Modèle d'auditNIS : évaluation des mesures de sécurité pour les OSE

L'opérateur effectue et met régulièrement à jour une analyse des risques, en identifiant ses systèmes d'information critiques (SIC) qui sous-tendent la fourniture des services essentiels de l'OSE et en identifiant les principaux risques qui pèsent sur ces CIS. Ce processus est essentiel pour mettre en place et maintenir une organisation solide de gestion des risques. Les résultats des mises à jour devraient être mis en œuvre dans le cadre d'un cercle vertueux d'amélioration continue.

L'évaluation des risques prend notamment en compte

• les nouvelles menaces

• les faiblesses récemment découvertes

• la perte d'efficacité des mesures

• les modifications de la situation de risque causées par des changements dans l'architecture du système

• tout autre changement dans la situation de risque

Sur la base de l'analyse des risques, l'opérateur établit, tient à jour et met en œuvre une politique de sécurité des systèmes d'information (PSSI) et un système de gestion de la sécurité de l'information (SGSI) approuvés par la direction générale, ce qui garantit l'approbation de la politique à un niveau élevé.

La politique définit les objectifs stratégiques de sécurité, décrit la gouvernance de la sécurité (ou l'organisation de la gestion des risques) et renvoie à toutes les politiques spécifiques pertinentes en matière de sécurité des systèmes d'information (par exemple, en ce qui concerne le processus d'homologation de la sécurité, l'audit de sécurité, la cryptographie, la maintenance de la sécurité, le traitement des incidents, etc.)

Sur la base de l'analyse des risques et conformément à une procédure d'accréditation mentionnée dans la PSSI, l'opérateur accrédite lui-même le SIC identifié dans son analyse des risques du système d'information, y compris, entre autres, l'inventaire et l'architecture des composants d'administration du SIC.

Le processus d'accréditation de l'opérateur a pour but d'intégrer le SIC dans l'organisation de la gestion des risques et d'accepter formellement les risques résiduels.

Dans le cadre du processus d'accréditation et en fonction de l'analyse des risques, un audit de sécurité du SIC doit être réalisé. Cet audit doit viser à vérifier l'application et l'efficacité des mesures de sécurité applicables au SIC.

La décision d'agrément du SIC doit tenir compte de l'analyse des risques, des mesures de sécurité appliquées au SIC, des rapports d'audit et des risques résiduels, ainsi que des raisons justifiant leur acceptation.

L'opérateur tient à jour une cartographie de son SIC.

Ici, l'"accréditation des SIC" doit être comprise comme la décision de l'opérateur lui-même d'identifier son SIC, les risques associés et les risques résiduels qu'il choisit d'accepter.

Pour chaque SIC et selon un certain nombre d'indicateurs et de méthodes d'évaluation, l'opérateur évalue sa conformité avec sa PSSI. Les indicateurs peuvent porter sur la performance de l'organisation de gestion des risques, le maintien des ressources dans des conditions de sécurité, les droits d'accès des utilisateurs, l'authentification de l'accès aux ressources et l'administration des ressources.

L'opérateur établit et met à jour une politique et des procédures pour la réalisation d'évaluations et d'audits de la sécurité des systèmes d'information des biens critiques et des SIC, en tenant compte de l'analyse des risques régulièrement mise à jour.

L'opérateur s'assure que, premièrement, les employés et les contractants comprennent et démontrent leurs responsabilités et qu'ils sont aptes aux rôles pour lesquels ils sont considérés et, deuxièmement, qu'ils s'engagent dans leurs rôles.

Les politiques de sécurité des systèmes d'information établies prévoient un programme de sensibilisation à la sécurité des SIC pour l'ensemble du personnel et un programme de formation à la sécurité pour les employés ayant des responsabilités liées aux SIC.

L'opérateur met en place un cadre approprié pour identifier, classer et mettre en œuvre un inventaire des processus, systèmes et composants informatiques du SIC. Cette gestion des actifs soutient le déploiement des mises à jour et des correctifs et, le cas échéant, détermine quels composants sont concernés par les nouveaux problèmes de sécurité.

L'exploitant établit une cartographie de son écosystème, comprenant les parties prenantes internes et externes, y compris, mais sans s'y limiter, les fournisseurs, en particulier ceux qui ont accès aux actifs critiques de l'exploitant ou qui les gèrent.

L'objectif de cette cartographie est d'identifier et d'évaluer les risques potentiels que représentent les relations avec les parties prenantes de l'écosystème. Pour réaliser cette évaluation, l'opérateur peut prendre en compte quatre paramètres majeurs :

• Maturité : quelles sont les capacités techniques de la partie prenante en matière de cybersécurité ?

• Confiance : Puis-je supposer que les intentions de la partie prenante à mon égard sont fiables ?

• Niveau d'accès : Quels sont les droits d'accès de la partie prenante à mes actifs critiques et à mon SIC ?

• Dépendance : Dans quelle mesure la relation avec mes parties prenantes est-elle essentielle à mon activité ?

L'opérateur établit une politique concernant ses relations avec son écosystème afin d'atténuer les risques potentiels identifiés. Il s'agit en particulier des interfaces entre le SIC et les tiers. D'une manière générale, les exigences de sécurité doivent être prises en compte pour les composants du SIC exploités par des tiers. L'opérateur s'assure, par le biais d'accords de niveau de service (SLA) et/ou de mécanismes d'audit, que ses fournisseurs mettent également en place des mesures de sécurité adéquates.

L'opérateur n'installe que les services et les fonctionnalités ou ne connecte que les équipements qui sont essentiels au fonctionnement et à la sécurité de son SIC. Si des composants supplémentaires sont inévitables (par exemple pour des raisons économiques), ils sont analysés conformément à l'analyse des risques. Ces composants ne doivent être utilisés que dans la mesure nécessaire et avec des mesures de sécurité adéquates.

Par exemple, l'opérateur ne connecte à son SIC que les équipements, périphériques matériels et supports amovibles qu'il a dûment répertoriés et qui sont indispensables au fonctionnement ou à la sécurité de son SIC.

L'opérateur sépare ses systèmes afin de limiter la propagation des incidents de sécurité informatique au sein de ses systèmes ou sous-systèmes.

À cette fin, l'exploitant sépare physiquement ou logiquement chaque SIC des autres systèmes d'information de l'exploitant ou des systèmes d'information de tiers. Dans le cas où un SIC est lui-même composé de sous-systèmes, l'exploitant sépare ces derniers physiquement ou logiquement. L'exploitant n'autorise que les interconnexions - entre le SIC et d'autres systèmes ou entre des sous-systèmes du SIC - qui sont essentielles au fonctionnement et à la sécurité d'un SIC.

L'exploitant met en œuvre des mesures de sécurité adéquates pour les interfaces inévitables (par exemple, les interfaces avec les systèmes d'information des fournisseurs ou des clients).

L'opérateur filtre les flux de trafic circulant dans ses systèmes d'information critiques (SIC). L'opérateur interdit ainsi les flux de trafic qui ne sont pas nécessaires au fonctionnement de ses systèmes et qui sont susceptibles de faciliter une attaque.

L'opérateur définit et met à jour régulièrement les règles de filtrage (par adresse réseau, par numéro de port, par protocole, etc.) afin de limiter les flux de trafic aux flux nécessaires au fonctionnement et à la sécurité des SIC.

L'opérateur filtre les flux entrants et sortants du SIC et les flux entre sous-systèmes du SIC au niveau de leur interconnexion, limitant ainsi les flux strictement nécessaires au fonctionnement et à la sécurité du SIC.

Dans sa PSSI, l'opérateur établit et met en œuvre une politique et des procédures relatives à la cryptographie, afin de garantir une utilisation adéquate et efficace de la cryptographie pour protéger la confidentialité, l'authenticité et/ou l'intégrité des informations contenues dans son SIC.

L'opérateur crée des comptes spécifiques pour l'administration, à utiliser uniquement pour les administrateurs qui effectuent des opérations d'administration (installation, configuration, gestion, maintenance, etc.) sur son SIC. Ces comptes sont maintenus sur une liste à jour, ce qui peut être fait également pour les comptes non liés à l'administration.

A cette fin, les permissions données aux administrateurs sont individualisées et limitées autant que possible au périmètre fonctionnel et technique de chaque administrateur. Les comptes administrateurs ne sont utilisés que pour se connecter au système d'information de l'administration. Si ces comptes ne sont utilisés qu'à des fins d'administration, les opérations d'administration sont réalisées exclusivement à l'aide des comptes d'administrateur.

Les ressources matérielles et logicielles utilisées à des fins d'administration sont gérées et configurées par l'opérateur ou, le cas échéant, par le prestataire de services que l'opérateur a autorisé à effectuer des opérations d'administration.

Les systèmes d'information de l'administration ne sont utilisés qu'à des fins administratives et pour effectuer des opérations d'administration et ne doivent pas être mélangés avec d'autres opérations. En particulier, l'environnement logiciel des comptes d'administration n'est pas utilisé pour accéder à des sites web ou à des systèmes de messagerie sur Internet, et les utilisateurs ne se connectent pas à un système utilisé à des fins d'administration par le biais d'un environnement logiciel utilisé pour d'autres fonctions que les opérations d'administration.

L'opérateur met en place un réseau physique dédié pour connecter les systèmes d'administration aux ressources à administrer. L'administrateur utilise à cette fin l'interface physique d'administration des ressources.

Dans le cas où les mesures d'administration ne sont pas effectuées via le réseau dédié, les flux d'administration sont protégés par des mécanismes d'authentification et de cryptage.

Aucun mot de passe, sous forme de texte clair ou de hachage, n'est inscrit dans les journaux enregistrant les événements produits par les ressources utilisées pour l'administration, ni stocké sous cette forme à quelque moment que ce soit.

Pour l'identification, l'exploitant crée des comptes uniques pour les utilisateurs ou pour les processus automatisés qui doivent accéder aux ressources de son SIC. Les comptes inutilisés ou devenus inutiles doivent être désactivés. Un processus d'examen régulier doit être mis en place.

Pour l'authentification, l'exploitant protège l'accès aux ressources de son SIC pour les utilisateurs ou les processus automatisés à l'aide d'un mécanisme d'authentification. L'opérateur définit les règles de gestion des identifiants d'authentification de son SIC.

Chaque fois que cela est nécessaire, et dans les cas où cela est possible, l'opérateur doit modifier les références d'authentification. En particulier, l'opérateur doit modifier dès le départ les identifiants d'authentification par défaut installés par le fabricant/fournisseur d'une ressource avant que cette ressource ne soit mise en service. Négliger cet aspect présenterait un risque élevé pour la sécurité de toute infrastructure dont une telle ressource fait partie ou avec laquelle elle interagit.

Parmi les règles définies dans sa politique de sécurité des systèmes, l'opérateur n'accorde des droits d'accès à un utilisateur ou à un processus automatisé que lorsque cet accès est strictement nécessaire pour que l'utilisateur puisse accomplir sa mission ou pour que le processus automatisé puisse accomplir ses opérations techniques. Les principes du besoin de connaître et du moindre privilège doivent être appliqués.

L'exploitant définit les droits d'accès aux multiples fonctionnalités de la ressource et attribue ces droits d'accès uniquement aux utilisateurs ou aux processus automatisés dont la nécessité est évidente. L'exploitant examine au moins une fois par an ces droits d'accès, y compris les liens entre les comptes, les droits d'accès associés et les ressources ou fonctionnalités auxquelles ces droits d'accès permettent d'accéder, et tient à jour une liste des comptes privilégiés (par exemple, un compte d'administration). L'exploitant vérifie toute modification potentielle d'un compte privilégié afin de s'assurer que les droits d'accès aux ressources et aux fonctionnalités sont attribués selon le principe du moindre privilège (seuls les droits strictement nécessaires sont accordés) et qu'ils sont adaptés à l'utilisation du compte.

L'opérateur élabore et met en œuvre une procédure de maintien de la sécurité conformément à sa PSSI. A cet effet, la procédure définit les conditions permettant de maintenir le niveau de sécurité minimal des ressources du SIC. La procédure, qui décrit la politique d'installation de toute nouvelle version ou mesure corrective pour une ressource désignée, précise également l'auto obligation d'information de l'opérateur sur les vulnérabilités et les mesures correctives de sécurité qui concernent les ressources du SIC (matérielles et logicielles).

L'opérateur n'installe et ne maintient que des versions de ses ressources matérielles et logicielles du SIC qui sont supportées par leurs fournisseurs ou fabricants et qui sont à jour du point de vue de la sécurité. L'opérateur vérifie l'origine et l'intégrité de la version avant son installation (selon les délais définis dans la procédure), et analyse l'impact technique et opérationnel de cette version sur le SIC concerné.

L'opérateur protège l'accès à son SIC lorsque l'accès se fait par l'intermédiaire de réseaux tiers. Dans ce cas, l'opérateur protège par des mécanismes de cryptage et d'authentification l'accès au SIC ainsi que la mémoire de masse des équipements utilisés pour accéder au SIC, et assure également la gestion et la configuration des équipements précités.

De nombreux services essentiels dépendent de systèmes de contrôle industriel (SCI) opérationnels et sûrs. Le cas échéant, l'opérateur tient compte des exigences de sécurité particulières des SCI. Par exemple, l'approche classique des technologies de l'information (axée sur le transfert d'informations et l'accès à celles-ci) pourrait être remplacée par une approche des technologies opérationnelles (le matériel et les logiciels sont utilisés pour provoquer ou détecter des changements dans un processus physique).

L'opérateur met en place un système de détection des incidents de sécurité de type "sonde d'analyse de fichiers et de protocoles". Les sondes d'analyse de fichiers et de protocoles analysent les flux de données transitant par ces sondes afin de rechercher les événements susceptibles d'affecter la sécurité du SID. Elles sont positionnées de manière à pouvoir analyser tous les flux échangés entre le SIC et les systèmes d'information tiers.

L'exploitant met en place un système de journalisation sur chaque SID afin d'enregistrer les événements relatifs, a minima, à l'authentification des utilisateurs, à la gestion des comptes et des droits d'accès, à la modification des règles de sécurité, au fonctionnement du SID et qui couvre les serveurs d'application supportant des activités critiques ; les serveurs d'infrastructure système ; les serveurs d'infrastructure réseau ; les équipements de sécurité ; les stations d'ingénierie et de maintenance des systèmes industriels ; les équipements de réseau ; les postes de travail administratifs. L'opérateur enregistre via le système de journalisation les événements avec horodatage à l'aide de sources temporelles synchronisées et centralise les archives pendant au moins un semestre.

L'opérateur met en place un système de corrélation et d'analyse des logs qui exploite les événements enregistrés par le système de journalisation installé sur chacun des SIC afin de détecter les événements qui affectent la sécurité des SIC. Le système de corrélation et d'analyse des journaux est installé et exploité par l'opérateur (ou le prestataire désigné à cet effet) via un système d'information dédié utilisé uniquement pour détecter les événements susceptibles d'affecter la sécurité des systèmes d'information.

L'opérateur élabore, tient à jour et met en œuvre une procédure de traitement, de réaction et d'analyse des incidents qui affectent le fonctionnement ou la sécurité de son SIC, conformément à sa PSSI.

L'exploitant met en place un système d'information dédié au traitement des incidents, afin notamment de stocker les enregistrements techniques de l'analyse des incidents. L'exploitant sépare le système des SIC touchés par l'incident et conserve les enregistrements techniques correspondants pendant une période d'au moins six mois. L'opérateur prend en compte, lors de la conception du système, le niveau de confidentialité des documents stockés.

L'exploitant élabore, tient à jour et met en œuvre des procédures de signalement des incidents.

L'opérateur met en œuvre un service lui permettant de prendre connaissance, dans les meilleurs délais, des informations transmises par son autorité nationale compétente concernant les incidents, les vulnérabilités, les menaces et les cartographies pertinentes (inventaire à jour des SIC, interconnexions des SIC avec des réseaux tiers, etc.) Il met en œuvre une procédure pour traiter les informations reçues et, le cas échéant, pour prendre les mesures de sécurité nécessaires à la protection de son SIC. L'opérateur fournit à son autorité nationale compétente des coordonnées à jour (nom du service, numéro de téléphone et adresse électronique) pour ce service. L'opérateur est encouragé à relier sa gestion des incidents aux équipes de réponse aux incidents de sécurité informatique (CSIRT).

Conformément à sa PSSI, l'opérateur définit des objectifs et des orientations stratégiques concernant la gestion de la continuité des activités en cas d'incident de sécurité informatique.

Conformément à sa PSSI, l'opérateur définit des objectifs et des orientations stratégiques concernant la gestion de la reprise après sinistre, en cas d'incident grave de sécurité informatique.

L'opérateur définit dans sa PSSI l'organisation de la gestion de crise en cas d'incident de sécurité informatique et la continuité des activités de l'organisme.

L'opérateur définit dans sa PSSI les processus de gestion de crise que l'organisation de gestion de crise mettra en œuvre en cas d'incidents de sécurité informatique et de continuité des activités d'une organisation.