Accueil Protection des OIV : des recettes à appliquer par tous

Protection des OIV : des recettes à appliquer par tous

Les entreprises et administrations soumises à la loi de programmation militaire et à la directive NIS, c’est-à-dire les opérateurs d’importance vitale et de services essentiels, doivent se conformer à des règles de sécurité draconiennes. Des règles qui doivent aussi inspirer toutes les entreprises dans l’amélioration de leurs cyberdéfenses.

 

> Les périmètres de sécurité tels que le définit la loi de programmation militaire de 2014, avec les processus vitaux pour l’opérateur, les plus critiques, qu’il convient d’isoler et protéger tout particulièrement. (Source : MEDDE)

Quelles leçons tirer quand on est une PME, une entreprise de service ou un industriel de la sécurité informatique d’une centrale nucléaire, d’un grand aéroport ou d’une installation militaire ? Si la réglementation pousse les OIV (Opérateur d’importance vitale) et les OSE (Opérateur de services essentiels), une nouvelle classe d’opérateurs apparue avec la directive NIS, à muscler leur cybersécurité, les méthodes et recettes appliquées par ces entreprises et administrations critiques dans le fonctionnement du pays sont transposables à beaucoup d’autres. Benjamin Leroux, directeur marketing de la société de services Advens, souligne : « Dans la liste des OIV ne figurent pas que des opérateurs d’envergure nationale ou des sociétés cotées au CAC 40. On y trouve aussi de nombreuses structures de taille intermédiaire, voire petites. Notre retour d’expérience montre que ces dernières ne sont en général pas suffisamment prêtes à faire face aux risques de cybersécurité. »

Pour sa part, Arnaud Le Men, CEO d’Erium, estime que les capacités réelles des entreprises en termes de cybersécurité ne sont pas toujours à la hauteur des objectifs fixés au RSSI : « La couverture du périmètre de surveillance, rarement exhaustive, se heurte aux contraintes techniques des réseaux et à une généralisation des SaaS et PaaS. En outre, le recours très fréquent à la sous-traitance entrave la mise en œuvre de contrôles d’efficacité par le RSSI. De plus, la mise à jour complexe des scénarios de surveillance face aux attaques (fileless attack, par exemple) freine la rapidité de détection et les volumes d’informations traitées par les moteurs de surveillance génèrent souvent énormément de faux positifs qui diminuent l’acuité des analystes. » Enfin, l’expert souligne les difficultés de recrutement d’analystes de sécurité dont l’expérience n’est pas toujours à la hauteur des enjeux.

Le défi de la mise en conformité

Tout projet de mise en conformité commence par une indispensable phase de diagnostic de l’existant. L’OIV/OSE doit connaître ses faiblesses, identifier ses écarts vis-à-vis de la réglementation. « C’est une étape simple et accessible. Elle permet d’avoir les idées claires pour la suite » argumente Benjamin Leroux qui estime qu’après ce préambule, il convient de mettre en place une stratégie de capitalisation des ressources afin d’aller vers la conformité. « Les solutions en place permettent parfois d’atteindre la cible, moyennant quelques ajustements – et non une refonte totale. Nos retours d’expérience ont permis d’identifier plusieurs solutions technologiques et réponses organisationnelles, prêtes à être activées, pour votre défense en profondeur ou vos homologations ou tout simplement votre démarche de sécurité ou conformité. » Ensuite, il faut travailler sur la durée afin de maintenir et accroître le niveau de sécurité atteint dans une démarche d’amélioration continue.

Toutes les entreprises “classiques” devraient s’inspirer de cette démarche de mise en conformité pour lutter contre les malwares, les fuites de données et les éventuelles attaques ciblées. « Il n’existe pas de différence majeure dans les mesures de sécurité entre le secteur privé et le secteur public » souligne Gérome Billois, Partner au cabinet de conseil Wavestone. « Les systèmes techniques sont souvent les mêmes et les attaquants ne font pas non plus de différence entre les deux. La véritable différence va résider dans la manière d’appliquer ces mesures dans un contexte NIS/LPM. Si les entreprises qui sont sous le joug de la réglementation doivent être particulièrement rigoureuses, notamment dans le contrôle de la mise en œuvre réelle des mesures prises du fait des conséquences potentielles de tout manquement, toutes les autres entreprises peuvent mettre en place des mesures équivalentes. »

En termes de gouvernance, entreprises classiques et OIV partagent les mêmes recettes : analyse de risque, cartographie du SI, mise en place d’une politique de sécurité, suivi d’indicateurs clés, audit. « Ces mesures peuvent être appliquées dans des périmètres jugés critiques, même si ceux-ci ne sont pas soumis à la réglementation. Attention cependant, les appliquer sur l’ensemble du SI peut ne pas avoir de sens, cela amènerait parfois à avoir un niveau de sécurité supérieur au niveau de risque, ce qui reviendrait à gaspiller de l’énergie et potentiellement du budget. » Si les principes de base sont les mêmes, les approches et les solutions peuvent parfois différer. Hormis les OIV, peu d’entreprises pratiquent un cloisonnement “dur” de leurs systèmes avec une isolation physique des serveurs les plus critiques ou la mise en œuvre des passerelles de type data diodes très coûteuses et très contraignantes. Les DSI préfèrent souvent les firewalls ou les WAF bien plus souples d’emploi. Enfin, si les OIV et OSE sont très cordialement invités par l’ANSSI à privilégier les produits, services et prestataires dûment qualifiés par l’organisme d’Etat, la rigueur du processus de qualification est un gage de sérieux pour toutes les entreprises.

> Les grands thèmes regroupant les mesures de sécurité telles que les réglementations LPM et NIS les définissent pour les entreprises et administrations identifiées comme des OIV/OSE.