Tout savoir sur les OIV, ces organisations critiques pour la nation
Culture tech.
OIV, OSE, EE ou IE : tour d’horizon
Le cybercrime est un fléau qui menace toutes les organisations publiques ainsi que les entreprises, des multinationales jusqu’aux PME. Afin d’élever le niveau de sécurité des infrastructures vitales, l’Etat français a créé le terme d’OIV en 2013. Une notion reprise depuis par l’Europe.
Qu’est-ce qu’un OIV ?
Un OIV est un « Opérateur d’Importance Vitale », c’est-à-dire une administration, une entreprise publique ou privée dont l’Etat a jugé le fonctionnement indispensable à la vie de la nation.
Cette notion a été introduite dans le droit français par la Loi de Programmation Militaire (LPM) de 2013. Ce texte a posé des obligations en termes de sécurisation des systèmes critiques à tous les acteurs reconnus comme OIV. L’objectif étant d’assurer la continuité du fonctionnement du pays en cas de cyberattaque majeure sur un ou plusieurs de ces acteurs. L’Etat n’exige pas une homologation de l’ensemble des systèmes informatiques de l’OIV, mais de ce que l’on appelle le SIIV (Systèmes d’Information d’Importance Vitale), son cœur d’activité.
La liste des 249 OIV est secrète, mais on connaît leurs 12 secteurs d’activité :
- Il y a d’une part les secteurs liés à l’humain : alimentation, gestion de l’eau, santé,
- le régalien avec les activités civiles, judiciaires et militaires de l’Etat,
- le secteur économique avec l’énergie, la finance, les transports,
- et enfin la technologie avec les télécommunications, l’audiovisuel, l’industrie, l’espace et la recherche.
Beaucoup d’OIV sont de grandes structures, mais la réglementation s’applique aussi à des entreprises de taille plus modeste, raison pour laquelle la liste des OIV doit rester secrète pour ne pas attirer l’attention sur ces acteurs.
Les moyens à mettre en place pour protéger un SIIV
Un OIV doit mettre en place un certain nombre de moyens de protection afin de sécuriser les accès et les données qui font partie du périmètre de son SIIV.
L’ensemble des processus et des solutions de protections à mettre en œuvre ont été formalisés dans ce que l’on appelle les 20 règles de la LPM. Dans ce texte, tous les aspects de la sécurisation d’un système critique sont méticuleusement abordés par le législateur. La première règle porte sur l’obligation de mettre en place une politique de sécurité des systèmes d’information (PSSI) et de se soumettre à des obligations en termes de déclaration de tout incident de sécurité.
Le SOC (Security Operation Center) est sans doute le dispositif le plus emblématique de la protection d’un SIIV. Ce n’est pourtant qu’un dispositif parmi d’autres : le texte de loi aborde les nombreux points techniques de la sécurisation d’une infrastructure SIIV. Outre la nécessité de disposer d’une cartographie à jour du système d’information, l’OIV doit mettre en place des procédures de maintien en conditions de sécurité, notamment, la correction des vulnérabilités, l’installation des correctifs de sécurité sur toutes des ressources matérielles et logicielles du SIIV.
Le chiffrement au cœur du dispositif de protection
Sondes de détection, dispositif d’identification et d’authentification forte, cloisonnement, tout est soigneusement listé et peut servir de canevas à la sécurisation du SI de n’importe quelle entreprise, mais chaque dispositif mis en œuvre dans le SIIV doit être homologué par l’autorité compétente.
Le chiffrement sécurise non seulement les accès à distance au SIIV via un réseau tiers, mais aussi les équipements d’accès et toutes les données critiques stockées sur les mémoires de masse.
Le chiffrement des données : premier moyen de protection à mettre en place ! Si vous devez commencer par une solution et une seule, choisissez le chiffrement… C’est le premier outil de protection à implémenter lorsque l’on souhaite préserver la confidentialité des données sensibles, que l’on soit un OIV ou non. La technologie est aujourd’hui pleinement mature, les algorithmes et protocoles très largement standardisés.
Ces infrastructures doivent être protégées en permanence avec des moyens d’authentification et de chiffrement, conformément aux règles préconisées par l’ANSSI. Le texte couvre bien évidemment l’aspect gestion de crise. L’OIV doit avoir préparé toutes les procédures à activer en cas de crise cyber majeure et disposer des moyens techniques et organisationnels pour mettre en œuvre les mesures décidées.
L’Europe s’inspire des OIV et enfonce le clou avec la directive NIS
Cette notion d’OIV peut sembler restrictive, puisqu’elle ne s’adresse qu’à quelques organisations, mais ce principe a depuis été repris au niveau européen dans la directive NIS (Network and Information Security).
Très inspirée par la LPM française, cette directive a été adoptée par les institutions européennes en 2016, puis retranscrite dans le droit français deux ans plus tard. Celle-ci introduit la notion d’OSE (Opérateur de Services Essentiels) qui découle très directement des OIV français. La définition européenne diffère de la LPM française si bien que des organisations peuvent être à la fois OIV et OSE, et des entreprises qui n’étaient pas concernées par la LPM française peuvent tomber sous la coupe de la directive NIS. En 2018, au moment de la mise en application de NIS, la France avait identifié 122 OSE, mais la volonté de l’ANSSI était clairement d’accroître rapidement ce chiffre afin de rehausser le niveau de sécurité d’un nombre d’acteurs beaucoup plus grand.
Pas encore adoptée, la nouvelle directive NIS 2 va pourtant clairement dans ce sens. Le nombre de secteurs d’activité concernés va passer de 19 à 35 et le nombre d’entreprises françaises concernées pourrait être multiplié par 10.
Le pas en avant sera très significatif puisque les obligations porteront tant sur les OSE que leurs sous-traitants et prestataires. Le terme d’OSE sera lui-même amené à disparaître au profit des entités essentielles (EE) et des entités importantes (EI).
OIV, OSE, EE ou IE, quel que soit le terme employé, de plus en plus d’entreprises vont devoir rehausser leur niveau de sécurité cyber et mettre en œuvre des technologies de chiffrement. Un impératif pour relever le défi posé par le cybercrime.
