Après en avoir délibéré le 29 septembre 2016,
Formule l'avis suivant :
1. Contexte de la saisine
En application des dispositions de l'article L. 36-5 du code des postes et des communications électroniques (ci-après « CPCE »), le Secrétaire général de la défense et de la sécurité nationale a saisi pour avis l'Autorité de régulation des communications électroniques et des postes (ci-après « l'Autorité ») de deux projets d'arrêtés relatifs à la sécurité des systèmes d'information d'importance vitale (ci-après « SIIV »).
Ces projets d'arrêtés pris en application de l'article R1332-41-1 du code de la défense (1) ont pour objet l'établissement de règles de sécurité informatique applicables aux opérateurs d'importance vitale (ci-après « opérateurs ») (2) des secteurs d'activité « Communications électroniques et internet » et « Audiovisuel et information » dont la plupart des acteurs sont des opérateurs au sens de l'article L. 32 du CPCE.
Pour rappel, ces projets font partie des textes d'application de la loi n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale (ci-après « LPM »), et, en particulier, de son chapitre IV « Dispositions relatives à la protection des infrastructures vitales contre la cybermenace ». Ainsi, les articles L. 1332-6-1 à L. 1332-6-6 du code de la défense, instaurés par l'article 22 de la LPM, disposent que « le Premier ministre fixe les règles de sécurité nécessaires à la protection des systèmes d'information des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 […) » et qu'il peut leur demander « […] de soumettre leurs systèmes d'information à des contrôles destinés à vérifier le niveau de sécurité et le respect des règles de sécurité prévues […] ».
Outre la définition des règles à respecter (annexe I), ces projets d'arrêtés définissent les délais d'application de chacune des règles (annexe II), les types de systèmes d'information concernés (annexe III) et les types d'incidents de sécurité à déclarer par les opérateurs auprès de l'Agence nationale de la sécurité des systèmes d'information (ci-après « ANSSI ») (annexe IV).
En ce qui concerne les règles à respecter (annexe I), celles-ci, au nombre de 20, peuvent être regroupées par thématique en 4 catégories (3) :
1. Organisation et processus (règles 1 à 4 et 8 à 10)
2. Outils de prévention et d'analyse des intrusions (règles 5 à 7)
3. Exploitation (règles 11 à 19)
4. Évaluation (règle 20)
Les règles de la catégorie « Organisation et processus » visent à s'assurer que l'opérateur d'infrastructure vitale dispose d'une politique de sécurité documentée, approuvée par sa direction, régulièrement auditée et incluant notamment les objectifs de sécurité, la gouvernance, les règles de sécurité en vigueur et les procédures à respecter pour limiter les risques de manière proactive (modalités de mise à jour des systèmes, prises en compte des alertes transmises par l'ANSSI) et réactive (traitement des incidents de sécurités et gestion de crise).
Les règles de la catégorie « Outils de prévention et d'analyse des intrusions » visent à s'assurer que l'opérateur dispose des données et des outils permettant de détecter, si possible en temps réel, les tentatives d'intrusion et de les analyser a posteriori. Pour cela, il est demandé aux opérateurs, d'une part, de tracer et d'archiver certains événements intervenus sur le SIIV tels que l'authentification des utilisateurs, la gestion des utilisateurs et des droits d'accès ou la modification des règles de sécurité et, d'autre part, de mettre en place deux systèmes de détection des intrusions analysant, pour le premier, les traces archivées et, pour le second, les flux échangés entre les SIIV et les systèmes d'information tiers à ceux de l'opérateur.
Les règles de la catégorie « Exploitation » visent à s'assurer que l'opérateur minimise les risques liés à l'exploitation quotidienne du SIIV avec des exigences renforcées concernant l'identification et l'authentification des utilisateurs, l'attribution des droits d'accès, la gestion des comptes d'administration et des accès à distance ainsi que le cloisonnement des postes de travail et des flux.
La dernière catégorie « Évaluation » impose à l'opérateur de produire des indicateurs permettant d'évaluer le niveau de conformité à certaines règles et de les transmettre à l'ANSSI.
En ce qui concerne la mise en œuvre de ces règles, l'article 2 dispose que les opérateurs communiquent, dans un délai trois mois à compter de l'entrée en vigueur de ces projets d'arrêtés ou de leur désignation en tant qu'opérateur d'importance vitale, à l'ANSSI, la liste des systèmes d'information d'importance vitale prévue à l'article R. 1332-41-2 du code de la défense en s'appuyant sur les types de système d'information mentionnés à l'annexe III et l'article 3 prévoit que cette liste est actualisée une fois par an. Ensuite, pour chacune des règles définies à l'annexe I s'applique un délai d'application défini à l'annexe II en fonction de sa complexité de mise en œuvre.
En ce qui concerne les incidents de sécurité dont les opérateurs seraient victimes, l'article 4 des projets d'arrêtés prévoient que les opérateurs concernés envoient un rapport d'incident si celui-ci relève d'un des types décrits à l‘annexe IV.
Les articles 5, 6 et 7 traitent des dispositions finales et notamment l'absence de publication des annexes II, III et IV.
L'Autorité constate que les différences entre les deux projets d'arrêtés sont minimes et se limitent à des différences concernant les délais de mises en application de certaines règles, la définition des types de SI concernés et les modalités d'application d'une des règles.
Enfin, la saisine du Secrétaire général de la défense et de la sécurité nationale précise que ces projets d'arrêtés ont été élaborés par l'ANSSI, en étroite concertation avec les opérateurs concernés.
2. Observations de l'Autorité
L'Autorité relève tout d'abord que les projets d'arrêtés permettent de mettre un terme à l'incertitude que suscitait pour les opérateurs le renforcement des mesures de protection des infrastructures vitales contre la cybermenace prévue par la LPM adoptée fin 2013.
L'Autorité note avec satisfaction que l'élaboration de ces règles a fait l'objet d'un dialogue entre l'ANSSI et les opérateurs, dont elle encourage la poursuite afin que l'ensemble des acteurs puissent s'assurer que la mise en œuvre de ces règles renforce effectivement la sécurité des SIIV.
Au vu des informations dont dispose l'Autorité, la mise en œuvre de ces règles semble principalement impliquer des évolutions organisationnelles chez les opérateurs, afin de renforcer la sécurité de leurs systèmes d'information les plus critiques, et ainsi de limiter les risques et les éventuels dommages économiques causés par des cyberattaques. Compte tenu des coûts de mise en œuvre qui seront supportés par les opérateurs, l'Autorité attire l'attention du Gouvernement sur la nécessité de pérenniser ces règles de sécurité afin de limiter l'obsolescence des travaux réalisés ou en cours de réalisation par les opérateurs.
L'Autorité note que ces projets d'arrêtés prévoient la mise en œuvre de systèmes de détection qui analysent les flux transitant entre les SIIV et des systèmes d'information tiers à ceux de l'opérateur. Dans ces conditions l'Autorité invite les services de l'État à travailler en concertation avec les acteurs concernés sur le choix des solutions techniques et des matériels qui seront mis en œuvre.
Enfin, l'Autorité rappelle que, compte tenu des obligations qui pèsent sur les opérateurs en matière de permanence, de qualité et d'intégrité des réseaux et services de communications électroniques et au respect desquelles l'Autorité a pour mission de veiller, les opérateurs devront l'informer, le cas échéant, des perturbations significatives de leurs réseaux ou services causées par ces dispositifs.
L'Autorité n'a pas d'autres observations.
Le présent avis sera transmis au Secrétaire général de la défense et de la sécurité nationale.