Cybersécurité: 218 entreprises et administrations sous pression

La crainte de la panne géante d'électricité, de transport ou de téléphone provoquée par une cyberattaque, est dans tous les esprits. C'est pour l'éviter que l'Etat va imposer des mesures de protection informatique, ciblant les entreprises privées ou publiques et les administrations concernées par ces infrastructures "vitales".

La liste nominative de ces organisations, définie par l'Etat, est tenue secrète pour des raisons de confidentialité. Mais, on en connaît le nombre puisqu'ils sont 218 "opérateurs d'importance vitale", dont l'activité a été jugée stratégique pour la nation : opérateurs télécoms ou de transports publics, réseaux d'énergie, grandes banques, ministères régaliens, santé publique... 

Audit et contrôle de sécurité informatique sont obligatoires

Ces "heureux élus" ont dû attendre la parution, en application de la loi de programmation militaire de décembre 2013, du dispositif publié par décret, dimanche 29 mars 2015, pour être fixés sur les détails de leurs obligations.

Ces 218 organisations devront désormais se soumettre à des audits externes réguliers contrôlant la sécurité de leur système d'information. Elles auront aussi à installer en leur sein, des logiciels ou matériels qui détectent en permanence les intrusions informatiques venues de l'extérieur.

Le texte publié leur impose aussi de notifier systématiquement aux autorités toute intrusion ou piratage informatique dont elles auraient été victimes. Il n'est plus question de garder ce type d'incident pour elles.

Ces organisations devront, dans ce cas, "ouvrir" les portes de leur informatique aux spécialistes de la sécurité de l'Anssi (agence nationale de sécurité des systèmes d'information). Cette agence gouvernementale, rattachée au Premier ministre, est chargée d'appliquer le dispositif légal.

L'impact financier des nouvelles contraintes sera non-négligeable

"C'est le dispositif de notifications d'intrusions qui fait le plus réagir les entreprises concernées. De notre point de vue, il s'agit surtout, lorsqu'une attaque informatique a été constatée dans une société, d'organiser une défense collective des acteurs du même secteur d'activité, pour vérifier qu'ils n'ont pas été victimes du même type d'intrusion" explique Guillaume Poupard, directeur général de l'Anssi.

A l'Anssi, on ne nie pas que ces nouvelles contraintes auront un coût. "Nous allons moduler les délais à respecter pour la mise en conformité avec le nouveau dispositif, en fonction du secteur d'activité auquel les opérateurs d'importance vital, appartiennent. Mais, nous sommes conscients de l'impact financier non-négligeable que ces obligations vont avoir sur certaines organisations" explique le directeur général de l'Anssi.

"Ces dépenses doivent être rapportées aux coûts directs et indirects induits par une attaque informatique réussie" s'empresse d'ajouter Guillaume Poupard.