Plus sophistiquées, plus nombreuses… Les cyberattaques sont une menace bien réelle. Et tout le monde est concerné. Les OIV (Opérateurs d’Importance Vitale) ne font évidemment pas exception. Ces entités, privées ou publiques, exploitent ou utilisent des installations jugées indispensables pour la survie de la Nation. Une cyberattaque contre une de ces entreprises pourrait avoir des conséquences graves pour le pays. Elles n’ont donc d’autre choix que d’investir dans leur sécurité.
« Il faut le dire, il y a un business de la cyberattaque qui se développe et c’est ainsi que ces derniers mois on a vu de grandes collectivités, des hôpitaux, dans ma ville de Versailles en particulier, des départements, des régions, des grandes villes, se faire attaquer… » Jean-Noël Barrot, ministre chargé de la transition numérique et des télécommunications le 31 mars 2023.
Pour faire face à cette menace grandissante, l’article 22 de la Loi de Programmation Militaire (LPM) promulguée en 2013, prévoit des mesures visant à renforcer la sécurité des OIV. Ce texte leur impose « le renforcement de la sécurité des systèmes d’information critiques qu’ils exploitent : les systèmes d’information d’importance vitale », explique l’ANSSI.
Un nouveau projet de LPM 2024-2030, renforcé, est actuellement débattu à l’assemblée, la part sur le volet cybersécurité devrait augmenter considérablement…
Les OIV face aux exigences réglementaires
Face à ces exigences réglementaires, les OIV doivent donc s’équiper de solutions ultra-sécurisées. Les éditeurs de logiciels ont donc été contraints de prendre ces obligations en compte dans la conception de leurs solutions. C’est pourquoi certains ont décidé de s’équiper de boîtiers HSM. Cela permet de préserver la confidentialité des informations sensibles échangées via leurs solutions.
L’article R. 1332-1 du code de la défense précise que les opérateurs d’importance vitale sont désignés parmi les opérateurs publics ou privés mentionnés à l’article L. 1332-1 du même code, ou parmi les gestionnaires d’établissements mentionnés à l’article L. 1332-2. Un opérateur d’importance vitale : exerce des activités mentionnées à l’article L. 132-2 et comprises dans un secteur d’activités d’importance vitale ; gère ou utilise au titre de cette activité un ou des établissements ou ouvrages, une ou des installations dont le dommage ou l’indisponibilité ou la destruction par suite d’un acte de malveillance, de sabotage ou de terrorisme risquerait, directement ou indirectement d’obérer gravement le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ou de mettre gravement en cause la santé ou la vie de la population.
« Dans l’environnement professionnel, la circulation d’informations à caractère sensible s’effectue désormais majoritairement par voie électronique. Cela représente un véritable défi en termes de sécurité et de confidentialité », a expliqué Frédéric Fouyet, directeur de l’innovation chez Oodrive.
Sécuriser les données ultra-sensibles des OIV
Le HSM est un boîtier de chiffrement permettant de générer, stocker et protéger des clés cryptographiques. Cette solution permet également d’accélérer le chiffrement. L’initialisation du HSM s’effectue par le biais de cartes à puce. Elle aboutit à la création d’une clé maîtresse capable de chiffrer les données hébergées sur les serveurs applicatifs. C’est ce chiffrement qui permet de prévenir toute consultation ou manipulation non autorisée.
Il existe 12 secteurs d’activités d’importance vitale répartis en 4 dominantes. Humaine : alimentation, gestion de l’eau, santé / Régalienne : activités civiles de l’Etat, activités judiciaires, activités militaires de l’Etat / Economique : énergie, finances, transports / Technologique : communications électroniques, audiovisuel et information, Industrie, espace et recherche
Afin d’offrir un niveau de sécurité adapté aux entreprises comme les OIV, Oodrive s’est équipé de boîtiers HSM de Bull (marque technologique d’Atos). Le groupe permet ainsi à ses utilisateurs de bénéficier d’un service cryptographique certifié et de protéger les données, notamment les plus sensibles, face à la cybermenace. « Grâce à ce partenariat commercial, les solutions Oodrive répondent aux préconisations sécuritaires de l’Etat », a conclu Frédéric Fouyet.
