Les Directives Nationales de Sécurité: ce secret s'applique-t-il à votre système d'information ? - Actualités CSO Documentation

Les Directives Nationales de Sécurité: ce secret s'applique-t-il à votre système d'information ?

le 26/06/2009, par Bertrand LEMAIRE, Documentation, 712 mots

Les Directives Nationales de Sécurité: ce secret s'applique-t-il à votre système d'information ?

Des organisations privées et publiques si elles ont un rôle stratégique en France peuvent se voir forcées d'appliquer des directives nationales de sécurité (DNS). Les DNS impactent l'informatique. Et il n'est pas simple de les appliquer car elles sont classifiées. Le 25 juin, le Cercle Européen de la Sécurité et des Systèmes d'Information a consacré son séminaire mensuel aux directives nationales de sécurité (DNS) dont certaines dispositions ont des impacts sur l'informatique. A ce jour, les services gouvernementaux ont identifié 234 opérateurs dans 12 secteurs d'activité comme étant concernés. Ils sont présents aussi bien dans l'industrie que dans les établissements publics. Mais les considérations liées au Secret Défense compliquent légèrement les choses. En effet, ces informations sont classifiées, c'est à dire que l'on ne peut pas en parler librement. Pierre Lasbordes, député spécialiste des questions de sécurité, a tout d'abord rappelé ce que sont les DNS. Celles-ci concernent les infrastructures critiques dans un secteur d'activité vital, autrement dit des services nécessaires pour répondre aux besoins essentiels du pays ou de la population. La définition est assez large pour inclure aussi bien les hôpitaux que la SNCF. L'objet des DNS est de préserver la sécurité de ces infrastructures afin de garantir leur fonctionnement continu. Chaque secteur vital est rattaché à un ministère coordinateur qui rédige les directives nationales de sécurité (DNS) sous la coordination du secrétariat général du Gouvernement. Les DNS sont ensuite adressées à tous les opérateurs « d'importance vitale » qui ont l'obligation de les appliquer à leurs frais. Photo : Pierre Lasbordes, député spécialiste des questions de sécurité. (D.R.) Si le sujet visé par l'une ou l'autre de ces DNS est externalisé, l'opérateur est responsable de la bonne exécution des consignes par son sous-traitant. Bien entendu, l'Etat se réserve le droit d'auditer les dits opérateurs pour vérifier l'application des DNS. Le RSSI de la SNCF concerné témoigne « Les DNS comprennent trois grandes familles de directives » a témoigné Sylvain Thiry, RSSI de la SNCF. Il détaille ainsi : « On trouve tout d'abord, la gouvernance des risques externes. La démarche est très proche de l'ISO 27000, avec une analyse de risques, une politique de sécurité et des moyens à mettre en oeuvre. Ensuite, il y a les points d'importance vitale à protéger. Enfin, il y a les consignes Vigipirate qui sont très opérationnelles mais peuvent arriver à tout moment y compris en dehors des horaires ouvrés, ce qui implique de mettre en oeuvre une astreinte. » Pour les systèmes d'information, les DNS concernent autant les risques logiques que physiques. « Il y a un accent sur la ToIP car celle-ci est moins fiable et moins sûre que la téléphonie classique mais, en revanche, l'accès à Internet ne semble pas avoir été pris en compte alors que beaucoup d'entreprises sont incapables de fonctionner sans celui-ci » prévient Sylvain Thiry. Il en déduit logiquement : « Les DNS sont une faible part de la sécurité et ce serait une grosse erreur que de construire sa politique de sécurité en se basant sur celles-ci. Il faut juste intégrer les DNS à sa politique. Et le RSSI est évidemment le responsable pour tout ce qui concerne l'informatique. » Il y a cependant un vrai problème avec ces DNS : elles sont classifiées. Ce qui signifie que l'on ne doit pas en parler. Pour Sylvain Thiry, « il n'est pas simple d'organiser le travail sans donner à ses collaborateurs les tenants et aboutissants. Et les habilitations, qui mettent de 4 à 6 mois à être délivrées, ne concernent que ce qui est strictement nécessaire au regard de sa fonction. » Un effet secondaire, c'est que personne dans le grand public ou parmi les professionnels ne sait exactement quelles entreprises ou organisations sont concernées, sauf les responsables de celles-ci, et quelles sont les consignes données (puisqu'elles sont classifiées), même vaguement. Les DNS ne peuvent donc pas servir de référentiel ou de bonnes pratiques qui pourraient être appliquées volontairement par d'autres structures. Selon Pierre Lasbordes, « Les DNS, comme les certifications ISO, apportent un plus aux organisations qui les appliquent. Ce ne sont pas que des contraintes. » Il ne reste pas moins que seulement 10% de l'objectif est aujourd'hui atteint en terme d'identification des opérateurs et des risques ainsi que de conception des DNS. Les prochaines Assises de la Sécurité y seront largement consacrées et un travail en commun avec le Cigref est prévu sur plusieurs années.

Un livre indispensable pour tout comprendre sur la virtualisation des...

La recomposition du secteur des télécoms et des réseaux n'est pas un vain mot, chacun connaît l'aspect opérateur avec la vente très médiatisée de SFR, mais côté réseaux tous les acteurs changent également....

le 05/05/2014, par Didier Barathon, 433 mots

Les plus de 50 ans tiennent les rênes des sociétés IT et télécoms en...

La question des successions est souvent agitée dans les télécoms en particulier chez les installateurs et intégrateurs. En fait, le monde de l'IT dans son ensemble est touché comme le prouve l'étude du cabinet...

le 18/09/2013, par Fabrice Alessi, 373 mots

Le marché de la sécurité ne connait pas la crise

Les ventes de solutions de sécurité informatiques devraient croître de plus de 7% par an entre 2012 et 2017 pour atteindre à cette date les 30 Md$, prévoit le cabinet d'étude Canalys. La sécurité fait figure...

le 14/08/2013, par Fabrice Alessi, 345 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Joël Mollo

VP Europe du sud de SkyHigh

« Nous créons un nouveau marché autour de la sécurité du cloud »