Ce lundi 19 septembre 2016 n’a pas été un lundi ordinaire. C’était un lundi de l’habituel rendez-vous avec les entrepreneurs, un Lundi de l’Intelligence Économique (Lundis de l’IE du Medef) présenté autour des risques cyber. Je vous fais part d’un extrait de sa présentation, sous forme d’une pièce de théâtre qui mettait en présence un patron d’OIV, sa directrice de communication, un sous-traitant d’OIV.
J’ai évoqué quelques défis à relever par les entreprises, notamment la mise en place de remparts contre les attaques cyber.
Il s’agit bien de remparts, chaque pierre mise à l’édifice représentant elle-même une partie du rempart mais aussi une faille potentielle, tant l’évolution des technologies d’intrusion dans les entreprises (via les systèmes d’information mais aussi par la porte) est exponentielle, comparée aux parades mises en place.
1. La loi de Programmation Militaire
Les OIV [1] doivent appliquer ses dispositions et bien entendu les sous-traitants des OIV. Certains diront probablement le contraire, et à juste titre, à première vue seulement.
La loi de Programmation Militaire prévoit en effet des seuils pour l’application de ses dispositions aux sous-traitants. Ces seuils sont basés sur un chiffre d’affaires de plus de 2 millions d’euros et un effectif de plus de 10 salariés.
L’objet de la loi exige une approche des risques qu’il faut anticiper chez soi et chez les acteurs partenaires des OIV.
- La preuve par l’exemple
Prenons une image contractuelle résultant des contrats et de la réalisation d’un projet industriel.
Un ouvrage doit respecter des performances techniques (mécaniques, fonctionnelles) et cet ouvrage est réalisé avec des équipements fabriqués par des sous-traitants, puis ils sont assemblés, mis en service et réceptionnés, dans le meilleur des cas.
Les cahiers des charges de l’entreprise générale (« l’ensemblier ») contiennent des seuils de performances des équipements légèrement surévalués par rapport aux exigences du maître de l’ouvrage pour que l’entreprise générale, responsable à l’égard du maître de l’ouvrage, s’assure d’une marge d’erreur ou limite les effets d’une perte d’efficacité, lors de la mise en service de l’ouvrage global testé (les résultats des performances de réception).
- C’est le même raisonnement pour un OIV, face à ces nouvelles exigences.
Il lui est demandé :
d’avoir un certain niveau d’équipement notamment pour détecter les tentatives d’intrusion,
de réaliser des contrôles,
de prendre en partie le contrôle du réseau (reprise en mode manuel) en cas de crise majeure,
de communiquer avec les victimes sur les attaques subies.
L’OIV doit donc prévoir dans ses cahiers des charges et ses contrats, selon l’obligation concernée, soit une marge d’erreur traduite en seuils de performances plus élevés et un seuil d’alerte afin que l’OIV puisse lui-même notifier dans les 72 heures l’incident majeur (l’intrusion).
L’OIV prendra donc la précaution auprès de ses partenaires, ses sous-traitants, de s’assurer d’un niveau de performances des équipements, au vu de nouveaux critères de design, de sécurité (redondances, sauvegardes,…) supérieurs à ceux que lui-même proposera à ses propres clients.
2. La double sanction du non-respect des obligations
A défaut d’adopter cette démarche d’anticipation, l’OIV pourrait se retrouver à ne pas pouvoir alerter l’ANSSI (Agence nationale de la sécurité des systèmes d’information), ses clients industriels ou ses utilisateurs personnes physiques, dans des délais compatibles avec les exigences légales.
L’OIV et le sous-traitant pourraient se retrouver dans la situation de ne pas pouvoir faire face efficacement à la survenance d’un risque cyber qui nécessite une bonne organisation interne et une bonne coopération entre les entreprises.
C’est finalement l’humain qui doit être mis au cœur de l’entreprise, du dispositif de protection, prêt à réagir face à une menace qui n’affectera pas seulement l’OIV mais aussi le cotraitant, les partenaires, le concurrent.
Loi n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale.
Céline Barbosa
Avocat- IncentAct