Projet de Loi de Programmation Militaire : Préfiguration pour la DSI d un Opérateur d Importance Vitale

Transcription

1 Projet de Loi de Programmation Militaire : Préfiguration pour la DSI d un Opérateur d Importance Vitale

2 Sommaire Présentation d Aéroports de Paris Opérateur d Importance Vitale Mesures législatives à venir Recommandations Conclusion 2 - LPM : Préfiguration pour la DSI d un Opérateur d Importance Vitale 12/11/2013

3 Présentation d Aéroports de Paris Résultats 2012 Aéroports de Paris est le 2e groupe aéroportuaire européen. 3 aéroports (Paris - Charles de Gaulle, Paris - Orly et Paris - Le Bourget), 10 aérodromes en IdF et un héliport (Paris - Issy-les-Moulineaux) Acquisition de 38 % de TAV Airports 88,8 millions de passagers accueillis à Paris Chiffre d'affaires de M EBITDA de M Résultat opérationnel courant de 645 M Résultat net part du Groupe de 341 M 3 - LPM : Préfiguration pour la DSI d un Opérateur d Importance Vitale 12/11/2013

4 Présentation d Aéroports de Paris Direction des Systèmes d Information Chiffres Clés 400 collaborateurs 260 applications informatiques 1450 serveurs postes informatique terminaux d affichage x 000 caméras imprimantes aéroportuaires +5,8M messages aéroportuaires échangés quotidiennement 99,97% de disponibilité des systèmes informatiques La conception, la réalisation, les opérations et l exploitation des systèmes d information sont certifiées ISO 9001: LPM : Préfiguration pour la DSI d un Opérateur d Importance Vitale 12/11/2013

5 Présentation d Aéroports de Paris Obligations en tant que gestionnaire d aéroports Obligations destinées à réduire tout risque d accident ou d incident ou à protéger le public accueilli sur ses plates-formes aéroportuaires : Bon fonctionnement des installations pour les compagnies aériennes Qualité de service de l exploitation aéroportuaire impactant le trafic aérien (risques météo, mouvements sociaux, défaillances techniques, événements d ordre politique) Protection du public en tant qu Entreprise Recevant du Public (ERP) : sécurité incendie, sécurité routière (aménagement parcs et accès), accessibilité PHMR, etc. Activités spécifiques aéronautiques : maintenance, aménagement, surveillance, déneigement des aires aéronautiques, lutte contre les incendies des aéronefs (SSLIA), contrôle glissance des pistes et prévention contre le péril aviaire ou animalier Mesures de sûreté et sanitaires pour le compte de l État, déclinaisons des plans gouvernementaux (Vigipirate, Piranet, etc.) Continuité de l activité en tant qu OIV pour les plates-formes aéroportuaires 5 - LPM : Préfiguration pour la DSI d un Opérateur d Importance Vitale 12/11/2013

6 Sommaire Présentation d Aéroports de Paris Opérateur d Importance Vitale Mesures législatives à venir Recommandations Conclusion 6 - LPM : Préfiguration pour la DSI d un Opérateur d Importance Vitale 12/11/2013

7 OIV - Dispositif français pour la sécurité globale des infrastructures vitales 12 Secteurs d Activités d Importance Vitale (SAIV) fixés par le Premier ministre. Chaque SAIV a fait l objet d une Directive Nationale de Sécurité (DNS) 250 Opérateurs d Importance Vitale désignés (OIV). Chacun élabore un Plan de Sécurité Opérateur (PSO) pour décliner la ou les DNS qui le concernent. Les opérateurs publics ou privés exploitant des établissements ou utilisant des installations et ouvrages dont l'indisponibilité risquerait de diminuer d'une façon importante le potentiel industriel militaire ou économique, la sécurité ou la capacité de survie de la Nation, ou dont la destruction ou l'avarie pourrait présenter un danger grave pour la population, sont tenus de coopérer à la protection de leurs établissements, installations ou ouvrages contre toute menace, notamment à caractère terroriste. Les Points d Importance Vitale (PIV) sont des sites sensibles. Ils sont identifiés par les OIV et doivent faire l objet d un Plan Particulier de Protection (PPP), élaboré par l OIV et d un Plan de Protection Externe (PPE), élaboré par le Préfet de département. Ces plans déclinent les PSO de façon opérationnelle. 7 - LPM : Préfiguration pour la DSI d un Opérateur d Importance Vitale 12/11/2013

8 Statut d OIV d Aéroports de Paris Secteur d Activités d Importance Vitale de la vie économique et sociale de la nation : Transports Aéroports de Paris assure la sécurité des utilisateurs des plateformes et supervise les activités de sûreté aéroportuaire de ses plateformes, sous le contrôle de l'etat, et met en application les mesures relatives au Plan Vigipirate. Dans le cadre de son statut d'oiv (Opérateur d'importance Vitale), Aéroports de Paris établit les Plans Particuliers de Protection (PPP) en application de son Plan de Sécurité Opérateur (PSO) Aéroports de Paris étant un point de connexion international, le risque lié au terrorisme, aux catastrophes sanitaires mondiales (épidémies), aux accidents aéronautiques ou encore aux phénomènes naturels est au coeur de la stratégie de l'entreprise. 8 - LPM : Préfiguration pour la DSI d un Opérateur d Importance Vitale 12/11/2013

9 Chaîne Fonctionnelle de Sécurité des SI de l Etat Premier ministre Ministères HFDS Haut Fonctionnaire de Défense et de Sécurité SGDSN Secrétariat Général de la Défense et de la Sécurité Nationale délégation FSSI Fonctionnaire de Sécurité des SI ANSSI Agence Nationale de la SSI Opérateurs d Importance Vitale AQSSI Autorité Qualifiée pour la SSI 9 - LPM : Préfiguration pour la DSI d un Opérateur d Importance Vitale 12/11/2013

10 Gestion de crise Aéroports de Paris Volet SI Pilotage crise entreprise Gestion de la situation Permanence Centrale Communication Analyse et gestion du problème Panne grave Astreinte décisionnelle DSI Astreintes techniques SI Incident sécurité Panne grave AQSSI FSSI Correction Détection Diagnostic Supervision SI 7/7 H24 DSI Helpdesk 7/7 6h-24h 10 - LPM : Préfiguration pour la DSI d un Opérateur d Importance Vitale 12/11/2013

11 Sommaire Présentation d Aéroports de Paris Opérateur d Importance Vitale Mesures législatives à venir Recommandations Conclusion 11 - LPM : Préfiguration pour la DSI d un Opérateur d Importance Vitale 12/11/2013

12 Mesures législatives à venir Loi de programmation militaire (LPM) Rapport n 50 ( ) de M. Jean-Louis CARRÈRE sur le projet de loi n 822 ( ) relatif à la programmation militaire pour les années 2014 à 2019 (fondé sur les conclusions du nouveau Livre blanc sur la défense et la sécurité nationale de 2013) et portant diverses dispositions concernant la défense et la sécurité nationale (présenté à la commission des affaires étrangères, de la défense et des forces armées du Sénat le mardi 8 octobre 2013) Le projet de loi contient plusieurs mesures relatives au renforcement de la protection et de la défense des systèmes d information de l Etat et des opérateurs d importance vitale face aux attaques informatiques à des fins d espionnage, de déstabilisation ou de sabotage 12 - LPM : Préfiguration pour la DSI d un Opérateur d Importance Vitale 12/11/2013

13 Mesures législatives à venir Loi de programmation militaire (LPM) Chapitre III dispositions relatives à la protection des infrastructures vitales contre la cybermenace Article 15 : Renforcement des obligations des opérateurs d'importance vitale en matière de sécurité et de défense des systèmes d'information Article 16 : Extension de la liste des équipements informatiques soumis au régime d'autorisation Article 16 bis : Accès aux coordonnées des utilisateurs des adresses Internet pour les besoins de la sécurité informatique Article 16 ter : Possibilité d'exercer une activité de recherche ou de développement de produits ou de service de sécurité informatique 13 - LPM : Préfiguration pour la DSI d un Opérateur d Importance Vitale 12/11/2013

14 Mesures législatives à venir Loi de programmation militaire : Article 15 (1/2) Article 15 : Renforcement des obligations des opérateurs d'importance vitale en matière de sécurité et de défense des systèmes d'information Possibilité pour l'etat d'imposer des règles aux OIV concernant leurs systèmes d'information critiques Obligation de mettre en œuvre un système de détection d'attaques informatiques Certains systèmes très critiques doivent impérativement être strictement déconnectés de l'internet Obligation pour les opérateurs d'importance vitale de notifier les incidents significatifs intervenant sur leurs systèmes d'information critiques un décret d'application précisera par secteur d'activité le type d'incidents à notifier, les niveaux de gravité et les délais dans lesquels ces incidents devront être déclarés 14 - LPM : Préfiguration pour la DSI d un Opérateur d Importance Vitale 12/11/2013

15 Mesures législatives à venir Loi de programmation militaire : Article 15 (2/2) Obligation pour les opérateurs d'importance vitale de se soumettre à un contrôle ou à un audit de sécurité de leurs systèmes d'information réalisé par l ANSSI ou un Prestataire d Audit SSI qualifié (en cours de certification) le coût du contrôle sera à la charge de l'opérateur le décret d'application précisera les conditions d'exercice du contrôle ou de l'audit. Il pourrait reprendre certains des principes et des modalités de réalisation des contrôles des opérateurs de communications électroniques En cas de crise informatique majeure, la possibilité pour le Premier ministre d imposer des mesures aux OIV Création de sanctions pénales en cas de manquement aux obligations : amende de euros pour les personnes physiques et euros pour les personnes morales 15 - LPM : Préfiguration pour la DSI d un Opérateur d Importance Vitale 12/11/2013

16 Mesures législatives à venir Loi de programmation militaire : Article 16 Article 16 - Extension de la liste des équipements informatiques soumis au régime d'autorisation Article très technique visant à élargir la liste des dispositifs d interception soumis à autorisation Aujourd hui, seuls les dispositifs conçus pour intercepter des communications électroniques sont concernés Demain, également, tous les appareils capables d intercepter des communications électroniques seront soumis à autorisation (routeurs cœur de réseau, par exemple) Date et liste indéterminées à ce jour 16 - LPM : Préfiguration pour la DSI d un Opérateur d Importance Vitale 12/11/2013

17 Mesures législatives à venir Loi de programmation militaire : Article 16bis et 16ter Article 16 bis : Accès aux coordonnées des utilisateurs des adresses Internet pour les besoins de la sécurité informatique Possibilité pour les agents habilités et assermentés de l ANSSI d obtenir des opérateurs de communications électroniques l identité, l adresse postale et l adresse électronique d utilisateurs ou de détenteurs de systèmes d information afin de les alerter sur la vulnérabilité ou la compromission de leur système (à partir de leurs adresses IP) Objectif visé : prévenir les entités/personnes concernées de la compromission éventuelle de leurs équipements Article 16 ter : Possibilité d'exercer une activité de recherche ou de développement de produits ou de service de sécurité informatique Modification du Code Pénal et du Code de la Propriété Intellectuelle pour «dépénaliser» la recherche en sécurité informatique : on pourra, sans l'autorisation de l'auteur, observer, étudier ou tester la sécurité d un logiciel 17 - LPM : Préfiguration pour la DSI d un Opérateur d Importance Vitale 12/11/2013

18 Mesures législatives à venir Rapport Bockel du 18 juillet 2012 Rapport d'information n 681 ( ) de M. Jean-Marie BOCKEL au Sénat du 18 juillet 2012 Face au rôle central des systèmes d information et de communication et à l extrême dépendance de nos sociétés, qui ne pourra que s accroître à l avenir avec le développement des nouvelles technologies d information et de télécommunications, leur interconnexion croissante et la généralisation de l utilisation dans notre vie quotidienne d objets connectés, le renforcement de la protection et de la défense des systèmes d information représente un enjeu majeur de sécurité nationale. Préconisations sous la forme de 10 priorités, assorties de 50 recommandations concrètes, pour servir d inspiration, notamment dans le contexte du nouveau Livre blanc sur la défense et la sécurité nationale et de la future loi de programmation militaire LPM : Préfiguration pour la DSI d un Opérateur d Importance Vitale 12/11/2013

19 Mesures législatives à venir Rapport Bockel du 18 juillet 2012 Ce rapport constitue le point de départ du volet Cyberdéfense de la LPM 10 priorités : 1 : Faire de la cyberdéfense et de la protection des SI une priorité nationale 2 : Renforcer les effectifs, les moyens et les prérogatives de l'anssi 3 : Modifications législatives pour donner les moyens à l'anssi 4 : Améliorer la prise en compte de la protection des SI dans les ministères 5 : Rendre obligatoire pour les OIV une déclaration d'incident à l'anssi 6 : Renforcer la protection des SI des OIV 7 : Soutenir le tissu industriel des entreprises françaises en SSI 8 : Encourager la formation d'ingénieurs spécialisés en SSI 9 : Poursuivre la coopération bilatérale avec nos principaux alliés 10 : Interdire sur le territoire national le déploiement de «routeurs» chinois 19 - LPM : Préfiguration pour la DSI d un Opérateur d Importance Vitale 12/11/2013

20 Mesures législatives à venir Rapport Bockel du 18 juillet recommandations : Au niveau de l'etat 1 ANSSI 2 à 6 Ministère de la Défense 7 à 10 Ensemble des ministères 11 à 16 Entreprises & OIV Entreprises 17 à 23 OIV 24 à 26 Universités et centres de recherches 27 à 29 Relations internationales Echanges bilatéraux 30 à 34 OTAN 35 à 38 Union Européenne 39 à 44 ONU 45 à 46 UIT 47 OCDE 48 OSCE 49 Standards techniques et normalisation LPM : Préfiguration pour la DSI d un Opérateur d Importance Vitale 12/11/2013

21 Sommaire Présentation d Aéroports de Paris Opérateur d Importance Vitale Mesures législatives à venir Recommandations Conclusion 21 - LPM : Préfiguration pour la DSI d un Opérateur d Importance Vitale 12/11/2013

22 Recommandations issues du rapport Bockel (1/5) Partie spécifique aux «OIV» 24 : Rendre obligatoire pour les opérateurs d'importance vitale une déclaration d'incident à l'anssi dès la détection d'un incident informatique susceptible de relever d'une attaque contre les systèmes d'information et pouvant porter atteinte au patrimoine informationnel ou à l'exercice des métiers de l'opérateur, et encourager les mesures de protection par des mesures incitatives Possibilité de réponse d une DSI : Mise en place d un process de communication vers AQSSI, qui relaye au FSSI. Définition des systèmes d'information «critiques» et des incidents «significatifs» (niveaux de gravité et délais de déclaration des incidents). Mise en œuvre des mesures de détection et de prévention LPM : Préfiguration pour la DSI d un Opérateur d Importance Vitale 12/11/2013

23 Recommandations issues du rapport Bockel (2/5) 25 : Réduire le nombre de passerelles entre les réseaux et l'internet et introduire un système de surveillance des flux permettant de déceler les attaques informatiques, agréé par l'anssi et favoriser le groupement d'opérateurs d'importance vitale autour de système de détection partagés opérationnels 24/24 Possibilité de réponse d une DSI : Inventaire et contrôle des passerelles vers internet (interdire certains SCADAs à se connecter à Internet). Surveillance des principaux flux / corrélation des logs. SOC partagé. 26 : Encourager la coopération et les échanges entre l'anssi et les opérateurs d'importance vitale dans le cadre d'une démarche sectorielle. Rendre obligatoire le maintien d'une cartographie à jour des systèmes d'information, un audit annuel en matière de sécurité des systèmes d'information, ainsi qu'une déclaration à l'anssi de systèmes de contrôle des processus ou des automates industriels (SCADA) connectés à l'internet Possibilité de réponse d une DSI : Groupe de travail entre OIV du même Secteur d Activités d Importance Vitale (sous l égide de la DGAC pour l aviation civile) 23 - LPM : Préfiguration pour la DSI d un Opérateur d Importance Vitale 12/11/2013

24 Recommandations issues du rapport Bockel (3/5) Partie non-spécifique aux «OIV» (recommandations applicables par tous) 11 : Faire de la protection des systèmes d'information une véritable priorité prise en compte dans l'action de chaque ministère, réserver un pourcentage significatif du montant des projets à la sécurité informatique. Possibilité de réponse d une DSI : Budget d investissement sanctuarisé pour la SSI. Intégration de la SSI dans les processus et les activités (études, exploitation et supports) d une DSI (Ex : Analyse des enjeux sécuritaires dans chaque projets SI) 12 : Rendre obligatoire pour chaque ministère la tenue d'une cartographie à jour de son propre réseau et de son système d'information. Dans l'attente de l'édification du Réseau Interministériel de l'etat (RIE), réduire le nombre de passerelles entre les réseaux des ministères et l'internet et développer les systèmes de surveillance de ces passerelles permettant de détecter les attaques. Possibilité de réponse d une DSI : Démarche d urbanisme du SI au niveau processus et applicatif (Ne pas se limiter à la cartographie des infrastructures existantes). Corrélation des logs. Sondes IDS/IPS aux points névralgiques, etc LPM : Préfiguration pour la DSI d un Opérateur d Importance Vitale 12/11/2013

25 Recommandations issues du rapport Bockel (4/5) 15 : Accroître les efforts de sensibilisation des personnels des administrations, à tous les échelons, notamment par la signature de charte d'utilisation des SI Possibilité de réponse d une DSI : Charte d utilisation des SI annexée au règlement intérieur, acculturation, etc. 18 : Faire de la protection des systèmes d'information une véritable priorité en matière de management des entreprises en sensibilisant les dirigeants des entreprises et en rehaussant le niveau hiérarchique et le rôle des responsables de la sécurité informatique Possibilité de réponse d une DSI : Information des décideurs du traitement pénal prévu dans la loi (prise de conscience) et réaffirmation du rôle des RSSI. Reporting au Comité d Audit. Entrée dans une logique de protection du patrimoine informationnel dépassant l aspect numérique (notamment classification du niveau de confidentialité des informations sur laquelle baser les réponses techniques). Création d une fonction SSI centrale et transverse (SI filiales, SI industriels, inclus), etc LPM : Préfiguration pour la DSI d un Opérateur d Importance Vitale 12/11/2013

26 Recommandations issues du rapport Bockel (5/5) 19 : Engager une réflexion avec les compagnies d'assurance sur la prise en charge des opérations de traitement d'une cyberattaque moyennant un certain niveau de sécurité initial et la réalisation d'un audit annuel Possibilité de réponse d une DSI : Apporter une expertise SI dans une réflexion à engager avec la Direction Juridique. Etudier les produits d assurance pour définir le niveau de cybersécurité afin de baisser les primes d assurance aux cyber-risques. Circonscrire un périmètre à assurer (exclusion de certains risques) pour rendre acceptable les coûts de la souscription. Définir une politique d audits de SSI LPM : Préfiguration pour la DSI d un Opérateur d Importance Vitale 12/11/2013

27 Sommaire Présentation d Aéroports de Paris Opérateur d Importance Vitale Mesures législatives à venir Recommandations Conclusion 27 - LPM : Préfiguration pour la DSI d un Opérateur d Importance Vitale 12/11/2013

28 Conclusion : La cybersécurité, un enjeu majeur pour toutes les entreprises Cybersécurité au rang de priorité nationale Protection des infrastructures vitales fait consensus Renforcement des obligations des OIV et des moyens de l Etat à imposer des mesures dans les situations les plus critiques OIV probablement attendues en règle pour janvier 2015 Préfiguration pour les DSI d entreprises non OIV Sécuriser les autres entreprises que les OIV qui seront identifiées sur d autres critères (nombre important d employés, secrets technologiques et industriels cruciaux ) pour protéger la compétitivité et les emplois Surveiller / Protéger les SI critiques qui vont au-delà du SI de l entreprise (écosystème) Pas d impacts majeurs de la LPM sur la fonction SSI mais du bon sens et des bonnes pratiques à mettre en œuvre dans toutes les entreprises Préventif (Plan -> Do -> Check -> Act) et Défensif (Observe -> Orient -> Decide -> Act) Fonctionnement par niveau d alerte (type vigipirate / piranet). Prendre rapidement les contre-mesures suite à audit, etc LPM : Préfiguration pour la DSI d un Opérateur d Importance Vitale 12/11/2013