Les FAI et hébergeurs seront associés dans un groupe de travail à la définition des "systèmes d'information d'importance vitale" pour lesquels ils devront accepter la prise en main de leur sécurité par l'Etat, via des audits très poussés et des obligations d'installation de produits de sécurisation.

Lundi, Numerama rapportait qu'un nouveau décret publié dimanche par le Gouvernement ferait obligation aux "opérateurs d'importance vitale", dont les fournisseurs d'accès à internet et certains hébergeurs, de livrer à l'Etat "la documentation technique des équipements et des logiciels utilisés dans ses systèmes ainsi que les codes sources de ces logiciels", et "les moyens nécessaires pour accéder à ses systèmes d'information et à l'ensemble de leurs composants afin de permettre au service de l'Etat ou au prestataire de réaliser des analyses sur les systèmes, notamment des relevés d'informations technique".

Le dispositif vise à s'assurer que les infrastructures essentielles aux intérêts stratégiques et vitaux de l'Etat puissent résister à des attaques, mais certains redoutent que les informations techniques glanées, qui seront transmises à plusieurs ministères, puissent aussi être utilisées par les services de renseignement.

Le texte s'appuie sur la loi de programmation militaire de 2013 qui a modifié le code de la défense pour disposer que "à la demande du Premier ministre, les opérateurs publics ou privés exploitant des établissements ou utilisant des installations et ouvrages, dont l'indisponibilité risquerait de diminuer d'une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la nation, soumettent leurs systèmes d'information à des contrôles destinés à vérifier le niveau de sécurité et le respect des règles de sécurité prévues".

DES RÈGLES "EFFICACES, ADAPTÉES ET SOUTENABLES"

Ce mardi matin, l'Agence nationale de sécurité des systèmes d'information (ANSSI) qui joue un rôle central dans le dispositif a précisé que "les critères permettant aux opérateurs d’identifier les systèmes d’information soumis à ce nouveau dispositif, les règles de sécurité informatique qui s’y appliqueront et les modalités de déclaration des incidents les affectant seront fixés par des arrêtés sectoriels". Et que compte tenu de la diversité et de la complexité des environnements visés, l'agence avait décider de "mener les travaux de préparation de ces arrêtés en étroite concertation avec l’ensemble des acteurs concernés".

Ainsi les FAI et hébergeurs les plus importants seront associés dans un groupe de travail "communications électroniques", qui aura pour but de définir "des règles de sécurité à la fois efficaces du point de vue de l’accroissement de la cybersécurité, adaptées aux spécificités des divers métiers et soutenables humainement et financièrement par les opérateurs d’importance vitale".

Une fois l'arrêté publié, ce seront aux opérateurs de dresser eux-mêmes à partir des critères retenus la liste de leurs "systèmes d'information d'importance vitale", qu'ils devront soumettre à audits et à l'obligation de mettre en oeuvre les mesures de sécurisation prescrites.

L'ANSSI prévoit une publication des arrêtés "courant 2015", le délai pouvant être plus ou moins long selon les résistances éventuellement exprimées dans les groupes de travail.

Partager sur les réseaux sociaux

Articles liés