Les attaques informatiques de grandes ampleurs qui ont eu lieu jusque-là concernent en grande partie le monde du renseignement. Les autres secteurs n’ont fait l’objet que de piratages visant à soutirer des données techniques ou commerciales importantes. Imaginons toutefois le moment où des cybercriminels parviennent à détruire le système informatique des entreprises vitales comme l’EDF, la SNCF et les opérateurs télécoms. Pour éviter le pire, l’Etat a créé le statut d’opérateur d’importance vital (OIV) pour les 200 entreprises françaises sensibles.
Un statut impliquant obligations
L’Etat exige aux entreprises classées OIV la mise en œuvre de dispositifs de sécurité particulière permettant une meilleure protection contre toute attaque. De nouvelles obligations sont apparues suite à la mise en vigueur de la loi de programmation militaire du mois de décembre 2013. On peut notamment citer la mise à la disposition à l’Agence nationale de la sécurité des systèmes (ANSSI) d’information du contrôle et de la déconnexion du système de ces entreprises en cas d’attaque.
Les responsables de sécurité informatique des OIV ont accueilli favorablement ces nouveautés. Ce sont pour eux en effet un moyen de se faire écouter par leurs dirigeants, ceux-ci souhaitant à tout prix éviter que l’ANSSIaccède à ses données. Malgré la critique de certains chefs d’entreprise, l’agence soutient que les exigences sont réalistes et soutenables aussi bien au niveau technique qu’au niveau financier. Les expérimentations menées jusque-là semblent affirmer le contraire. Un des responsables informatiques de la SNCF, un des cobayes, évoque par exemple une difficulté de mise en œuvre de certaines exigences sans une refonte totale de son système. La réalité du terrain semble déjà donner du tort à Guillaume Poupard et son équipe.
Le terme « fonction vitale » fait débat
Le code de la défense considère comme vital tout opérateur public ou privé « exploitant des établissements ou utilisant des installations et ouvrages, dont l’indisponibilité risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la nation ».
Il faut toutefois le savoir, au sein d’un OIV, certains systèmes informatiques peuvent être vitaux et d’autres non. Comment devra-t-on donc définir les machines à protéger ? C’est la question qui suscite le plus de débats entre les entreprises et l’Etat. Les intérêts économiques ne sont pas en effet toujours les mêmes entre les deux parties. Pour une entreprise par exemple, un piratage des données clients ne constituera pas un grave problème si la capacité à proposer ses produits n’est pas touchée. L’Etat, par l’intermédiaire de son ANSSI, pense le contraire.
Une loi favorisant les technologies françaises
L’Etat français, dans sa loi de programmation militaire, affirme son souhait d’encourager le cours des entreprises aux technologies « made in France » ou au moins provenant d’autres pays européens. Certains fournisseurs locaux ont ainsi profité du récent Forum international de la cybersécurité de Lille pour présenter leurs nouveautés. Leurs produits sont toutefois loin de faire l’unanimité auprès des OIV. Orange, par exemple, ne voit pas pourquoi il doit se baser uniquement sur les technologies françaises. Et il semble avoir raison, car aucun français ne figure dans la liste des plus grands vendeurs de logiciels de sécurité en France.