mes d information des autorit s publiques et des op rateurs d importance vitale et elle coordonne dans le cadre des orientations fix es par le Premier ministre l action gouvernementale en mati re de d fense des syst mes d information gt 29 Les septi me et huiti me alin as sont compl t s par les mots et des op rateurs d importance vitale 54 Juillet 2015 Cycle S curit des usages num riques LA LOI DE PROGRAMMATION MILITAIRE APPLIQU E LA CYBERS CURIT Travaux de la 5 promotion 2014 2015 du Cycle S curit des usages num riques Ill Le second alin a de l article 8 du m me d cret est supprim er IV Les articles 1 et 3 du d cret du 7 juillet 2009 susvis dans leur r daction r sultant des et Il du pr sent article peuvent tre modifi s par d cret Art 4 Sous l intitul S curit et d fense nationale du point 2 de l annexe au d cret du 19 d cembre 1997 susvis il est ajout dans le tableau relatif au code de la
96. s d lais dans lesquels les op rateurs d importance vitale mettent en uvre des syst mes de d tection des v nements susceptibles d affecter la s curit de leurs syst mes d information d importance vitale Elles d terminent galement le type de syst me de d tection utilis Art R 1332 41 4 Lorsque l op rateur d importance vitale est une administration de l tat le Premier ministre apr s avis des ministres coordonnateurs des secteurs d activit s d importance vitale concern s d cide en fonction des risques particuliers encourus par les syst mes d information en cause si les syst mes de d tection sont exploit s par l Agence nationale de la s curit des syst mes d information par un autre service de l tat ou par un prestataire de service qualifi Dans les autres cas les syst mes de d tection sont exploit s exclusivement par un prestataire de service qualif Lorsque les syst mes de d tection sont exploit s par un prestataire de service qualifi l op rateur choisit le prestataire sur la liste pr vue l article R 1332 41 9 Art R 1332 41 5 l op rateur d importance vitale conclut une convention avec le service de l tat ou le prestataire de service charg d exploiter les syst mes de d tection Cette convention pr cise 1 Les syst mes d information de l op rateur qui font l objet du service de d tection 2 Les fonctionnalit s du service de d tection
97. s moyens juridiques et ou financiers l tat se dotetil pour s assurer que les prestataires de service qualifi s en mati re de s curit de syst mes d information ou fournisseurs de solutions techniques qualifi es ne passent pas sous le contr le d entreprise trang re Il faut savoir que l OIV ne pourra pas avoir de recours juridique si l un de ses employ s lance une attaque d lib r e contre un autre OIV et que les organismes d tat r pondent l attaque en d truisant son syst me d information Une bulle conomique Aujourd hui il est beaucoup trop t t pour mesurer l impact global sur l cosyst me de la cyber s curit fran aise En effet d autres l ments devraient tre pris en consid ration dans ses divers programmes conomiques l tat veut il s engager soutenir et d velopper ce secteur Sous quelle forme En favorisant des petites structures certes agiles mais fragiles Ou plut t des gros porteurs de type Bull Orange Thales etc 2 Il n est pas possible de pr dire si ce d veloppement sera perceptible ou s il transformera rapidement et durablement le visage de la cyberindustrie fran aise Une bonne partie de la r ponse repose sur le volume des SIIV identifi s par les OIV On le per oit la prise en charge par les industriels de l int gralit des co ts de mise en place des r gles et dispositifs associ s la LPM compris les audits de contr le incite ces industriels la modestie
98. s par le Premier ministre Les qualifications des syst mes de d tection et des prestataires de service exploitant ces syst mes sont d livr es par le Premier ministre Article L 1332 6 2 Cr par LOI n 2013 1168 du 18 d cembre 2013 art 22 Les op rateurs mentionn s aux articles L 1332 1 et L 1332 2 informent sans d lai le Premier ministre des incidents affectant le fonctionnement ou la s curit des syst mes d information mentionn s au premier alin a de l article L 1332 6 1 Article L 1332 6 3 Cr par LOI n 2013 1168 du 18 d cembre 2013 art 22 la demande du Premier ministre les op rateurs mentionn s aux articles L 1332 1 et L 1332 2 soumettent leurs syst mes d information des contr les destin s v rifier le niveau de s curit et le respect des r gles de s curit pr vues l article L1332 6 1 Les contr les sont effectu s par l autorit nationale de s curit des syst mes d information ou par des services de l tat d sign s par le Premier ministre ou par des prestataires de service qualifi s par ce dernier Le co t des contr les est la charge de l op rateur Article L 1332 6 4 Cr par LOI n 2013 1168 du 18 d cembre 2013 art 22 Pour r pondre aux crises majeures mena ant ou affectant la s curit des syst mes d information le Premier ministre peut d cider des mesures que les op rateurs mentionn s aux articles L 1332 1 et L 1332 2 doivent mettre en uvre Article L
99. s pr judice des dispositions du IIl et du IV et sous r serve des n cessit s des enqu tes judiciaires les donn es permettant de localiser l quipement terminal de l utilisateur ne peuvent ni tre utilis es pendant la communication des fins autres que son acheminement ni tre conserv es et trait es apr s l ach vement de la communication que moyennant le consentement de l abonn d ment inform des cat gories de donn es en cause de la dur e du traitement de ses fins et du fait que ces donn es seront ou non transmises des fournisseurs de services tiers L abonn peut 46 Juillet 2015 Cycle S curit des usages num riques LA LOI DE PROGRAMMATION MILITAIRE APPLIQU E LA CYBERS CURIT Travaux de la 5 promotion 2014 2015 du Cycle S curit des usages num riques retirer tout moment et gratuitement hormis les co ts li s la transmission du retrait son consentement l utilisateur peut suspendre le consentement donn par un moyen simple et gratuit hormis les co ts li s la transmission de cette suspension Tout appel destin un service d urgence vaut consentement de l utilisateur jusqu l aboutissement de l op ration de secours qu il d clenche et seulement pour en permettre la r alisation Les donn es conserv es et trait es dans les conditions d finies aux IIl IV et V portent exclusivement sur l identification des personnes utilisatrices des services
100. s proc dures de qualification des produits de s curit et des prestataires de service de confiance pour les besoins de la s curit nationale Entr e en vigueur le d cret est entr en vigueur le lendemain de sa publication Notice le d cret d finit les proc dures de qualification des produits de s curit et des prestataires de service de confiance pour les besoins de la s curit nationale d finit galement la proc dure d agr ment des centres charg s d valuer les services de confiance dans le cadre de la proc dure de qualification des prestataires Les d cisions de qualification et d agr ment sont prises par le Premier ministre l issue d une valuation ou d un audit selon le cas Le d cret permet notamment de qualifier les syst mes de d tection et les prestataires de service mentionn s aux articles L 1332 6 1 et L 1332 6 3 du code de la d fense R f rences le d cret peut tre consult sur le site L gifrance htto www legifrance gouv fr Le Premier ministre Vu le code de la consommation notamment son article L 115 28 Vu le code de la d fense notamment ses articles L 1332 6 1 L 1332 6 3 1 2321 1 et R 2311 1 et suivants Vu le code p nal notamment ses articles 226 13 et 4139 Vu le code de la s curit int rieure notamment ses articles L 114 1 et R 114 2 Vu la loi n 2000 321 du 12 avril 2000 modifi e relative aux droits des citoyens dans leurs relations avec les administration
101. sures et r gles qui seront pr cis es dans les arr t s sectoriels En d autres termes elles doivent tre conomiquement et organisationnellement supportables pour pouvoir tre adopt es par les entreprises En effet il est rappel dans la loi que les mesures seront la charge des entreprises tant pour leur mise en uvre que dans leur contr le par les services de l tat Un certain nombre d OIV sont d j assujettis des r glementations et donc des obligations ou contraintes plus anciennes li es par exemple l industrie nucl aire l industrie de l armement au secteur bancaire etc Souvent les mesures prises pour se conformer ces r glementations r pondent aux exigences de la LPM Les arr t s sectoriels n ajouteront pas une surcouche d obligations si l existant est consid r comme suffisant au regard des exigences de la LPM Planning de mise en uvre La a t vot e le 18 d cembre 2013 Les d crets d application associ s ont t sign s le 27 mars 2015 D cret n 2015 351 du 27 mars 2015 relatif la s curit des syst mes d information des op rateurs d importance vitale et pris pour l application de la section 2 du chapitre Il du titre 11 du livre de la premi re partie de la partie l gislative du Code de la d fense annexe 5 D cret n 2015 350 du 27 mars 2015 relatif la qualification des produits de s curit et des prestataires de service de confia
102. syst mes d information labore et propose au Premier ministre les r gles de s curit pr vues l article L 1332 6 1 Ces r gles sont tablies par arr t du Premier ministre pris apr s avis des ministres coordonnateurs des secteurs d activit s d importance vitale concern s Lorsque l arr t n est pas publi il est notifi aux personnes ayant besoin d en conna tre Les arr t s mentionn s au premier alin a peuvent pr voir des r gles de s curit diff rentes selon le secteur ou le type d activit de l op rateur Ils fixent les d lais dans lesquels les op rateurs d importance vitale sont tenus d appliquer les r gles de s curit Ces d lais peuvent tre diff rents selon les r gles de s curit le type de syst mes d information concern s ou la date de mise en service de ces syst mes Art 1332 41 2 Chaque op rateur d importance vitale tablit et tient jour la liste des syst mes d information mentionn s l article 1 1332 6 1 y compris ceux des op rateurs tiers qui participent ces syst mes auxquels s appliquent les r gles de s curit pr vues au m me article Les syst mes d information figurant sur la liste mentionn e au premier alin a sont d nomm s syst mes d information d importance vitale La liste est tablie selon des modalit s fix es par arr t du Premier ministre pris apr s avis des ministres coordonnateurs des secteurs d activit s d importance v
103. t et prestataires de service mentionn s aux articles 1 1332 6 1 et L1332 6 3 du m me code Objet conditions et limites dans lesquelles s appliquent les dispositions relatives la s curit des syst mes d information des op rateurs d importance vitale pr vues aux articles L 1332 6 1 et suivants du code de la d fense Entr e en vigueur le d cret est entr en vigueur le lendemain de sa publication Notice le d cret pr cise les conditions et limites dans lesquelles sont fix es les r gles de s curit n cessaires la protection des syst mes d information des Son op rateurs d importance vitale mis en uvre les syst mes de d tection d v nements affectant la s curit de ces syst mes d information son d in son SOn cha Son d clar s les incidents affectant la s curit ou le fonctionnement de ces syst mes ormation contr l s ces syst mes d information qualifi s les syst mes de d tection d v nements et les prestataires de service rg s de leur exploitation ou du contr le des syst mes d information propos es les mesures pour r pondre aux crises majeures mena ant ou affectant la s curit des syst mes d information R f rences le Code de la d fense modifi par le pr sent d cret peut tre consult dans sa r daction issue de ceite modification sur le site L gifrance http www legifrance gouv fr INHES Juillet 2015
104. t les r gles de base concernant le d roulement des enqu tes sur les r seaux et instaure une proc dure de coop ration internationale Elle nonce aussi une liste d infractions informatiques scind e en quatre grandes cat gories les infractions informatiques falsification et fraude informatiques les infractions li es l atteinte la propri t intellectuelle et aux droits connexes e les infractions relatives aux contenus actes de production diffusion possession de pornographie enfantine etc e les infractions contre la confidentialit l int grit et la disponibilit des donn es et syst mes acc s ill gal interception ill gale atteinte l int grit des donn es Enfin elle d termine des r gles concernant la comp tence juridictionnelle d sormais chaque pays signataire est juridiquement comp tent lorsque l infraction est commise sur son territoire ou que l un de ses ressortissants en est l auteur lorsque l infraction ne rel ve de la comp tence territoriale d aucun autre tat Le texte du Conseil de l Europe est compl t par un protocole additionnel relatif l incrimination d actes de nature raciste et x nophobe commis par le biais des syst mes informatiques du 28 janvier 2003 ratifi par la France en m me temps que la Convention par la loi du 19 mai 2005 Cette convention a finalement connu un rayonnement plus large que celui purement europ en avec notamment une adh sion
105. t sont applicables sur l ensemble du territoire de la R publique Art 26 Les dispositions du pr sent d cret peuvent tre modifi es par d cret l exception de l article 7 du premier et du deuxi me alin a de l article 14 du second alin a de l article 15 du premier et du deuxi me alin a de l article 19 du second alin a de l article 20 de l article 21 et de l article 22 Art 27 Le ministre de l Int rieur et la ministre des Outre mer sont charg s chacun en ce qui le concerne de l ex cution du pr sent d cret qui sera publi au Journal officiel de la R publique fran aise Fait le 27 mars 2015 Par le Premier ministre MANUEL VALLS Le ministre de l Int rieur BERNARD CAZENEUVE La ministre des Outre mer GEORGE PAU LANGEVIN INHES Juillet 2015 Cycle S curit des usages num riques 61
106. t un ou plusieurs tablissements installations et ouvrages sont d sign s en application du pr sent chapitre r alisent pour chacun d eux les mesures de protection pr vues un plan particulier de protection dress par l op rateur et approuv par l autorit administrative Ces mesures comportent notamment des dispositions efficaces de surveillance d alarme et de protection mat rielle En cas de non approbation du plan et de d saccord persistant la d cision est prise par l autorit administrative Loi 2005 1550 du 12 d cembre 2005 art 3 Les dispositions du pr sent article produisent effet compter de l entr e en vigueur des dispositions r glementaires d signant l autorit administrative comp tente Cette autorit administrative a t d sign e par le d cret n 2006 212 du 23 f vrier 2006 publi au JORF du 24 f vrier 2006 Article L 1332 4 En cas de refus des op rateurs de pr parer leur plan particulier de protection l autorit administrative met par arr t s les chefs d tablissements ou d entreprises assujettis en demeure de l tablir dans le d lai qu elle fixe NOTA Loi 2005 1550 du 12 d cembre 2005 art 3 Les dispositions du pr sent article produisent effet compter de l entr e en vigueur des dispositions r glementaires d signant l autorit administrative comp tente Cette autorit a t d sign e par le d cret n 2006 212 du 23 f vrier 2006 publi au JORF du 24 f v
107. tes les organisations concern es ne sont pas au m me niveau de maturit Si pour les plus matures les facteurs de r ussite sont importants pour les autres la marche gravir risque d tre tr s trop haute tant en mati re technique que de pratiques d entreprises La r silience des infrastructures une obligation La continuit des services critiques de la Nation passe forc ment par la refonte des infrastructures et socles techniques qui ce jour sont rarement en tat de supporter la r silience exig e vers des architectures SI s curis es par design Les plans d am lioration devront tre d ploy s selon trois axes les dispositions pr vention visant cr er les conditions de conception des syst mes pour r duire la survenue du probl me respect des bonnes pratiques protection des syst mes contre les malveillances supervision des infrastructures mles dispositions de pr vision visant se doter et positionner en anticipation des moyens propres limiter les cons quences d une attaque ou d un sinistre syst mes de d tection dispositif de retardement d fense en profondeur dispositifs de confinement le dispositif de r action visant disposer des moyens et comp tences pour mettre en uvre les mesures de protection qualifier circonscrire et instruire les incidents SSI et ventuellement de g rer une crise SSI dans une approche transverse d entreprise INHES Juillet 2
108. teurs d importance vitale des obligations en mati re de s curisation de leur r seau de qualification de leurs syst mes de d tection d information sur les attaques qu ils peuvent subir et de soumission des contr les de leur niveau de s curit informatique ou de l application des r gles dict es Des sanctions p nales des amendes des poursuites sont pr vues par le projet de loi en cas de non respect de INHES Juillet 2015 Cycle S curit des usages num riques 11 LA LOI DE PROGRAMMATION MILITAIRE APPLIQU E LA CYBERS CURIT Travaux de la 5 promotion 2014 2015 du Cycle S curit des usages num riques ces obligations Les acteurs p rim tre Les acteurs et le p rim tre d application propos s par la LPM sont repr sent s de fa on globale dans le sch ma ci dessous MINISTERES D fense Int rieur Affaires trang res conomie Budget Industrie Hauts fonctionnaires de d fense et de s curit HFDS Les premiers secteurs d activit qui ont t r pertori s sont au nombre de douze l volution de la loi pour 2015 est en train de faire voluer ce premier recensement Secteurs tatiques gt activit s civiles de l tat gt activit s militaires de l tat gt activit s judiciaires gt espace et recherche Secteurs de la protection des citoyens gt sant gt gestion de l eau gt alimentation Secteurs de la vie conomiq
109. tien en condition de s curit a Imposer la pratique de patch management et de maintien en condition de s curit m D montrer une politique de suivi des vuln rabilit s et de leur traitement correctifs pour tout l ment hard ou soft d un SIIV GESTION DES INCIDENTS DE CYBERS CURIT o D tection a D finir d une politique de d tection et de r action Installer des sondes de d tection d l ments suspects du SI fichiers cl s de registre protocoles record DNS etc Recourir un prestataire de d tection des incidents qualifi par l ANSSI sur chaque interconnexion des SIIV 22 Juillet 2015 Cycle S curit des usages num riques LA LOI DE PROGRAMMATION MILITAIRE APPLIQU E LA CYBERS CURIT Travaux de la 5 promotion 2014 2015 du Cycle S curit des usages num riques Journalisation Int grer tr s en amont d s la conception des exigences de journalisation Formaliser et communiquer les directives de journalisation Mietre en place une journalisation m D montrer une politique de journdlisation mois mini sur services applicatifs r seaux syst me quipements de s curit postes d administration et ing nieur maintenance pour les SI industriels Installer param trer et personnaliser les outils d analyse et de corr lation de journaux SIEM Traitement Recourir un prestataire de r ponse aux incidents qualifi p
110. tionale Analyse des impacts de la LPM sur l industrie Dans sa pr sentation de l article 22 de la LPM le Directeur l ANSSI ne cachait pas son v u de voir sa mise en uvre avoir des effets collat raux long terme D une part sur l extension du p rim tre d application des r gles au del des SIIV identifi s dans l entreprise une part plus large de ses SI qui ne sont pas n cessairement qualifi s de Vitaux ou critiques et ce par la simple extension de la bonne pratique D autre part favoriser le d veloppement d une industrie p renne de solutions techniques et de services souverains dans le domaine de la cyber s curit Impacts organisationnels technologiques financiers la mise en uvre de l article 22 de la a pour objectif associ d organiser l industrie des services et des produits de s curit par le simple fait d appliquer le principe nonc dans la loi Ces syst mes de d tection sont exploit s sur le territoire national par des prestataires de service qualifi s en mati re de s curit de syst mes d information par l Autorit nationale de s curit des syst mes d information ou par d autres services de l tat d sign s par le Premier ministre On peut penser que compte tenu de l offre actuelle de solutions techniques dans l ensemble du dispositif de protection des SIIV apparaisse une r gle qui impose l insertion dans cette cha ne d au moins un l ment de confiance souverai
111. titu d activit s concourant un m me objectif qui ont trait la production et la distribution de biens ou de services indispensables la satisfaction des besoins essentiels pour la vie des populations ou l exercice de l autorit de l tat ou au fonctionnement de l conomie ou au maintien du potentiel de d fense ou la s curit de la Nation d s lors que ces activit s sont difficilement substituables ou rempla ables ou qui peuvent pr senter un danger grave pour la population S curit des syst mes d information SSI la s curit des syst mes d information a pour objet de contrer ces menaces par des mesures proportionn es aux risques pouvant peser sur la confidentialit de l information son int grit sa disponibilit la possibilit d en authentifier la source et de la signer 36 Juillet 2015 Cycle S curit des usages num riques LA LOI DE PROGRAMMATION MILITAIRE APPLIQU E LA CYBERS CURIT Travaux de la 5 promotion 2014 2015 du Cycle S curit des usages num riques Syst me d information SI ensemble d entit s logiciels mat riels r seaux locaux organisation personnels organis pour accomplir des fonctions de traitement d informations Vuln rabilit propension d un milieu d un bien ou d une personne subir des cons quences dommageables la suite d un v nement Elle ne produit pas n cessairement de dommage par elle
112. uction par suite d un acte de malveillance de sabotage ou de terrorisme risquerait directement ou indirectement d ob rer gravement le potentiel de guerre ou conomique la s curit ou la capacit de survie de la Nation ou de mettre gravement en cause la sant ou la vie de la population Cette notion de PIV l ment essentiel de l organisation de la DNS puisque li l organisation physique ne l est pas dans la LPM SIIV Syst me d information d importance vitale est l l ment principal du dispositif d fini par la LPM Les SIIV participent un processus vital de l op rateur Un processus est appel processus vital lorsqu au moins une des activit s le composant est n cessaire la r alisation d une des missions vitales notili es l op rateur Cette notion de processus vital n est pas un l ment identifi dans la DNS ni dans la Elle a t rajout e dans un but d explication Un syst me d information d importance vitale est un SI pour lequel l atteinte la s curit ou au fonctionnement risquerait de diminuer d une fa on importante le potentiel de guerre ou conomique ou la capacit de survie de la Nation cf article L1332 6 1 du Code de la d fense nationale ainsi que les 51 pour lesquels l atteinte la s curit pourrait pr senter un danger grave pour la population cf article L 1332 2 du Code de la d fense national Seront d finis comme SIIV parmi les
113. ue de l tablissement HFDS Haut fonctionnaire de d fense et de s curit Infrastructure critique europ enne ICE infrastructure critique situ e dans les tats membres de l Union europ enne dont l arr t ou la destruction aurait un impact consid rable sur deux tats membres au moins Installation prioritaire de d fense installation autour de laquelle t d limit le pr sident de la R publique en conseil de d fense un secteur de s curit et dont la s curit doit tre assur e en priorit et en tout temps Une aire sp ciale de surveillance 55 est par ailleurs d finie par le pr fet autour de chaque IPD d finition de l ASS plus haut Les autorit s militaires auxquelles incombe l ex cution de la d fense op rationnelle du territoire ont pour mission en tout temps de participer la protection des installations militaires et en priorit de celles de la force nucl aire strat gique4 Les IPD sont concern es par ces mesures INHES Juillet 2015 Cycle S curit des usages num riques 35 LA LOI DE PROGRAMMATION MILITAIRE APPLIQU E LA CYBERS CURIT Travaux de la 5 promotion 2014 2015 du Cycle S curit des usages num riques Menace tout v nement physique ph nom ne ou activit humaine potentiellement pr judiciable susceptible de provoquer des d c s ou des l sions corporelles des d g ts mat riels ou immat riels des perturbat
114. ue et sociale de la Nation gt nergie gt communications lectroniques audiovisuel et information gt transports gt finances gt industrie p rim tre d action de la loi est repr sent par les notions d OIV et SIIV Syst me d information d importance vitale du point de vue d un syst me informatique syst me vid o ou tout syst me de traitement des donn es 12 Juillet 2015 Cycle S curit des usages num riques LA LOI DE PROGRAMMATION MILITAIRE APPLIQU E LA CYBERS CURIT Travaux de la 5 promotion 2014 2015 du Cycle S curit des usages num riques Cartographie d un Op rateur d importance Vitale volution de la loi LPM 2015 Op rateur d importance Vitale Syst me d Importance Vitale r 2 x 2 Z Syst mes informatiques Syst mes vid o y Syst mes Hertziens r N Points d importance Vitale P rim tre d application de la LPM Synoptique g n ral suvi En 2 En Echanges de donn es Syst mes d informatio d importance vitale Un op rateur d importance vitale OIV peut compter plusieurs Points d importance vitale Des Zones g ographiques d importances vitales ZIV comprennent des Points d importances vitales INHESJ
115. un autre tat et de fait l op rateur ne r pondrai plus une des obligations Ces syst mes de d tection sont exploit s sur le territoire national par des prestataires de service qualifi s en mati re de s curit de syst mes d information par l autorit nationale de s curit des syst mes d information ou par d autres services de l tat d sign s par le Premier ministre Enfin le point mentionn ci dessus s applique des Op rateurs d importance Vitale qui ne sont pas n cessairement fran ais I est possible que ceux ci r futent cette obligation de m me que l obligation les op rateurs OIV soumettent leurs syst mes d information des contr les destin s v rifier le niveau de s curit et le respect des r gles de s curit pr vues Les contr les sont effectu s par l Autorit nationale de s curit des syst mes d information ou par des services de l tat d sign s par le Premier ministre ou par des prestataires de service qualifi s par ce dernier est responsable l galement du non respect de r gles impos es l IPM En g n ral la LPM change le p rim tre juridique de l OIV par l adaptation de son syst me juridique dans le cadre de ses relations de gouvernance interne et externe INHES Juillet 2015 Cycle S curit des usages num riques 25 LA LOI DE PROGRAMMATION MILITAIRE APPLIQU E LA CYBERS CURIT Travaux de la 5 promotion 2014 2015 du Cycle S
116. vaux sont effectu s en toute libert gr ce l ind pendance dont les auteurs b n ficient au sein de l Institut l tude ci dessous publi e est un document vocation scientifique qui ne saurait tre interpr t comme une position officielle ou officieuse de l Institut ou des services de l tat Les opinions et recommandations qui sont exprim es sont celles de leurs auteurs Le document est publi sous la responsabilit ditoriale du directeur de l Institut Les tudes ou recherches de l INHESJ sont accessibles sur le site de l INHES Directeur de la publication M Cyrille SCHOTT directeur de l INHESJ Juillet 2015 Cycle S curit des usages num riques LA LOI DE PROGRAMMATION MILITAIRE APPLIQU E LA CYBERS CURIT Travaux de la 5 promotion 2014 2015 du Cycle S curit des usages num riques Guide d impl mentation de la Loi de Programmation Militaire pour les Op rateurs CHUT CALEG Sommaire Ra ne nn 0 oc 5 PR SENTATION ET ANALYSE DE LA LPM 6 CONTEXTE ET HISTORIQUE 6 FOCUS SUR LES ARTICLES AYANT UN IMPACT SUR LA S CURIT DES SYST MES D INFORMATION 8 LES OBJECTIFS LES MOYENS ET LES ACTEURS 4e us ge dune aude na deu dons due ee 10 Les objectifs pau sed de bande digne dede 10 leS MOYENS 11 Les acteurs p rim tre de
117. vues aux articles L 1332 6 1 11332 6 4 l Agence nationale de la s curit des syst mes d information saisit l autorit judiciaire aux fins de poursuite de l auteur du d lit pr vu au troisi me alin a de l article L1332 7 Hormis le cas d un manquement l article L 1332 6 2 cette saisine est pr c d e d une mise en demeure adress e l op rateur par l Agence nationale de la s curit des syst mes d information Art 2 Le Code de la d fense est galement modifi comme suit l A l article R 1332 10 19 La num rotation 79 est remplac e par la num rotation 89 29 Apr s le 69 il est ins r un 7 ainsi r dig 79 Le directeur g n ral de l Agence nationale de la s curit des syst mes d information ou son repr sentant I A l article R 1332 33 apr s les mots l article R 1332 26 sont ins r s les mots ou de toute d cision mentionn e la section 7 bis du pr sent chapitre Art 3 l Le second alin a de l article 1 du d cret du 7 juillet 2009 susvis est remplac par un alin a ainsi r dig l Agence nationale de la s curit des syst mes d information est dirig e un directeur g n ral qui a rang de directeur d administration centrale Le directeur g n ral est comp tent pour agir au nom de l agence Il a qualit pour signer les d cisions relevant de la comp tence de l agence Il peut donner d l gation son adjoint pour signer ce
118. yant r alis le contr le r dige un rapport exposant ses constatations au regard de l objectif du contr le sur le niveau de s curit des syst mes d information contr l s et le respect des r gles de s curit pr vues l article L 1332 6 1 Les vuln rabilit s et les manquements aux r gles de s curit constat s lors du contr le sont indiqu s dans le rapport qui formule le cas ch ant des recommandations pour y rem dier Le rapport est couvert par le secret de la d fense nationale Apr s avoir mis l op rateur en mesure de faire valoir ses observations le service de l tat ou le prestataire remet dans le d lai fix pour la r alisation du contr le le rapport l Agence nationale de la s curit des syst mes d information L Agence nationale de la s curit des syst mes d information peut auditionner dans un d lai de deux mois compter de la remise du rapport le service de l tat ou le prestataire ayant r alis le contr le le cas ch ant en pr sence de l op rateur aux fins d examiner les constatations et les recommandations figurant dans le rapport Elle peut inviter les ministres coordonnateurs des secteurs d activit s d importance vitale concern s assister cette audition l Agence nationale de la s curit des syst mes d information communique aux ministres coor donnateurs des secteurs d activit s d importance vitale concern s les conclusions du contr le Art R 1332 41 16
119. yens techniques et des locaux ad quats pour fournir ses services Lorsque l valuation n cessite des comp tences techniques particuli res dont ne disposent pas les centres d valuation l Agence nationale de la s curit des syst mes d information apporte son concours ces centres En l absence de centre d valuation agr l Agence nationale de la s curit des syst mes d information peut valuer les services du prestataire 58 Juillet 2015 Cycle S curit des usages num riques LA LOI DE PROGRAMMATION MILITAIRE APPLIQU E LA CYBERS CURIT Travaux de la 5 promotion 2014 2015 du Cycle S curit des usages num riques Art 11 Le prestataire choisit un centre d valuation agr sur la liste pr vue l article 19 d termine avec le centre d valuation 1 Les services valuer 2 Les conditions d acc s ses locaux son personnel et ses moyens techniques 3 Les conditions de protection des informations trait es dans le cadre de l valuation 4 Le programme de travail du centre met la disposition de l Agence nationale de la s curit des syst mes d information et du centre d valuation tous les documents n cessaires l valuation Il leur permet d acc der ses locaux et ses moyens techniques et de rencontrer son personnel Dans le cadre de l valuation l Agence nationale de la s curit des syst mes d info
Download Pdf Manuals
Related Search
Related Contents
User guide Manual - Festo SB1000 General Fitment - Cape Parts Distributors Xantrex RS232-XHR User's Manual Sony M-335 User's Manual ASUS U3S6 Owner's Manual Manual DE Franke ALG 654 Copyright © All rights reserved.