Get Started for FREE
Sign up with Facebook Sign up with X
I don't have a Facebook or a X account
 Your new post is loading...
Your new post is loading...
Scoop.it!
Présentée ce 12 février, la revue stratégique cyberdéfense de la future Loi de Programmation Militaire, pose les jalons d'une cinquantaine de recommandations. Des efforts vont être faits pour mieux coordonner les crises cyber, soutenir l'émergence d'au moins un acteur industriel de la threat intelligence et mieux aider les entreprises à gérer les cyberrisques. 
No comment yet.
Sign up to comment
Scoop.it!
Dix mois après la promulgation de la Loi de Programmation Militaire (LPM), quel bilan peut-on faire de la cybersécurité des OIV ? Qu’en est-il du décret d’application de la Loi ? Quels impacts la LPM aura-t-elle pour les opérateurs, et plus globalement sur le marché du numérique ? Les 2ème Rencontres Parlementaires de la cybersécurité, organisées par le Cyber Cercle Défense & Stratégie, ouvrent le débat à l’occasion d’une table ronde présidée et animée par Jean-Marie Bockel, ancien ministre, sénateur du Haut-Rhin, et Eduardo Rihan-Cypel, député de Seine-et-Marne.
Stéphane NEREAU's insight:
Promulguée le 18 décembre 2013, la Loi de Programmation Militaire (LPM) fait suite aux orientations fixées par le Livre blanc sur la défense et la sécurité nationale 2013. Son article 22 prévoit l’adoption de mesures de renforcement de la sécurité des Opérateurs d’Importance Vitale (OIV) et confère à l’ANSSI de nouvelles prérogatives, explique le Contre-amiral Dominique Riban, Directeur général adjoint, Agence Nationale de la Sécurité des Systèmes d’Information. Pour rappel, la Loi prévoit entre autres que « Le Premier ministre fixe les règles de sécurité nécessaires à la protection des systèmes d’information des OIV et des opérateurs publics ou privés qui participent à ces systèmes pour lesquels l’atteinte à la sécurité ou au fonctionnement risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation. » Les OIV devront également mettre en œuvre des systèmes qualifiés de détection des événements susceptibles d’affecter la sécurité de leurs SI, et notifier sans délai tout incident de sécurité affectant le fonctionnement ou la sécurité de ces derniers. Ils devront, de plus, soumettre leurs Systèmes d’Information à des contrôles destinés à vérifier le niveau de sécurité et le respect des règles de sécurité prévues par la Loi.
Scoop.it!
Stéphane NEREAU's insight:
Cette loi contient de nombreux articles qui dépassent le cadre de ce billet ; nous allons nous concentrer sur le chapitre IV et les articles 21 à 25 qui détaillent les dispositions relatives à la « protection des infrastructures vitales contre la cybermenace ». Depuis l’attaque Stuxnet en 2010, les publications de failles et d’outils offensifs ciblant les « composants SCADA » se sont multipliées. Par ailleurs, de nombreux systèmes sont exposés et accessibles directement sur Internet et peuvent être détectés au moyen de simples requêtes dans un moteur de recherche. Concrètement : il peut suffire de quelques clics de souris pour accéder à des fonctions de pilotage et perturber significativement le comportement d’un site industriel. La capture d’écran ci-contre en est l’illustration : il s’agit d’un système de régulation de chauffage accessible en ligne avec login et mot de passe par défaut.
Scoop.it!
Des syndicats du numérique (Afdel, Syntec numérique, Asic) voient dans l'accès temps réel aux données par l'administration, une menace pour leur secteur.
Stéphane NEREAU's insight:
L'article 13 de cette loi permet aux services de renseignement des ministères de la défense, de l'intérieur, de l'économie et du ministère en charge du budget, d'accéder aux données conservées par les opérateurs de communications électroniques, les fournisseurs d'accès à Internet et les hébergeurs.
Scoop.it!
Stéphane NEREAU's insight:
En revanche, la CNIL n'a pas été saisie de l'article 13 du projet, qui permet aux services de renseignement des ministères de la défense, de l'intérieur, de l'économie et du ministère en charge du budget d'accéder aux données conservées par les opérateurs de communications électroniques, les fournisseurs d'accès à Internet et les hébergeurs. Concrètement, la réquisition de données de connexion dans un cadre d'enquête administrative pourra être effectuée pour : la recherche de renseignements intéressant la sécurité nationale,la sauvegarde des éléments essentiels du potentiel scientifique et économique de la France,la prévention du terrorisme, de la criminalité et de la délinquance organisées et de la reconstitution ou du maintien de groupements dissous.
Scoop.it!
Il était difficile de rater le stand de l’ANSSI lors de cette treizième édition des Assises de la Sécurité. L’agence a beau ne rien vendre, son stand ne désemplissait pas. Ce qui a bien entendu attisé notre curiosité : que peuvent bien venir chercher les visiteurs des Assises sur le stand de l’ANSSI ? Nous sommes allés poser la question au contre-amiral Dominique Riban, son directeur général adjoint.
Stéphane NEREAU's insight:
on venait poser des questions sur les SCADA. Le contre-amiral nous a assuré qu’il n’amenait pas le sujet sur la table simplement parce que c’est l’axe de communication officiel du moment, mais bien parce que l’agence était cette année particulièrement sollicitée à ce sujet. Selon lui, et comme le mentionnait déjà Patrick Pailloux dans son discours d’ouverture, les visites sur le stand de l’ANSSI montrent qu’il existe dans ce domaine une différence de perspective fondamentale entre la sûreté de fonctionnement et la sécurité de l’information, qui repose sur l’intégrité des données transmises par les capteurs de l’équipement. Et les exploitants semblent parfois encore confondre les deux : les dispositifs de sûreté ne peuvent s’activer et empêcher une catastrophe si les informations qu’ils reçoivent des capteurs sont falsifiées et indiquent que tout va bien. Les collaborateurs de l’ANSSI avaient donc à coeur de marteler cette différence, dans l’espoir que l’écho parvienne jusqu’au automaticiens par l’intermédiaire des RSSI.
|
Scoop.it!
Si le risque cyber est en train de se hisser au premier rang des préoccupations des autorités françaises, plus frileuses sont les entreprises et nombreux sont les écueils et les adversaires potentiels à davantage d'obligations et d'exigences réglementaires. En dépit d'un discours du directeur général de l'ANSSI globalement bien accueilli lors des dernières Assises de la sécurité à Monaco (1), des réserves mais aussi une certaine opposition transparaissent voire viennent augurer de possibles difficultés à venir dans la mise en œuvre des (futures) mesures garantes de l'état d'esprit lié au volet cyber de la loi de programmation militaire (LPM) actuelle (2014/2019). L'arrivée prochaine des décrets mais surtout les groupes de travail qui démarrent en vue d'élaborer les futurs arrêtés sectoriels (2) sont marqués par le triple sceau de la difficulté : l'inconnu sinon l'angoisse de la nouveauté, un contexte économique en berne et une contestation discrète mais bien réelle. Avancer en terrain miné pour atteindre un objectif courageux et nécessaire pourrait réclamer de nouvelles idées voire des aménagements.
Scoop.it!
Stéphane NEREAU's insight:
Avec l’article 25 de la LPM, le législateur voulait sécuriser la situation juridique des SSII chargées de tester la sécurité des sites Internet de leurs clients. Du même coup, il crée dans la loi une zone grise qui pourrait profiter à des individus mal intentionnés et nuire aux entreprises. La modification de l’article L-122-6-1 du code de la propriété intellectuelle permet à tous les internautes « d’observer, étudier ou tester le fonctionnement ou la sécurité » des sites Internet ou des logiciels qu’ils utilisent. « In fine, cette nouvelle loi permet à tout le monde, les passionnées d’informatique comme les cybercriminels de s’introduire dans les systèmes des entreprises », signale Mohammed Boumediane, l’éditeur du logiciel de sécurité informatique HTTPCS.
Scoop.it!
L'association Renaissance Numérique intervient d'ordinaire peu dans le débat public mais a jugé bon de le faire à propos du projet de loi de programmation militaire.
Stéphane NEREAU's insight:
L'association rappelle que ce texte « permet d'accéder aux données de connexion et aux contenus dans des conditions déclarées inconstitutionnelles en 2011, pour la loi Loppsi 2 ». Elle cite l'absence de recours à un juge et de limite de conservation des données enregistrés, dans l'article incriminé de la loi de programmation militaire.Sur la base de cet argumentaire, le think tank suggère, dans le respect de l'équilibre des pouvoirs, « de remettre le juge au coeur de l'espace Internet et d'octroyer au Parlement un droit de regard sur ces activités de surveillance et de conservation des données par l'administration ».
Scoop.it!
Stéphane NEREAU's insight:
Par ailleurs, l'article 13 instaure la possibilité, sur autorisation du Premier ministre, de recueillir ces données en temps réel, directement sur le réseau ou auprès des opérateurs, pour des périodes renouvelables de 30 jours. Dans cette procédure-ci, seul le président de la CNCIS est prévenu, au plus tard 48 heures après l'autorisation délivrée par le Premier ministre.
Scoop.it!
Un projet de loi, qui sera débattu le 26 novembre prochain, élargit « le régime d’exception » qui permet à des agents ministériels français de consulter des données personnelles sans intervention d’un juge.
Stéphane NEREAU's insight:
L'Asic indique que le régime dérogatoire est « étendu au-delà des cas de terrorisme, [...] à la recherche des renseignements intéressant la sécurité nationale, la sauvegarde des éléments essentiels du potentiel scientifique et économique de la France, ou la prévention du terrorisme, de la criminalité et de la délinquance organisées et de la reconstitution ou du maintien de groupements dissous ».
|
