Post Image

[21-05-2019] cyber-sécurité OIV Opérateur d’Importance Vitale ? Pour comprendre aujourd’hui les obligations de cyber-sécurité qui s’imposent à un nombre de plus en plus important d’opérateurs économiques en France,  il faut se replonger dans les textes…

Je vous propose une  étude en trois parties qui nous conduira depuis la loi du 12 décembre 2005 « modifiant diverses dispositions relatives à la défense«  sur les Opérateurs d’Importance Vitale jusqu’à la Loi de Programmation Militaire du 13  juillet 2018, entrée en vigueur le 1er janvier 2019 avec le décret n°2018-1136 du 13 décembre 2018.

Pour comprendre l’intérêt de cette législation sur les OIV (une liste non publique d’environ 300 acteurs économiques privés ou publics, d’importance nationale) et réaliser l’importance de ces nouvelles lois qui concernent la cyber-sécurité, je vous propose d’abord un petit parcours historique rapide entre 2005 et 2019. Vous verrez comment, en 15 ans, la menace a radicalement évolué…

Je tiens à remercier Sébastien  Le Foll des éditions Delcourt pour son autorisation d’utiliser les très remarquables 4 tomes des  « Souvenirs de la Grande Armée« . Les cavaliers du 2° Régiment de chasseurs à cheval étaient tout à fait désignés pour illustrer cette série de présentations juridico-informatico-militaires. Avec une dédicace spéciale à mon Confrère Philippe D., grand spécialiste du droit des sociétés et du souvenir napoléonien qui a réussit à me trainer jusqu’à Fontainebleau en ce mois d’avril 2019 pour assister à une superbe reconstitution en uniforme de l’époque du Petit Caporal (que le reste de l’Europe avait baptisé « l’Ogre », ce qui est moins flatteur pour l’ego national…).


cyber-sécurité OIV-opérateur d’importance vitale : la protection des infrastructures (physiques) essentielles

Vous vous souvenez du 11 septembre 2001 ? Imaginez en France une attaque contre une infrastructure physique essentielle (une usine d’épuration des eaux, un barrage, un aéroport, une centrale nucléaire, etc.)… C’est la raison d’être de la loi n°2005-1550 du 12 décembre 2005 « modifiant diverses dispositions relatives à la défense« . Dès 2005, l’impératif est bien d’abord militaire. Cette loi est d’ailleurs intégrée dans le Code de la défense.


cyber-sécurité-OIV-opérateur d’importance vitale : pourquoi protéger les infrastructures informatiques essentielles ?

Nous n’insisterons pas trop sur la partie « infrastructure physique » pour nous concentrer dans ce bref rappel historique sur la montée de la menace cyber. Le premier Etat victime d’une cyber-attaque en règle ? L’Estonie en 2007.

 

cyber-sécurité OIV-opérateur d’importance vitale : la guerre cyber a commencé en 2010 ?

Fin 2009/début 2010, un virus répondant au doux nom de « STUXnet » provoque l’arrêt d’une partie du programme iranien de développement de l’arme nucléaire. Rien qu’un virus…. apparemment extrêmement sophistiqué…


cyber-sécurité OIV-opérateur d’importance vitale : la France et la LPM du 2013

Première législation adoptée pour obliger les OIV à sécuriser spécifiquement leur système d’information « vital » : bienvenue aux « Systèmes d’Information d’Importance Vitale » ! Ce sera l’objet de l’Acte II de notre étude à suivre la semaine prochaine.


cyber-sécurité OIV-opérateur d’importance vitale : la menace cyber plus grave que celle du terrorisme ?

Ce n’est pas moi qui joue les Cassandre, c’est le Department of Defence des Etats-Unis. Depuis 2015.


cyber-sécurité OIV-opérateur d’importance vitale : les chiffres qui font peur en 2016

Oui, le Japon est un pays parmi les plus connectés au monde… Oui, je sais,  toutes ces attaques ne sont pas le fait de malfaisants cachés derrière leur clavier… Il n’empêche que le chiffre fait frémir.


cyber-sécurité OIV-opérateur d’importance vitale : ainsi commencent les obligations de sécurisation des systèmes d’information

L’année 2016 commence avec l’adoption du RGPD et son obligation de sécurisation des traitements de données à caractère personnelles (adoption le 27 avril 2016). Le constat est simple : les attaqués sont négligents dans la sécurisation de leur SI ? Et bien, il faut punir les négligents !!!


Même année, toujours en provenance de l’Union Européenne, la Directive « Network Information Security System » (6 juillet 2016). Les opérateurs visés ne sont plus « d’importance vitale » mais « de Service Essentiel« . Comme les OIV, ils sont désignés par décret…


cyber-sécurité OIV-opérateur d’importance vitale : 26 février 2018 la loi Sécurité des Réseaux et Systèmes d’Information

la loi « S.R.S.I. » du 26 février 2018 ? C’est la transposition en France de la Directive N.I.S. avec sa cohorte de décrets, d’arrêtés, etc.


cyber-sécurité OIV-opérateur d’importance vitale : la LPM du 13 juillet 2018 pour les années 2019 à 2025

La LPM adoptée en juillet 2018 sera l’objet de l’acte III de notre étude… Nous y reviendrons avec beaucoup de détails tant cette loi est difficile à  manipuler avec ces concepts nouveaux de « marqueurs techniques » et de « menace / évènement susceptible d’affecter la sécurité des systèmes d’information« . La LPM 2018 met à jour plusieurs dispositions de la précédente LPM de 2013 principalement en matière de lutte contre les cyber-attaques.


cyber-sécurité OIV-opérateur d’importance vitale : des capacités cyber OFFENSIVES ???

Nous terminerons ce bref rappel historique par la déclaration officielle de Mme Florence Parly,  Ministre de la défense, le 18 janvier 2019. C’est une évolution majeure de la doctrine militaire française en matière cyber. Si vis pacem, para bellum


cyber-sécurité OIV-opérateur d’importance vitale : reprenons notre histoire depuis 2005


cyber-sécurité OIV-opérateur d’importance vitale : les critères identifiant les OIV


cyber-sécurité OIV-opérateur d’importance vitale : les « capacités de survie de la Nation »

Notez bien le « de façon importante », cette partie de la définition des OIV sera supprimée de la définition de la réponse que la France se réserve le droit d’apporter en cas de cyber attaque.


cyber-sécurité OIV-opérateur d’importance vitale : les 12 secteurs d’importance vitale (sans surprise)


cyber-sécurité OIV-opérateur d’importance vitale : la liste des OIV n’est pas publique…


Evidemment, la désignation en qualité d’OIV entraine des coûts… qui sont tous à la charge de l’OIV, c’est explicitement prévu dans la loi de 2005 (et le principe n’est – bien évidemment – pas négociable).

Pour plus de détails sur les obligations « physiques » des OIV, je vous invite vous référer à ma précédente présentation sur le sujet (mal) intitulée « systèmes d’informations d’importance vitale« .

A venir, une nouvelle  présentation (toujours avec les « Souvenirs de la Grande Armée« )  qui portera spécifiquement sur les systèmes d’informations d’importance vitale… L’acte III portera sur la réponse aux cyber-attaques dans les LPM de 2013 et 2018.


cyber-sécurité OIV-opérateur d’importance vitale : la présentation complète en BD dans le slider ci-dessous

Suivant
confidentialité secrets d’affaires et non disclosure agreement [Directive UE n°2016/1148 et loi du 30 juillet 2018]