Cyberdéfense : comment la protection s’organise

Georges Clémenceau affirmait que « La guerre est une chose trop grave pour être confiée à des militaires ». Voici quelques temps déjà que les activités essentielles à la continuité de l’État et de la nation ont été confiées au secteur privé concurrentiel : les télécommunications avec la fin de la DGT (direction générale des télécommunications), les transports routiers fortement déréglementés, le secteur de l’énergie, celui de la finance…Pour ces acteurs, l’efficacité et la rentabilité priment devant les investissements qu’une totale disponibilité exigerait. L’État s’en est récemment rendu compte, et il a lancé une réflexion sur les activités critiques face à une crise d’importance : attaque terroriste, pandémie virale, attaque informatique… Elle a débouché sur le décret n° 2006-212 du 23 février 2006 relatif à la sécurité des activités d’importance vitale (SAIV). Parmi ces secteurs, il en est un transverse qui supporte tous les autres, celui des télécommunications. Sa mise hors service impacterait fortement les banques, la logistique, l’énergie… et toute la nation.C’est pourquoi la protection des circuits d’information fait l’objet d’un chapitre particulier du Livre Blanc de la Défense publié en 2008 qui s’est concrétisé par la création d’une NSA à la Française le 7 juillet dernier : l’agence nationale de la sécurité des systèmes d’information.Les activités d’importance vitale sont réparties sur 12 secteurs dont celui transverse des télécoms. Pour chaque secteur, l’État (au travers du SGDN) détermine les Opérateurs d’Importance Vitale (OIV) et leur notifie leur statut. C’est à la fois une charge aux travers des obligations à remplir, mais aussi une attention bienveillante qui aidera à la continuité des activités en cas de crise. Être client d’un OIV est donc un plus pour sa propre continuité d’activité.Il existe typiquement 3 ou 4 OIV par secteur, soit une cinquantaine au total. Pour chaque secteur, l’État élabore une Directive Nationale de Sécurité (DNS) qu’il communique à chaque OIV. Ce dernier dispose de 2 ans pour se conformer aux exigences de la DNS de son secteur. L’OIV doit commencer par traduire cette DNS dans un Plan de Sécurité Opérateur (PSO). A savoir décliner les principes généraux de la DNS en modalités pratiques visant à assurer la continuité d’activité. L’OIV devra également signaler les Points d’Importance Vitale (PIV), c’est-à-dire les sites opérationnelles critiques pour sa continuité d’activité. Par exemple, le site informatique principal d’une banque nationale. D’une certaine façon, la notion de PIV se substitut à la notion de Site Sensible de l’ancienne réglementation. Mais les Sites Sensibles étaient devenus tellement nombreux, qu’il devenait illusoire de vouloir tous les protéger en cas de crise. Avec les PIV, on parle de quelques dizaines de sites que l’on sait pouvoir protéger efficacement par des forces de défense, par exemple. Bien entendu, la liste des PIV dressée par chaque OIV est revue avec attention par l’État qui peut demander à l’OIV de revoir sa copie.Enfin, pour chaque PIV in fine retenu, l’OIV doit définir un Plan Particulier de Protection (PPP) qui détaille les mesures prises sur le site en regard des risques. En complément et en miroir de ce PPP, l’État définit alors un Plan de Protection Extérieur (PPE) qui précise les mesures d’accompagnement qu’il mettra en œuvre en temps de crise. Nous sommes donc retournés à la case « État » et la boucle est bouclée. Pour résumer : État -> SAIV -> DNS -> OIV -> PSO -> PIV -> PPP -> PPE -> État.Signalons que pour des raisons évidentes, DNS et listes des PIV sont des informations sensibles couvertes par les règles de Protection du Secret-Défense (Confidentiel Défense dans langage courant).Pour en savoir plus sur les décrets et l’agence– Désignation des opérateurs d’importance vitale, des délégués pour la défense et la sécurité et des points d’importance vitale.– Décret n° 2009-834 du 7 juillet 2009Par Eric Wiatrowski, Lead Auditor – Security Management System