Incident de sécurité, crise cyber : quelles obligations pour les OIV ?

Par Stéphane Astier et Hugues Payen 

Nul besoin dans le contexte actuel de rappeler le niveau d’exposition de l’ensemble des acteurs publics comme privés au risque cyber. Les OIV (Opérateurs d’Importance Vitale) sont ici en première ligne et font l’objet d’attentions particulières de la part des autorités administratives comme du législateur.

Evaluer les risques, identifier le niveau d’exposition du Système d’Information d’Importance Vitale (SIIV) aux dangers cyber, accroitre sa visibilité et ses capacités de résilience, échanger des informations sur les cybermenaces sont autant d’obligations essentielles à la charge des OIV au niveau de la prévention de ce type de risque.

Pour autant, au-delà de cette logique préventive, chaque OIV doit également se montrer réactif que ce soit en cas d’incident ou en cas de compromission d’un SIIV, en appliquant rapidement la procédure de gestion de crise fixée par l’ANSSI.

Obligation 1 : Informer l’ANSSI de tout incident de sécurité « affectant la sécurité ou le fonctionnement » du SIIV^[1] 

Les OIV sont tenus de notifier l’ANSSI, dès qu’ils en ont connaissance, de tous les incidents de sécurité qui affectent leur SIIV, par l’intermédiaire d’un formulaire de déclaration d’incident.

Cette notification permet à l’ANSSI de :

• Proposer selon les cas, une assistance adaptée ;
• Evaluer la menace au plus vite et de manière plus précise ;
• Partager ces informations avec les OIV du même secteur, afin de renforcer leur résilience opérationnelle numérique ;
• Organiser une réponse collective aux attaques informatiques majeures.

Obligation 2 : Communiquer à l’ANSSI un point de contact fonctionnel pouvant prendre connaissance à toute heure des signalements de l’ANSSI^[2]

Dans le cadre du traitement des alertes en matière de cybersécurité, chaque organisme est tenu d’indiquer à l’ANSSI un point de contact pour être informé « à tout moment et sans délai »[3] d’un risque de compromission sur ses SIIV (notamment en cas d’attaque d’une OIV du même secteur) pour pouvoir activer rapidement des mesures de réaction en vue de limiter le périmètre de compromission et leur impact.

Obligation 3 : Pour les OIV du secteur financier - notifier les incidents informatiques selon un processus harmonisé et centralisé^[4]

Le projet de règlement DORA met en place au profit des organismes financiers un dispositif de signalement harmonisé des incidents auprès d’un guichet unique et selon une méthodologie standard de classification des incidents par des critères spécifiques, tels que :

• Le nombre d’utilisateurs ou de contreparties financières touchés ;
• La durée de l’incident ;
• La répartition géographique des zones touchées ;
• La perte de données occasionnée ;
• La gravité des effets de l’incident et la criticité des services touchés ;
• L’impact économique de l’incident.

Selon cette méthodologie, les incidents désignés comme majeurs devront être signalés à l’autorité de régulation, au plus tard à la fin du jour ouvrable de leur survenance, selon un modèle précis. 

Un rapport de suivi devra également être fourni à l’autorité de régulation dans la semaine puis dans le mois suivant la notification de l’incident.

Obligation 4 : Notifier à la CNIL tout incident entrainant une violation de données personnelles^[5]

En tant que responsable de traitement et pour éviter qu’une violation de données personnelles cause des dommages ou des préjudices aux organismes comme aux personnes concernées, chaque OIV est tenu d’informer la CNIL de tout incident ayant entrainé une violation de données personnelles.

Plus précisément l’OIV concernée sera tenue dans cette hypothèse de :

• Documenter en interne la violation de données personnelles (la nature et les effets de la violation et les mesures mises en place pour y remédier) ;
• Notifier les violations présentant un risque pour les droits et libertés des personnes à la CNIL dans un délai de 72 heures ;
• Informer les personnes concernées lorsque la violation entraine un « risque élevé» pour leurs droits et libertés.

Obligation 5 : Traiter les incidents de sécurité affectant le SIIV concerné

Dans le cadre du traitement de chaque incident de sécurité, chaque OIV est tenu de prendre les mesures techniques et organisationnelles nécessaires et proportionnées pour gérer les risques qui menacent la sécurité des SIIV.

En outre, un système d’information spécifique doit être mis en place pour traiter ces incidents, notamment pour stocker les relevés techniques relatifs aux analyses des incidents. Ce système est cloisonné vis-à-vis du SIIV concerné par l’incident.

Enfin, le traitement des incidents de sécurité devra être réalisé en s’appuyant sur les exigences des référentiels des prestataires de référence d’incidents de sécurité (PRIS) et des prestataires de détection d’incidents de sécurité (PDIS).

Obligation 6 : Respecter les obligations relatives à la gestion d’une crise cyber

Une crise cyber se définit par la déstabilisation immédiate et majeure du fonctionnement courant d’une organisation (arrêt des activités, impossibilité de délivrer des services, pertes financières lourdes, perte d’intégrité majeure) en raison d’une ou de plusieurs actions malveillantes sur ses services et outils numériques.

C’est donc un évènement qui peut avoir un impact fort pour l’OIV et qui ne saurait être traité par les processus de gestion des risques cyber habituels ou dans le cadre du fonctionnement normal de l’organisation, contrairement à un incident de sécurité.

Dans le cadre de la gestion d’une crise cyber, l’OIV est tenu de mettre en œuvre la procédure de gestion de crise fixée par l’ANSSI pour limiter l’impact du sinistre et assurer la résilience des SIIV.

Cette procédure doit prévoir notamment les mesures suivantes :

• Configurer les SIIV de manière à éviter les attaques ou à en limiter les effets.

Cette configuration peut viser notamment à :

• Proscrire l'utilisation de supports de stockage amovibles ou la connexion d'équipements nomades aux systèmes d'information de l'opérateur ;
• Installer une mesure correctrice de sécurité sur un système d'information particulier ;
• Restreindre le routage.
• Mettre en place des règles de filtrage sur les réseaux ou des configurations particulières sur les équipements terminaux.

Les mesures suivantes peuvent être mises en place :

• Effectuer des restrictions d'accès sous forme de listes blanches et de listes noires d'utilisateurs ;
• Bloquer les échanges de fichiers d'un type particulier ;
• Isoler de tout réseau, des sites internet, des applications ou des équipements informatiques de l'OIV en sollicitant le cas échéant l'appui des opérateurs publics de communications électroniques ;
• Isoler du réseau internet les SIIV de l'organisme. Cette mesure impose de déconnecter physiquement ou logiquement les interfaces réseau des systèmes d'information concernés.

Ainsi, au regard de l’ensemble de ces obligations et au regard du contexte actuel, l’organisation d’exercices de gestion de crise cyber n’apparait plus comme une opportunité, mais bien comme une nécessité pour les OIV qui auront tout intérêt à construire une politique de gestion des incidents éprouvée par exemple lors d’exercice de gestion de crise cyber fictive ou de toute autre dispositif de sensibilisation.

*

*          *

Le département cyber sécurité du Cabinet Haas Avocats, Cabinet spécialisé depuis plus de 25 ans en droits des nouvelles technologies et de la communication et en droit de la propriété intellectuelle, se tient à votre disposition pour répondre à vos questions et vous assister dans le pilotage juridique de la gestion des cyber risques. Contactez-nous ici.  

[1] Article R1332-41-10 du Code de la défense

[2] Règle n°9 de l’arrêté du 29 mai 2019

[3] Règle n°9 de l’arrêté du 29 mai 2019

[4] Article 17 du projet de Règlement Dora

[5] Articles 33 et 34 du RGPD