OIV et PDIS : tout ce qu’il faut savoir

Sébastien Roncin, chef de produit chez Orange Cyberdefense, apporte son analyse sur les questions clés liées aux OIV et leur mise en conformité. Focus.

Partager l’article :

Un OIV est une organisation, de statut privé ou public, considérée par l’Etat comme étant indispensable au bon fonctionnement de la Nation. Les entités dont l’activité peut s’avérer dangereuse pour la population en cas d’incident grave en font également partie.

L’Etat français a désigné pour la première fois ses opérateurs d’importance vitale (OIV) en décembre 1958. En février 2006, ces derniers ont été structurés en 12 secteurs :

• la santé ;
• les transports ;
• la gestion de l’eau ;
• l’industrie ;
• l’énergie ;
• les finances ;
• les communications ;
• les activités militaires ;
• les activités civiles de l’Etat ;
• l’activité judiciaire ;
• l’alimentation ;
• l’espace et la recherche.

Si, au départ, leurs obligations ne concernaient que la sécurité physique, la Loi de Programmation Militaire (LPM) a ajouté en 2014 un volet cybersécurité. Ainsi, les premières règles imposées aux systèmes d’information de ces OIV (SI d’importance vitale, SIIV) ont été rédigées par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) et ont été publiées en 2016.

Les OIV doivent répondre à 20 règles, pouvant être classées en 5 thématiques : la gouvernance, la maîtrise des risques, la maîtrise des SI, la gestion des incidents de sécurité, la protection des systèmes.

Parmi les obligations majeures, on trouve :

• la nomination d’un référent LPM, interlocuteur privilégié de l’ANSSI et point de contact disponible à tout moment ;
• l’identification des points d’importance vitale (PIV) ;
• l’élaboration du plan de sécurité d’opérateur et la transmission de celui-ci, accompagné de la liste des PIV proposés ;
• la demande des habilitations des délégués pour la défense et la sécurité des PIV ;
• l’élaboration de plans particuliers de protection des PIV désignés (et la transmission aux autorités pour approbation)
• la mise en œuvre des plans particuliers de protection approuvés.

La commission zonale de défense et de sécurité peut, à son initiative, sur demande d’un ministre coordonnateur ou du préfet de département concerné, contrôler les mesures prises pour la sécurité des PIV de l’OIV.

Le contrôle du PIV peut conduire à :

• la révision du plan particulier de protection ;
• la mise en demeure de l’opérateur d’importance vitale dans un délai compris entre un et trois mois ;
• la saisine d’une autorité judiciaire.

Pour les OIV, il est obligatoire qu’une partie de leur SI, considérée comme d’importance vitale, réponde aux exigences de sécurité de la LPM. Comme énoncé plus haut, cette partie du SI s’appelle un SIIV (un système d’information d’importance vitale).

Pour identifier les incidents impactant leur SIIV, les OIV doivent disposer d’un SOC (Security Operation Center). Pour rappel, un SOC est un dispositif de surveillance qui permet de détecter des incidents informatiques.

Les OIV ont le choix de monter leur propre SOC ou de déléguer cette tâche à des fournisseurs de cybersécurité. Dans les deux cas, le SOC doit répondre aux exigences du référentiel PDIS (prestataires de détection des incidents de sécurité).

Avant de répondre à cette question, il faut ajouter une précision. Un OIV peut avoir plusieurs SOC. En effet, puisqu’une seule partie du SI est soumise à la réglementation LPM, un OIV dispose de deux choix :

• n’avoir qu’un seul SOC, qui surveille l’ensemble du SI (SIIV compris).
• mettre en place deux SOC : l’un pour son SIIV, l’autre pour le reste du SI.

La plupart des OIV choisissent la deuxième option pour une raison simple : les règles applicables aux SIIV demeurent extrêmement contraignantes. Appliquées à l’ensemble du SI, elles alourdissent les processus et restreignent l’accès à certaines informations. Par exemple, un SOC unique répondant aux exigences de la qualification PDIS – on parle souvent de « SOC PDIS » – ne permet pas l’accès à la zone de corrélation ou oblige le SOC PDIS à fonctionner en autonomie complète.

Pour mettre en place un SOC PDIS, les OIV doivent être experts dans le domaine de cyberdéfense et ainsi disposer des ressources nécessaires, qu’elles soient humaines, techniques ou financières. Par conséquent, cette réalisation est parfaitement faisable dans certaines entreprises très matures sur les questions de cybersécurité et suffisamment grandes pour se permettre d’investir financièrement. Pour les autres OIV, l’accompagnement d’un fournisseur de cybersécurité qualifié PDIS semble indispensable.

La qualification PDIS repose sur 400 critères d’éligibilité portant sur l’identification et la qualification des incidents, le recueil et le stockage des informations ainsi que la gestion des notifications. Les OIV montant leur propre SOC PDIS, comme les fournisseurs de cybersécurité souhaitant proposer leurs services aux autres OIV, doivent être capables, entre autres, de :

• lister les incidents redoutés et mesurer leurs impacts ;
• mettre en œuvre une stratégie d’analyse ;
• créer des règles de détection ;
• réaliser une échelle de gravité associée aux incidents redoutés ;
• être en capacité de créer un ticket pour chaque incident ;
• être en mesure de procéder à une analyse sur l’ensemble des évènements stockés sur les six derniers mois ;
• pouvoir transmettre, une fois par mois a minima, un bulletin d’état des règles de filtrage ;
• mettre en place un plan de contrôle, correspondant à un programme d’audits sur trois ans. Ces audits portent sur la configuration des serveurs et des réseaux mais la qualification PDIS exige aussi la mise en place de tests d’intrusion centrés sur les interconnexions.
• mettre en œuvre un plan de sauvegarde des systèmes, des configurations et des données ;
• tester ce plan de sauvegarde a minima une fois par an ;
• être en mesure de mettre en place un plan de réversibilité.

Tout ceci dans un environnement de confiance tant au niveau physique que logique mais également organisationnel. Enfin, cela doit être documenté pour démontrer que les rôles et responsabilités de chacun des intervenants sont clairs.

La qualification PDIS demeure en effet un processus très lourd. C’est un gage de compétences organisationnelles, techniques mais aussi humaines. Les infrastructures, les procédés mais aussi les experts sont audités.

Les exigences de la LPM (et donc celles du référentiel PDIS) sont les mêmes pour une multinationale que pour une PME (petite et moyenne entreprise). Ainsi, pour les entités de plus petite taille, un accompagnement est fortement conseillé dans leur mise en conformité par un fournisseur qualifié de cybersécurité.

Ces derniers pourront proposer des offres industrialisées, adaptées aux problématiques de petits SIIV et ainsi faire baisser le montant total de l’investissement.

Les premiers arrêtés sectoriels pour la mise en application de la LPM ayant été publiés en 2016, certains OIV n’ont pas attendu les premiers qualifiés PDIS pour entamer leur mise en conformité.

En outre, pour répondre à la question du volume, il faut se rappeler que si trois fournisseurs de cybersécurité ont été qualifiés PDIS en janvier dernier, six autres sont officiellement en attente de qualification. Le nombre de prestataires qualifiés sera potentiellement plus élevé, car l’ANSSI ne révèle que le nom des acteurs ayant effectué la démarche officielle de demande de qualification.

Enfin, la date butoir de mise en conformité des OIV n’est pas communiquée, sauf aux OIV elles-mêmes, parce que celle-ci reste confidentielle pour chacun des secteurs et communiquée par le responsable de secteur de l’ANSSI. On peut cependant imaginer que les OIV auront un délai (sans doute 2 à 3 ans à partir de la date de qualification des premiers prestataires PDIS en janvier dernier) pour se mettre en conformité avec le référentiel.

L’ANSSI fonctionne par étapes. Elle a d’abord identifié des qualifiés PASSI (prestataires d’audit de la sécurité des systèmes d’information). En ce début 2019, elle commence à labelliser des PDIS. Ensuite, elle qualifiera des PRIS : des prestataires de réponse aux incidents de sécurité. Les fournisseurs de cybersécurité sont nombreux à proposer des services de réaction aux incidents : il ne faut pas attendre que des fournisseurs soient qualifiés PRIS pour faire appel à ce type de prestataire.