Le réseau électrique français migre petit à petit d'un pilotage analogique vers un pilotage numérique.
Concrètement, les organes informatiques communiquent via un réseau classique TCP/IP, le
protocole de communication d'Ethernet et de tout l'Internet, avec des serveurs connus et des outils
de communication (Ethernet) standardisés. Si, généralement, ils sont protégés par un VPN, les
générateurs tels les éoliennes ou les parcs photovoltaïques constituent le maillon faible sécuritaire
des réseaux d'ENEDIS et de RTE du fait que leurs réseaux respectifs communiquent.
source:
Les ZI du renouvelable sont-elles des Opérateurs d'Importance Vitale ?
Compte tenu de l'isolement géographique de ces structures, leur surveillance physique et logicielle pose un problème.
La plupart du temps, la nationalité de leur propriétaire est inconnue, et par voie de conséquence, celle de leur opérateur, les préfectures étant dans l'ignorance des ventes de parcs dans leur département. Ces conditions font des Zones Industrielles d'énergie renouvelable le maillon faible du réseau électrique français.
Tout le monde s'accorde à établir que les barrières numériques entre les producteurs d'électricité et
les transporteurs sont ténues puisqu'elles communiquent et que l'analyse du trafic propre d'un
routeur ou d'un switch est" de nature à révéler des adresses IP utiles ou que l'usage du protocole
Sécurité des parcs éoliens" – SNMP permet d'en établir des listes complètes. D'autres protocoles permettent les tentatives d'intrusion directe comme SSH, RDP, et tous les Telnet.
Par conséquent, la corruption numérique d'une ZI est de nature à donner accès au réseau de
transport. Par voie de conséquence, une attaque permettrait à un agresseur d’éteindre un site topologiquement sensible ou à fortiori plusieurs parcs simultanément, et de faire tomber par effet domino d'autres secteurs du réseau de transport de toute une région.
On peut citer le blackout du Texas
https://m.theepochtimes.com/kyle-bass-the-chinese-regime-controls-200-sq-miles-in-texas-next-to-
major-air-force-base_3832847.html, et les virus de contrôle d'infrastructure Stuxnet, Emotet, Joker, Miraï, NyaDrop, Gafgy etc...
Sans compter avec les futurs "blackouts naturels":
https://infodujour.fr/societe/45186-neuf-mille-eoliennes-en-panne-la-france-au-bord-du-black-out
https://www.echosciences-grenoble.fr/articles/le-risque-croissant-de-black-out-en-europe-sous-l-
effet-de-l-intermittence
Mais la plupart du temps, il est plus facile de tromper un employé pour récupérer des
renseignements, un fichier, un mot de passe, etc.
On ne peut écarter l'accès physique à la structure à l'aide d'un passe ou par effraction.
La sécurité présentée par le promoteur WPD:
https://www.windmanager.fr/securite-informatique/
Début 2018, un malware est détecté dans une ferme éolienne française. Cette porte d'entrée devait permettre au logiciel malveillant de pénétrer dans le réseau de distribution électrique géré par Enedis (ex-ERDF). L'attaque contre cette infrastructure civile critique échoue. Après plusieurs
mois d'enquêtes, les services français attribuent cette intrusion à un groupe de hackers russes
baptisé "APT29" ou "Cozy Bear". Mais les autorités ne prennent aucune sanction envers Moscou,
préférant la voie diplomatique. Dans une enquête publiée le 23 juin, L'Express revient sur cet
épisode illustrant la doctrine française en matière de cyberattaque.
https://lentreprise.lexpress.fr/high-tech-innovation/entre-moscou-et-paris-la-cyberguerre-est-
declaree_2128786.html
L'éolien est le maillon sécuritaire le plus faible de tout le réseau énergétique.
Il y a donc lieu de s'inquiéter des origines des sociétés d'équipement qui fournissent les éoliennes
aussi bien que de la nationalité des opérateurs. De ces nationalités, certaines sont connues pour être des intervenants direct du parc d'énergie renouvelable français mais certains fournisseurs européens servent de relais pour ces pays objectivement concernés ou pratiquant la cyber-guerre: la Russie, la Chine, l'Iran, Israël, la Corée du Nord, les Etats-Unis etc...
https://therecord.media/news/cybercrime/
En 2018 est paru un rapport de l'Assemblée sur la cyber-sécurité qui précise la situation des OIV:
https://www.assemblee-nationale.fr/dyn/15/rapports/cion_def/l15b1141_rapport-information
«À la suite des attentats du 11 septembre 2001, la France a engagé une réflexion sur la notion
d’infrastructure critique afin de moderniser la protection des points et des réseaux sensibles. Dans ce cadre, douze secteurs d’activité d’importance vitale ont été identifiés et qui relèvent chacun d’un ministre coordonnateur : activités civiles de l’État ; activité judiciaire ; activités militaires de l’État ; alimentation ; communications électroniques, audiovisuel et information ;énergie ; espace et recherche ; finances ; gestionde l’eau ; industrie ; santé ; transports.
Au sein de chaque secteur sont identifiés un certain nombre d’OIV, lesquels sont définis par l’article L.1332-1 du Code de la Défense comme « des opérateurs privés ou publics exploitant des établissements ou utilisant des installations et ouvrages, dont l’indisponibilité risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la nation ». Les gestionnaires de certains établissements relèvent également de la catégorie des OIV .
Il existe moins de 350 OIV, la liste précise étant classifiée pour des motifs de sécurité nationale.»
L'assemblée nationale s'est dotée d'un groupe sur la cyber-sécurité en 2021:
Les recommandations sécuritaires du secteur de l'énergie
La sécurité de ces zones industrielles est fixée par une série d'arrêtés génériques appliqués à
différents secteurs industriels à partir de juillet 2016.
Celui de l'énergie électrique date du 1er octobre 2016 et s'adresse aux OIV, les Opérateurs
d'Importance Vitale, c'est à dire les sociétés d'exploitation de parcs éoliens et photovoltaïques ET
SURTOUT leurs propriétaires.
Pour quelles raisons sont-ils considérés d'importance vitale?
Compte tenu de l'isolement géographique de ces structures, leur surveillance physique et logicielle pose problème. La nationalité, la plupart du temps est inconnue de leur propriétaire et par voie de conséquence de leur opérateur, les préfectures étant dans l'ignorance, la plupart du temps, des ventes de parcs dans leur département. Ces conditions confèrent aux parcs d'énergie renouvelable le qualificatif de maillon faible du réseau électrique français.
Le Code de la Défense organise le cadre juridique de cette situation.
Article 2
«Dans un délai de trois mois à compter de la date d'entrée en vigueur du présent arrêté ou de sa
désignation comme opérateur d'importance vitale conformément aux dispositions de l'article R. 1332-3 du
Code de la Défense, tout opérateur relevant du sous-secteur d'activités d'importance vitale «
Approvisionnement en énergie électrique » adresse par courrier à l'Agence nationale de la sécurité des systèmes d'information la liste de systèmes d'information d'importance vitale prévue à l'article R. 1332-41-2 du Code de la Défense, ainsi que, pour chaque système, le formulaire de déclaration disponible sur le site internet de l'agence (www.ssi.gouv.fr).
Pour déterminer si un système d'information peut être qualifié d'importance vitale au sens des dispositions de l'article L. 1332-6-1 du Code de la Défense, l'opérateur d'importance vitale mène une analyse d'impacts sur ses systèmes d'information, notamment ceux relevant des types de système d'information mentionnés à l'annexe III du présent arrêté.
Lorsque, pour un type de système d'information mentionné à l'annexe III du présent arrêté, l'opérateur ne déclare aucun système d'information d'importance vitale relevant de ce type de système, il en précise les raisons.»
Une obligation de déclaration dans les enquêtes publiques
Il appartient aux DREAL d'instruire cette partie de la demande d'autorisation d'exploiter
préalablement à l'enquête publique en se faisant préciser les modalités d'actions sécuritaires prises
pour le parc en objet.
Les obligations pendant l'exploitation
Mise à jour de ses obligations en matière de SSI
Article 3
«L'opérateur d'importance vitale communique une fois par an à l'Agence nationale de la sécurité des systèmes d'information les mises à jour de sa liste et des formulaires de déclaration.
Il déclare tout nouveau système d'information d'importance vitale préalablement à sa mise en service et tout système d'information qui satisfait aux conditions pour être qualifié d'importance vitale postérieurement à samise en service dès qu'il satisfait à ces conditions.
Il informe sans délai l'Agence nationale de la sécurité des systèmes d'information de tout retrait de sa liste d'un des systèmes précédemment déclarés et en précise les raisons»
Déclaration des incidents
Article 4
«En application de l'article R. 1332-41-10 du Code de la Défense, tout opérateur relevant du sous-
secteur d'activités d'importance vitale « Approvisionnement en énergie électrique » déclare chaque
incident qui relève d'un type figurant à l'annexe IV du présent arrêté. Il adresse à cet effet à l'Agencenationale de la sécurité des systèmes d'information le formulaire de déclaration disponible sur le siteinternet de l'agence (www.ssi.gouv.fr) selon le moyen approprié à la sensibilité des informations déclarées.
Le formulaire est un document confidentiel susceptible de contenir des informations dont la
révélation est réprimée par les dispositions de l'article 226-13 du code pénal. Il est, le cas échéant, couvert par le secret de la défense nationale.»
Conséquences financières
source: https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000028345141#:~:text=les
%20travaux%20pr%C3%A9vus.-,Est%20puni%20d'une%20amende%20de
%20150%20000%20euros%20le,dispositifs%20de%20protection%20ant%C3%A9rieurement
%20%C3%A9tablis.
L'article L. 1332-7 du Code la Défense prévoit une amende de 150 000 euros pour les personnes
physiques et une amende pouvant s'élever à 750 000 euros pour les personnes morales en cas
d'inobservation des obligations.
Mais, bien entendu, d'autres responsabilités seraient à rechercher en cas d'attaque réussie avec un
impact financier ou humain pour des tiers (blackout) ou bien en cas de présence d'un agent
infectieux passif opérant du renseignement ou en attente d'être actif.
Il va de soi que ce risque doit être provisionné. Au contraire de la provision pour démantèlement qui correspond à 100% du coût futur, le coût futur du risque sécuritaire dépend du montant des dégâts, de leur pourcentage d'attribution par les juges et de la probabilité qu'il se produise. Difficile à évaluer, son absence dans les comptes du bilan est le signe que l'opérateur n'a aucun souci pour cette question et qu'il engage alors sa responsabilité pénale.
Les responsabilités à rechercher en cas d'incident
A l'origine il y a les DREAL qui n'ont pas exécuté les diligences nécessaires ni suivi des obligations
légales de déclaration de l'opérateur.
Il y a la préfecture qui s'est montrée défaillante.
Il y a bien sûr l'opérateur de la ZI d'énergies renouvelables mais aussi son propriétaire qui peut être
un simple fonds de pension.
Enfin il y a les promoteurs civils de la ZI qui en sont à l'origine pour avoir choisi le dit opérateur à
savoir: le maire de la commune d'accueil et son conseils, les bailleurs emphytéotiques, sans oublier
la communauté de communes.
Conclusions
Les devoirs sécuritaires de l’État définis dans le Code de la Défense à propos des OIV, les
opérateurs de services essentiels,ne semblent pas avoir été mis en œuvre à ce jour.
A l'audit des 8 000 éoliennes françaises, dont les premières cependant sont encore analogiques,
s'ajoute la mise en œuvre des procédures préfectorales de révision préliminaires des propositions
des promoteurs avant l'enquête publique par les DREAL puis le suivi des déclarations des
exploitants de parcs. Ce suivi paraît d'autant plus difficile que beaucoup de préfectures ignorent
avec le temps qui est le propriétaire du parc qui change en moyenne tous les trois ans et encore
moins qui est son opérateur, la société de service qui gère le parc au quotidien.
Ce tableau apocalyptique n'est rien en comparaison de ce qui se passe sur ces mêmes réseaux
électriques européens dont on accélère les interconnexions et dont certains, comme l'Ukraine, ont
déjà été hackés.
Certes, la législation européenne a commencé à se mettre à jour avec le « paquet d’hiver » de
novembre 2016 et la directive SRI, qui pose des bases pour le développement de normes
européennes de cybersécurité à destination des OIV en leur imposant des critères communs. Un
autre paquet de 2017 propose lui un système de certification européen, régi par une entité
régulatrice centrale (l’ENISA), dont le siège est à Héraklion en Grèce, qui se voit dotée d’un
mandat permanent.
https://european-union.europa.eu/institutions-law-budget/institutions-and-bodies/institutions-and-
bodies-profiles/enisa_fr
Il reste à observer, qu'à ce jour, le hacking des parcs éoliens français est en "open bar" aet qu'aux risques de blackout naturels s'ajoutent ceux des "cyber-blackouts".
ANNEXE
DÉTAILS DES OBLIGATIONS DES OIV
RÈGLES DE SÉCURITÉ RELATIVES AU SOUS-SECTEUR D'ACTIVITÉS D'IMPORTANCE
VITALE « APPROVISIONNEMENT EN ÉNERGIE ÉLECTRIQUE »
1. Règle relative à la politique de sécurité des systèmes d'information
L'opérateur d'importance vitale élabore, tient à jour et met en œuvre une politique de sécurité des systèmes d'information (PSSI).
La PSSI décrit l'ensemble des moyens organisationnels et techniques mis en œuvre par l'opérateur afin d'assurer la sécurité de ses systèmes d'information d'importance vitale (SIIV). En particulier, elle:
- précise les objectifs et les orientations stratégiques en matière de sécurité des SIIV ;
- décrit l'organisation de la gouvernance de la sécurité et notamment les rôles et les responsabilités du personnel interne et du personnel externe (prestataires, fournisseurs, etc.) à l'égard de la sécurité des SIIV ;
- prévoit un plan de sensibilisation à la sécurité des SIIV au profit de l'ensemble du personnel ainsi qu'un plan de formation à la sécurité des SIIV au profit des personnes ayant des responsabilités particulières, notamment les personnes en charge de l'administration et de la sécurité des SIIV et les utilisateurs disposant de droits d'accès privilégiés aux SIIV ;
- fixe les mesures de sécurité générales, notamment en matière de contrôle du personnel interne et du personnel externe, de sécurité physique des SIIV, de gestion des ressources matérielles et logicielles, de contrôle d'accès aux SIIV, d'exploitation et d'administration des SIIV et de sécuritédes ressources, des réseaux et des postes de travail ;
- définit les procédures suivantes :
- la procédure d'homologation de sécurité des SIIV ;
- les procédures de contrôle et d'audit de la sécurité des SIIV ;
- la procédure de maintien en conditions de sécurité des ressources des SIIV ;
- la procédure de traitement des incidents de sécurité ;
- les procédures de gestion de crises en cas d'attaques informatiques et de continuité d'activité.
La PSSI et ses documents d'application sont approuvés formellement par la direction de l'opérateur.
L'opérateur élabore au profit de sa direction, au moins annuellement, un rapport sur la mise en œuvre de la PSSI et de ses documents d'application. Ce rapport précise notamment l'état des lieuxdes risques, le niveau de sécurité des SIIV et les actions de sécurisation menées.
La PSSI, ses documents d'application et les rapports sur leur mise en œuvre sont tenus à la disposition de l'Agence nationale de la sécurité des systèmes d'information.
2. Règle relative à l'homologation de sécurité
L'opérateur d'importance vitale procède à l'homologation de sécurité de chaque système d'information d'importance vitale (SIIV), en mettant en œuvre la procédure d'homologation prévue par sa politique de sécurité des systèmes d'information (PSSI).
L'homologation d'un système est une décision formelle prise par l'opérateur qui atteste que les risques pesant sur la sécurité de ce système ont été identifiés et que les mesures nécessaires pour le protéger sont mises en œuvre. Elle atteste également que les éventuels risques résiduels ont été identifiés et acceptés par l'opérateur.
Dans le cadre de l'homologation, un audit de la sécurité du SIIV doit être réalisé. Cet audit vise à vérifier l'application et l'efficacité des mesures de sécurité du SIIV et notamment le respect des règles de sécurité mentionnées dans le présent arrêté. L'audit doit permettre d'évaluer le niveau de sécurité du SIIV au regarddes menaces et des vulnérabilités connues. Il comporte notamment la réalisation d'un audit d'architecture, d'un audit de configuration et d'un audit organisationnel et physique.
Cet audit est réalisé dans le respect des règles fixées par le référentiel en matière d'audit de sécurité des systèmes d'information prévu à l'article 10 du décret n° 2015-350 du 27 mars 2015 relatif à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité nationale.
L'opérateur peut réaliser lui-même l'audit ou recourir à un prestataire qualifié dans les conditions prévues au chapitre III du décret n° 2015-350 du 27 mars 2015 précité.
A l'issue de l'audit, l'opérateur ou, le cas échéant, le prestataire élabore un rapport d'audit qui expose les constatations sur les mesures appliquées et sur le respect des règles de sécurité prévues par le présent arrêté. Le rapport précise si le niveau de sécurité atteint est conforme aux objectifs de sécurité, compte tenu des menaces et des vulnérabilités connues. Il formule des recommandations pour remédier aux éventuelles non-conformités et vulnérabilités découvertes.
L'opérateur prend la décision d'homologuer un SIIV sur la base du dossier d'homologation comportant notamment :
- l'analyse de risques et les objectifs de sécurité du SIIV ;
- les mesures de sécurité appliquées au SIIV ;
- les rapports d'audit de la sécurité du SIIV ;
- les risques résiduels et les raisons justifiant leur acceptation.
La validité de l'homologation est réexaminée par l'opérateur au moins tous les trois ans et lors de chaque événement ou évolution de nature à modifier le contexte décrit dans le dossier d'homologation. Chaque réexamen de l'homologation est consigné dans le dossier d'homologation.
L'opérateur tient à la disposition de l'Agence nationale de la sécurité des systèmes d'information les
décisions et dossiers d'homologation, notamment les rapports d'audit. Ces documents confidentiels sont susceptibles de contenir des informations dont la révélation est réprimée par les dispositions de l'article 226-13 du code pénal. Ils sont, le cas échéant, couverts par le secret de la défense nationale.
La présente règle relative à l'homologation s'applique sans préjudice des dispositions prévues par l'arrêté du 30 novembre 2011 portant approbation de l'instruction générale interministérielle n° 1300 sur la protection du secret de la défense nationale, en matière d'homologation des systèmes d'information traitant des informations classifiées.
3. Règle relative à la cartographie
L'opérateur d'importance vitale doit être en mesure de fournir à l'Agence nationale de la sécurité des systèmes d'information, pour chaque système d'information d'importance vitale (SIIV), les éléments de cartographie suivants :
- les noms et les fonctions des applications, supportant les activités de l'opérateur, installées sur le SIIV ;
- le cas échéant, les plages d'adresses IP de sortie du SIIV vers internet ou un réseau tiers, ou accessibles depuis ces réseaux ;
- le cas échéant, les plages d'adresses IP associées aux différents sous-réseaux composant le SIIV ;
- la description fonctionnelle et les lieux d'installation du SIIV et de ses différents sous-réseaux ;
- la description fonctionnelle des points d'interconnexion du SIIV et de ses différents sous-réseaux avec des réseaux tiers, notamment la description des équipements et des fonctions de filtrage et de protection mis en œuvre au niveau de ces interconnexions ;
- l'inventaire et l'architecture des dispositifs d'administration du SIIV permettant de réaliser notamment les opérations d'installation à distance, de mise à jour, de supervision, de gestion des configurations, d'authentification ainsi que de gestion des comptes et des droits d'accès ;
- la liste des comptes disposant de droits d'accès privilégiés (appelés « comptes privilégiés ») au SIIV. Cette liste précise pour chaque compte le niveau et le périmètre des droits d'accès associés, notamment les comptes sur lesquels portent ces droits (comptes d'utilisateurs, comptes de messagerie, comptes de processus, etc.) ;
- l'inventaire, l'architecture et le positionnement des services de résolution de noms d'hôte, de messagerie, de relais internet et d'accès distant mis en œuvre par le SIIV.
Les éléments de cartographie ainsi réunis sont des documents confidentiels susceptibles de contenir des informations dont la révélation est réprimée par les dispositions de l'article 226-13 du code pénal. Ils sont, le cas échéant, couverts par le secret de la défense nationale.
Sur demande de l'Agence nationale de la sécurité des systèmes d'information, l'opérateur lui communique les éléments de cartographie mis à jour sur un support électronique, dans un format qui peut être lu par les principaux logiciels bureautiques accessibles au public.
4. Règle relative au maintien en conditions de sécurité
L'opérateur d'importance vitale élabore, tient à jour et met en œuvre une procédure de maintien en
conditions de sécurité des ressources matérielles et logicielles de ses systèmes d'information d'importance vitale (SIIV), conformément à sa politique de sécurité des systèmes d'information.
Cette procédure définit les conditions permettant de maintenir le niveau de sécurité des ressources des SIIV en fonction de l'évolution des vulnérabilités et des menaces et notamment la politique d'installation de toute nouvelle version et mesure correctrice de sécurité d'une ressource et les vérifications à effectuer avant l'installation. Elle prévoit que :
- l'opérateur se tient informé des vulnérabilités et des mesures correctrices de sécurité susceptibles de concerner les ressources matérielles et logicielles de ses SIIV, qui sont diffusées notamment par les fournisseurs ou les fabricants de ces ressources ou par des centres de prévention et d'alerte en matière de cyber sécurité tels que le CERT-FR (www.cert.ssi.gouv.fr) ;
- sauf en cas de difficultés techniques ou opérationnelles justifiées, l'opérateur installe et maintient toutes lesressources matérielles et logicielles de ses SIIV dans des versions supportées par leurs fournisseurs ou leurs fabricants et mises à jour du point de vue de la sécurité ;
- préalablement à l'installation de toute nouvelle version, l'opérateur s'assure de l'origine de cette version et de son intégrité, et analyse l'impact de cette version sur le SIIV concerné d'un point de vue technique et opérationnel ;
- dès qu'il a connaissance d'une mesure correctrice de sécurité concernant une de ses ressources, et sauf en cas de difficultés techniques ou opérationnelles justifiées, l'opérateur en planifie l'installation après avoir
effectué les vérifications mentionnées à l'alinéa précédent, et procède à cette installation dans les délais prévus par cette procédure ;
- lorsque des raisons techniques ou opérationnelles le justifient, l'opérateur peut décider, pour certaines ressources de ses SIIV, de ne pas installer une version supportée par le fournisseur ou le fabricant de la ressource concernée ou de ne pas installer une mesure correctrice de sécurité. Dans ce cas, l'opérateur met en œuvre des mesures techniques ou organisationnelles prévues par cette procédure pour réduire les risques liés à l'utilisation d'une version obsolète ou comportant des vulnérabilités connues. L'opérateur décrit dans le dossier d'homologation du SIIV concerné ces mesures de réduction des risques et les raisons techniques ou opérationnelles ayant empêché l'installation d'une version supportée ou d'une mesure correctrice de sécurité.
5. Règle relative à la journalisation
L'opérateur d'importance vitale met en œuvre sur chaque système d'information d'importance vitale (SIIV) un système de journalisation qui enregistre les événements relatifs à l'authentification des utilisateurs, à la gestion des comptes et des droits d'accès, à l'accès aux ressources, aux modifications des règles de sécurité du SIIV ainsi qu'au fonctionnement du SIIV.
Le système de journalisation porte sur les équipements suivants lorsqu'ils génèrent les événements
mentionnés au 1er alinéa :
- les serveurs applicatifs supportant les activités d'importance vitale ;
- les serveurs d'infrastructure système ;
- les serveurs d'infrastructure réseau ;
- les équipements de sécurité ;
- les postes d'ingénierie et de maintenance des systèmes industriels ;
- les équipements réseau ;
- les postes d'administration.
Les événements enregistrés par le système de journalisation sont horodatés au moyen de sources de temps synchronisées. Ils sont, pour chaque SIIV, centralisés et archivés pendant une durée d'au moins six mois. Le format d'archivage des événements permet de réaliser des recherches automatisées sur ces événements.
6. Règle relative à la corrélation et l'analyse de journaux
L'opérateur d'importance vitale met en œuvre un système de corrélation et d'analyse de journaux qui exploite les événements enregistrés par le système de journalisation installé sur chacun des systèmes d'information d'importance vitale (SIIV), afin de détecter des événements susceptibles d'affecter la sécurité des SIIV.
Le système de corrélation et d'analyse de journaux est installé et exploité sur un système d'information mis en place exclusivement à des fins de détection d'événements susceptibles d'affecter la sécurité des systèmes d'information.
L'opérateur ou le prestataire mandaté à cet effet installe et exploite ce système de corrélation et d'analyse de journaux en s'appuyant sur les exigences du référentiel en matière de détection des incidents de sécurité prévu à l'article 10 du décret n° 2015-350 du 27 mars 2015 relatif à la qualification des produits de sécurité
et des prestataires de service de confiance pour les besoins de la sécurité nationale.
7. Règle relative à la détection
L'opérateur d'importance vitale met en œuvre, en application de l'article R. 1332-41-3 du Code de la Défense, un système de détection qualifié de type « sonde d'analyse de fichiers et de protocoles ».
Les sondes d'analyse de fichiers et de protocoles analysent les flux de données transitant par ces sondes afin de rechercher des événements susceptibles d'affecter la sécurité des systèmes d'information d'importance vitale (SIIV). Elles sont positionnées de manière à pouvoir analyser l'ensemble des flux échangés entre les SIIV et les systèmes d'information tiers à ceux de l'opérateur.
Les systèmes de détection qualifiés de ce type sont choisis parmi ceux figurant sur la liste prévue à l'article R. 1332-41-9 du Code de la Défense.
Ces systèmes de détection sont exploités selon les règles fixées par le référentiel en matière de détection des incidents de sécurité prévu à l'article 10 du décret n° 2015-350 du 27 mars 2015 relatif à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité nationale. Ils sont exploités par un service de l’État ou un prestataire qualifié à cet effet dans les conditions prévues par ledécret précité.
8. Règle relative au traitement des incidents de sécurité
L'opérateur d'importance vitale élabore, tient à jour et met en œuvre une procédure de traitement des incidents affectant le fonctionnement ou la sécurité de ses systèmes d'information d'importance vitale (SIIV),conformément à sa politique de sécurité des systèmes d'information.
L'opérateur ou le prestataire mandaté à cet effet procède au traitement des incidents en s'appuyant sur les exigences du référentiel en matière de réponse aux incidents de sécurité prévu à l'article 10 du décret n° 2015-350 du 27 mars 2015 relatif à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité nationale.
Un système d'information spécifique doit être mis en place pour traiter les incidents, notamment pour stocker les relevés techniques relatifs aux analyses des incidents. Ce système est cloisonné vis-à-vis du SIIV concerné par l'incident.
L'opérateur conserve les relevés techniques relatifs aux analyses des incidents pendant une durée d'au moins six mois. Il tient ces relevés techniques à la disposition de l'Agence nationale de la sécurité des systèmes d'information.
Les relevés techniques sont des documents confidentiels susceptibles de contenir des informations dont la révélation est réprimée par les dispositions de l'article 226-13 du code pénal. Ils sont, le cas échéant, couverts par le secret de la défense nationale.
9. Règle relative au traitement des alertes
L'opérateur d'importance vitale met en place un service de permanence lui permettant de prendre
connaissance, à tout moment et sans délai, d'informations transmises par l'Agence nationale de la sécurité des systèmes d'information relatives à des incidents, des vulnérabilités et des menaces. Il met en œuvre une
procédure pour traiter les informations ainsi reçues et le cas échéant prendre les mesures de sécurité nécessaires à la protection de ses systèmes d'information d'importance vitale (SIIV).
L'opérateur communique à l'Agence nationale de la sécurité des systèmes d'information les coordonnées(nom du service, numéro de téléphone et adresse électronique) tenues à jour du service de permanence prévu à l'alinéa précédent.
10. Règle relative à la gestion de crises
L'opérateur d'importance vitale élabore, tient à jour et met en œuvre une procédure de gestion de crises en cas d'attaques informatiques majeures, conformément à sa politique de sécurité des systèmes d'information.
Cette procédure décrit les moyens techniques et organisationnels dont dispose l'opérateur pour mettre en œuvre les mesures décidées par le Premier ministre en cas de crises, notamment les mesures suivantes :
- appliquer une configuration système afin d'éviter les attaques ou d'en limiter les effets. Cette configuration peut viser notamment :
- à proscrire l'utilisation de supports de stockage amovibles ou la connexion d'équipements nomades aux systèmes d'information de l'opérateur ;
- à installer une mesure correctrice de sécurité sur un système d'information particulier ;
- à imposer un protocole de routage ;
- mettre en place des règles de filtrage sur les réseaux ou des configurations particulières sur les
équipements terminaux. Cette mesure peut viser notamment :
- à effectuer des restrictions d'accès sous forme de listes blanches et de listes noires d'utilisateurs ;
- à bloquer les échanges de fichiers d'un type particulier ;
- à isoler de tout réseau des sites internet, des applications, ou des équipements informatiques de l'opérateur en sollicitant le cas échéant l'appui des opérateurs publics de communications électroniques ;
- isoler du réseau internet les systèmes d'information de l'opérateur. Cette mesure impose de déconnecter physiquement ou logiquement les interfaces réseau des systèmes d'information concernés.
La procédure précise les conditions dans lesquelles ces mesures peuvent être appliquées compte tenu des contraintes notamment techniques et organisationnelles de mise en œuvre.
11. Règle relative à l'identification
L'opérateur d'importance vitale crée des comptes individuels pour les utilisateurs et pour les processus automatiques accédant aux ressources de ses systèmes d'information d'importance vitale (SIIV).
Lorsque des raisons techniques ou opérationnelles ne permettent pas de créer de comptes individuels pour les utilisateurs ou pour les processus automatiques, l'opérateur met en place des mesures permettant de réduire le risque lié à l'utilisation de comptes partagés et d'assurer la traçabilité de l'utilisation de ces comptes. Dans ce cas, l'opérateur décrit ces mesures dans le dossier d'homologation du SIIV concerné et les raisons justifiant le recours à des comptes partagés.
L'opérateur désactive sans délai les comptes qui ne sont plus nécessaires.
12. Règle relative à l'authentification
L'opérateur d'importance vitale protège les accès aux ressources de ses systèmes d'information d'importance vitale (SIIV), que ce soit par un utilisateur ou par un processus automatique, au moyen d'un mécanisme d'authentification basé sur un élément secret.
L'opérateur définit, conformément à sa politique de sécurité des systèmes d'information, les règles de gestiondes éléments secrets d'authentification mis en œuvre dans ses SIIV.
Lorsque la ressource le permet techniquement, les éléments secrets d'authentification doivent pouvoir être modifiés par l'opérateur chaque fois que cela est nécessaire. Dans ce cas, l'opérateur respecte les règles suivantes :
- l'opérateur doit modifier les éléments secrets d'authentification lorsqu'ils ont été installés par le fabricant ou le fournisseur de la ressource, avant sa mise en service. A cet effet, l'opérateur s'assure auprès du fabricant ou du fournisseur qu'il dispose des moyens et des droits permettant de réaliser ces opérations ;
- l'élément secret d'authentification d'un compte partagé doit être renouvelé régulièrement et à chaque retrait d'un utilisateur de ce compte ;
- les utilisateurs qui n'en ont pas la responsabilité, ne peuvent pas modifier les éléments secrets
d'authentification. Ils ne peuvent pas non plus accéder à ces éléments en clair ;
- lorsque les éléments secrets d'authentification sont des mots de passe, les utilisateurs ne doivent pas les réutiliser entre comptes privilégiés ou entre un compte privilégié et un compte non privilégié.
- lorsque les éléments secrets d'authentification sont des mots de passe, ceux-ci sont conformes aux règles de l'art telles que celles préconisées par l'Agence nationale de la sécurité des systèmes d'information, en matière de complexité (longueur du mot de passe et types de caractères), en tenant compte du niveau de complexité maximal permis par la ressource concernée, et en matière de renouvellement.
Lorsque la ressource ne permet pas techniquement soit d'en protéger l'accès au moyen d'un mécanisme d'authentification basé sur un élément secret soit de modifier l'élément secret d'authentification, l'opérateur met en place un contrôle d'accès physique à la ressource concernée ainsi que des mesures de traçabilité des accès et de réduction du risque. L'opérateur décrit dans le dossier d'homologation du SIIV concerné ces mesures et les raisons techniques ayant empêché la mise en place d'un mécanisme d'authentification basé
sur un élément secret ou la modification de l'élément secret d'authentification.
13. Règle relative aux droits d'accès
L'opérateur d'importance vitale définit, conformément à sa politique de sécurité des systèmes d'information, les règles de gestion et d'attribution des droits d'accès aux ressources de ses systèmes d'information d'importance vitale (SIIV), et respecte les règles suivantes :
- l'opérateur n'attribue à un utilisateur ou à un processus automatique les droits d'accès à une ressource que si cet accès est strictement nécessaire à l'exercice des missions de l'utilisateur ou au fonctionnement du processus automatique ;
- l'opérateur définit les accès aux différentes fonctionnalités de cette ressource et en attribue les droits uniquement aux utilisateurs et aux processus automatiques qui en ont strictement le besoin ;
- les droits d'accès sont révisés périodiquement, au moins tous les ans, par l'opérateur. Cette révision porte sur les liens entre les comptes, les droits d'accès associés et les ressources ou les fonctionnalités qui en font l'objet ;
- l'opérateur établit et tient à jour la liste des comptes privilégiés. Toute modification d'un compte privilégié (ajout, suppression, suspension ou modification des droits associés) fait l'objet d'un contrôle formel de l'opérateur destiné à vérifier que les droits d'accès aux ressources et fonctionnalités sont attribués selon le principe du moindre privilège (seuls les droits strictement nécessaires sont accordés) et en cohérence avec les besoins d'utilisation du compte.
14. Règle relative aux comptes d'administration
L'opérateur d'importance vitale crée des comptes (appelés « comptes d'administration ») destinés aux seules personnes (appelées administrateurs) chargées d'effectuer les opérations d'administration (installation, configuration, gestion, maintenance, supervision, etc.) des ressources de ses systèmes d'information d'importance vitale (SIIV).
L'opérateur définit, conformément à sa politique de sécurité des systèmes d'information, les règles de gestion et d'attribution des comptes d'administration de ses SIIV, et respecte les règles suivantes:
- l'attribution des droits aux administrateurs respecte le principe du moindre privilège. En particulier, afin de limiter la portée de ces droits individuels, ils sont attribués à chaque administrateur en les restreignant autant que possible au périmètre fonctionnel et technique dont cet administrateur est responsable ;
- un compte d'administration est utilisé exclusivement pour se connecter à un système d'information
d'administration (système d'information utilisé pour les opérations d'administration des ressources) ou à une ressource administrée ;
- les opérations d'administration sont effectuées exclusivement à partir de comptes d'administration, et inversement, les comptes d'administration sont utilisés exclusivement pour les opérations d'administration ;
- lorsque l'administration d'une ressource ne peut pas techniquement être effectuée à partir d'un compte spécifique d'administration, l'opérateur met en place des mesures permettant d'assurer la traçabilité et le contrôle des opérations d'administration réalisées sur cette ressource et des mesures de réduction du risque lié à l'utilisation d'un compte non spécifique à l'administration. Il décrit dans le dossier d'homologation du SIIV concerné ces mesures ainsi que les raisons techniques ayant empêché l'utilisation d'un compte
d'administration ;
- l'opérateur établit et tient à jour la liste des comptes d'administration de ses SIIV et les gère en tant que comptes privilégiés.
15. Règle relative aux systèmes d'information d'administration
L'opérateur d'importance vitale applique les règles suivantes aux systèmes d'information utilisés pour
effectuer l'administration de ses systèmes d'information d'importance vitale (SIIV), qui sont appelés «
systèmes d'information d'administration » :
- les ressources matérielles et logicielles des systèmes d'information d'administration sont gérées et
configurées par l'opérateur ou, le cas échéant, par le prestataire qu'il a mandaté pour réaliser les opérations d'administration ;
- les ressources matérielles et logicielles des systèmes d'information d'administration sont utilisées
exclusivement pour réaliser des opérations d'administration. Cependant, lorsque des raisons techniques ou organisationnelles le justifient, le poste de travail physique de l'administrateur peut être utilisé pour réaliser des opérations autres que des opérations d'administration. Dans ce cas, des mécanismes de durcissement du système d'exploitation du poste de travail et de cloisonnement doivent être mis en place pour permettre d'isoler l'environnement logiciel utilisé pour ces autres opérations de l'environnement logiciel utilisé pour les opérations d'administration ;
- un environnement logiciel utilisé pour effectuer des opérations d'administration ne doit pas être utilisé à d'autres fins, comme l'accès à des sites ou serveurs de messagerie sur internet ;
- un utilisateur ne doit pas se connecter à un système d'information d'administration au moyen d'un
environnement logiciel utilisé pour d'autres fonctions que des opérations d'administration ;
- les flux de données associés à des opérations autres que des opérations d'administration doivent, lorsqu'ils transitent sur les systèmes d'information d'administration, être cloisonnés au moyen de mécanismes de chiffrement et d'authentification conformes aux règles préconisées par l'Agence nationale de la sécurité des systèmes d'information ;
- les systèmes d'information d'administration sont connectés aux ressources à administrer au travers d'une liaison réseau physique utilisée exclusivement pour les opérations d'administration. Ces ressources sont administrées au travers de leur interface d'administration physique. Lorsque des raisons techniques empêchent d'administrer une ressource au travers d'une liaison réseau physique ou de son interface d'administration physique, l'opérateur met en œuvre des mesures de réduction du risque telles que des mesures de sécurité logique. Dans ce cas, il décrit ces mesures et leurs justificatifs dans le dossier d'homologation du SIIV concerné ;
- lorsqu'ils ne circulent pas dans le système d'information d'administration, les flux d'administration sont protégés par des mécanismes de chiffrement et d'authentification conformes aux règles préconisées par l'Agence nationale de la sécurité des systèmes d'information. Si le chiffrement et l'authentification de ces flux ne sont pas possibles pour des raisons techniques, l'opérateur met en œuvre des mesures permettant de protéger ces flux en confidentialité et en intégrité et de renforcer le contrôle et la traçabilité des opérations d'administration. Dans ce cas, il décrit ces mesures et leurs justificatifs dans le dossier d'homologation du SIIV concerné ;
- les journaux enregistrant les événements générés par les ressources utilisées par les administrateurs ne contiennent aucun mot de passe en clair ou sous forme de condensat.
16. Règle relative au cloisonnement
L'opérateur d'importance vitale procède au cloisonnement de ses systèmes d'information d'importance vitale(SIIV) afin de limiter la propagation des attaques informatiques au sein de ses systèmes ou ses sous-systèmes. Il respecte les règles suivantes :
- chaque SIIV est cloisonné physiquement ou logiquement vis-à-vis des autres systèmes de l'opérateur ou des systèmes tiers ;
- lorsqu'un SIIV est lui-même constitué de sous-systèmes, ceux-ci sont cloisonnés entre eux physiquement ou
logiquement. Un sous-système peut être constitué pour assurer une fonctionnalité ou un ensemble homogène de fonctionnalités d'un SIIV ou encore pour isoler des ressources d'un SIIV nécessitant un même besoin de sécurité ;
- seules les interconnexions strictement nécessaires au bon fonctionnement et à la sécurité d'un SIIV sont mises en place entre le SIIV et les autres systèmes ou entre les sous-systèmes du SIIV.
L'opérateur décrit dans le dossier d'homologation de chaque SIIV les mécanismes de cloisonnement qu'il met en place.
17. Règle relative au filtrage
L'opérateur d'importance vitale met en place des mécanismes de filtrage des flux de données circulant dans ses systèmes d'information d'importance vitale (SIIV) afin de bloquer la circulation des flux inutiles au fonctionnement de ses systèmes et susceptibles de faciliter des attaques informatiques. Il respecte les règles suivantes :
- l'opérateur définit les règles de filtrage des flux de données (filtrage sur adresse réseau, sur protocole, sur numéro de port, etc.) permettant de limiter autant que possible la circulation des flux aux seuls flux de données nécessaires au fonctionnement et à la sécurité de ses SIIV ;
- les flux entrants et sortants des SIIV ainsi que les flux entre sous-systèmes des SIIV sont filtrés au niveau de leurs interconnexions de manière à ne permettre que la circulation des seuls flux strictement nécessaires au fonctionnement et à la sécurité des SIIV. Les flux qui ne sont pas conformes aux règles de filtrage sont bloqués ;
- l'opérateur établit et tient à jour une liste des règles de filtrage mentionnant l'ensemble des règles en vigueur ou supprimées depuis moins d'un an. Cette liste précise pour chaque règle :
- le motif et la date de la mise en œuvre, de la modification ou de la suppression de la règle ;
- les modalités techniques de mise en œuvre de la règle.
L'opérateur décrit dans le dossier d'homologation de chaque SIIV les mécanismes de filtrage qu'il met en place.
18. Règle relative aux accès à distance
L'opérateur d'importance vitale protège les accès à ses systèmes d'information d'importance vitale (SIIV) effectués à travers des réseaux tiers. En particulier, lorsque l'opérateur ou un prestataire qu'il a mandaté à cet effet accède à un SIIV à travers un réseau tiers à ceux de l'opérateur ou du prestataire, l'opérateur applique ou fait appliquer à son prestataire les règles suivantes :
- l'accès au SIIV est protégé par des mécanismes de chiffrement et d'authentification conformes aux règles préconisées par l'Agence nationale de la sécurité des systèmes d'information ;
- les équipements utilisés pour accéder au SIIV sont gérés et configurés par l'opérateur ou, le cas échéant, par le prestataire. Les mémoires de masse de ces équipements sont en permanence protégées par des mécanismes de chiffrement et d'authentification conformes aux règles préconisées par l'Agence nationale de la sécurité des systèmes d'information.
19. Règle relative à l'installation de services et d'équipements
L'opérateur d'importance vitale respecte les règles suivantes lorsqu'il installe des services et des
équipements sur ses systèmes d'information d'importance vitale (SIIV) :
- l'opérateur installe sur ses SIIV les seuls services et fonctionnalités qui sont indispensables au
fonctionnement ou à la sécurité de ses SIIV. L'opérateur désactive les services et les fonctionnalités qui ne sont pas indispensables, notamment ceux installés par défaut, et les désinstalle si cela est possible. Lorsque la désinstallation n'est pas possible, l'opérateur le mentionne dans le dossier d'homologation du SIIV concerné en précisant les services et fonctionnalités concernés et les mesures de réduction du risque mises en œuvre ;
- l'opérateur ne connecte à ses SIIV que des équipements, matériels périphériques et supports amovibles qu'il a dûment répertoriés et qui sont indispensables au fonctionnement ou à la sécurité de ses SIIV.
- les supports amovibles inscriptibles connectés aux SIIV sont utilisés exclusivement pour les besoins de ces SIIV ;
- l'opérateur procède, avant chaque utilisation de supports amovibles, à l'analyse de leur contenu,
notamment à la recherche de code malveillant. L'opérateur met en place, sur les équipements auxquels sont connectés ces supports amovibles, des mécanismes de protection contre les risques d'exécution de code malveillant provenant de ces supports.
20. Règle relative aux indicateurs
L'opérateur d'importance vitale évalue, pour chaque système d'information d'importance vitale (SIIV), les indicateurs suivants :
- des indicateurs relatifs au maintien en conditions de sécurité des ressources :
- le pourcentage de postes utilisateurs dont les ressources systèmes ne sont pas installées dans une version supportée par le fournisseur ou le fabricant ;
- le pourcentage de serveurs dont les ressources systèmes ne sont pas installées dans une version supportée par le fournisseur ou le fabricant ;
- le pourcentage de postes utilisateurs dont les ressources systèmes ne sont pas mises à jour ou corrigées du point de vue de la sécurité depuis au moins 15 jours à compter de la disponibilité des versions mises à jour ;
- le pourcentage de serveurs dont les ressources systèmes ne sont pas mises à jour ou corrigées du point de vue de la sécurité depuis au moins 15 jours à compter de la disponibilité des versions mises à jour ;
- des indicateurs relatifs aux droits d'accès des utilisateurs et à l'authentification des accès aux ressources :
- le pourcentage d'utilisateurs accédant au SIIV au moyen de comptes partagés ;
- le pourcentage d'utilisateurs accédant au SIIV au moyen de comptes privilégiés ;
- le pourcentage de ressources dont le mécanisme d'authentification n'est pas basé sur un élément secret ou dont les éléments secrets d'authentification ne peuvent pas être modifiés par l'opérateur ;
- des indicateurs relatifs à l'administration des ressources :
- le pourcentage de ressources administrées dont l'administration est effectuée à partir d'un compte non spécifique d'administration ;
- le pourcentage de ressources administrées dont l'administration ne peut pas être effectuée au travers d'une liaison réseau physique ou d'une interface d'administration physique ;
- le pourcentage de ressources administrées dont les flux d'administration ne peuvent pas être protégés par des mécanismes de chiffrement et d'authentification lorsque ces flux ne circulent pas dans le système d'information d'administration.
L'opérateur précise pour chaque indicateur la méthode d'évaluation employée et, le cas échéant, la marge d'incertitude de son évaluation. Lorsqu'un indicateur évolue de façon significative par rapport à l'évaluation précédente, l'opérateur en précise les raisons.
Les indicateurs ainsi réunis sont des documents confidentiels susceptibles de contenir des informations dont la révélation est réprimée par les dispositions de l'article 226-13 du code pénal. Ils sont, le cas échéant, couverts par le secret de la défense nationale.
L'opérateur communique, une fois par an, à l'Agence nationale de la sécurité des systèmes d'information, ces indicateurs mis à jour, selon le moyen approprié à la sensibilité des informations déclarées.
Jean-Louis Rémouit, pour Énergie Vérité novembre 2021
Commentaires