La sécurité des opérateurs d’importance vitale mieux encadrée par la directive NIS

Le principe du SIEM (security information and event management), qui est de gérer les évènements du système d’information (SI), devient incontournable pour les opérateurs d’importance vitale (OIV).

Frédéric-Saulet-Logpoint-article

Frédéric Saulet, Directeur Régional Europe du Sud de LogPoint

Pour instaurer un niveau élevé de sécurité des réseaux et des systèmes d’information dans l’Union Européenne, la directive NIS s’impose aux opérateurs des secteurs de l’énergie, des transports, des banques et marchés financiers, de la santé, de la fourniture et distribution d’eau potable. Elle concerne également les places de marché en ligne, les moteurs de recherche et les fournisseurs de services de Cloud actifs dans l’UE. Tous doivent prendre les mesures nécessaires pour assurer la sécurité de leur infrastructure et signaler les incidents majeurs aux autorités nationales. L’application de la directive est assurée par chaque état membre de l’Union Européenne. En France, quelques jours seulement avant son approbation, les premiers arrêtés encadrant la sécurité des opérateurs d’importance vitale ont été publiés.

Face à la croissance incessante des attaques informatiques et à leur impact souvent destructeur, l’Agence Nationale de la Sécurité des Systèmes d’Informations (ANSSI) a été chargée d’accompagner les OIV privés et publics, exploitant ou utilisant des installations indispensables à la survie de la Nation, pour la sécurisation de leurs Systèmes d’information. L’ANSSI et le SGDSN (Secrétariat Général de la Défense et de la Sécurité Nationale) ont ainsi récemment annoncé les premiers arrêtés concernant les produits de santé, la gestion de l’eau et l’alimentation.

Après les attentats du 11 septembre aux Etats-Unis, la France a engagé une réflexion sur les infrastructures critiques, dans le but de moderniser et de renforcer la protection des systèmes d’information et des réseaux sensibles contre les actes de malveillance (terrorisme, sabotage, cyberattaque) et les risques naturels, technologiques, sanitaires… portant atteinte à leur bon fonctionnement. Les produits de santé, la gestion de l’eau ou l’alimentation font partie des activités très sensibles « difficilement substituables ou remplaçables ». Elles font aujourd’hui l’objet d’arrêtés définissant les obligations en matière de sécurité de ces opérateurs d’importance vitale.

En France, premier pays à mettre en place une réglementation sur la cyber-sécurité des infrastructures critiques, la promulgation de la loi de programmation militaire (LPM) prescrit l’application des conclusions de la réflexion menée. Elle impose aux OIV de renforcer la sécurité des systèmes d’information critiques qu’ils exploitent et de notifier les incidents de sécurité à l’Anssi. Pour faire face aux cyber-menaces incessantes, la première vague d’arrêtés a été publiée le 1er juillet 2016. Ces arrêtés concernent les secteurs d’activité des produits de santé, la gestion de l’eau et l’alimentation. Plusieurs autres arrêtés, concernant d’autres secteurs d’activité, devraient paraître d’ici la fin de cette année.

Homologation de sécurité des OIV

Ces premières dispositions relatives à la sécurité des systèmes d’information des OIV prennent en compte les spécificités, les enjeux et les contraintes de chaque secteur. Elles prévoient notamment l’identification des systèmes d’information d’importance vitale (SIIV), la communication des incidents de sécurité à l’ANSSI et les contrôles de suivi de la mise en place du dispositif. La sécurisation du SI passe par l’application d’un certain nombre de règles et de mesures organisationnelles et techniques de sécurité.

L’homologation du système d’information d’importance vitale est obtenue à la suite d’un audit de sécurité identifiant les risques qui pèsent sur le système et la mise en œuvre des mesures nécessaires pour s’en protéger. Dans ce cadre, le SIEM en est clairement devenu un élément incontournable.

Une surveillance permanente grâce au SIEM

Le SIEM (Security Information and Event Management) est aujourd’hui l’outil indispensable pour suivre au mieux l’état de sécurité du SI. Il permet de vérifier la conformité réglementaire tout en détectant les menaces en temps réel. En générant des alertes, le SIEM permet d’agir plus rapidement et plus efficacement. Cette surveillance permanente permet d’avoir connaissance à tout moment des incidents de sécurité et d’intervenir avec une très grande réactivité.

Au cœur de la défense et du respect de la conformité du SI, la solution de SIEM permet d’examiner le grand nombre des journaux d’événements générés par les différentes unités du SI. Ces journaux sont une mine de renseignements essentiels pour la sécurité. Ils fournissent des informations sur les accès au système par les utilisateurs, les anomalies du réseau, les pannes, la conformité aux règlements et à la politique de sécurité, les intrusions et les vols de données, etc.

Pour une sécurité active et en temps réel

Une sécurité active et efficace repose sur la corrélation des logs. En exploitant toutes les traces, le SIEM fournit un tableau de bord objectif des événements survenus, montrant la circulation des données de l’entreprise. Cet élément majeur du processus de sécurité contribue à la détection des cyber-menaces en temps réel. En cas de dysfonctionnement, une alerte est automatiquement émise, permettant d’identifier s’il y a violation de données, quand elle s’est produite, qui est impliqué… et fournissant toutes les preuves nécessaires en cas de poursuites judiciaires.

Les systèmes d’information des OIV ont sans cesse besoin de rester à jour et d’utiliser les techniques et les méthodes les plus avancées.  Le SIEM travaille dans ce sens en allouant des ressources spécifiques pour la surveillance sur le réseau, avec un modèle de traitement continu qui donne des résultats en temps réel, rapides et efficaces. Sans une solution de SIEM, il est quasiment impossible de gérer la sécurité et les risques, de réduire le nombre de situations critiques, de remédier aux risques, de respecter les exigences de conformité… en un mot de garder la maîtrise du SI.