Les entreprises stratégiques sommées de renforcer leur protection informatique

Des decrets publiés à partir du 1er juillet obligeront 250 «opérateurs d’importance vitale» à mieux se protéger contre les attaques informatiques.

Cogitem formation informatique

Cogitem formation informatique

C’est une menace qui s’ajoute au risque terroriste. Deux experts en cybersécurité ont fait état, lundi, d’intrusions «inquiétantes» dans les réseaux informatiques des entreprises. Il y a «de plus en plus d’agents dormants qui préparent des choses», a expliqué Guillaume Poupard, le directeur général de l’Agence nationale de la sécurité des systèmes d’information (Anssi). On les retrouve très profond au sein des réseaux d’entreprises, à des endroits où il n’y a même plus d’informations secrètes à voler. C’est très inquiétant, car on ne sait pas toujours quelles sont ses intentions.»

«Si on ne durcit pas suffisamment les systèmes de sécurité, il sera possible de déclencher des sabotages, notamment industriels», a ajouté Louis Gautier, le secrétaire général de la défense et la sécurité nationale (SGDSN). Les deux experts laissent penser que les organisations terroristes comme Daech disposent désormais de la «capacité financière pour embaucher des ingénieurs informatiques». Face à cette menace grandissante, le gouvernement souhaite obliger les entreprises stratégiques à renforcer leur système informatique, conformément à ce que prévoit la Loi de Programmation Militaire (LPM) votée en décembre 2013.

250 «opérateurs d’importance vitale»

Après deux ans de négociations avec les industriels, l’Anssi, dépendante de Matignon, a présenté lundi une réglementation propre à chaque secteur d’activité. A partir du 1er juillet et l’entrée de vigueur d’une première vague de décrets, le secteur des produits de santé, de la gestion de l’eau et de l’alimentation devront respecter de nouvelles mesures. D’autres décrets, relatifs à des secteurs comme le nucléaire et la justice, paraîtront d’ici à la fin de l’année. Ces décrets prennent en compte les enjeux, les contraintes et le niveau de maturité en sécurité numérique de chacun de ces secteurs. Si l’aérospatial, la banque et les télécoms sont habitués à surveiller leurs réseaux, d’autres, comme l’industrie, sont moins préparés. Ce cadre juridique prévoit l’obligation de notifier les incidents, ainsi que des sanctions financières.

Pour le gouvernement, il s’agit autant de protéger l’économie des entreprises que d’assurer le «bon fonctionnement et la survie de la nation». Près de 250 «opérateurs d’importance vitale» (OIV), dont l’activité est jugée stratégique pour la sécurité nationale, seront concernés par ces arrêtés sectoriels. Pour des raisons de sécurité, la liste de ces entreprises privées et des organismes publics est confidentielle, mais l’on sait que EDF et la SNCF en font partie. En 2015, l’Anssi a comptabilisé vingt grandes attaques informatiques contre de grands groupes industriels français. «Ce sont de grands acteurs qui ont été attaqués, dont les réseaux ont été pénétrés par des gens très organisés et qui se sont fait voler des choses qu’ils n’auraient pas dû perdre», expliquait en mars Guillaume Poupard.

Une législation européenne attendue

Si la nouvelle législation apporte son lot de contraintes, les entreprises devront, aussi, supporter le coût de la cybersécurité, compris entre 5 et 10% du budget informatique, selon Guillaume Poupard. Mais la prévention coûte souvent moins cher que les conséquences d’une attaque. Le coût des réparations du piratage de TV5 Monde a coûté 5 millions d’euros, a rappelé l’expert, auxquels s’ajoutent 2,5 millions d’euros par an pour maintenir un niveau de sécurité suffisant. Un autre défi pour les entreprises est de trouver suffisamment de main d’œuvre. Selon l’Anssi, qui va recruter 100 nouveaux collaborateurs d’ici à 2017, seuls 25% des besoins en recrutement dans le secteur sont satisfaits.

En réalité, il est difficile de chiffrer le coût de ces piratages, les entreprises européennes étant rarement tenues de rendre publics les piratages dont elles ont été victimes. La situation devrait changer avec la Directive sur la sécurité des réseaux et de l’information (SRI), première loi européenne relative à la cybersécurité. Soumise en première lecture au Conseil européen en décembre dernier, elle doit être approuvée en deuxième lecture par le Parlement européen, pour une application possible en août 2016.

Comments are closed.