FAQ - Systèmes d’information d’importance vitale

Publié le 18 Août 2022 Mis à jour le 13 Novembre 2023

Quels sont les arrêtés sectoriels déjà entrés en application ?

Les arrêtés sectoriels sont entrés en vigueur par vague :

Identification et déclaration des SIIV 

Comment déterminer si un système d’information est un SIIV ?

Pour déterminer si un système d’information (SI) est un SI d’importance vitale (SIIV), les Opérateurs d’importance vitale (OIV) doivent mener, selon la méthode de leur choix, une analyse des impacts sur leurs activités vitales qui peuvent résulter d’une atteinte à la sécurité ou au fonctionnement du système.
Les OIV doivent impérativement mener ces analyses pour certains types de systèmes d’information pré déterminés pour leur secteur d’activité.

Comment remplir le formulaire de déclaration d’un système d’information d’importance vitale (SIIV) ?

La loi prévoit que les OIV déclarent leurs systèmes d’information d’importance vitale à l’ANSSI suite à l’entrée en vigueur de l’arrêté sectoriel relatif à chaque secteur, le délai étant précisé dans chaque arrêté. Pour déclarer leurs SIIV, les opérateurs utilisent le formulaire de déclaration dédié. La déclaration d’un SIIV est classifiée au niveau « Confidentiel défense ». Pour ce faire, le formulaire vierge doit donc être complété sur un moyen conforme à l’instruction générale interministérielle 1 300. Il doit par la suite être transmis à l’ANSSI sur un CD-ROM doublé d’une copie papier, toujours dans le respect de ladite instruction.

L’OIV, en remplissant les formulaires, recherche un langage clair et compréhensible par des lecteurs non familiarisés avec le métier de l’opérateur.

Comment remplir le champ « Brève description fonctionnelle » ?

Il doit être utilisé par l’OIV pour décrire fonctionnellement le SIIV. L’OIV fera apparaître la fonction métier du SIIV, ainsi que la mission d’importance vitale dans laquelle il s’inscrit. Cette description doit permettre une compréhension globale du système.

Comment remplir le champ « Principaux composants et caractéristiques techniques du système d’information » ?

Il est utilisé par l’OIV pour décrire techniquement le SIIV. L’OIV pourra indiquer dans cette partie :

  • le type d’architecture fonctionnelle du SIIV (architecture 3tiers, architecture clients-serveurs, système industriel composé d’automates et de postes de supervision et de commandes…) ;
  • les principaux types d’équipements actifs (marques, gammes, produits) qui composent le SIIV et le nombre approximatif de ces équipements ;
  • les types d’interconnexions présentes entre ces équipements ;
  • les versions des principaux logiciels, systèmes d’exploitation, firmware utilisés sur les différents équipements.

Cette description n’est pas éloignée d’une cartographie élémentaire du SIIV.

Exemple pour un SI bureautique
Le réseau bureautique est composé de 600 postes de travail sous Windows 7, de 13 serveurs Windows Server 2008 R2 ou 2003 SP2. Authentification, gestion des droits d’accès et configuration des postes utilisateurs et serveurs réalisées par un annuaire Active Directory (3 contrôleurs de domaine). Architecture mono-domaine et mono-forêt sans relation d’approbation. Messagerie Exchange 2013 (4 serveurs). Chaque utilisateur bénéficie d’un espace réseau présent sur une architecture de stockage unifiée NetApp ONTAP 8. Les équipements sont interconnectés par un réseau Ethernet via des commutateurs de type CISCO 2960G. Interconnexion Internet via un pare-feu de type sn300.

Exemple pour un SI industriel
Le système d’information est composé de :

  • 10 automates programmables de la marque SIEMENS de la gamme S7-300;
  • deux écrans tactiles de commandes;
  • deux postes de supervision sous Windows 7 SP1;
  • un serveur sous Windows Server 2012;

Ces équipements échangent entre eux en réseau via les protocoles modbus et Ethernet. Ce réseau n’a aucune interconnexion avec un autre réseau.

Quelles sont les informations attendues dans les champs relatifs à l’externalisation ?

Les entités (branche, filiale, département…) des prestataires qui hébergent, exploitent ou maintiennent les SIIV devront être précisées dans les différents champs réservés à l’externalisation.

Comment remplir le champ « Impacts sur les activités de l’opérateur ou sur la population en cas d’atteinte à la sécurité ou au fonctionnement du système d’information » ?

Il doit permettre de décrire l’impact sur le fonctionnement et sur les missions d’importance vitale faisant suite à une attaque le SIIV. Les impacts pouvant être différents en fonction du type d’attaque et des mesures de sécurité déjà mis en œuvre, ils devront être explicités dans cette partie.

Lorsqu’il se présente plusieurs SIIV identiques, doit-on utiliser un seul formulaire ?

Le principe est que chaque SIIV est déclaré par un formulaire distinct. Ainsi, même si des SIIV sont identiques, ils doivent être déclarés par autant de formulaires. Ils ne peuvent être déclarés par un seul formulaire que s’ils sont interconnectés et constituent en réalité, dans leur regroupement, un seul SIIV.

L’ANSSI peut-elle imposer à un OIV de déclarer un système d’information en tant que SIIV ?

L’ANSSI, ainsi que le ministère coordinateur du secteur d’importance vitale, peuvent faire des observations à un OIV sur sa liste de SIIV. L’OIV est tenu de prendre en compte ces observations et de modifier sa liste de SIIV conformément à ces observations. Ces observations peuvent aller jusqu’à prescrire la désignation d’un système d’information particulier en tant que SIIV.

Pourquoi n’est-il pas possible, pour un OIV, de déclarer ses SIIV sur le site web de l’ANSSI ?

Les listes de SIIV doivent être protégées par le secret de la défense nationale, c’est-à-dire classifiées au moins au niveau Confidentiel Défense. Elles sont donc à adresser à l’ANSSI uniquement par voie postale en respectant les règles en vigueur ou en utilisant des moyens de communication électronique sécurisés fournis par l’ANSSI.

Quand envoyer à l’ANSSI la mise à jour annuelle de la déclaration des SIIV, ainsi que les indicateurs demandés dans la règle 20 ?

L’ANSSI invite les opérateurs à lui envoyer chaque année, entre le 1er et le 30 novembre :
– la mise à jour annuelle de la déclaration des SIIV (dans le cas où aucun changement n’a été constaté par l’opérateur, un simple document informant l’ANSSI que les déclarations précédentes restent valides suffit) ;
– les indicateurs prévus par la règle 20 des arrêtés sectoriels.

Ces envois doivent être effectués dès lors que la règle est entrée en vigueur depuis au moins une année pleine. Il est rappelé que les formulaires de déclaration des SIIV sont couverts par le secret de la défense nationale et que les indicateurs sont des documents sensibles, susceptibles le cas échéant d’être aussi couverts par le secret de la défense nationale.

Règles de sécurité

Généralités 

Comment les règles de sécurité s’appliquent-elles aux sous-traitants des OIV ?

Les OIV doivent prendre les mesures nécessaires, notamment par voie contractuelle, pour garantir l’application des règles de sécurité aux SIIV opérés par leurs sous-traitants. En cas de difficultés pour conclure une convention de service, il est recommandé aux OIV de se rapprocher de l’ANSSI afin qu’une solution appropriée soit trouvée.

Dans quels délais les règles de sécurité doivent-elles être appliquées ?

Dans chaque secteur d’activité, les délais d’application des règles de sécurité sont notifiés aux OIV du secteur.

Quelles seront les conséquences pour un OIV du non-respect d’une règle de sécurité ?

Le dispositif LPM prévoit que l’ANSSI, d’autres services de l’État ou des prestataires qualifiés par l’ANSSI, réalisent des contrôles de sécurité ayant notamment pour objectif de vérifier l’application des règles. Si le non-respect d’une règle est constaté, l’opérateur pourra être mis en demeure d’appliquer la règle concernée.
En dernier recours, des sanctions financières, tant pour le dirigeant que pour l’opérateur, sont prévues par la loi. L’article L.1332-7 du code la défense[AL18]  prévoit une amende de 150 000 euros pour les personnes physiques et une amende pouvant s’élever à 750 000 euros pour les personnes morales.

Dans quels cas est-il obligatoire de faire appel à un prestataire qualifié par l’ANSSI ?

La règle de détection impose la mise en œuvre par des prestataires de détection des incidents de sécurité (PDIS) qualifiés de sondes de détection qualifiées (en dehors des cas où l’ANSSI ou un autre service de l’Etat en est chargé).
La règle d’homologation impose la réalisation d’audits effectués soit par une équipe interne à l’OIV soit par un prestataire d’audit de la sécurité des systèmes d’information (PASSI) qualifié par l’ANSSI.

Sur quelle base sont qualifiés les systèmes de détection ?

Les systèmes de détection sont qualifiés au niveau élémentaire. Ils ont fait l’objet d’une évaluation de la sécurité permettant de s’assurer de leur robustesse, mais aussi de tests métiers permettant d’apprécier leur efficacité et leurs performances en matière de détection.
Ces dispositifs visant in fine une qualification standard, ils devront continuer à évoluer, notamment pour compléter leur capacité à analyser l’ensemble des flux échangés entre les SIIV et les systèmes d’information tiers à ceux de l’opérateur.

Quelle est la portée des systèmes de détection qualifiés ?

L’étude initiale menée par l’OIV pour cartographier les flux à superviser et déterminer le positionnement des sondes doit prendre en compte le fait que les sondes qualifiées à ce jour ne sont pas adaptées à l’analyse des flux industriels ou à des flux applicatifs très spécifiques. Dès lors, dans la mesure où les SIIV à protéger sont industriels, les sondes qualifiées devront être positionnées à des points d’interconnexion entre les SI Industriels et les réseaux IT traditionnels où transitent des flux qu’elles sont en mesure d’analyser. Pour la protection des interconnexions entre deux SI industriels où ne transiteraient que des protocoles industriels ou des flux applicatifs très spécifiques, l’OIV se rapprochera de son coordinateur sectoriel à l’ANSSI qui pourra l’orienter sur les actions à entreprendre.

Qu’en est-il des TAP ?

Le recours à un TAP qualifié par l’ANSSI est une condition d’utilisation des systèmes de détection qualifiés. La qualification du TAP garantit la réplication intègre et l’absence d’interférence avec le système d’information sur lequel est installé le système de détection. L’objectif est ici de protéger le système supervisé vis-à-vis du système de supervision.

Est-ce que d’autres systèmes de détection seront à terme qualifiés ?

D’autres systèmes de détection visent la même qualification.

Est-il prévu de qualifier des SIEM ?

L’architecture des prestataires de détection des incidents de sécurité (PDIS) permet d’utiliser différents équipements et produits non-qualifiés dont des SIEM. La qualification du système de détection repose sur l’utilisation de TAP et d’un système de détection qualifiés mais non sur l’utilisation d’un SIEM qualifié.

Comment sont réalisés les tests métiers ?

Des tests d’efficacité des systèmes de détection ont été réalisés. L’ANSSI a défini la méthodologie et spécifié les tests à réaliser pour assurer l’évaluation des fonctions nécessaires. Cette procédure expérimentale s’inscrit dans l’application de la revue stratégique cyber sur l’efficacité des dispositifs qualifiés par l’ANSSI.

Dans quels cas est-il obligatoire d’appliquer les référentiels de l’ANSSI ?

Les audits imposés par la règle d’homologation doivent être effectués conformément au référentiel PASSI.
Par ailleurs, pour l’analyse de journaux et le traitement des incidents, les règles imposent que les prestations soient conformes respectivement aux référentiels PDIS et PRIS.
La conformité de ces prestations aux référentiels de l’ANSSI pourra être vérifiée lors des contrôles.
Lorsqu’une prestation conforme aux référentiels de l’ANSSI est exigée, il est recommandé de recourir à une prestation qualifiée. La qualification étant la garantie par l’ANSSI que la prestation est conforme aux référentiels.

Politique de sécurité des systèmes d’information (PSSI)

Est-il nécessaire de rédiger une PSSI spécifique aux SIIV ?

La règle relative à la PSSI impose des obligations a minima sur le périmètre des SIIV, mais celles-ci peuvent être intégrées à la PSSI globale de l’entité.
En termes de contenu, la PSSI applicable aux SIIV doit respecter les exigences fixées par les arrêtés sectoriels.

 

Homologation de sécurité

Qui prononce l’homologation d’un SIIV ?

L’homologation d’un système est l’acte formel selon lequel le responsable du système atteste que les risques pesant sur la sécurité de ce système ont été identifiés et que les mesures nécessaires pour le protéger sont mises en œuvre, les éventuels risques résiduels étant identifiés et acceptés.
Ce sont donc les OIV eux-mêmes qui prennent les décisions d’homologation de leurs SIIV.

Quel est le profil souhaité comme Autorité d’Homologation (AH) ?

L’AH doit être un représentant de l’OIV qui dispose de l’autorité suffisante pour engager la responsabilité de l’OIV sur la décision d’homologation. La décision appartient à l’OIV.

Un OIV peut-il décider, lors de l’homologation d’un SIIV, de déroger à certaines règles de sécurité, à condition d’accepter les risques résiduels ?

Les règles de sécurité fixées par les arrêtés sectoriels sont obligatoires. Elles doivent être appliquées à tous les SIIV dans les délais prévus par ces arrêtés, indépendamment de la démarche d’homologation.
Certaines règles prévoient la possibilité pour l’opérateur d’appliquer des mesures alternatives lorsque des raisons techniques ou opérationnelles rendent difficile l’application de la règle. Dans ce cas, l’opérateur doit justifier dans le dossier d’homologation ces raisons et les mesures alternatives qu’il met en place.
L’audit effectué dans le cadre de la démarche d’homologation doit permettre de vérifier que les règles sont bien appliquées.

Comment se détermine le niveau de sensibilité ou de classification des documents transmis à l’ANSSI ?

Dans certains cas, l’OIV peut décider du niveau de protection de tout ou partie de ces documents en fonction du niveau de sensibilité des informations associées (marquage Diffusion restreinte, classification au niveau confidentiel défense voire exceptionnellement secret défense). Les documents sensibles ou classifiés doivent être transmis à l’ANSSI uniquement par voie postale ou par des moyens de communication électronique sécurisés et conformément à la réglementation (instruction générale interministérielle n° 1300).
Dans certains cas, la classification d’un document est imposée par la réglementation et l’OIV doit la respecter. Par exemple, l’article R1332-41-2 du code de la défense prévoit que la liste des systèmes d’information d’importance vitale relève du secret de la défense nationale.

 

Détection

Un OIV peut-il être son propre prestataire de détection ?

Un OIV peut agir comme prestataire de service exploitant des systèmes de détection pour ses besoins propres sous réserve d’être qualifié par l’ANSSI.

Concernant la supervision, est-il possible d’avoir recours au prestataire de détection à la fois pour les SIIV et le reste du SI, avec une gestion unifiée ?

Oui, le référentiel PDIS précise que la mutualisation est autorisée. Elle est par ailleurs recommandée dans la mesure où recourir à une prestation de détection des incidents non qualifiée peut potentiellement exposer l’opérateur à certains risques et notamment la fuite d’informations confidentielles vers d’autres clients du prestataire, la perte ou l’indisponibilité du service.
Ainsi, une prestation qualifiée PDIS sur l’ensemble SIIV/SI aura des effets vertueux comme le partage de la connaissance de la menace et de règles de détection.

 

Traitement des alertes

Est-il obligatoire de mettre en place un service de permanence dédié à la SSI ?

Non, la règle de traitement des alertes a pour objectif de permettre à l’ANSSI de contacter à tout moment chaque OIV pour leur fournir des informations relatives à des incidents, des vulnérabilités et des menaces. Il peut donc s’agir de tout type de service de permanence.

Traitement des incidents

Le SI mis en œuvre afin de traiter les incidents doit-il être dédié aux SIIV ?

Un système d’information spécifique doit être mis en place pour traiter les incidents, notamment pour stocker les relevés techniques relatifs aux analyses des incidents. Ce système est cloisonné vis-à-vis du SIIV concerné par l’incident.
Il n’est pas obligatoire de le dédier au traitement d’incidents d’un SIIV ou des SIIV de l’opérateur.

Gestion des identités et des accès

L’opérateur est-il dans l’obligation de désactiver l’intégralité des comptes qui ne sont plus nécessaires ?

La règle de sécurité stipule clairement « l’opérateur désactive sans délai les comptes qui ne sont plus nécessaires ».

 

Journalisation

Doit-on recourir à un prestataire qualifié pour la mise en œuvre des règles relatives à la journalisation et à la corrélation d’information?

Les systèmes de journalisation et de détection peuvent être mis en œuvre tant par un opérateur, qu’un prestataire, qualifié ou non. Néanmoins, ces activités devant être conforme au référentiel d’exigences relatif aux PDIS, il s’avère plus favorable de recourir à un prestataire de confiance qualifié par l’ANSSI, afin de disposer de cette garantie de conformité lors des contrôles de sécurité.

 

 

Déclaration des incidents 

Quel est l’objectif de la notification des incidents de sécurité à l’ANSSI ?

La notification des incidents de sécurité a pour objectif de permettre à l’ANSSI :
•de proposer selon les cas, à la victime de l’incident, une assistance adaptée ;
•d’évaluer la menace au plus vite et de manière plus précise ;
• d’organiser une réponse collective aux attaques informatiques majeures.

Comment déclare-t-on un incident sur le site web de l’ANSSI ?

Les formulaires sont à récupérer sur le site internet de l’ANSSI. Le formulaire de déclaration d’incidents, une fois rempli, est un document confidentiel susceptible de contenir des informations dont la révélation est réprimée par les dispositions de l’article 226-13 du code pénal. Il est, le cas échéant, couvert par le secret de la défense nationale. Par conséquent, ce formulaire doit être transmis à l’ANSSI uniquement par voie postale ou via des moyens de communication électronique sécurisés et conformément à la réglementation (instruction générale interministérielle n° 1300).

Quelles données sont transmises à l’ANSSI ?

Dans le cadre des notifications d’incidents, l’ANSSI reçoit les rapports des OIV contenant:
• une explication détaillée de l’incident, de ses conséquences et des mesures prises en réaction ;
• des données techniques permettant à l’ANSSI de qualifier l’incident.

Ces informations sont transmises par l’OIV via un formulaire téléchargeable en ligne et transmis à l’ANSSI par voie postale ou par des moyens de communication électronique sécurisés afin de garantir la confidentialité et l’intégrité des informations partagées.

Les informations collectées par l’ANSSI dans le cadre des notifications d’incidents seront-elles transmises à des tiers ?

La loi prévoit que l’État préserve la confidentialité des informations recueillies auprès des opérateurs dans le cadre des notifications d’incidents. Les informations relatives aux incidents de sécurité ne seront transmises en dehors de l’État.
L’ANSSI pourra utiliser les informations techniques issues des déclarations d’incidents afin d’anticiper et d’analyser les crises. Ces analyses, complètement anonymisées, pourront notamment être partagées avec les OIV afin de renforcer leur capacité à détecter des attaques sophistiquées.

Un OIV peut-il déléguer son obligation de notification des incidents de sécurité à son prestataire de détection chargé de ses sondes ?

Un OIV peut déléguer techniquement cette obligation de notification au prestataire chargé de ses sondes, toutefois l’OIV reste juridiquement responsable de la déclaration d’incidents auprès de l’ANSSI. L’OIV doit donc prévoir à cet effet les dispositions contractuelles nécessaires avec son prestataire.

 

Contrôles 

L’audit de contrôle doit-il être réalisé par un prestataire qualifié indépendant de l’OIV ?

L’audit de contrôle, s’il n’est pas réalisé par l’ANSSI ou un autre service de l’État, doit être effectué par un prestataire qualifié (PASSI). Celui-ci ne doit avoir notamment aucun lien juridique au sens des articles L. 233-1 et suivants du code de commerce avec l’OIV qu’il contrôle dans le cadre de l’article L. 1332-6-3 de la loi de programmation militaire (LPM).
Le prestataire qui réalise le contrôle ne peut être celui ayant procédé à l’audit dans le cadre de l’homologation.
L’OIV pourra retenir un prestataire qualifié parmi la liste des prestataires qualifiés par l’ANSSI, pouvant réaliser des contrôles LPM. Cette liste est publiée sur le site web de l’ANSSI.

Est-ce qu’un OIV dispose d’un moyen de recours contre le rapport de contrôle de sécurité ?

Les contrôles de sécurité sont réalisés selon les critères définis par l’ANSSI et inscrits dans les conventions de service. Néanmoins, en cas de contestation du rapport de contrôle de la part de l’OIV, celui-ci pourra faire valoir ses observations avant la transmission du rapport à l’ANSSI, qui pourra elle-même dans un délai de deux mois auditionner les parties concernées.

Est-ce qu’un opérateur tiers peut être également soumis aux contrôles de la LPM ?

Si un OIV déclare un SIIV dont tout ou partie de la production ou de l’administration est réalisée par un prestataire de service, ce dernier est un opérateur tiers soumis aux contrôles prévus par la LPM au même titre que l’OIV qui l’emploie. Au terme de l’article R. 1332-41-19 du code de la défense, les OIV doivent prendre toutes « les mesures nécessaires » et notamment par voie contractuelle pour garantir le respect des règles de sécurité par les opérateurs tiers dont les systèmes d’information participent à la sécurité ou au fonctionnement des SIIV de l’OIV. De ce fait, il apparait nécessaire que les contrats conclus entre les OIV et les prestataires de services contiennent une clause d’auditabilité afin de permettre l’application de la LPM et par conséquent des contrôles.

 

Sur le même sujet :
Réglementation