Agence Nationale de la Sécurité des Systèmes d Information. Séminaire CNES Nouveaux enjeux de protection des systèmes d information sensibles

Documents pareils
politique de la France en matière de cybersécurité

GUIDE INTERMINISTERIEL SUR LES SYSTEMES D'INFORMATION ET APPLICATIONS SENSIBLES

Data Breach / Violation de données

L Agence nationale de la sécurité des systèmes d information

CYBERSÉCURITÉ INDUSTRIELLE CONSTATS & SOLUTIONS

BULLETIN OFFICIEL DES ARMEES. Edition Chronologique n 20 du 3 mai 2013 TEXTE SIGNALE

sommaire dga maîtrise de l information LA CYBERDéFENSE

MINISTÈRE DU TRAVAIL, DES RELATIONS SOCIALES, DE LA FAMILLE, DE LA SOLIDARITÉ ET DE LA VILLE MINISTÈRE DE LA SANTÉ ET DES SPORTS ADMINISTRATION

Appel à Projets MEITO CYBER

Plan d intervention d urgence. en cas d attaque contre les systèmes d information. ou de faille technique des systèmes d information.

DU ROLE D UN BUREAU MILITAIRE AU SEIN D UNE MISSION PERMANENTE

Note de présentation relative au Projet de Décret portant création du Conseil Consultatif Supérieur de la Consommation

N 110 SÉNAT SESSION ORDINAIRE DE Enregistré à la Présidence du Sénat le 20 novembre 2014 AVIS PRÉSENTÉ

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale

50 mesures pour changer d échelle

Le niveau 3 - alerte canicule correspond à une vigilance météorologique orange pour le paramètre canicule.

Prestations d audit et de conseil 2015

RÉFÉRENTIEL GÉNÉRAL DE SÉCURITÉ

Systèmes et réseaux d information et de communication

Caisse Nationale de l'assurance Maladie des Travailleurs Salariés Sécurité Sociale

Les Infrastructures critiques face au risque cybernétique. Par M. Ahmed Ghazali Président de la Haute Autorité de la Communication Audiovisuelle

POLITIQUE DE SÉCURITÉ DES SYSTÈMES D INFORMATION DE L ÉTAT. Version 1.0

VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ

BULLETIN OFFICIEL DES ARMÉES. Édition Chronologique n 33 du 4 juillet PARTIE PERMANENTE Administration Centrale. Texte 2

Communication. Les différentes sous-familles et leurs missions. Communication interne, externe, relations publiques (13A)

lj~ion DE L'EUROPE_OCCIDENT ALE Plate-forme sur les interets europeens en matiere de securite La Haye, 27 octobre 1987

Mise en œuvre de la radioprotection dans les entreprises: Certification d'entreprise et formation du personnel.

Schéma Régional d Intelligence Economique (SRIE) de la région CENTRE

PRESENTATION Groupe D.FI

3F4/2 Modalités de renfort en personnels dans les domaines non sanitaires

Panorama général des normes et outils d audit. François VERGEZ AFAI

Le Cert-IST Déjà 10 ans!

1 Pourquoi mettre en place un exercice de crise?

«L année 2013 a été marquée par le lancement du FALCON 5X, qui enrichit la gamme FALCON, et par la consolidation du socle France du RAFALE.

3.2. RAPPORT DU PRÉSIDENT DU CONSEIL D ADMINISTRATION (ARTICLE L DU CODE DE COMMERCE)

accueil Ecole Supérieure du Numérique de Normandie

Conseil économique et social

Stratégie nationale en matière de cyber sécurité

Notice UTILISATION DE SOURCES RADIOACTIVES (domaine non médical)

Gestion des services Informatiques ITIL Version 3, Les fondamentaux Conception des Services

Comité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale»

La politique de recours à la sous-traitance au CEA. Situation de Cadarache. Réunion de la CLI de CADARACHE 4 juillet 2012 PAGE 1

JOURNAL OFFICIEL DE LA REPUBLIQUE ALGERIENNE N 42 11

Organisation de la Cyberse curite. E ric Jaeger, ANSSI/SDE/CFSSI Journe e SPECIF-Campus du 7 novembre 2014, CNAM, Paris

recherches & documents

Commission pour la consolidation de la paix Configuration pays République centrafricaine

Piloter le contrôle permanent

COMPRENDRE CE QU EST L OTAN

Compagnie Méditerranéenne d Analyse et d Intelligence Stratégique

Cybersecurite. Leader européen - management des vulnérabilités - monitoring sécurité - Expertise as a service depuis 2007

CERTIFICATION CERTIPHYTO

Les audits de l infrastructure des SI

À quelles lacunes en matière de données doit-il être remédié?

L audit des Plans de Continuité d Activité et de la Gestion de Crise GUIDE D'AUDIT. Mémoire de Fin d'etudes Msc Audit et Gouvernance des Organisations

Conseil économique et social

L hygiène informatique en entreprise Quelques recommandations simples

.? lj1inu ~li1ftl PNtnrIlIl

P.A.R.M. (Permanencier Auxiliaire de Régulation Médicale) Quelle est cette profession de santé Méconnue et non reconnue?

Cabinet du ministre NOUVEAU. ministère NOUVELLE ORGANISATION NOUVELLES AMBITIONS

MINISTÈRE DU BUDGET, DES COMPTES PUBLICS, DE LA FONCTION PUBLIQUE ET DE LA REFORME DE L ÉTAT

REGLEMENT INTERIEUR TITRE I : DISPOSITIONS GENERALES

Dans une année, il y a 12 mois. Dans une année, il y a 52 semaines. Dans une année, il y a 4 trimestres. Dans une année, il y a 365 jours.

Les métiers du ministère des Affaires étrangères. m ti. é er. Direction des ressources humaines 2013

P.C.S. Plan Communal de Sauvegarde

Recommandations sur le Cloud computing

Division Espace et Programmes Interarméeses. État tat-major des armées

Plus de 20 ans d expérience en Risk Management, Gestion des crises, PCA, Sécurité de l information, SSI et des infrastructures télécom

LIVRET SERVICE. Portail Déclaratif Etafi.fr

5 novembre Cloud, Big Data et sécurité Conseils et solutions

CONSEIL D'ETAT statuant au contentieux N RÉPUBLIQUE FRANÇAISE. UNION NATIONALE DES ASSOCIATIONS DE SANTÉ A DOMICILE et autre

Le projet d application billettique commune «ABC»

TABLEAU DE BORD DES REFORMES PAR PRIORITE

Sécurité & Authentification. Sécurité Authentification utilisateur Authentification applicative

Caisse Nationale de l'assurance Maladie des Travailleurs Salariés Sécurité Sociale

Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015

Art. 2. Les vérificateurs environnementaux, tels que définis à l article 2, point 20) du règlement (CE), relèvent du régime suivant :

Recours aux entreprises extérieures

Organisation de la gestion de crise à Mayotte. Préfecture de Mayotte- SIDPC Mise à jour août 2011

Lancement du projet TOP (Tracabilité et Optimisation des Process)

Centre d excellence Numérique en territoire rural

Ce projet de loi fixe un plafond pour le budget de la Défense et un plancher pour le budget de l Aide internationale.

MASTER PROFESSIONNEL INFORMATION ET COMMUNICATION DANS L ESPACE LOCAL ET REGIONAL ICELR.2008/2009

Jean Pierre THIBAULT / DREAL Aquitaine / Stratégie nationale

Marquage CE des Granulats

SEMINAIRE DE FORMATION DES ACTEURS DES TRANSPORTS ROUTIERS ET DE LA SECURITE ROUTIERE EN ZONE CEMAC Douala, juin 2013

Réforme du crédit à la consommation. Statut des enseignants chercheurs. Point sur les États généraux de l outre-mer

L approche processus c est quoi?

ARRANGEMENT EN VUE DE LA RECONNAISSANCE MUTUELLE DES QUALIFICATIONS PROFESSIONNELLES ENTRE LE BARREAU DU QUÉBEC LE CONSEIL NATIONAL DES BARREAUX

CONTRIBUTION DU RÉGIME D ASSURANCE MALADIE, MATERNITÉ DE L OFATMA AU FINANCEMENT DE LA SANTÉ EN HAÏTI

Contexte dans le BTP. Contacts PRO BTP

JOURNAL OFFICIEL DE LA REPUBLIQUE ALGERIENNE N 56

STATUTS DE L ASSOCIATION PARIS EST VILLAGES

ISO conformité, oui. Certification?

De l élaboration d une PSSI d unité de recherche à la PSSI d établissement

HOPITECH Loi NOME, quels sont les nouveaux enjeux?

BRANCHE DU NÉGOCE ET PRESTATIONS DE SERVICES

Transcription:

Agence Nationale de la Sécurité des Systèmes d Information Séminaire CNES Nouveaux enjeux de protection des systèmes d information sensibles Toulouse 9 décembre 2016

Agenda Présentation de l ANSSI Une réglementation en cyber sécurité qui s étoffe 2

Présentation de l ANSSI Autorité nationale en matière de sécurité et de défense des Systèmes d Information 2 sites parisiens Hôtel National des Invalides Quai de Grenelle Plus de 460 agents civils et militaires ANSSI 3 3

Présentation de l ANSSI Premier Ministre SGDSN Secrétariat Général de la Défense et de la Sécurité Nationale Coordination interministérielle en matière de défense et de sécurité nationale ANSSI Agence Nationale de la Sécurité des Systèmes d Information Autorité nationale en matière de sécurité et de défense des systèmes d information Créée le 7 juillet 2009 par le décret n 2009-934, l ANSSI est un service à compétence nationale. 4

Présentation de l ANSSI Autorité de sécurité Autorité de défense Réglementation Qualification de produits et de prestataires Conseil et assistance Veille et détection des attaques Réponse aux attaques Surveillance en temps réel des infrastructures critiques Recherche et expertise technique Contrôles et inspections Renseignement Actions offensives 5

Agenda Présentation de l ANSSI Une réglementation en cyber sécurité qui s étoffe 6

Une réglementation qui s étoffe La directive européenne Network and Information Security (NIS) du 6 juillet 2016 La loi de programmation militaire (LPM) du 18 décembre 2013 L instruction générale interministérielle 901 relative à la protection des systèmes d information sensibles du 28 janvier 2015 Le dispositif de protection du potentiel scientifique et technique (PPST) du 2 novembre 2011 7

Une réglementation qui s étoffe La directive européenne Network and Information Security (NIS) du 6 juillet 2016 La loi de programmation militaire (LPM) du 18 décembre 2013 L instruction générale interministérielle 901 relative à la protection des systèmes d information sensibles du 28 janvier 2015 Le dispositif de protection du potentiel scientifique et technique (PPST) du 2 novembre 2011 8

Le socle de la LPM Douze secteurs d importance vitale (SAIV) Energie, communications électroniques, santé, finances, transports, espace, gestion de l eau, alimentation Les missions d importance vitale sont décrites pour chaque secteur dans une directive nationale de sécurité (DNS) rédigée par le ministère coordonnateur. Les opérateurs d importance vitale (OIV) Un opérateur dont l'atteinte à la sécurité ou au fonctionnement risquerait de diminuer d'une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ou pourrait présenter un danger grave pour la population. Plan de sécurité opérateur (PSO) - Il est rédigé par l OIV. - Il décrit l organisation et la politique de sécurité de l opérateur. - Il prévoit des mesures de sécurité permanentes et graduées. Loi de programmation militaire (LPM) - Article 22 Elle impose des obligations aux OIV en matière de SSI. ANSSI 9

Qu est ce que la LPM? Promulguée le 18 décembre 2013, elle fait suite aux préconisations engagées par le Livre blanc sur la défense et la sécurité nationale 2013. Le chapitre IV de la LPM est spécifiquement dédié à la sécurité des systèmes d information. L article 22 de la LPM prévoit des mesures de renforcement de la sécurité des opérateurs d importance vitale (OIV). ANSSI 10

Le champ d application de la LPM Systèmes concernés Le Premier ministre fixe les règles de sécurité nécessaires à la protection des systèmes d'information des opérateurs (mentionnés aux articles L. 1332-1 et L. 1332-2) et des opérateurs publics ou privés qui participent à ces systèmes pour lesquels l'atteinte à la sécurité ou au fonctionnement risquerait de diminuer d'une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ou pourrait présenter un danger grave pour la population. Acteurs concernés Opérateurs d importance vitale Opérateurs publics ou privés qui participent à ces systèmes Soumis aux règles LPM via leurs contrats avec les OIV Art. R. 1332-41-19 du code de la défense 11

La déclinaison de l article 22 Règles techniques Règles de sécurité Art. R. 1332-41-1 Notification des incidents Art. R. 1332-41-10 à 11 Définies par arrêtés sectoriels, applicables aux systèmes d information d importance vitale Abordent notamment les domaines suivants : cartographie, mécanismes d authentification, administration des systèmes, cloisonnement des réseaux,... Prescriront la mise en oeuvre de systèmes qualifiés de détection administrés et exploités par des prestataires qualifiés Les OIV informent l ANSSI des incidents affectant leurs systèmes d importance vitale Notification directe à l ANSSI par les opérateurs d importance vitale Nature des incidents à notifier précisée par les arrêtés sectoriels Contrôles de sécurité Art. R. 1332-41-12 à 17 Les systèmes d information d importance vitale des OIV seront soumis à des contrôles Effectués par l ANSSI, par un autre service de l Etat ou par un prestataire qualifié Destinés à vérifier le niveau de sécurité de l OIV et le respect des règles de sécurité Réponse aux crises Art. R. 1332-41-18 En cas de crise majeure, l ANSSI pourra imposer des mesures aux OIV Les articles ci-dessus font référence au code de la défense. ANSSI 12

LPM Règles de sécurité Piloter la gouvernance de la SSI Maîtriser les risques Maîtriser les SI Cartographie Maintien en Condition de Sécurité Gérer les incidents SSI Journalisation Détection Traitement des incidents Traitement des alertes Crises Protéger les systèmes Identité & accès Administration Défense en profondeur Indicateurs http://www.ssi.gouv.fr/entreprise/protection-des-oiv/les-regles-de-securite/ 13

LPM Publication des arrêtés sectoriels 1 er juillet 2016, entrée en vigueur des premiers arrêtés : Gestion de l eau Alimentation Produits de santé 1 er octobre 2016 : parution des arrêtés relatifs à l énergie (hors nucléaire) et au transport 28 novembre : parution des arrêtés relatifs à la finance, l industrie, aux communications électroniques et internet et l audiovisuel et information Date prévisionnelle pour le secteur Espace : publication au 1 er trimestre 2017 pour une entrée en vigueur le 1 er avril 2017 14

Merci de votre attention WWW.SSI.GOUV.FR Twitter : @ANSSI_FR www.dailymotion.com/anssi_fr Yves JUSSOT Coordinateur territorial région Occitanie

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back