SECTEUR OIV
SECTEUR OIV
Les OIV sont des opérateurs d’importance vitale privés et publics qui exploitent ou utilisent des installations jugées indispensables pour la survie de la Nation. La cybersécurité des OIV s’intègre dans le dispositif interministériel plus large de sécurité des activités d’importance vitale (SAIV) inscrit dans le code de la Défense. L’ANSSI a par ailleurs pour mission d’accompagner les OIV dans la sécurisation de leurs systèmes d’information sensibles.
Sélectionner et implémenter des solutions de cybersécurité adaptées aux besoins des OIV et assurant un niveau de sécurité optimal est une étape clé d’une mise en conformité réussie. Pour cela et depuis 2008, l’ANSSI génère une chaîne de confiance permettant aux opérateurs de distinguer les meilleures solutions de cybersécurité via une certification de sécurité de premier niveau (CSPN).
La gestion des accès à privilèges, une solution indispensable pour répondre aux exigences de la loi.
1. L’implémentation d’une politique de sécurité des systèmes d’information (PSSI).
2. L’homologation périodique des systèmes d’information d’importance vitale (SIIV).
3. La mise en place d’une cartographie détaillée des caractéristiques physiques et fonctionnelles des SIIV et de leurs comptes à privilèges.
4. La bonne tenue des conditions de sécurité des SIIV prenant en compte toute nouvelle vulnérabilité et implémentant des mesures correctrices pour protéger les systèmes.
5. La bonne tenue de journaux horodatés et centralisés capables d’enregistrer tous les événements relatifs à l’authentification des utilisateurs, à la gestion des comptes et des droits d’accès, ainsi qu’aux modifications des règles de sécurité.
6. La mise en place d’un système de corrélation et d’analyse des événements enregistrés dans les journaux.
7. La mise en place d’un système de détection des événements de nature dangereuse.
8. L’implémentation d’une politique de traitements des incidents via un cloisonnement des systèmes et l’analyse des incidents.
9. La mise en place d’une veille des alertes de cyber-menaces et vulnérabilités diffusées par l’ANSSI pour assurer la protection des systèmes face aux nouvelles menaces.
10. L’implémentation d’une procédure de gestion de crises en cas d’attaques.
11. La création de comptes à privilèges individuels ou, en cas d’impossibilité, la mise en place de mesures nécessaires pour réduire les risques liés à l’utilisation de comptes partagés et assurer la traçabilité des sessions.
12. La protection des accès aux ressources grâce à un mécanisme d’authentification des comptes à privilèges basé sur un élément secret.
13. La gestion d’attribution des droits d’accès aux ressources révisée périodiquement.
14. La mise en place de comptes d’administration pour les administrateurs des systèmes et la définition de règles de gestion, d’attribution et de mise à jour des comptes par l’opérateur.
15. La gestion et la configuration par l’opérateur des SIIV d’administration et de leurs ressources.
16. Le cloisonnement physique ou logique des SIIV et sous-systèmes.
17. La mise en œuvre de listes de filtrage et de filtres sur les flux de données et interconnexions.
18. L’application de mécanismes de chiffrement et d’authentification renforcés comprenant un élément secret et un élément propre à l’utilisateur.
19. Le respect des règles selon lesquelles seuls les services ou équipements indispensables à la sécurité du SIIV sont installés et la connexion à ces équipements ne se fait que sur les SIIV.
20. L’évaluation de sécurité des SIIV via des indicateurs de maintien de sécurité, de pourcentage de non installation ou de mise à jour, de droits d’accès et d’administration des ressources.
L’Europe, à travers la directive Network and Information Security (NIS), s’inscrit dans la même logique de protection de ses opérateurs essentiels. Elle pose un cadre européen, compatible avec la LPM, que chaque pays aura la responsabilité de décliner sur son territoire. A ce stade et pour les OIV, il suffit donc de retenir que la LPM est finalement une transposition avant l’heure de la directive européenne NIS.