Nouveaux arrêtés OIV : 4 clés pour réussir sa mise en conformité dans le délai imparti

Le 1er septembre dernier, l’ANSSI (Agence nationale de la sécurité des systèmes d’information) entamait la rentrée avec la publication d’une nouvelle vague d’arrêtés sectoriels visant à renforcer la protection des OIVMais comment réussir sa mise en conformité dans le délai imparti ?  

OIV_Arretes_Reglementations_ANSSI.jpg

 

Dans le contexte actuel où les challenges de cybersécurité ne cessent d’augmenter, ces réglementations deviennent de plus en plus fréquentes. Face aux cyber menaces, la sécurité des systèmes d’information d’importance vitale (SIIV) doit être sans cesse réajustée pour prévenir les attaques et assurer l’équilibre de la nation. Les organismes touchés par ces réglementations doivent donc faire preuve de flexibilité pour pouvoir actualiser les procédures de sécurité de leurs systèmes sensibles au rythme des nouveaux arrêtés, mais aussi de réactivité car ils disposent de seulement trois mois pour s’y conformer.

Alors comment un OIV peut-il réussir sa mise en conformité ?

1.      Déterminer les systèmes à homologuer

Se renseigner sur la teneur exacte des nouvelles réglementations à suivre est la première action à entreprendre. Il faut ensuite dresser un inventaire détaillé de tous les SIIV concernés par ces réglementations.

Plus précisément, il est nécessaire de faire l’état des vulnérabilités incombant à ces SIIV ainsi que distinguer les moyens qui pourraient être mis en œuvre pour renforcer leur sécurité. Cette étape constitue la base d’une remise en conformité et fait partie intégrante des points évoqués par les derniers arrêtés sectoriels.

En effet, les OIV se devront de fournir à l’ANSSI une liste complète de leurs SIIV auxquels devra être associée toute faille potentielle ; ce travail préparatoire est donc inéluctable. De plus, il amorce la réflexion et la définition d’une politique de sécurité fiable, d’où l’importance d’en faire une priorité dans une démarche d’ajustement aux réglementations de cybersécurité.

2.      Définir une politique de sécurité des systèmes d’information

Cette étape – qui peut s’avérer d’envergure car elle présente tous les moyens organisationnels et techniques mis en place pour faire face aux cyber-menaces et cyber-attaques, est la clé de voûte d’une remise en conformité réussie. La politique de sécurité des systèmes d’information (PSSI) constitue l’une des pièces maîtresses répondant à toutes les problématiques de cybersécurité mentionnées dans les arrêtés sectoriels publiés par l’ANSSI. Elle fait état :

  • des procédures d’homologation prévues et implémentées pour chaque SIIV
  • des comptes privilégiés, de leurs utilisateurs en interne comme en externe et de leurs droits d’accès
  • de la politique contrôle, d’audit et de maintien de la sécurité des systèmes sensibles
  • des processus de traitement des alertes et des incidents
  • des procédés de gestion de crise mises en place

Mais la PSSI à elle seule n’est pas suffisante pour assurer la protection des SIIV ; elle doit être rigoureusement suivie et soutenue par une forte culture interne.

3.      Instaurer une véritable culture cybersécurité

Sécuriser les SIIV est une tâche extrêmement délicate et la PSSI aide les OIV à atteindre ce but. Cependant, toutes ces efforts sont susceptibles de s’effondrer dès lors qu’une seule personne n’est pas suffisamment sensibilisée à l’importance de la cybersécurité au sein de ces structures.

C’est pourquoi il est nécessaire d’instaurer une véritable culture de sécurité des systèmes d’information. Pour cela, plusieurs actions peuvent être conduites :

  • La présentation concrète aux collaborateurs des risques et conséquences qu’une cyber-attaque peut avoir sur la nation
  • La mise en place de formations ou la participation à des groupes de travail organisés avec des pôles d’excellence
  • Le développement d’une véritable campagne de sensibilisation soulignant l’importance de la cybersécurité dans les secteurs sensibles et la valeur qu’elle apporte dans la sécurisation des systèmes clés
  • L’implémentation d’une politique de tolérance zéro vis-à-vis des comportements négligents.

4.      Adopter des solutions de cybersécurité répondant aux critères de l’ANSSI

Sélectionner et implémenter des solutions de cybersécurité adaptées aux besoins des OIV et assurant un niveau de sécurité optimal est la dernière étape d’une mise en conformité réussie. Pour cela et depuis 2008, l’ANSSI génère une chaîne de confiance permettant aux opérateurs de distinguer les meilleures solutions de cybersécurité via une certification de sécurité de premier niveau (CSPN).

La solution de gestion des accès à privilèges proposée par WALLIX – le Bastion, est la seule solution répondant à la problématique de contrôle des accès privilégiés s’intégrant nativement sur les protocoles d’administration RDP et SSH à être certifiée CSPN. Tout-en-un et facile à déployer grâce à un fonctionnement sans agent, elle offre une réponse qualifiée et adaptée aux nouvelles réglementations de l’ANSSI grâce à des fonctions :

  • De gestion et contrôle des sessions via la traçabilité des connexions et permettant de surveiller en temps réel, d’interrompre et d’enregistrer puis visionner en vidéo les sessions de super-utilisateurs
  • D’audit, grâce à des rapports complets et personnalisés sur l’activité des utilisateurs
  • D’authentification poussée avec un coffre-fort à mots de passe où les utilisateurs n’accèdent qu’aux services et ressources auxquels ils sont autorisés sans connaître les mots de passe directs.

Pour plus d’informations, rendez-vous sur wallix.com ou contactez-nous pour une démo gratuite !

New Call-to-action