Le Gouvernement a fait paraître au Journal Officiel le décret qui permettra à Matignon d'imposer aux FAI et à d'autres entreprises "d'importance stratégique" l'installation de produits de sécurité ayant obtenu une qualification conforme aux prescriptions de l'Etat.

Lire en complément sur le même sujet : Les FAI devront livrer à l'Etat toutes les infos sur leurs réseaux

Le Premier ministre Manuel Valls, le ministre de l'intérieur Bernard Cazeneuve, et la ministre de l'outre-mer George Pau-Langevin, on fait publier dimanche au Journal Officiel un "décret n° 2015-350 du 27 mars 2015 relatif à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité nationale". Il est le pendant, pour la sécurisation des installations privées dites "d'importance vitale", de la réglementation qui existait déà pour les achats de services et de produits dans les administrations.

Le code de la défense dispose en effet à son article L1332-6-1 que "le Premier ministre fixe les règles de sécurité nécessaires à la protection des systèmes d'information des opérateurs" publics ou privés "utilisant des installations et ouvrages, dont l'indisponibilité risquerait de diminuer d'une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la nation". Parmi ces derniers figurent les réseaux des opérateurs télécoms et les serveurs des principaux hébergeurs.

Depuis la loi de programmation militaire du 18 décembre 2013, les entreprises privées concernées ont l'obligation si ça leur est demandé de mettre en oeuvre à leurs frais "des systèmes qualifiés de détection des événements susceptibles d'affecter la sécurité de leurs systèmes d'information". Le décret publié dimanche vise donc à fixer les règles de qualification des "produits de sécurité" qui seront imposés aux opérateurs, et de qualification des prestataires de service amenés à concevoir ces produits, ou à en vérifier la conformité aux prescriptions de l'Agence nationale de sécurité des systèmes d'information (ANSSI).

Selon un autre décret n° 2015-351 du 27 mars 2015, le Premier ministre établit sur proposition de l'ANSSI les "règles de sécurité" à suivre, et cette dernière "peut demander aux services de l'Etat et aux prestataires de service chargés d'exploiter les systèmes de détection d'utiliser dans ces systèmes des données techniques qu'elle leur fournit".

ACCÈS AU CODE SOURCE OBLIGATOIRE

Les fonctions d'un produit qualifié devront notamment être "cohérentes avec les objectifs de sécurité qu'il vise à satisfaire", lesquels sont "définis de manière pertinente au regard des menaces pesant sur la sécurité des systèmes d'information".

Le décret impose par ailleurs que l'ANSSI et les centres d'évaluation agréés aient accès "sans restriction" lors de l'audit et lors de l'exploitation au code source des solutions mises en oeuvre, ainsi qu'à la documentation et au matériel avec lequel ils seront exécutés.

En principe l'audit est réalisé par un centre agréé, mais l'ANSSI pourra s'y substituer s'il n'existe aucun centre agréé, ou "lorsque l'évaluation de certaines fonctions de sécurité nécessite des compétences techniques particulières dont ne disposent pas les centres d'évaluation".

Enfin, le texte réglementaire précise que les rapports d'évaluation des systèmes de sécurité sont "des documents confidentiels susceptibles de contenir des informations dont la révélation est réprimée" par un an de prison et 15 000 euros d'amende. Pour des raisons évidentes de protection de la sécurité, les moyens installés relèvent du secret-défense.


Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.