Bioboa.fr
cyber-securite

Cybersécurité : nouvelles obligations pour les OIV

Les opérateurs d’importance vitale ou OIV sont obligés d’informer les autorités des contraintes, des lourdeurs, des coûts, et des attaques informatiques. Les OIV sont des entreprises qui oeuvrent dans des activités, jugées stratégique pour la nation. Un décret renforçant les obligations de 218 entreprises de tous secteurs comme les banques, les opérateurs télécoms, ou encore la grande distribution, vient d’être publié un an et demi après le vote de la loi de programmation militaire.

L’Agence Nationale de la Sécurité des Systèmes d’information ou ANSSI, ou des prestataires labellisés comme Thales feront des audits sur les OIV via des systèmes de détection des intrusions qui devront être implantés.

Les intrusions dont ils sont victimes à communiquer

Ce système coûtera plusieurs centaines de milliers d’euros chaque année pour les grandes structures. Patrick Chambet, membre du conseil d’administration du Club des experts de la sécurité de l’information et du numérique ou CESIN a expliqué qu’il y a des oppositions de principe, vu que ces mesures sont onéreuses et peuvent arrêter les affaires. Devant des experts de la sécurité informatique dans la banque, Guillaume Poupard, directeur général de l’ANSSI a affirmé que le but est d’imposer des choses avec intelligence en créant un lien de confiance. Thierry Rouquet, président de la commission sécurité de l’AFDEL (éditeurs de logiciels)a déclaré qu’il faut faire attention sur la notion d’OIV, pour échapper aux contraintes rencontrées avec ces obligations.

Les OIV ne veulent pas communiquer les intrusions dont ils sont victimes à l’ANSSI. Jusqu’à maintenant, ce sont les opérateurs télécoms seuls qui se sont pliés à cette obligation, via une directive européenne. Didier Gras, le responsable de la sécurité des systèmes d’information de BNP Paribas a noté qu’il est d’accord pour partager avec l’Etat, mais cela doit se faire dans les deux sens. Il demande sque l’ANSSI communique les attaques dont est victime l’Etat. Il est convaincu que ces informations lui permettront de mieux se protéger. Toutefois, il y a eu des échanges mais l’ANSSI ne donne pas beaucoup d’informations. Un cadre de l’agence a déclaré que la plupart des OIV affichent un grand retard sur leurs procédures de sécurité, et il est impossible d’exploiter de telles informations.  Surtout, des entreprises vulnérables ne disposeront pas des informations venant de l’ANSSI. Thierry Rouquet annonce qu’il est essentiel de partager les informations pour renforcer considérablement la protection des entreprises. Des discussions se suivront pour la précision de la nature des données échangeables entre l’agence et les OIV.

Have something to add? Share it in the comments.