Apparue le 18 décembre 2013, la loi de programmation militaire devait obliger les entreprises stratégiques à prévenir l’État en cas de cyberattaque. Son décret d’application vient d’être publié au Journal officiel.
Faire collaborer les entreprises stratégiques et l’État
La collaboration entre l’État et les sociétés oeuvrant dans des secteurs d’activité sensibles vient de se renforcer. Les entreprises stratégiques sont tenues de notifier aux plus hautes instances les incidents informatiques auxquels elles font face. La loi de programmation militaire du 18 décembre 2013 le stipulait déjà, cependant il a fallu attendre la publication de son décret d’application pour que cette mesure prenne réellement tout son sens. C’est désormais chose faite depuis le 29 mars dernier, date de parution du décret dans le Journal officiel. L’Agence nationale de la sécurité des systèmes d’information ou ANSSI est ainsi devenu le principal intermédiaire des Opérateurs d’Importance Vitale en cas de piratage informatique.
Si le décret fait mention des conditions de déclaration des anomalies sur le fonctionnement et la sécurité, il est possible que chaque cas soit traité de manière différente. D’autres arrêtés sont d’ailleurs déjà prévu renforcer le côté technique de ces conditions. L’Agence nationale de la sécurité des systèmes d’information est actuellement à pied d’oeuvre pour réunir les sociétés concernées et rédiger les arrêtés. Elle souhaite apparemment que la loi de programmation militaire soit effective à 100 % avant la fin de l’année. Le décret récemment publié stipule que les opérateurs doivent communiquer les données en leur possession dès lors qu’ils ont identifié une tentative de piratage. Chaque nouvelle information relative à l’incident doit être transmise à l’ANSSI.
Les entreprises encore réticentes à collaborer avec l’ANSSI
Le décret d’application de la loi de programmation militaire devra permettre à l’État et aux entreprises stratégiques de collaborer de façon plus étroite. La situation n’est pourtant pas aussi simple qu’elle y paraît. Peu d’entreprises sont prêtes à transmettre des informations mettant en cause la fiabilité de leur installation. Il y a en premier lieu la difficulté à admettre que son propre système présente une défaillance. Il y a ensuite le risque de voir la concurrence ou les collaborateurs être au courant. Même si la loi les y oblige, il est ainsi encore difficile d’affirmer que les entreprises vont bel et bien collaborer avec l’État. Avec le nombre sans cesse croissant de piratages informatiques et le risque de cyberespionnage, ses mesures devraient pourtant aider à renforcer la sécurité des administrations oeuvrant dans des domaines stratégiques.
Selon l’Agence nationale de la sécurité des systèmes d’information, les données collectées serviront à informer les autres OIV et leur permettre de prendre des dispositions pour renforcer leurs propres installations. Du côté des entreprises acceptant le principe de la collaboration avec l’ANSSI, on parle d’ailleurs déjà d’une réciprocité des échanges. L’agence ne doit pas se contenter de collecter des données. Elle doit également communiquer les informations en sa possession. Cela passe des cas d’anomalies qui lui sont révélées aux attaques ayant visé les hautes instances de la République. Savoir que l’État peut également être victime des hackers pourrait certainement rassurer les dirigeants d’entreprises.