le cyber livre blanc de la défense 2013 est en kiosque

Le livre blanc de la défense édition 2013 est arrivé en kiosque : téléchargez-le ici !

Il était très attendu par nombre d’acteurs gouvernementaux, militaires ou civils. Passons sur les débats budgétaires pour nous concentrer sur la sécurité des systèmes d’information, ou plutôt la cybersécurité. Car le préfixe cyber est récurrent dans le document sous ses déclinaisons :

  • cyberattaques
  • cyberespace
  • cyberdéfense
  • cybermenace
  • sans compter le cybernétique

Je vous conseille de mettre votre dictionnaire orthographique à jour avec ces termes maintenant consacrés. Il ne manque que le cyber-réserviste à la panoplie (voir à la fin).

la relation entre l'Etat et le cyberespace

Avec le cyber, on confirme la création d’un nouvel espace de combat, le cyberespace :

Afin d’acquérir et de conserver la supériorité opérationnelle sur nos adversaires, ces engagements de coercition seront conduits de façon coordonnée dans les cinq milieux (terre, air, mer, espace extra-atmosphérique et cyberespace).

Le livre précise que la défense de la nation repose sur un ensemble d’acteurs :

Au niveau national, les responsabilités sont de plus en plus partagées entre l’État, les collectivités territoriales et les opérateurs d’infrastructures vitales.

On rappelle ainsi l’importance des 12 secteurs d’activité d’importance vitale (SAIV), définis par l’arrêté du 2 juin 2006, qui sont :

  • activités civiles de l’État
  • activités judiciaires
  • activités militaires de l’État
  • alimentation
  • communications électroniques, audiovisuel et information
  • énergie
  • espace et Recherche
  • finances
  • gestion de l’eau
  • industrie
  • santé
  • transports

les impacts sur les secteurs d'activité d'importance vitale

Et on précise page 106 que ce concept va être accompagné par :

un dispositif législatif et réglementaire approprié, des standards de sécurité à respecter à l’égard de la menace informatique et veillera à ce que les opérateurs prennent les mesures nécessaires pour détecter et traiter tout incident informatique touchant leurs systèmes sensibles. Ce dispositif précisera les droits et les devoirs des acteurs publics et privés, notamment en matière d’audits, de cartographie de leurs systèmes d’information, de notification des incidents et de capacité pour l’agence nationale de la sécurité des systèmes d’information (ANSSI), et, le cas échéant, d’autres services de l’État, d’intervenir en cas de crise grave.

Standards, devoirs, audits, incidents... à n’en pas douter le guide d’hygiène informatique publié par l’ANSSI va devenir un livre de chevet pour bon nombre d’acteurs SAIV, et leurs sous-traitants. En effet, un acteur SAIV va devoir placer des contraintes sur ses fournisseurs afin d’atteindre la résilience qui lui est imposée par les autorités.

prenons un exemple théorique

Soit un grand magasin alimentaire avec une large zone de chalandise. Imaginons qu’un décret lui impose de pouvoir alimenter la population pendant quelques jours sur des denrées essentielles. Supposons qu’à cette fin, il a besoin que ses congélateurs soient opérationnels, et donc alimentés en électricité. Mais justement, la situation de crise fait que les opérateurs fournisseurs connaissent des difficultés.

On se dit, pas de problème, puisque l’électricité est un SAIV, tout est prévu pour alimenter mon magasin. Que nenni, car la quantité réduite de courant sera envoyée prioritairement vers la police, les hôpitaux, les pompiers… et autres secteurs traditionnellement prioritaires. Il faut donc que le magasin se dote d’une alimentation de secours, comme des groupes électrogènes ou une autre solution de son choix, mais opérationnelle et auditable.

Prenons le secteur des télécom. C’est un SAIV, ce qui ne veut pas dire que Madame Michu aura le téléphone et l’Internet quoi qu’il arrive. Par contre, une entreprise SAIV pour laquelle l’Internet est indispensable pour sa continuité d’activité devra placer des exigences appropriées envers ses fournisseurs télécom. Et payer le service en conséquence.

Terminons sur une note plus positive, la réserve citoyenne composée de citoyens et de citoyennes qui donnent volontairement de leur temps pour aider à la cyberdéfense. Qui pourrait, par exemple, se décliner en « génération Y, la nation a besoin de vous ».

Eric

crédit photo : © Nomad_Soul - Fotolia.com

Eric Wiatrowski

Je suis Chief Security Officer pour Orange Business et adore les systèmes de management de la sécurité de l'information et autres boucles PDCA. Mon but est d'obtenir le meilleur cocktaïl d'humains, process et outils pour faire tourner de l'oeil les hackers. Je donnerais ma main droite pour une Déclaration d’Applicabilité de la certification ISO 27 001 avec les bons controles et justificatifs.