Les règles de sécurité sont à la fois organisationnelles et techniques. Elles doivent, pour la plupart, être déjà appliquées par l’ensemble des opérateurs pour sécuriser efficacement leurs systèmes d’information d’importance vitale. Ces règles de sécurité s’appliquent notamment aux SIIV opérés par les sous-traitants.
Retrouvez ci-dessous une présentation synthétique et générique des règles de sécurité.
POLITIQUE DE SÉCURITÉ DES SYSTÈMES D’INFORMATION
Objectifs :
- Porter les enjeux SSI au plus haut niveau de l’entité.
- Encourager l’opérateur à définir une stratégie SSI.
Elaboration et mise en œuvre d’une PSSI élaborée selon les critères définis par l’ANSSI, prévoyant notamment des plans de formation et de sensibilisation à la SSI.
Ressources : Guide d’élaboration de PSSI, norme ISO 27001, PSSIE
HOMOLOGATION DE SÉCURITÉ
Objectifs
- Identifier les risques portant sur les SIIV et les mesures adaptées pour les couvrir.
- Accepter formellement les risques résiduels, au niveau de responsabilité suffisant.
Homologation obligatoire pour chaque SIIV, prononcée par l’opérateur, incluant un audit réalisé selon les critères définis par l’ANSSI.
Ressources :
Guide « L’homologation de sécurité en neuf étapes
simples », référentiel PASSI
CARTOGRAPHIE
Objectifs
- Pouvoir apprécier l’impact d’une compromission.
- Faciliter le traitement des incidents de sécurité.
- Pouvoir qualifier et attribuer des signalements remontés par des partenaires de l’ANSSI.
Tenue à disposition de l’ANSSI d’une cartographie de chaque SIIV.
MAINTIEN EN CONDITIONS DE SÉCURITÉ
Objectifs
- S’assurer que les SIIV conservent un niveau de sécurité constant, adapté à l’évolution de la menace.
Suivi et prise en compte des correctifs de sécurité.
Gestion des mises à jour des SIIV.
JOURNALISATION
Objectifs
- Enregistrer les évènements permettant de détecter des incidents de sécurité.
- Pouvoir réaliser des investigations a posteriori en cas d’incident.
- Pouvoir réaliser des recherches de compromission.
Mise en place d’un système de journalisation pour chaque SIIV.
Ressources :
Note technique Prérequis à la mise en œuvre d’un système de
journalisation
DÉTECTION
Objectifs
- Détecter au plus tôt les tentatives d’attaque.
- Pouvoir réagir rapidement en cas de compromission.
Mise en œuvre d’un système de corrélation et d’analyse des journaux, exploité en s’appuyant sur les exigences du référentiel PDIS.
Mise en œuvre de systèmes de détection qualifiées opérées par l’ANSSI, d’autres services de l’Etat ou des prestataires qualifiés, positionnées de manière à pouvoir analyser les flux échangés entre les SIIV et les autres systèmes.
Ressources :
Référentiel PDIS
Sonde réseau de détection des incidents de sécurité –
Cible de sécurité
TRAITEMENT DES INCIDENTS DE SÉCURITÉ
Objectifs
- Assurer la gestion et la supervision des incidents.
- Mettre en place les ressources adaptées à l’analyse et au traitement de ces incidents.
Mise en place d’une organisation de gestion des incidents de sécurité informatique.
Traitement des incidents de sécurité en s’appuyant sur les exigences du référentiel PRIS.
Ressources :
référentiel PRIS
TRAITEMENT DES ALERTES
Objectifs
- Informer au plus vite l’opérateur d’un risque de compromission sur ses SIIV.
- Pouvoir activer rapidement des mesures de réaction en vue de limiter le périmètre de compromission et les impacts.
Communication à l’ANSSI d’un point de contact fonctionnel pouvant prendre connaissance à toute heure des signalements de l’ANSSI.
GESTION DE CRISES
Objectifs
- Préparer l’opérateur à activer les mesures de crise décidées par le Premier ministre.
Mise en œuvre d’une procédure de gestion de crise en cas d’attaques informatiques majeures.
GESTION DES IDENTITÉS ET DES ACCÈS
Objectifs
- Limiter l’exposition des SIIV aux attaques et aux erreurs de manipulation.
- Assurer la traçabilité des accès aux ressources des SIIV.
Identification par comptes individuels.
Protection des éléments secrets d’authentification.
Gestion des autorisations selon le principe du moindre privilège.
Connaissance des comptes privilégiés et des droits associés.
Ressources :
Note technique Sécurité des mots de passe
ADMINISTRATION
Objectifs
- Prévenir les attaques pouvant conduire à une prise de contrôle totale et furtive du SIIV.
Utilisation de comptes dédiés à l’administration pour l’administration des SIIV.
Mise en place de ressources matérielles et logicielles dédiées aux opérations d’administration.
Séparation entre les flux d’administration et les autres flux.
Ressources :
Note technique Sécuriser l’administration des SI
DÉFENSE EN PROFONDEUR
Objectifs
- Empêcher, a minima, ralentir toute attaque.
- Décourager les attaquants par l’investissement à consacrer pour mener une attaque.
Cloisonnement entre les différentes parties du SIIV et vis-à-vis des systèmes extérieurs au SIIV.
Application d’une politique de filtrage pour s’assurer que seuls les flux strictement nécessaires sont utilisés.
Contrôle strict des connexions distantes.
Durcissement des éléments du SIIV.
Ressources :
Ensemble des notes techniques, Guide des bonnes pratique
INDICATEURS
Objectifs
- Mieux évaluer le degré d’exposition des SIIV aux attaques informatiques.
- Affiner la stratégie de protection des opérateurs de chaque secteur.
Evaluation pour chaque SIIV d’indicateurs SSI et transmission annuelle à l’ANSSI d’un tableau de bord de suivi de ces indicateurs.
Protection des OIV en France
Face à l’augmentation en quantité et en sophistication des attaques informatiques, et à leurs impacts potentiellement destructeurs, l’ANSSI a pour mission d’accompagner les opérateurs d’importance vitale (OIV) dans la sécurisation de leurs systèmes d’information sensibles.
La cybersécurité des OIV s’intègre dans le dispositif interministériel plus large de sécurité des activités d’importance vitale (SAIV) inscrit dans le code de la défense. Ces activités sont réparties par secteur d’activité rattaché à un ministère coordonnateur. Interlocuteur privilégié pour l’ensemble des enjeux « métier », le ministère est chargé d’apporter son expertise sur le secteur d’activité dont il a la charge.
Ce dispositif a permis d’identifier les opérateurs d’importance vitale (OIV), privés et publics, qui exploitent ou utilisent des installations jugées indispensables pour la survie de la Nation.
Pour faire face aux nouvelles menaces cyber, l’article 22 de la loi de programmation militaire (loi n° 2013-1168 du 18 décembre 2013), qui fait suite aux préconisations du Livre blanc sur la défense et la sécurité nationale de 2013 rajoute une pierre à l’édifice en imposant aux OIV le renforcement de la sécurité des systèmes d’information critiques qu’ils exploitent : les systèmes d’information d’importance vitale (SIIV).
Cette sécurisation passe notamment par l’application d’un certain nombre de règles de sécurité. La France est le premier pays à être passé par la réglementation pour mettre en place un dispositif efficace et obligatoire de cybersécurité de ces infrastructures critiques.