Par Stéphane Astier et Hugues Payen
Dans un contexte où le niveau d’exposition de l’ensemble des acteurs publics comme privés au risque cyber ne cesse d’augmenter, (le nombre d’intrusions avérées dans des systèmes d’information signalées à l’ANSSI a augmenté de 37% en 2021), les Opérateurs d’Importances Vitales (OIV) ont une place à part.
Les OIV sont en effet tenus de mettre en place des mesures de sécurité spécifiques afin de protéger leur Système d’Information d’Importance Vitale (SIIV).
La sécurisation des SIIV passe ainsi par la mise en œuvre d’un ensemble normatif qui tend à s’alourdir, notamment suite au règlement DORA qui s’appliquera aux OIV du secteur de la finance d’ici la fin 2022.
Ceci précisé, il est utile de rappeler qu’un ensemble cohérent de règles applicables aux OIV dans le cadre de la gestion des risques cyber existe.
Cet ensemble peut être divisé en quatre catégories :
La gestion des risques liés aux TIC
Chaque OIV est tenue d’identifier et de déclarer ses SIIV selon les critères définis par l’ANSSI, ainsi que les opérateurs tiers qui participent au SIIV. Cette formalité permet d’identifier les systèmes les plus critiques pour lesquels une attaque avérée aurait des conséquences graves pour la Nation.
Doivent également être mises en œuvre une série de règles de sécurité également définies par l’ANSSI ; règles visant à la conservation d’un niveau de sécurité constant et adapté à l’évolution de la menace.
Plus précisément, chaque OIV doit mettre en place les mesures suivantes :
- L’élaboration et la mise en œuvre d’une Politique de Sécurité des Systèmes d’Information (PSSI), selon les critères définis par l’ANSSI, prévoyant notamment des plans de formation et de sensibilisation à la sécurité des systèmes d’information (SSI).
- La mise à disposition de l’ANSSI d’une cartographie de chaque SIIV, pour pouvoir apprécier l’impact d’une compromission et faciliter le traitement des incidents de sécurité.
- Le maintien en condition de sécurité des SIIV, notamment par le suivi et la prise en compte des correctifs de sécurité et la gestion des mises à jour.
- Evaluer chaque SIIV par des indicateurs SSI et transmettre chaque année à l’ANSSI un tableau de bord de suivi de ces indicateurs.
- Utiliser des comptes dédiés à l’administration des SIIV (Séparation entre les flux d’administration et les autres flux).
- La gestion des identités et des accès : identification par des comptes individuels, protection des éléments secrets d’authentification, gestion des autorisations selon le principe du moindre privilège, connaissance des comptes privilégiés et des droits associés.
Il convient de préciser que les OIV du secteur financier doivent mettre en place une gouvernance pour la gestion des risques informatiques autour d’un organe de direction dédié, afin notamment de limiter les éventuelles perturbations causées par des incidents.
OIV : la gestion des risques liés aux tiers
Ces organismes doivent prendre les mesures nécessaires, notamment par voie contractuelle, pour répercuter à leurs prestataires leurs obligations de sécurité sur leurs SIIV ainsi que leurs obligations en matière de protection des données personnelles.
En pratique, il est recommandé de prévoir dans les contrats avec les prestataires tiers :
- Une annexe de sécurité qui répercute les obligations de sécurité imposée par l’ANSSI ;
- Une annexe portant sur le traitement des données (Data processing agreement – DPA).
Les organismes financiers doivent en plus disposer d’un niveau de contrôle et de surveillance suffisant des tiers prestataires de services informatiques et mettre en place une surveillance spécifique des fournisseurs qui sont essentiels pour le marché dans son ensemble.
Plus précisément, avant de conclure avec un tiers prestataire, chaque organisme financier, devra :
- Identifier si celui-ci couvre une fonction critique et évaluer tous les risques pertinents ;
- Vérifier les qualités requises du tiers prestataire tout au long du processus de sélection et d’évaluation ;
- S’assurer qu’il respecte des normes élevées, adéquates et actualisées en matière de sécurité de l’information ;
- Formaliser un registre des fournisseurs et des prestations rendues.
La réalisation de tests de résiliation opérationnelle numérique sur les SIIV
La mise en œuvre de systèmes de détection qualifiés par l’ANSSI ou par un prestataire agréé par l’ANSSI (PDIS) permet en amont de détecter au plus tôt les tentatives d’attaques et pouvoir réagir rapidement en cas de compromission du SIIV, notamment par la mise place :
- D’un système de journalisation pour chaque SIIV, afin d’enregistrer les évènements permettant de détecter des incidents de sécurité;
- De mécanismes de défense en profondeur: le cloisonnement entre les différentes parties du SIIV et vis-à-vis des systèmes extérieurs au SIIV, l’application d’une politique de filtrage pour s’assurer que seuls les flux strictement nécessaires soient utilisés, le contrôle strict des connexions distantes, le durcissement des éléments du SIIV.
Les organismes financiers devront en outre réaliser des tests de résilience numérique, selon leur taille, leur activité et leur profil de risque.
Les organisations les plus critiques (l’Autorité bancaire européenne, l’Autorité européenne des marchés financiers et l’Autorité européenne des assurances et des pensions professionnelles) devront quant à elles réaliser tous les trois ans des tests de pénétration fondés sur la menace par des testeurs indépendants répondant à un certain nombre d’exigences, notamment concernant leur expertise technique.
En plus d’une démarche proactive, les OIV doivent se soumettre à des contrôles de sécurité destinés à vérifier le niveau de sécurité et leur respect des règles de sécurité, par un Prestataire d’Audit de Sécurité des Systèmes d’Information (PASSI) ou directement par l’ANSSI[1].
Enfin, chaque OIV est tenu de mettre en place des mesures spécifiques à la protection des données personnelles, permettant de prévenir toute violation et de réagir de manière appropriée en cas d'incident.
Plus précisément, les mesures suivantes pourront être mises en place :
- La pseudonymisation et le chiffrement des données à caractère personnel ;
- Des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
- Des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ;
- Une procédure visant à tester, analyser et évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
Le partage d’informations entre entités financières
Les organismes financiers sont en outre encouragés à appliquer les lignes directrices sur les modalités de partage des informations prévues par le projet de Règlement DORA pour promouvoir l’échange d’informations sur les cybermenaces entre entités financières.
Ces lignes directrices encadrent notamment la conclusion d’accords de partage d’informations, en incluant des exigences de confidentialité et l’obligation d’informer l’autorité de régulation.
Au regard de l’ensemble de ces obligations et de l’entrée en vigueur prochaine du règlement Dora pour, des mises à jour des politiques interne de gestion des risques cyber seront à prévoir afin de renforcer la protection de ces organismes.
*
* *
Le département cyber sécurité du Cabinet Haas Avocats, Cabinet spécialisé depuis plus de 25 ans en droits des nouvelles technologies et de la communication et en droit de la propriété intellectuelle, se tient à votre disposition pour répondre à vos questions et vous assister dans le pilotage juridique de la gestion des cyber risques. Contactez nous ici.
[1] Article R1332-41-12 du Code de la défense, article L1332-6-3 du Code de la défense