Les cyberattaques n’épargnent personne. Toutes les entreprises, petites et grandes, tous secteurs confondus, sont des cibles potentielles. Mais dans certains cas précis, une attaque informatique pourrait avoir des conséquences graves pour l’ensemble du pays. Que ce soit les OIV (Opérateurs d’Importance Vitale) ou les OSE (Opérateurs de Services Essentiels), dans les deux cas, une politique de sécurité spécifique est nécessaire. La France devrait compter prochainement jusqu’à 600 infrastructures critiques concernées par ces obligations.

Qu’est-ce qu’une activité d’importance vitale ? Parce qu’elles concourent à la production et à la distribution de biens ou de services indispensables à l’exercice de l’autorité de l’Etat, au fonctionnement de l’économie, au maintien du potentiel de défense ou à la sécurité de la Nation, certaines activités sont considérées comme d’importance vitale. Ces activités sont, par nature, difficilement substituables ou remplaçables.

OIV : des services indispensables à la survie de la Nation

12 secteurs d’activités d’importance vitale ont été définis et répartis en 4 dominantes :

  • Humaine : Alimentation /Gestion de l’eau /Santé
  • Régalienne : Activités civiles de l’Etat /Activités judiciaires /Activités militaires de l’Etat
  • Economique : Energie /Finances / Transports
  • Technologiques : Communications électroniques /Audiovisuel et information /Industrie /Espace et recherche

OSE : un impact significatif sur le fonctionnement de l’économie

Qu’est-ce qu’un service essentiel ? Le statut d’OSE a été définit par la directive européenne NIS (Network and Information System Security). Un service essentiel correspond à 3 critères :

  • Ce service est essentiel au maintien d’activités sociétales ou économiques critiques.
  • La fourniture de ce service est tributaire des réseaux et des systèmes d’information.
  • Un incident sur ces réseaux et systèmes aurait un effet disruptif important sur la fourniture dudit service.

Des cibles privilégiées pour les hackers

Les infrastructures critiques sont des cibles privilégiées pour les hackers. Justement pour l’impact qu’une attaque aura sur l’organisation mais aussi bien au-delà. Et les exemples récents d’attaques sur les secteurs des OIV et des OSE ne manquent pas. En 2018, par exemple, le secteur maritime a été victime de plusieurs attaques. Trois ports ont subi une attaque par ransomware (Long Beach Port en Chine, Barcelone en Espagne et San Diego aux Etats-Unis).

Le secteur de la santé est également une cible récurrente des pirates informatiques. A Singapour, une cyberattaque a permis le vol de plus d’un million de dossiers médicaux. Cela représente une quantité faramineuse de données sensibles qui se sont évaporées dans la nature. Le premier week-end de juin, le laboratoire d’analyses pharmaceutiques, alimentaires et environnementales Eurofins a vu ses systèmes informatiques perturbés à cause d’un ransomware. Une attaque qui a eu des répercussions immédiatement. En effet, le groupe a connu une baisse significative en bourse suite à l’annonce de la cyberattaque.

Plus récemment, un sous-traitant d’Airbus et Boeing – l’équipementier belge Asco -a été paralysé à cause d’un ransomware. Un millier de salariés se sont retrouvés au chômage technique. En janvier 2019, le groupe de services d’ingénierie et de R&D Altran, a également été victime d’une cyberattaque. Et la liste des entreprises critiques victimes de cyberattaques ne cesse de s’allonger.

Des règles particulières pour les OIV et les OSE

Rien d’étonnant donc à ce que les Etats se mobilisent pour protéger au mieux leurs infrastructures critiques. C’est le cas en France qui a été le premier pays à être passé par la réglementation pour mettre en place un dispositif efficace et obligatoire des infrastructures critiques. A l’occasion d’une convention organisée à Paris par l’éditeur d’antivirus Eset, un responsable de l’ANSSI a déclaré que la France devrait compter jusqu’à 600 entreprises et institutions soumises à des obligations particulières en matière de cybersécurité.

600 entreprises critiques soumises aux obligations de l’Etat

Il existe environ 200 OIV aujourd’hui, et les OSE sont en cours de désignation par l’Etat, en application d’une directive européenne de juillet 2016. L’ANSSI est chargée d’aider l’Etat à définir la liste des opérateurs visés, qui est confidentielle. Elle vérifie ensuite l’application par les entreprises de leurs obligations. « Ils sont 122 aujourd’hui, il y aura une deuxième vague d’ici la fin de l’année et une troisième vague en 2020 », a expliqué Patrice Bigeard, un responsable de l’ANSSI lors de la convention organisée le 20 juin dernier.

Infrastructures critiques : Oodrive vous accompagne

Début 2019, Oodrive est devenu le premier acteur à obtenir le Visa de sécurité ANSSI via la qualification SecNumCloud. Reposant initialement sur les spécifications de l’ISO 27001, très renforcées techniquement et complétées par des engagements de service et de localisation européenne des données, l’obtention de la qualification SecNumCloud impose d’accroître les exigences de conformité technique, organisationnelle, contractuelle et réglementaire.

Oodrive propose désormais trois solutions de cloud privé qualifiées SecNumCloud par l’ANSSI. Le groupe est aujourd’hui en mesure de proposer à ses clients, en particulier les infrastructures critiques comme les OIV, les OSE ou les organismes étatiques des solutions qualifiées leur permettant de répondre aux exigences de sécurité recommandées par l’ANSSI.