Quel rôle joue l’Anssi auprès des OIV ?

La loi de programmation militaire (loi n° 2013-1168 du 18 décembre 2013) a introduit dernièrement un dispositif législatif important sur le volet de la sécurité des systèmes d’information. Ainsi, le décret n° 2015-351 du 27 mars 2015 intègre quatre grandes mesures désormais imposées aux opérateurs d’importance vitale (OIV) : l’application de règles de sécurité obligatoires visant à protéger leurs systèmes d’information sensibles, la mise en place d’audits de sécurité, la déclaration des incidents de sécurité informatique affectant les systèmes d’information critiques et enfin la réponse aux crises majeures. La déclaration des incidents imposera aux opérateurs de mettre en place des dispositifs de détection sur leur réseau informatique, faisant notamment intervenir des sondes d’analyse qualifiées par l’Anssi. Ces sondes devront être exploitées par des prestataires de détection de sécurité également qualifiés par l’Anssi.

Y a-t-il des sanctions prévues en cas de manquement ?

La loi prévoit de sanctionner les entreprises qui manqueraient à ces obligations. Les sanctions vont de 150 000 € d’amende pour les personnes physiques à 750 000 € d’amende pour les personnes morales. Afin d’éviter cette situation, dès le mois de janvier 2015, l’Anssi a mis en place plusieurs groupes de travail avec les opérateurs et les ministères coordonnateurs pour définir des règles efficaces et adaptées aux métiers et spécificités des opérateurs. Pour le secteur financier, ces travaux se sont achevés fin septembre et les opérateurs concernés devront transmettre dès 2016 à l’Anssi la liste de leurs systèmes d’information sensibles.