Présentation GUIDE z/os du 30 mars 2017 JJGueudry@gmail.com 1
GÉNÉRALITÉS Pour faire face aux cyber menaces sur les Systèmes d Information d Importance Vitale (SIIV), l article 22 de la loi de programmation militaire et de son décret d application (*) impose désormais aux Opérateurs d Importance Vitale de renforcer la sécurité des SIIV qu ils exploitent Les OIV sont les opérateurs publics ou privés qui exercent des activités difficilement substituables ou remplaçables pour la nation, que ce soit sur des aspects économiques, sociaux, de défense ou de sécurité (**) Ces activités sont réparties dans un des 12 Secteurs d Activités d Importance Vitale (SAIV) dont celui de la finance. Les arrêtés sectoriels définissent les modalités d application du décret. Les SIIV, identifiés par les OIV, sont ceux qui supportent les processus vitaux des activités telles que définies ci-dessus (*) Loi n 2310-1168 du 18 décembre 2013 et décret d application du 27 mars 2015 (**) activité dont le dommage ou l indisponibilité ou la destruction par suite d un acte de malveillance, de sabotage ou de terrorisme risquerait, directement ou indirectement d obérer gravement le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ou de mettre gravement en cause la santé ou la vie de la population (***) exemples : activités militaires de l Etat, activités judiciaires ; santé; alimentation; communications électroniques; énergie; finance ;
GÉNÉRALITÉS Les obligations s appliquant aux OIV : L obligation de l OIV à notifier à l ANSSI les incidents sur ses systèmes d informations critiques L obligation de renforcer le niveau de sécurité des systèmes d information d importance vitale SIIV au sens LPM L obligation de l OIV à se soumettre à un contrôle ou à un audit de sécurité sur le périmètre de ses SIIV, et ce à la demande du Premier Ministre 3
REGLES LOI DE PROGRAMMATION MILITAIRE LES 20 REGLES Description 4 R1 R2 R3 R4 R5 R6 R7 R8 R9 R10 R11 R12 R13 R14 R15 R16 R17 R18 R19 R20 PSSI Homologation Cartographie MCO sécurité Journalisation Corrélation et analyse de journaux Détection Traitement des incidents de sécurité Traitement des alertes Gestion de crises Identification Authentification Droits d accès Comptes d administration SI d administration Cloisonnement Filtrage Accès à distance Installation services et équipements Indicateurs
IMPACTS DES RÈGLES Délais de mise en œuvre Quelques impacts : Règle 2 - Identification et homologation des SIIV retenus Sur la base d un audit de sécurité, vérifier l application et l efficacité des mesures de sécurité audit d architecture, audit de configuration, audit organisationnel et physique, tests de vulnérabilité et d intrusion Règle 3 - Cartographie Eléments de cartographie relatifs à : l architecture applicative (fonctionnalités, services), l architecture système (serveurs, composants), l architecture d administration, l architecture réseau (flux), la liste des comptes possédant des droits d accès privilégiés Enrichissement des révérenciels Outil d inventaire dynamique ( à confirmer lors de la publication de l arrêté) Utilisation d un outil pour les droits des comptes à privilèges SIIV Pour l architecture réseau va s appuyer sur un outillage de «gestion des flux» nécessaire aussi pour être en conformité avec la règle 17 Règle 7 Détection des incidents de sécurité Mettre en œuvre un système de détection qualifié de type «sonde d analyse de fichiers et de protocoles» de manière à pouvoir analyser l ensemble des flux échangés entre les SIIV et les systèmes d information tiers à ceux de l opérateur SIIV déjà existant : 3 ans SIIV en cours de construction ou avenir: 2ans 1 an 2 ans 5
* LOI DE PROGRAMMATION MILITAIRE IMPACTS DES RÈGLES- SUITE Règles structurantes LPM vis-à-vis du Data Center Délais de mise en œuvre Règle 15 et 18 - SI d administration et Accès à distance Les systèmes d'information d administration sont connectés aux ressources à administrer au travers d une liaison réseau physique utilisée exclusivement pour les opérations d'administration Les ressources matérielles et logicielles des systèmes d information d administration sont utilisées exclusivement pour réaliser des opérations d administration Un environnement logiciel utilisé pour effectuer des opérations d administration ne doit pas être utilisé à d autres fins, comme l accès à des sites ou serveurs de messagerie sur internet Règle 16 et 17 Cloisonnement et filtrage Règle 16 : Cloisonner les SIIV vis-à-vis de l extérieur et des autres systèmes non SIIV Règle 17 : Mettre en place des mécanismes de filtrage des flux de données circulant dans ses SIIV afin de bloquer la circulation des flux inutiles au fonctionnement Etablir et maintenir à jour une liste des règles de filtrage mentionnant l ensemble des règles en vigueur ou supprimées depuis moins d un an 2 ans 2 ans 6