La loi transposant en droit français la directive européenne dite NIS, adoptée en 2016, vient d'être promulguée. Elle introduit des obligations qui rappellent celles qui pèsent sur les opérateurs d'importante vitale. Mais pour un nouvel éventail d'entreprises et institutions.
Research and publish the best content.
Get Started for FREE
Sign up with Facebook Sign up with X
I don't have a Facebook or a X account
Already have an account: Login
Cybersécurité - Innovations digitales et numériques
38.5K views |
+0 today
Vous trouverez dans ce thème des actualités, en France et dans le monde, sur les innovations digitales et numériques, en passant par la cybersécurité ou confiance numérique, l'informatique en nuage, les mégadonnées ainsi que le management des services et de projet
Curated by
Stéphane NEREAU
 Your new post is loading...
Your new post is loading...
Scoop.it!
La France consacre trop peu de moyens à la cybersécurité. Ni les dirigeants politiques ni la société civile ne semblent avoir pris pleinement conscience de l'enjeu.
Stéphane NEREAU's insight:
Malheureusement, la France continue de consacrer trop peu de moyens à la cybersécurité. L'ANSSI a disposé en 2017 d'un budget annuel de 80 millions d'euros. C'est moins que le budget de fonctionnement alloué à l'Elysée ! 
Scoop.it!
Après l'entrée en vigueur au 1er juillet 2016 des premiers arrêtés sectoriels, la mise en place effective des dispositions réglementaires relatives à la sécurité des systèmes d'information des opérateurs d'importance vitale (OIV) se poursuit, avec la publication de six nouveaux arrêtés relatifs aux secteurs de l'énergie et des transports.
Scoop.it!
Si le risque cyber est en train de se hisser au premier rang des préoccupations des autorités françaises, plus frileuses sont les entreprises et nombreux sont les écueils et les adversaires potentiels à davantage d'obligations et d'exigences réglementaires. En dépit d'un discours du directeur général de l'ANSSI globalement bien accueilli lors des dernières Assises de la sécurité à Monaco (1), des réserves mais aussi une certaine opposition transparaissent voire viennent augurer de possibles difficultés à venir dans la mise en œuvre des (futures) mesures garantes de l'état d'esprit lié au volet cyber de la loi de programmation militaire (LPM) actuelle (2014/2019). L'arrivée prochaine des décrets mais surtout les groupes de travail qui démarrent en vue d'élaborer les futurs arrêtés sectoriels (2) sont marqués par le triple sceau de la difficulté : l'inconnu sinon l'angoisse de la nouveauté, un contexte économique en berne et une contestation discrète mais bien réelle. Avancer en terrain miné pour atteindre un objectif courageux et nécessaire pourrait réclamer de nouvelles idées voire des aménagements.
Scoop.it!
Les Organismes d'importance vitale font l'objet d'attentions particulières. Notamment les Data Centers. Quels sont les moyens pour les protéger ?
Stéphane NEREAU's insight:
Définis par les articles R1332-1 et R1332-2 du code de la Défense, les Opérateurs d'importance vitale (OIV) sont des organisations identifiées par l'État qui ont trait à la production et la distribution de biens ou de services essentiels à la vie des populations (santé; gestion de l’eau; alimentation,) à l'exercice de l'autorité de l'État, au fonctionnement de l'économie ou au maintien du potentiel de Défense et sécurité de la Nation. Citons, entre autres, les grandes organisations de transport (SNCF, RATP...), les opérateurs télécom, la Bourse NYSE-Euronext, les médias d'information, certains centres de données et hôpitaux... Par ailleurs, les OIV sont également des établissements susceptibles de présenter un danger grave pour la population comme les centrales nucléaires, les dépôts d'armement, certaines usines... En réalité, la liste des OIV français est inconnue du grand public. Cependant, on en compterait 264 en France. En cette période d'intensification de la menace terroriste, quels sont les moyens de protéger ces OIV ainsi que les Data Centers ? Des experts réunis mercredi dernier par ExpoProtection ont tenté d'apporter leur analyse et des éléments de réponse.
Scoop.it!
L’Anssi devra obliger les opérateurs d’importance vitale à mieux se protéger. C’est une nécessité pour ceux dont le fonctionnement est critique pour la sécurité nationale.
Stéphane NEREAU's insight:
Une panne géante qui plongerait la France dans le noir, un détournement qui ferait dérailler un train, ou une attaque massive, qui mettrait hors d’usage un réseau de télécommunications. Tels sont quelques uns des dangers considérés comme plausibles que souhaite éviter l’Etat français. Pour ce faire, le gouvernement a fait voter fin 2013 dans le cadre de la dernière loi de programmation militaire (LPM) un dispositif renforçant les obligations de sécurité des « opérateurs d’importance vitale » (OIV), ces organisations ou entreprises dont « l’indisponibilité risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la nation », définit la loi.
Scoop.it!
Pas besoin d’attendre une cyberguerre… Au quotidien, des milliers d’entreprises sont confrontées à des attaques, visibles ou non, sur leur système d’information. Un sujet loin d’être seulement technologique.
Stéphane NEREAU's insight:
Une affaire de culture d’entreprise
Scoop.it!
Il était difficile de rater le stand de l’ANSSI lors de cette treizième édition des Assises de la Sécurité. L’agence a beau ne rien vendre, son stand ne désemplissait pas. Ce qui a bien entendu attisé notre curiosité : que peuvent bien venir chercher les visiteurs des Assises sur le stand de l’ANSSI ? Nous sommes allés poser la question au contre-amiral Dominique Riban, son directeur général adjoint.
Stéphane NEREAU's insight:
on venait poser des questions sur les SCADA. Le contre-amiral nous a assuré qu’il n’amenait pas le sujet sur la table simplement parce que c’est l’axe de communication officiel du moment, mais bien parce que l’agence était cette année particulièrement sollicitée à ce sujet. Selon lui, et comme le mentionnait déjà Patrick Pailloux dans son discours d’ouverture, les visites sur le stand de l’ANSSI montrent qu’il existe dans ce domaine une différence de perspective fondamentale entre la sûreté de fonctionnement et la sécurité de l’information, qui repose sur l’intégrité des données transmises par les capteurs de l’équipement. Et les exploitants semblent parfois encore confondre les deux : les dispositifs de sûreté ne peuvent s’activer et empêcher une catastrophe si les informations qu’ils reçoivent des capteurs sont falsifiées et indiquent que tout va bien. Les collaborateurs de l’ANSSI avaient donc à coeur de marteler cette différence, dans l’espoir que l’écho parvienne jusqu’au automaticiens par l’intermédiaire des RSSI.
|
Scoop.it!
Une directive européenne « Sécurité des réseaux et des systèmes d’information », décisive pour les entreprises, est en cours de transposition en France, se félicite, dan une tribune au « Monde », la présidente de l’Amrae Brigitte Bouquot.
Stéphane NEREAU's insight:
La protection du citoyen numérique occupe le devant de la scène depuis plusieurs mois avec le règlement européen sur la protection des données, dit RGPD. Quand la numérisation est le moteur de la croissance économique mondiale, il faut également braquer les projecteurs sur un autre texte européen moins connu, la directive sur la sécurité des réseaux et des systèmes d’information (Network and Information Security, NIS).
Scoop.it!
Schneider Electric devient le premier Prestataire d’Intégration et de Maintenance Spécialisé en Cybersécurité selon le référentiel de l'ANSSI. Les équipes de services en cybersécurité industrielle de Schneider Electric sont en première ligne pour assurer la protection des SCADA des opérateurs d’importance vitale (OIV).
Scoop.it!
L'ANSSI avertit des risques de sabotage dans les SI de l'industrie en France - Le Monde Informatique
Les entreprises françaises n'ont jamais été aussi vulnérables. Des agents dormants infiltrés dans les systèmes informatiques menacent, surtout dans l'industrie, selon l'ANSSI.
Stéphane NEREAU's insight:
Le deux responsables de la sécurité ont également souligné que l'industrie leur paraissait particulièrement vulnérable à ces menaces dormantes. La banque, l'aérospatiale et l'automobile sont rompues à de bonnes règles de sécurité. Les PME sont évidemment une autre cible assez facile, Guillaume Poupard voit dans le recours au cloud computing une bonne parade.
Scoop.it!
Dix mois après la promulgation de la Loi de Programmation Militaire (LPM), quel bilan peut-on faire de la cybersécurité des OIV ? Qu’en est-il du décret d’application de la Loi ? Quels impacts la LPM aura-t-elle pour les opérateurs, et plus globalement sur le marché du numérique ? Les 2ème Rencontres Parlementaires de la cybersécurité, organisées par le Cyber Cercle Défense & Stratégie, ouvrent le débat à l’occasion d’une table ronde présidée et animée par Jean-Marie Bockel, ancien ministre, sénateur du Haut-Rhin, et Eduardo Rihan-Cypel, député de Seine-et-Marne.
Stéphane NEREAU's insight:
Promulguée le 18 décembre 2013, la Loi de Programmation Militaire (LPM) fait suite aux orientations fixées par le Livre blanc sur la défense et la sécurité nationale 2013. Son article 22 prévoit l’adoption de mesures de renforcement de la sécurité des Opérateurs d’Importance Vitale (OIV) et confère à l’ANSSI de nouvelles prérogatives, explique le Contre-amiral Dominique Riban, Directeur général adjoint, Agence Nationale de la Sécurité des Systèmes d’Information. Pour rappel, la Loi prévoit entre autres que « Le Premier ministre fixe les règles de sécurité nécessaires à la protection des systèmes d’information des OIV et des opérateurs publics ou privés qui participent à ces systèmes pour lesquels l’atteinte à la sécurité ou au fonctionnement risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation. » Les OIV devront également mettre en œuvre des systèmes qualifiés de détection des événements susceptibles d’affecter la sécurité de leurs SI, et notifier sans délai tout incident de sécurité affectant le fonctionnement ou la sécurité de ces derniers. Ils devront, de plus, soumettre leurs Systèmes d’Information à des contrôles destinés à vérifier le niveau de sécurité et le respect des règles de sécurité prévues par la Loi.
Scoop.it!
« Il y a 3 ans, nous avons décidé de créer une filiale spécialisée dans la défense contre les APT, qui est la menace la plus pernicieuse. Les APT en deux mots, c’est le sabotage et l’espionnage ». Le sabotage est grave et reste exceptionnel J-M. Orozco a rappelé l’attaque de Juillet 2013 contre l’aéroport d’Istanbul, désactivant le sytème de contrôle des passeports, ce qui avait entraîné un bloquage des vols.
Stéphane NEREAU's insight:
Si le sabotage reste exceptionnel, « l’espionnage, c’est tous les jours. », rappelle-t-il : « des attaques dérobent des informations vitales comme la boîte mail des dirigeants, des offres commerciales stratégiques etc. ». Après avoir cité l’affaire Areva en 2011, J.-M. Orozco insiste : « 371 jours, c’est la durée moyenne qui sépare le début d’une attaque du jour de sa découverte, souvent par hasard. Vous imaginez le quantité des informations recueillies en 371 jours, cela peut-être léthal pour l’entreprise ! »
Scoop.it!
Considérées comme critiques, les infrastructures télécoms sont loin d'être invulnérables. Quelques lignes de code pourraient suffire pour créer un déni de service national. Explications.
Stéphane NEREAU's insight:
Ce qui sauve, pour l'instant, l'industrie des télécommunications, c'est qu'il n'est pas simple de bidouiller sur des équipements de coeur de réseau, car ils sont chers et il faut montrer patte blanche pour en acheter. Pour détecter des failles et pouvoir les exploiter, il faut donc avoir les moyens. C'est le cas, par exemple... des organisations gouvernementales.
Scoop.it!
Stéphane NEREAU's insight:
Cette loi contient de nombreux articles qui dépassent le cadre de ce billet ; nous allons nous concentrer sur le chapitre IV et les articles 21 à 25 qui détaillent les dispositions relatives à la « protection des infrastructures vitales contre la cybermenace ». Depuis l’attaque Stuxnet en 2010, les publications de failles et d’outils offensifs ciblant les « composants SCADA » se sont multipliées. Par ailleurs, de nombreux systèmes sont exposés et accessibles directement sur Internet et peuvent être détectés au moyen de simples requêtes dans un moteur de recherche. Concrètement : il peut suffire de quelques clics de souris pour accéder à des fonctions de pilotage et perturber significativement le comportement d’un site industriel. La capture d’écran ci-contre en est l’illustration : il s’agit d’un système de régulation de chauffage accessible en ligne avec login et mot de passe par défaut.
|
La loi de transposition de la directive européenne sur la sécurité de l’information et des réseaux, dite NIS, vient d’être promulguée. Adoptée en juillet 2016, cette directive vise à « améliorer la capacité à résister à des cyber-attaques » des entreprises fournissant des « services essentiels ».