IV. LES OPÉRATEURS D'IMPORTANCE VITALE (OIV)
Plus de deux cents opérateurs d'importance vitale , dont la moitié appartenant au secteur privé, sont recensés en France
Cependant il est évident que la sécurisation numérique des OIV, qui sont des entreprises de tailles diverses, ne doit pas se limiter à ceux-ci mais également s'étendre à des entreprises employant des personnels nombreux ou traitant de secrets technologiques ou industriels, sans compter que toute entreprise peut être utilisée comme relais dans des attaques de grande ampleur .
La sécurisation numérique des opérateurs d'importance vitale (OIV) s'insère dans une construction d'ensemble partant du Livre blanc de la défense et de la sécurité nationale et de la loi de programmation militaire qui prévoient des référentiels de sécurité édictés par l'État pour les systèmes d'information critiques . Elle tend à améliorer la détection des attaques informatiques grâce à des systèmes exploités sur le territoire national par des prestataires qualifiés et de notifier toutes les attaques informatiques à l'ANSSI et aux autorités de régulation compétentes dans leur secteur, comme l'Autorité de sécurité nucléaire (ASN), par exemple.
En outre, la loi de programmation militaire de 2013 a prévu :
- le droit pour le Premier ministre d'imposer des règles de sécurité aux systèmes d'information critiques des opérateurs d'importance vitale , par exemple l'installation de systèmes de détection d'attaque labélisés par l'ANSSI ;
- la notification obligatoire au Premier ministre de certains incidents de sécurité ;
- la mise en place de contrôles de sécurité effectués discrétionnairement sur ordre du Premier ministre , et aux frais des opérateurs, par l'ANSSI ou des prestataires qualifiés par elle ;
- enfin, en cas de crise majeure, le Premier ministre peut décider des mesures que les opérateurs doivent mettre en oeuvre ;
Après une période de concertation au cours de l'année 2014, des mesures devaient être mises en place au 1 er janvier 2015 selon des agendas adaptés à chaque secteur d'activité d'importance vitale .
De plus, les systèmes d'information critiques des OIV doivent faire l'objet de contrôles .
Enfin, en cas d'attaque majeure, ces opérateurs devront mettre en oeuvre toute mesure de défense informatique décidée par le Premier ministre .
Ces attaques informatiques majeures sont considérées avec autant d'attention qu'un état de guerre, de terrorisme ou des actes d'espionnage.
À noter que l'application de ces règles peut rencontrer des difficultés dans la mesure où la liste des OIV étant classifiée « confidentiel défense », certains dirigeants et, a fortiori leurs personnels, ne sont pas toujours au courant du statut d'OIV de leur entreprise et ne peuvent donc avoir qu'une conscience limitée des enjeux de sécurité nationale liée à son activité .
Comme l'entreprise doit s'organiser eu égard aux états de crise numérique envisagés, elle doit commencer par indiquer clairement à l'ANSSI les personnes constituant des points d'entrée dans l'entreprise afin que la gestion de l'attaque ne soit pas déficiente dès les premières minutes. En effet, il est essentiel que les dirigeants de l'entreprise comprennent immédiatement le caractère vital de la menace exercée à leur encontre .
Jusqu'alors, en cas de crise numérique, les entreprises n'avaient pas tendance à se tourner vers l'État car il n'existait ni partenariats ni, a fortiori , d'exercices de crise entre elles et l'ANSSI. Désormais, les entreprises devront davantage étudier les interdépendances existant entre elles et leurs sous-traitants et fournisseurs.
De plus, il n'est pas toujours aisé de déterminer le type d'attaques qui aura le plus d'impact sur telle ou telle entreprise.
Il est important que les OIV mettent en place des systèmes de détection qualifiés mais les systèmes de détection actuels étant majoritairement nord-américains, un problème de souveraineté se pose.
Vos rapporteurs espèrent que, de ce problème, puisse jaillir une opportunité dans la mesure où la possession de sondes de détection de confiance devrait pouvoir faire naître un marché d'outils souverains français ou européens.
L'ANSSI pourrait d'ailleurs aider les entreprises à s'entraîner pour tester leur matériel à partir de la détection d'incidents passés non répertoriés officiellement ;
Enfin, de grandes entreprises seront peut-être considérées comme des OIV en France et également, ou non, à l'étranger, ce qui peut compliquer les règles à leur appliquer selon le territoire considéré.
A. LA PROBLÉMATIQUE GÉNÉRALE
La perception de l'importance stratégique des opérateurs d'importance vitale est assez récente puisque c'est un arrêté du 2 juin 2006 qui dresse la liste des secteurs d'activité d'importance vitale , c'est-à-dire ceux liés à la possibilité de l'exercice de la souveraineté nationale.
Le bon fonctionnement des onze secteurs recensés repose sur le numérique. Certains concernent très directement le numérique comme, par exemple, les matériels destinés à intercepter les correspondances, à détecter à distance les conversations, la cryptologie et la cryptographie, l'évaluation de la sécurité des produits et des systèmes de l'information.
Les investissements étrangers dans ces secteurs doivent être autorisés par le ministre chargé de l'économie .
Depuis 2006, les directives nationales de sécurité (DNS) ont précisé ce qu'il fallait entendre par opérateurs d'importance vitale et les droits et obligations attachées à ce statut .
À noter qu'une trop grande rigidité en la matière risquerait de ne pas être adaptée à la rapidité des mutations.
Par comparaison, aux États-Unis d'Amérique, le président peut placer à tout moment un secteur d'activité, une organisation ou une entreprise sous la protection dont bénéficient les opérateurs d'importance vitale. Cette réactivité peut permettre d'empêcher à temps un investissement étranger intempestif.
Il est vrai que c'est dès 1998 que le président William Clinton a pris le décret présidentiel n° 63 pour mettre en place une « protection des infrastructures de base des États-Unis » au moyen notamment d'une coordination assurée par le National Infrastructure Protection Center (NIPC) .
Les attentats du 11 septembre 2001 ont conduit au renforcement de cette préoccupation à travers une série de nouveaux organismes et de programmes incluant d'ailleurs une capacité offensive en matière de cybersécurité et l'organisation régulière, dès 2006, de simulations d'attaques numériques à grande échelle contre le pays incluant des entreprises et des gouvernements étrangers comme ceux du Canada, du Royaume-Uni et de la Nouvelle-Zélande.
Comme toujours aux États-Unis d'Amérique, ces initiatives ont été accompagnées, dès 2003, par l' édiction de normes relatives, cette fois, à la sécurité du parc informatique des administrations fédérales et des systèmes de communication stratégiques .