<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1033252670099820&amp;ev=PageView&amp;noscript=1">
New Call-to-action

OIV : Êtes-vous prêts pour les nouvelles réglementations ?

› › › RETOUR AU BLOG

[fa icon="calendar"] 30 juin 2016 18:26:43 / by Cécile Garrett

Les cyber-attaques sont devenues aujourd'hui monnaie courante : phishing, ransomware, usurpation d'identités, vols d'informations commerciales.... Mais lorsque l’une d’entre elles concerne un opérateur d’importance vitale (OIV), il est alors question de sécurité nationale.

A la veille de la mise en vigueur des nouvelles procédures de protection des systèmes d’information d'importance vitale (SIIV), les OIV ont 3 mois pour se mettre en règle.

oiv-nouvelles-reglementations.jpg

Les cyber-attaques évoluent… La réglementation protégeant les OVI aussi

Dans un contexte numérique critique, il est primordial de mettre à jour la législation de façon à protéger et sécuriser les OIV des menaces qui pèsent sur leurs systèmes d’information. Et c’est précisément ce qui a été discuté lors de l’élaboration des règles décrites dans les arrêtés des 10 et 17 juin derniers concernant les secteurs de la protection des citoyens - Produits de santé, Gestion de l’eau et Alimentation, en collaboration avec l’ANSSI (Agence nationale de sécurité de systèmes d’information). Car il ne s’agit pas de réagir face à l’attaque, mais bien de l’anticiper en construisant un système de défense adapté pour protéger les informations les plus délicates de ces structures sensibles et éviter une cyber-attaque destructrice.

Quelles nouvelles normes pour les OIV ?

Dès le 1er juillet, date de la mise en vigueur de ces arrêtés, les OIV des secteurs de la protection des citoyens, les prestataires de services de confiance, ainsi que les services de l’Etat disposeront d’un délai de 3 mois pour appliquer 20 nouvelles règles de cybersécurité.

20 règles quiprécisent ou modifient la politique et les procédures de sécurité des systèmes d’information au sein des OIV. Plus particulièrement :  

  • Seuls les services et équipements indispensables au bon fonctionnement des systèmes devront être activés,
  • Une veille d’information des alertes sécurité en temps réel devra être opérée pour anticiper les incidents,
  • Une mise à jour des rapports d’audit et de conformité de tous les SIIV devra être effectuée au minimum tous les 3 ans,
  • Des procédures précises de traitement des incidents de sécurité devront être mises en place (notamment concernant la gestion de crises, le cloisonnement et le filtrage des données, ainsi que l’évaluation des indicateurs de sécurité). Les OIV seront également sommés de déclarer un quelconque incident de sécurité à l’ANSSI et de réaliser un relevé technique relatif aux incidents et analyses en résultant qui devra être conserver pendant une durée minimum de 6 mois.
  • Enfin, des règles d’identification et de droits d’accès aux données sensibles devront être suivies.

De Nouvelles Règles d’Identification et de Droits des Accès à Privilèges

Elles représentent exactement 25% de toutes les procédures mentionnées dans les textes de loi relatifs aux OIV du secteur de la protection des citoyens et constituent donc une partie importante de ces nouveaux arrêtés. Alors à quoi faut-il s’attendre ?

  1. Les accès à privilèges devront être instantanément identifiés grâce à la création de comptes individuels dont la connexion pourra être désactivée sans aucun délai,
  2. Le mécanisme d’authentification devra être basé sur un élément secret et des règles de gestion de ces éléments devront être définies et modifiables par l’opérateur,
  3. Des règles de gestion et d’attribution des droits d’accès aux ressources des systèmes d’importance vitale devront être définies,
  4. Des règles de gestion et d’attribution des comptes d’administration réservés aux super-utilisateurs devront être définies,
  5. Les accès à distance devront être protégés par des mécanismes de chiffrement et d’authentification conformes aux règles préconisées par l’ANSSI.

L’application de telles normes au sein des OIV permettra de renforcer la fiabilité de leurs systèmes d'information et d’instaurer un climat de sécurité et de confiance auprès des citoyens. Non seulement cela, mais elles aideront les organismes à développer leur expertise et connaissances en cybersécurité, notamment grâce à l’échange d’information en cas d’incident. Car même si reconnaître une cyber-attaque est désagréable, « [s]i un acteur d’un secteur est attaqué, souvent d’autres acteurs du même secteur le sont aussi, souvent sans le savoir » assure le directeur général de l’ANSSI, Guillaume Poupard. Il s’agit donc de collaborer en appliquant les règles et procédures de sécurité pour assurer un environnement informatique plus sûr.

Entre conformité et gestion simultanée des accès à privilèges, quelle solution ?

« Les OIV sont conscients de l’intérêt de se protéger. Mais ça coûte cher », reconnaît Guillaume Poupard.

La solution ? Connaître ses besoins fondamentaux en cybersécurité et y répondre avec un outil adapté et ciblé. Il y a plusieurs bénéfices à cette démarche spécifique :

  • Un coût réduit
  • Une adoption plus propice
  • Une capacité de réaction et de détection des menaces plus rapide

Chez WALLIX, nous sommes convaincus que les données confidentielles constituent le cœur même d’une organisation. Sans elles, impossible de fonctionner. C’est pourquoi nous proposons une solution centrée sur la sécurisation des accès à privilèges pour renforcer la protection des données critiques.

Certifiée par l’ANSSI, le Bastion de WALLIX est une solution de gestion des comptes à privilèges tout-en-un permettant de sécuriser et superviser les accès et sessions des super-utilisateurs. Dotée d’un coffre-fort à mots de passe fournissant des éléments d’authentification complexes, secrets et modifiables, elle trace toute action prise sur un compte privilégié grâce à des fonctionnalités d’enregistrement et de surveillance en temps réel. Cette traçabilité alliée à des fortes capacités d’audit optimise la réactivité des responsables sécurité en cas d’incident et s’inscrit dans les règles de conformité décrites par l’ANSSI. Sans agent,le Bastion est facile à déployer et rapide à mettre en œuvre.

Vous souhaitez en savoir plus ? Cliquez ici ou demandez une démo gratuite en ligne !

New Call-to-action

Topics: Preventing Insider Threat, Reaching IT Compliance

Cécile Garrett

Written by Cécile Garrett