Infrastructures critiques : une conformité délicate, mais cruciale

Protection des infrastructures critiques : quelle réglementation ? | Stormshield

Les cyberattaques visant les infrastructures critiques comportent des risques au niveau de criticité très élevé. D’où la complexité de leur réglementation. Au vu des enjeux de sécurité à l’œuvre, nul ne peut faire l’économie de connaître et de se conformer à ce cadre législatif.

L’« infrastructure critique », au cœur du fonctionnement de la société

Derrière la formule, se cachent des sigles tels qu’OIV (Organisme d’Importance Vitale) pour la France ou encore OSE (Opérateur de Service Essentiel) pour l’Europe, mais pas seulement. L’expression désigne plus largement toutes les structures, privées ou publiques, dont la continuité de l’activité est indispensable au bon fonctionnement de l’État et de la société.

Stéphane Prévost, Product Marketing Manager Stormshield, précise : « Ce sont généralement des acteurs des télécommunications, du transport, de l’énergie ou encore de la santé… Tout organisme dont l’interruption de service, suite à une mise en défaillance de l’infrastructure informatique, aurait des conséquences dramatiques. »

Des cibles de choix pour les cyberattaquants

La bonne marche de ces structures se révèle donc indispensable au quotidien de nos sociétés et à la sécurité des populations. Mais ce statut en fait les cibles privilégiées d’actes terroristes ou de sabotages réalisés au moyen de cyberattaques. C’est d’ailleurs après les attentats du 11 septembre 2001 qu’une réflexion sur cette notion d’infrastructure critique a émergé en France.

Pour se prémunir de telles attaques via leurs systèmes informatiques, les infrastructures critiques doivent adopter un niveau de sécurité maximal, décrit par une jungle de directives, de versions et de textes réglementaires au niveau national ainsi qu’européen.

Une législation dense, pas toujours explicite

Comme l’explique Stéphane Prévost, la nature critique de ces infrastructures pousse les États membres de l’Union européenne à se doter de lois, de règlements et de directives pour faire en sorte que celles-ci soient résilientes face aux cyberattaques. « Si nous ne pouvons pas empêcher la cyberattaque, il faut tout faire pour réussir à la bloquer ou a minima à rétablir le service au plus vite ».

En France, une organisation du secteur de la santé est par exemple soumise à au moins quatre directives ou règlements européens (comme le RGPD, la NIS ou le PCI-DSS), deux lois ou directives françaises (Code de la santé publique et l'instruction interministérielle n°901) et potentiellement deux standards (Critères Communs et ISO27000). Sans parler des guides de bonnes pratiques. Ce cadre tend bien sûr à recommander des solutions, comme « l’arrêté relatif au secteur de la Santé de la Loi de programmation militaire (LPM) française qui impose le recours à des solutions de cybersécurité recommandées par l’État français », complète Stéphane Prévost.

Les bons réflexes : qualification, conformité et protection

Le premier réflexe en matière de cybersécurité est d’opter pour des produits qualifiés par l’ANSSI. La solution qualifiée s’illustre ainsi par sa conformité au cadre règlementaire et l’assurance d’être testée au plus haut niveau d’exigences.

« Le défi est de déployer la solution de cybersécurité tout en respectant les processus métier et les contraintes spécifiques à ces infrastructures comme par exemple la disponibilité ou la continuité de service », complète Houari Rachedi, Project Manager Stormshield.

Le défi est de déployer la solution de cybersécurité tout en respectant les processus métier et les contraintes spécifiques à ces infrastructures comme par exemple la disponibilité ou la continuité de service.

Houari Rachedi, Project Manager Stormshield

Cela implique parfois pour une mise à jour même mineure de passer par un environnement de test pour ne pas risquer de modifier l’écosystème du poste ou du réseau ou encore d’influer sur un produit métier sensible. « Nous anticipons au maximum en faisant remonter ces contraintes aux responsables produit pour qu’elles soient prises en compte dès la conception. Nos consultants interviennent ensuite pour accompagner nos clients dans le déploiement et le paramétrage », poursuit-il.

Heureusement, les infrastructures critiques disposent aujourd’hui d’équipes de plus en plus compétentes pour assurer la sécurité de leurs systèmes informatiques. Choisir des solutions recommandées et/ou qualifiées par l’ANSSI constitue une première étape, celle de la mise en conformité. Toutefois, l’accompagnement par des spécialistes peut également s’avérer utile pour tirer le meilleur parti des solutions implémentées dans un cadre contraint.

Partager sur

Pour vous y retrouver dans la jungle de solutions de sécurité et ses nuances lexicales (produit certifié, qualifié…), Stormshield propose un tour d’horizon pour y voir plus clair.
Il n’est pas facile d’appréhender la législation de son secteur d’activité, tant elle peut être dense et complexe, qu’elle soit nationale ou européenne. Et si on vous proposait un guide avec une entrée propre à votre secteur d’activité ?

A propos de l'auteur

mm
Julien Paffumi
Product Management Leader, Stormshield

Julien Paffumi fait ses premières armes au sein de la R&D d'Arkoon, en tant qu’ingénieur Qualité. Il va ensuite former directement les administrateurs et acquiert une connaissance étendue de leurs besoins – expérience précieuse pour son rôle suivant de Product Manager des firewalls Arkoon Fast360, puis de la console d’administration centralisée Stormshield Management Center. Avide de partager ses trouvailles, Julien travaille à présent à l’amélioration continue de la démarche de Product Management chez Stormshield en tant que Product Management Leader. Un rôle transverse qui lui permet également de nourrir son éternelle curiosité avec une approche plus globale des solutions Stormshield.