Depuis le 1er juillet 2016, les opérateurs d’importance vitale (OIV) qui désignent une liste tenue secrète de 218 entreprises, structures publiques ou parapubliques dont la défaillance pourrait mettre en jeu la sécurité nationale, doivent mettre en œuvre un ensemble de mesures relatives à la sécurisation de leurs systèmes d’information.
Il s’agit de faire face aux cyber-menaces et
répondre aux besoins de la sécurité nationale.
On le sait bien : les cyber-risques sont plus
importants que jamais. Les attaques se diversifient, se complexifient, se professionnalisent
en même temps qu’elles se multiplient, avec des impacts de plus en plus lourds.
Une première série d’arrêtés a été publiée pour
plusieurs secteurs d’activités, dont celui de la gestion de l’eau qui figure parmi
les 12 secteurs définis d’importance vitale. Les infrastructures de production et
de distribution d’eau potable, tout comme les stations de traitement des eaux usées,
font en effet partie des OIV : leur dysfonctionnement ou leur indisponibilité,
pour une raison ou pour une autre, affecterait gravement un grand, voire un très
grand, nombre de personnes...
Cet arrêté daté du 17 juin 2016 (J.O. du 23/06)
fixe les règles de sécurité en prenant en compte les spécificités du secteur de
l’eau. Il a pour but de sécuriser l’accès et la gestion des systèmes d’information
les plus sensibles et décrit les modalités d’application des principales mesures
à prendre : identification des systèmes d’information d’importance vitale (SIIV),
notification de certains incidents de sécurité, contrôles à mettre en place…etc.
Mais bien au delà de ces obligations, la
cybersécurité nous concerne tous, sans exception.
D’abord parce qu’elle touche aux personnes,
autant qu’aux systèmes. Les spécialistes considèrent bien souvent que la plus
grosse faille, en matière de sécurité numérique, se trouve entre la chaise et
la machine. C’est de vous (et de moi) qu’ils parlent ! A raison...
Ensuite, parce que la multiplication des réseaux
de communication, des objets connectés, la généralisation de l’interconnexion dans
le cadre du développement des “Smart cities”, multiplient les portes d’entrées des
systèmes et créent sans cesse de nouvelles failles en ouvrant de nouvelles vulnérabilités.
Il est donc essentiel de maintenir la sécurité
des systèmes dans le temps, dans le cadre d’une démarche permanente, sans cesse
renouvelée. Cette mise en sécurité doit être méthodique et va bien au-delà des solutions
techniques.
Soyons clair : pour beaucoup d’entre nous qui
n’étions pas encore entrés dans le vif du sujet, et qui avons trop souvent choisi
la facilité à la sécurité, la prise en compte de ces risques constitue un vrai tournant.
Il faut désormais changer de comportement, penser et raisonner autrement, former
et informer, développer puis systématiser les bonnes pratiques et probablement…
dépenser plus.
La France par le biais de l’ANSSI, l’autorité
nationale en matière de sécurité et de défense des systèmes d’information, est l’un
des tous premiers pays à s’appuyer sur la réglementation pour définir un dispositif
de cybersécurité de ces infrastructures critiques indispensables au bon fonctionnement
de ses services essentiels.
Il nous incombe désormais de nous emparer du
sujet et de mettre en œuvre les règles de sécurité qui s’imposent pour sécuriser
les systèmes d’information et les ouvrages associés, et assurer ainsi la sécurité
des services.
