Agence Nationale de la Sécurité des Systèmes d Information. Séminaire CNES Nouveaux enjeux de protection des systèmes d information sensibles

Transcription

1 Agence Nationale de la Sécurité des Systèmes d Information Séminaire CNES Nouveaux enjeux de protection des systèmes d information sensibles Toulouse 9 décembre 2016

2 Agenda Présentation de l ANSSI Une réglementation en cyber sécurité qui s étoffe 2

3 Présentation de l ANSSI Autorité nationale en matière de sécurité et de défense des Systèmes d Information 2 sites parisiens Hôtel National des Invalides Quai de Grenelle Plus de 460 agents civils et militaires ANSSI 3 3

4 Présentation de l ANSSI Premier Ministre SGDSN Secrétariat Général de la Défense et de la Sécurité Nationale Coordination interministérielle en matière de défense et de sécurité nationale ANSSI Agence Nationale de la Sécurité des Systèmes d Information Autorité nationale en matière de sécurité et de défense des systèmes d information Créée le 7 juillet 2009 par le décret n , l ANSSI est un service à compétence nationale. 4

5 Présentation de l ANSSI Autorité de sécurité Autorité de défense Réglementation Qualification de produits et de prestataires Conseil et assistance Veille et détection des attaques Réponse aux attaques Surveillance en temps réel des infrastructures critiques Recherche et expertise technique Contrôles et inspections Renseignement Actions offensives 5

6 Agenda Présentation de l ANSSI Une réglementation en cyber sécurité qui s étoffe 6

7 Une réglementation qui s étoffe La directive européenne Network and Information Security (NIS) du 6 juillet 2016 La loi de programmation militaire (LPM) du 18 décembre 2013 L instruction générale interministérielle 901 relative à la protection des systèmes d information sensibles du 28 janvier 2015 Le dispositif de protection du potentiel scientifique et technique (PPST) du 2 novembre

8 Une réglementation qui s étoffe La directive européenne Network and Information Security (NIS) du 6 juillet 2016 La loi de programmation militaire (LPM) du 18 décembre 2013 L instruction générale interministérielle 901 relative à la protection des systèmes d information sensibles du 28 janvier 2015 Le dispositif de protection du potentiel scientifique et technique (PPST) du 2 novembre

9 Le socle de la LPM Douze secteurs d importance vitale (SAIV) Energie, communications électroniques, santé, finances, transports, espace, gestion de l eau, alimentation Les missions d importance vitale sont décrites pour chaque secteur dans une directive nationale de sécurité (DNS) rédigée par le ministère coordonnateur. Les opérateurs d importance vitale (OIV) Un opérateur dont l'atteinte à la sécurité ou au fonctionnement risquerait de diminuer d'une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ou pourrait présenter un danger grave pour la population. Plan de sécurité opérateur (PSO) - Il est rédigé par l OIV. - Il décrit l organisation et la politique de sécurité de l opérateur. - Il prévoit des mesures de sécurité permanentes et graduées. Loi de programmation militaire (LPM) - Article 22 Elle impose des obligations aux OIV en matière de SSI. ANSSI 9

10 Qu est ce que la LPM? Promulguée le 18 décembre 2013, elle fait suite aux préconisations engagées par le Livre blanc sur la défense et la sécurité nationale Le chapitre IV de la LPM est spécifiquement dédié à la sécurité des systèmes d information. L article 22 de la LPM prévoit des mesures de renforcement de la sécurité des opérateurs d importance vitale (OIV). ANSSI 10

11 Le champ d application de la LPM Systèmes concernés Le Premier ministre fixe les règles de sécurité nécessaires à la protection des systèmes d'information des opérateurs (mentionnés aux articles L et L ) et des opérateurs publics ou privés qui participent à ces systèmes pour lesquels l'atteinte à la sécurité ou au fonctionnement risquerait de diminuer d'une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ou pourrait présenter un danger grave pour la population. Acteurs concernés Opérateurs d importance vitale Opérateurs publics ou privés qui participent à ces systèmes Soumis aux règles LPM via leurs contrats avec les OIV Art. R du code de la défense 11

12 La déclinaison de l article 22 Règles techniques Règles de sécurité Art. R Notification des incidents Art. R à 11 Définies par arrêtés sectoriels, applicables aux systèmes d information d importance vitale Abordent notamment les domaines suivants : cartographie, mécanismes d authentification, administration des systèmes, cloisonnement des réseaux,... Prescriront la mise en oeuvre de systèmes qualifiés de détection administrés et exploités par des prestataires qualifiés Les OIV informent l ANSSI des incidents affectant leurs systèmes d importance vitale Notification directe à l ANSSI par les opérateurs d importance vitale Nature des incidents à notifier précisée par les arrêtés sectoriels Contrôles de sécurité Art. R à 17 Les systèmes d information d importance vitale des OIV seront soumis à des contrôles Effectués par l ANSSI, par un autre service de l Etat ou par un prestataire qualifié Destinés à vérifier le niveau de sécurité de l OIV et le respect des règles de sécurité Réponse aux crises Art. R En cas de crise majeure, l ANSSI pourra imposer des mesures aux OIV Les articles ci-dessus font référence au code de la défense. ANSSI 12

13 LPM Règles de sécurité Piloter la gouvernance de la SSI Maîtriser les risques Maîtriser les SI Cartographie Maintien en Condition de Sécurité Gérer les incidents SSI Journalisation Détection Traitement des incidents Traitement des alertes Crises Protéger les systèmes Identité & accès Administration Défense en profondeur Indicateurs 13

14 LPM Publication des arrêtés sectoriels 1 er juillet 2016, entrée en vigueur des premiers arrêtés : Gestion de l eau Alimentation Produits de santé 1 er octobre 2016 : parution des arrêtés relatifs à l énergie (hors nucléaire) et au transport 28 novembre : parution des arrêtés relatifs à la finance, l industrie, aux communications électroniques et internet et l audiovisuel et information Date prévisionnelle pour le secteur Espace : publication au 1 er trimestre 2017 pour une entrée en vigueur le 1 er avril

15 Merci de votre attention Twitter Yves JUSSOT Coordinateur territorial région Occitanie