LPM et sécurité des OIV, plus de travail pour les RSSI ?

sécurité des oiv

Depuis le 1er janvier 2017, l’application de la loi de programmation militaire (LPM) va réduire le terrain de jeux des hackers… mais va encore compliquer la vie des RSSI ! Et ce, encore plus pour ceux qui ont accumulé du retard dans leur mise en conformité avec les arrêtés sectoriels des 1er juillet et 1er octobre 2016.

surcharge de travail pour la sécurité des OIV

 

Les OIV de 4 nouveaux secteurs concernés

Les organismes d’importance vitale (OIV) des secteurs de l’Audiovisuel et information, communications électroniques et Internet, industrie et finances ont, aujourd’hui, l’obligation de respecter les nouvelles règles misent en place pour renforcer leur sécurité.

Ces 4 secteurs viennent rejoindre ceux des produits de la santé, la gestion de l’eau, l’alimentation, les transports terrestres, les transports maritime et fluvial, les transports aériens, les approvisionnements en électricité, les approvisionnements en gaz naturel, et les approvisionnements en hydrocarbures pétroliers.

La loi de programmation militaire oblige les RSSI des OIV des secteurs concernés à :

  • appliquer les bonnes pratiques de sécurité indiquées dans le guide d’hygiène de l’ANSSI ;
  • cartographier et déclarer leurs systèmes d’information d’importance vitale ;
  • déclarer leurs incidents de sécurité.

L’Etat, par le biais de l’ANSSI, avance ses pions pour renforcer sa sécurité et celle de ses concitoyens. La cyber-attaque qui a touché le réseau électrique de l’Ukraine en 2015 y est sûrement pour quelque chose. Pour rappel, le malware BlackEnergy, reconfiguré pour aller perturber le fonctionnement de certains processus industriels avait privé plus de 80 000 foyers ukrainiens.
Plus proche de nous, TV5 Monde peut confirmer qu’il est nécessaire d’investir en cybersécurité avant de devoir couper tous ses programmes et de régler une ardoise de 4.6 millions d’euros.

 

Une charge de travail supplémentaire pour les RSSI

Les RSSI des OIV doivent composer avec une infrastructure informatique de taille importante et qui devient de plus en plus hybride (couplage entre Cloud privé, infrastructure physique et/ou virtualisée). Ils doivent respecter des normes de sécurité et se conformer à des standards de sécurité stricts et contraignants.

Alors comment concilier leurs tâches quotidiennes tout en appliquant la loi de programmation militaire ?

Bien qu’ils soient rigoureux sur le suivi et vigilants pour appliquer les bonnes règles de sécurité du guide d’hygiène de l’ANSSI, il leur est très compliqué de surveiller l’intégralité du parc informatique avec la même attention. Ce travail quotidien est aliénant et doit être délégué à des outils de sécurité spécifiques. Nombreux sont ceux qui ont recours à un scanner de vulnérabilité. Cette solution apporte une réponse cohérente pour détecter toutes les nouvelles vulnérabilités (environ 28 nouvelles vulnérabilités sont identifiées chaque jour) mais son utilisation n’est pas systématique. Elle est remise en cause par la charge de travail supplémentaire qu’elle génère. Le passage d’une liste de vulnérabilités à un plan de remédiation structuré prend du temps : trie, classement par criticité et catégorie, analyse des résultats, répartition et affectation aux équipes du SI, établissement d’indicateurs pertinents et compréhensibles par la direction.

 

Aider les RSSI à assurer la sécurité des OIV

Afin de répondre aux 3 obligations de la LPM et notamment à l’article 24 de le Loi de Prgrammation Militaire, SecludIT a adapté sa solution de surveillance continue Elastic Detector. A chaque obligation, la solution apporte une réponse adaptée :

– Elastic Detector est en mesure d’accompagner les RSSI pour faciliter leur mise en conformité avec la loi de programmation militaire. En se référant aux règles de sécurité du guide d’hygiène informatique de l’ANSSI, ses analyses vont identifier les bonnes pratiques de sécurité appliquées et celles qui ne le sont pas. Des rapports quotidiens sont à la disposition de l’utilisateur ce qui lui permet de suivre son niveau de conformité avec l’ANSSI de façon chronologique.

– La cartographie des systèmes d’information peut s’avérer longue afin d’obtenir une liste exhaustive. En réponse à cette problématique, Elastic Detector intègre un inventaire automatique des actifs informatiques dès son déploiement sur une infrastructure. Ses sondes vont automatiquement détecter l’ensemble du parc informatique puis chaque entité pourra être analysée séparément si besoin.

– La dernière obligation concerne la déclaration des incidents de sécurité des OIV. Les RSSI et DSI devront remplir des formulaires détaillés avec les causes de l’incident et ses impacts. Cette tâche administrative va monopoliser du temps Homme alors qu’il devrait être dédié à la protection de l’infrastructure. En mettant en place une sécurité préventive en amont, l’OIV s’assure de diminuer sa surface d’attaque et donc le risque de devoir faire face à un incident de sécurité. Cette surface d’attaque peut être réduite en moins d’une journée grâce à une analyse précise et à des rapports classant les failles par criticité. Le RSSI pourra intervenir sur les vulnérabilités qui représentent les plus grands risques d’attaque.

Elastic Detector contribue à la diminution de la charge de travail des RSSI pour leur permettre de se recentrer sur leur coeur de métier, la protection de l’IT. Nous proposons un test gratuit qui permettra au RSSI de diminuer sa surface d’attaque en 1 journée grâce à des rapports compréhensibles et détaillés.

Leave a Reply