Le projet de loi de programmation militaire 2013, une opportunité pour les hébergeurs ?

Si vous êtes passé à côté du projet de loi de programmation militaire 2013, je vous propose ici un (rapide) résumé. Ce projet mérite qu'on s'y intéresse puisqu'il donne un cap sur plusieurs années et est censé refléter les priorités de la Défense nationale. Il prévoit - entres autres – de renforcer la position de l’Agence
Nationale de la Sécurité et des Systèmes d’Information (ANSSI).

Ainsi, l’article 15 du texte de Jean-Yves Le Drian confère à Matignon le pouvoir d’imposer certaines obligations aux opérateurs d’importance vitale en matière de sécurisation de leur réseau, de qualification de leurs systèmes de détection, d’information relatives aux attaques qu’ils peuvent subir, de soumission à des contrôles de leur niveau de sécurité informatique ou de l’application des règles édictées.

Dans le texte, il s'agit d'opérateurs « dont l'indisponibilité risquerait de diminuer d'une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation », selon les termes de l'article L. 1332-1 du code de la défense. Ces opérateurs d'importance vitale sont environ 250, issus du secteur public ou du secteur privé .

L’ANSSI travaille actuellement sur d’autres référentiels, par exemple sur les systèmes industriels ou sur le cloud. Les entreprises n’échapperont donc pas à l’impérieuse nécessité de sécuriser leurs systèmes d’information. La cybersécurité les concerne elles-aussi plus que jamais.

Lors des Assises de la sécurité, début Octobre, Patrick Pailloux, directeur général de l’ANSSI, a souligné l’impératif de construction d’une stratégie à long terme pour les systèmes industriels, qui « sont désormais les systèmes nerveux de nos Nations » et a invité les industriels à « se retrousser les manches » pour œuvrer à la protection des systèmes critiques.

Les services providers ont clairement une carte à jouer en se préparant dès maintenant à fournir des infrastructures et des services ultra sécurisés. Cela commence par une hygiène informatique, un ensemble de mesures élémentaires à appliquer impérativement.

Pour vous guider dans cette démarche, je vous invite à vous reposer sur la Cloud Controls Matrix réalisé par la Cloud Security Alliance. Sécurité au niveau de l’application, des installations des datacenters, des risques environnementaux, des employés, etc… cette matrice fournit une checklist exhaustive des principes fondamentaux à respecter en terme de sécurité informatique : https://cloudsecurityalliance.org/download/cloud-controls-matrix-v3/

Liens :

• Projet de loi de programmation militaire 2013 disponible sur le site du Sénat : https://www.senat.fr/rap/l13-050/l13-050.html
• Guidance for Critical Areas of Focus in Cloud Computing : https://cloudsecurityalliance.org/research/security-guidance/
• Le blog Sécurité de Microsoft Corporation : https://blogs.technet.com/b/security/