Your browser does not support JavaScript!

Vincent JOHANET de EDITIONS JOHANET 04 octobre 2016 Paru dans N°394 - à la page 3

Depuis le 1er juillet 2016, les opérateurs d’importance vitale (OIV) qui désignent une liste tenue secrète de 218 entreprises, structures publiques ou parapubliques dont la défaillance pourrait mettre en jeu la sécurité nationale, doivent mettre en œuvre un ensemble de mesures relatives à la sécurisation de leurs systèmes d’information.

Il s’agit de faire face aux cyber-menaces et répondre aux besoins de la sécurité nationale.

On le sait bien : les cyber-risques sont plus importants que jamais. Les attaques se diversifient, se complexifient, se professionnalisent en même temps qu’elles se multiplient, avec des impacts de plus en plus lourds.

Une première série d’arrêtés a été publiée pour plusieurs secteurs d’activités, dont celui de la gestion de l’eau qui figure parmi les 12 secteurs définis d’importance vitale. Les infrastructures de production et de distribution d’eau potable, tout comme les stations de traitement des eaux usées, font en effet partie des OIV : leur dysfonctionnement ou leur indisponibilité, pour une raison ou pour une autre, affecterait gravement un grand, voire un très grand, nombre de personnes...

Cet arrêté daté du 17 juin 2016 (J.O. du 23/06) fixe les règles de sécurité en prenant en compte les spécificités du secteur de l’eau. Il a pour but de sécuriser l’accès et la gestion des systèmes d’information les plus sensibles et décrit les modalités d’application des principales mesures à prendre : identification des systèmes d’information d’importance vitale (SIIV), notification de certains incidents de sécurité, contrôles à mettre en place…etc.

Mais bien au delà de ces obligations, la cybersécurité nous concerne tous, sans exception.

D’abord parce qu’elle touche aux personnes, autant qu’aux systèmes. Les spécialistes considèrent bien souvent que la plus grosse faille, en matière de sécurité numérique, se trouve entre la chaise et la machine. C’est de vous (et de moi) qu’ils parlent ! A raison...

Ensuite, parce que la multiplication des réseaux de communication, des objets connectés, la généralisation de l’interconnexion dans le cadre du développement des “Smart cities”, multiplient les portes d’entrées des systèmes et créent sans cesse de nouvelles failles en ouvrant de nouvelles vulnérabilités.

Il est donc essentiel de maintenir la sécurité des systèmes dans le temps, dans le cadre d’une démarche permanente, sans cesse renouvelée. Cette mise en sécurité doit être méthodique et va bien au-delà des solutions techniques.

Soyons clair : pour beaucoup d’entre nous qui n’étions pas encore entrés dans le vif du sujet, et qui avons trop souvent choisi la facilité à la sécurité, la prise en compte de ces risques constitue un vrai tournant. Il faut désormais changer de comportement, penser et raisonner autrement, former et informer, développer puis systématiser les bonnes pratiques et probablement… dépenser plus.

La France par le biais de l’ANSSI, l’autorité nationale en matière de sécurité et de défense des systèmes d’information, est l’un des tous premiers pays à s’appuyer sur la réglementation pour définir un dispositif de cybersécurité de ces infrastructures critiques indispensables au bon fonctionnement de ses services essentiels.

Il nous incombe désormais de nous emparer du sujet et de mettre en œuvre les règles de sécurité qui s’imposent pour sécuriser les systèmes d’information et les ouvrages associés, et assurer ainsi la sécurité des services.