LOI n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale
Décret n°2015-351 du 27 mars 2015 relatif à la sécurité des systèmes d’information des opérateurs d’importance vitale et pris pour l’application de la section 2 du chapitre II du titre III du livre III de la première partie de la partie législative du code de la défense
Code de la défense, articles L 1332-6-1 à L 1332-6-6 ; R. 1332-41-1à R. 1332-41-23
Rappel du contexte[1]
La loi de programmation militaire de décembre 2013 a introduit de nouvelles obligations pour les OIV (articles L1332-6-1 à L1332-6-1 du Code de la Défense).
Quelles règles de sécurité ?[2]
La loi prévoit l’adoption de règles de sécurité nécessaires à la protection des systèmes d’information de ces derniers, parmi lesquelles la mise en place de « systèmes de détection des évènements » susceptibles d’en affecter la sécurité (L 1332-6-1). Premier constat: le décret renvoie à des arrêtés du Premier ministre le soin d’établir le contenu des règles de sécurité qui pèseront sur les OIV. En attendant, il est prévu que ces règles seront élaborées par l’ANSSI et pourront varier selon le secteur ou le type d’activité concernée. Chaque OIV devra établir et tenir à jour la liste des systèmes d’information, y compris ceux des opérateurs tiers qui participent à ces systèmes. La liste devra être communiquée à l’ANSSI qui pourra émettre des observations ; l’opérateur pourra, le cas échéant, modifier sa liste conformément auxdites observations.
Les OIV doivent prendre les mesures nécessaires, notamment par voie contractuelle, pour garantir l’application des règles de sécurité aux systèmes d’information des opérateurs tiers.
Détection des évènements de sécurité[3]
Parmi les règles de sécurité, il y aura la mise en place de « systèmes de détection des évènements » susceptibles d’en affecter la sécurité.
- Lorsque l’OIV est une administration de l’État, le Premier ministre décidera, en fonction des risques particuliers encourus, si les systèmes de détection seront exploités par l’ANSSI, par un autre service de l’État ou par un prestataire de service qualifié (choisi parmi la liste prévue à l’article R.1332-41-9).
- Dans les autres cas, ils seront exploités exclusivement par un prestataire de service qualifié.
L’OIV devra conclure une convention avec le service d’État ou le prestataire de service, précisant notamment: les systèmes d’information concernés ; les fonctionnalités et le type de système utilisé, la nature des informations échangées avec le service de l’État ou le prestataire, les conditions dans lesquelles elles sont utilisées et protégées…Une copie sera remise à l’ANSSI. Cette dernière pourra demander aux services de l’État et aux prestataires de service d’utiliser dans les systèmes d’information des données techniques qu’elle leur fournira.
Les systèmes de détection et les prestataires devront être qualifiés dans les conditions prévues respectivement par les chapitres II et III du décret n° 2015-350 du 27 mars 2015 relatif à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité nationale.
Déclaration des incidents de sécurité[4]
Les OIV doivent désormais informer le Premier ministre en cas d’incidents (L 1332-6-2). Le nouvel article R.1332-41-10 précise que les opérateurs devront communiquer à l’ANSSI les informations relatives aux incidents de sécurité. Un arrêté du Premier ministre précisera la nature de ces informations (qui pourra dépendre du secteur ou du type d’activité), les modalités de leur transmission ainsi que les types d’incidents concernés. L’ANSSI pourra transmettre aux ministres concernés une synthèse des informations recueillies.
Contrôles de sécurité[5]
Des contrôles des règles de sécurité sont prévus (L1332-6-4). S’il souhaite imposer un contrôle, le Premier ministre recueillera l’avis des ministres coordonnateurs des secteurs d’activités d’importance vitale concernés. Il en informera ensuite les opérateurs concernés en précisant les objectifs, le périmètre, le délai de réalisation, et l’autorité en charge du contrôle (ANSSI, autre service de l’État ou prestataire de service qualifié choisi par l’opérateur sur la liste de l’article R.1332-41-16). Un même système d’information ne pourra faire l’objet de plus d’un contrôle par année civile, à moins que les systèmes d’information de l’opérateur soient affectés par un incident de sécurité, ou que des vulnérabilités ou manquements aient été constatés lors d’un précédent contrôle.
L’OIV devra fournir au service de l’État ou au prestataire de service les informations nécessaires pour évaluer la sécurité des systèmes (notamment la documentation technique des équipements, les codes sources des logiciels) ainsi que les moyens nécessaires pour accéder aux systèmes d’information. Une convention sera conclue entre l’OIV et le service de l’État ou le prestataire de service chargé d’effectuer le contrôle (dont une copie sera transmise à l’ANSSI).
Un rapport sera rédigé à l’issue du contrôle et pourra formuler des recommandations. Il sera remis à l’ANSSI, après que l’opérateur ait été mis en mesure de faire valoir ses observations. L’ANSSI pourra auditionner dans un délai de deux mois à compter de la remise du rapport le service de l’État ou le prestataire de service, le cas échéant en présence de l’opérateur. Elle communiquera aux ministres coordonnateurs des secteurs d’activité d’importance vitale concernés, les conclusions du contrôle.
Le coût des contrôles est à la charge des OIV. Il est déterminé librement par les parties en ce qui concerne les prestataires externes et calculé en fonction du temps nécessaire à la réalisation du contrôle et du nombre d’agents publics qui y participent selon un coût par agent fixé par arrêté.
Réponses aux crises majeures[6]
Le Premier ministre est autorisé à décider de « mesures d’urgence » que les opérateurs devront mettre en œuvre en cas de crises majeures (L1332-6-5). L’ANSSI proposera au Premier ministre des mesures à prendre à cet effet.
Sanctions pénales[7]
L’article L1332-7 prévoit que le manquement aux obligations prévues aux articles L.1332-6-1 à L. 1332-6-4 constitue un délit passible d’une amende pouvant aller jusqu’à 150 000€ (ou 750 000€ pour une personne morale). Le décret du 27 mars 2015 donne compétence à l’ANSSI pour saisir l’autorité judiciaire aux fins de poursuite de l’auteur du délit. Cette poursuite sera précédée d’une mise en demeure (hormis le cas d’un manquement à l’obligation d’informer le Premier ministre en cas d’incidents).
Secret
Le décret du 27 mars 2015 précise que seront couverts par le secret de la défense nationale les listes des systèmes d’information d’importance vitale (R.1332-41-2) ainsi que le rapport issu du contrôle de sécurité (R.1332-41-15). D’autre part, l’accès aux systèmes d’information des OIV se fera dans le « respect des secrets protégés par la loi » (R.1332-41-22).
Chaque OIV désignera une personne chargée de le représenter auprès de l’ANSSI, qui devra être titulaire de l’habilitation prévue à l’article R.2311-7 du Code de la Défense.
*** Ce décret précise donc un certain nombre des obligations et contraintes pesant sur les OIV. Des arrêtés sont encore attendus pour préciser les règles de sécurité effectives, les modalités d’établissement, de mise à jour et de communication à l’ANSSI des listes des systèmes d’information, ou encore les informations à communiquer en cas d’incident. L’enjeu est important et les entreprises concernées vont devoir mobiliser leurs ressources techniques et financières pour se mettre en conformité.
Contact : stephanie.faber@squirepb.com
[1] Voir notre article « Cybersécurité : ce que prévoit la Loi de Programmation militaire » https://larevue.squirepattonboggs.com/Cybersecurite-ce-que-prevoit-la-Loi-de-Programmation-militaire_a2492.html [2] Articles R.1332-41-1 et R. 1332-41-2 du code de la défense [3] R. 1332-41-3 à R. 1332-41-9 du code de la défense [4] R.1332-41-10 et R. 1332-41-11 du code de la défense [5] R.1332-41-12 à R.1332-41-17 du code de la défense [6] R.1332-41-18 du code de la défense [7] R. 1332-41-23 du code de la défense