Les opérateurs d'importance vitale (OIV) vont devoir, à partir du 1er juillet 2016, mettre en oeuvre plusieurs mesures relatives à la sécurisation de leurs systèmes d'information définies par la Loi de Programmation militaire (LPM). Objectif : faire face aux cyber-menaces et répondre aux besoins de la sécurité nationale.
Une première vague d'arrêtés marque la mise en place effective de ce dispositif pour plusieurs secteurs d'activités, dont celui de la gestion de l'eau qui figure parmi les 12 secteurs définis d'importance vitale par l'arrêté modifié du 2 juin 2006.
L'arrêté du 17 juin 2016 (J.O. du 23/06) fixe donc les règles de sécurité et les modalités de déclaration des systèmes d'information d'importance vitale et des incidents de sécurité relatives au secteur d'activités d'importance vitale « Gestion de l'eau », ceci en application de l'article 22 de la loi de programmation militaire du 18 décembre 2013.
L'arrêté énumère notamment les règles de sécurité en prenant en compte les spécificités du secteur (enjeux, contraintes, niveau de maturité en sécurité numérique). A la fois organisationnelles et techniques, elles sécurisent l'accès et la gestion des systèmes d'information ciblés. Il décrit également les modalités d'application des autres mesures à prendre : l'identification des systèmes d'information d'importance vitale (SIIV), la notification d'incidents de sécurité et les contrôles pour suivre la mise en place du dispositif.
La France est ainsi l'un des tous premiers pays à s'appuyer sur la réglementation pour définir un dispositif de cybersécurité de ces infrastructures critiques qui sont indispensables au bon fonctionnement et à la survie de la Nation.
En tant qu'autorité nationale en matière de sécurité et de défense des systèmes d'information, l'ANSSI a piloté les groupes de travail qui ont permis de définir ces dispositions. Ils ont réuni, par secteur d'activité, les opérateurs d'importance vitale, les autorités de régulation et les Ministères coordonnateurs.
L'ANSSI continuera à accompagner les opérateurs dans la sécurisation de leurs systèmes d'information, notamment grâce à la mise en ligne d'un espace dédié sur le site Internet de l'agence qui revient en détails sur le dispositif français de cybersécurité, les mesures, en particulier les règles de sécurité, et propose un certain nombre de ressources pour aider à leur mise en oeuvre.
http://www.ssi.gouv.fr/
Pour consulter l'arrêté du 17 juin 2016 suivez ce lien