Contraintes par la loi, les entreprises considérées d’importance vitale doivent investir dans leur sécurité. Les fournisseurs adaptent leur offre pour répondre à ces nouvelles exigences.
Si les réseaux informatiques des grandes banques, des opérateurs de télécommunications, des aéroports, d’EDF, de la SNCF… étaient victimes d’une cyberattaque, les conséquences pour la France pourraient être dramatiques. Des villes plongées dans l’obscurité, des services d’urgence impossibles à joindre, des avions cloués au sol, une activité économique au ralenti… Bref, le pays serait paralysé, ses citoyens en danger. L’État surveille donc tout particulièrement ces entreprises classées opérateurs d’importance vitale (OIV).
"Dans le domaine du renseignement, on constate plusieurs attaques sérieuses par an. Dans certains cas, des attaquants sont entrés au cœur des systèmes les plus sensibles pour subtiliser des informations précieuses, techniques ou commerciales. Si nous n’avons pas constaté d’attaques visant à détruire des systèmes informatiques industriels, ce n’est pas pour autant que nous n’en aurons pas demain, car cette situation est technologiquement mature. L’objectif est d’anticiper", explique Guillaume Poupard, le directeur général de l’Agence nationale de la sécurité des systèmes d’information (Anssi).
Les nouvelles obligations des Oiv
La loi de programmation militaire adoptée en décembre 2013 impose aux OIV de nouvelles obligations en matière de cybersécurité. Les décrets et arrêtés précisant les modalités techniques à déployer et les périmètres à protéger sont en cours de publication. L’agence de cybersécurité se verra confier de nouveaux pouvoirs : en cas de menace grave, elle pourra prendre le contrôle du système d’information attaqué et le déconnecter de tout réseau.
Du côté des entreprises, l’adoption de la loi a poussé la prise de conscience du cyber-risque au plus haut niveau. "Avant, nous prêchions dans le désert auprès de nos directions générales. Aujourd’hui, elles nous écoutent et nous demandent même d’accélérer pour nous mettre en conformité avec la loi. Des projets d’investissements longtemps bloqués ressortent. C’est la peur du gendarme", explique un responsable de sécurité informatique. Grâce aux groupes de travail pilotés par l’Anssi depuis plus d’un an, les opérateurs d’importance vitale savent un peu mieux à quoi s’attendre. L’exemple d’un OIV investissant une centaine de millions d’euros par an pour sa cybersécurité est un cas extrême, souligne l’Anssi.
L’agence évoque des obligations réalistes et soutenables tant sur le plan technique que financier. Toutefois, les expérimentations grandeur nature ont montré que ce n’était pas aussi simple. La SNCF, qui a joué les cobayes, a pu observer qu’elle comptait une quarantaine de systèmes pouvant être considérés comme vitaux. L’opérateur ferroviaire est tombé sur de mauvaises surprises. "Certaines exigences sont impossibles à mettre en œuvre, à moins de refaire complètement un système qui nous a coûté plusieurs centaines de millions d’euros", indique un responsable de la sécurité informatique. Un test utile pour l’agence qui devra adapter ses recommandations à la réalité du terrain.
Qu’est-ce qu’une fonction vitale ?
La loi prévoit que les investissements seront à la charge des entreprises. La facture dépendra bien évidemment du nombre de machines à protéger. "En fonction du périmètre retenu, les investissements peuvent passer du simple au quintuple. La question n’est pas aussi simple qu’il n’y paraît. D’abord parce que les intérêts vitaux de l’État ne se confondent pas toujours avec les intérêts économiques de l’entreprise !", précise Gérôme Billois, membre du Club de la sécurité de l’information français (Clusif). Typiquement, si la base de données clients d’un OIV est attaquée, cela ne remet pas en cause sa capacité à fournir le service.
Les discussions, parfois musclées, entre l’Agence nationale de la sécurité des systèmes d’information et les OIV, démontrent que le retour à certains fondamentaux, comme la définition même de ce qu’est une fonction vitale, secteur d’activité par secteur d’activité, est nécessaire. Pour les opérateurs télécoms, si la téléphonie est considérée comme telle, qu’en est-il de l’accès internet ? Concernant la SNCF, l’information aux voyageurs entre-t-elle spécifiquement dans ce cadre ? "En diffusant de fausses informations, un pirate pourrait faire descendre sur les voies les passagers mal informés et en colère", fait remarquer une partie prenante aux débats.
Ce nouveau cadre réglementaire ravit les fournisseurs de solutions de cybersécurité. Thales, Orange, Airbus Defence & Space, Atos… comptent bien tirer profit des nouvelles obligations d’investissements imposées à leurs grands clients. "En deux ou trois ans, le nombre d’appels d’offres a doublé", reconnaît un acteur majeur de la cybersécurité. Impossible toutefois de mesurer "l’effet OIV" sur les ventes à venir, si ce n’est confirmer qu’il dopera un marché déjà bien portant. Selon le cabinet d’études Pierre Audoin Consultants (PAC), les entreprises ont dépensé en 2013 plus d’un milliard d’euros en produits (pare-feu, antivirus…) et autres services de cybersécurité. Soit une croissance de 10 % en moyenne par rapport à l’année précédente. Dans cette nouvelle bataille, les fournisseurs français ont une carte à jouer.
Technologies de confiance
La loi entend favoriser l’émergence de technologies dites de confiance, c’est-à-dire françaises, voire européennes. La plupart des fournisseurs ont déjà dans leurs cartons une "offre spéciale OIV" qu’ils présenteront au prochain Forum international de la cybersécurité (FIC), à Lille, les 20 et 21 janvier prochains. Thales et Airbus Cybersecurity développent à marche forcée des sondes dites souveraines. Ces équipements remonteront à l’Anssi toute activité anormale sur les réseaux des OIV. "Nous maîtrisons toutes les lignes de code du produit", explique Cyril Autant, le directeur du secteur sécurité IT & spatial de Thales.
Des acteurs plus modestes tentent également leur chance. La PME rennaise Amossys dévoilera, au FIC, un logiciel qui permet aux OIV de cartographier l’ensemble de leur informatique et d’identifier tous les flux de données qui y circulent. "Notre logiciel est totalement passif vis-à-vis des autres équipements. Il ne gêne pas le fonctionnement du réseau", souligne l’un des fondateurs d’Amossys, Christophe Dupas.
L’opérateur Orange, à la lutte avec IBM et Capgemini sur le marché des services, se montre perplexe quant à la possibilité de se reposer uniquement sur des technologies franco-francaises. "Nous ne croyons pas aux produits souverains, mais aux services souverains", explique Michel Van Den Berghe, le directeur d’Orange Cyberdefense. Un coup d’œil sur les dix plus gros vendeurs de logiciels de sécurité en France tend à lui donner raison : aucun acteur français n’y figure. Symantec (États-Unis), Checkpoint (Israël), Kaspersky (Russie), HP (États-Unis), Intel (États-Unis), Trend Micro (Japon) trustent les premières places.
L’opérateur a néanmoins trouvé la parade pour satisfaire aux exigences de l’Anssi, en faisant appel à un produit américain sensible, capable de scanner toutes les vulnérabilités d’un OIV ! "Nous avons pris toutes les précautions nécessaires. L’équipement est hébergé dans nos installations, pilotées par nos équipes. En aucun cas, les données collectées peuvent s’échapper hors de France", assure-t-il. On ne demande qu’à le croire !
Hassan Meddah
Source