SI : de nouvelles règles de sécurité pour les produits de santé

Au total, 20 règles ont été récemment détaillées dans un arrêté par le secrétariat général de la Défense et de la Sécurité nationale (SGDSN) et l’Agence nationale de la sécurité des systèmes d’information (Anssi) (1). L’opérateur d’importance vitale doit élaborer, tenir à jour et mettre en œuvre une politique de sécurité des systèmes d’information reposant sur des procédures d’homologation de sécurité, un audit de la sécurité, le maintien en conditions de sécurité des ressources, le traitement des incidents et la gestion de crises en cas d’attaques informatiques.

Homologation de sécurité et éléments de cartographie

Dans le cadre de l’homologation de sécurité, un audit de la sécurité du SI devra être réalisé. Il comportera notamment la réalisation d’un audit d’architecture, d’un audit de configuration et d’un audit organisationnel et physique. L’opérateur peut réaliser lui-même l’audit ou recourir à un prestataire qualifié. L’homologation est valable pour une durée maximale de trois ans et est renouvelée au terme de cette période. On devra également fournir à l’Anssi des éléments de cartographie tels que les noms et les fonctions des applications, la description fonctionnelle et les lieux d’installation du SI et de ses différents sous-réseaux, la description fonctionnelle des points d’interconnexion du SI et de ses différents sous-réseaux avec des réseaux tiers ainsi que l’inventaire, l’architecture et le positionnement des services de résolution de noms d’hôte, de messagerie, de relais Internet et d’accès distant mis en œuvre par le SI.

Le maintien en conditions de sécurité et la journalisation Il importe de se tenir informé des vulnérabilités et des mesures correctrices de sécurité propres aux ressources matérielles et logicielles en installant et en maintenant toutes les ressources matérielles et logicielles de ses SI dans des versions supportées par les fournisseurs ou les fabricants. Il faut prévoir un système de journalisation qui enregistre les événements relatifs à l’authentification des utilisateurs, à la gestion des comptes et des droits d’accès, à l’accès aux ressources, aux modifications des règles de sécurité du SI ainsi qu’à son fonctionnement. Ce système de journalisation doit porter sur les serveurs applicatifs supportant les activités d’importance vitale, les serveurs d’infrastructure système, les serveurs d’infrastructure réseau, les équipements de sécurité, les postes d’ingénierie et de maintenance des systèmes industriels et les équipements réseau. Les événements enregistrés par le système de journalisation seront horodatés au moyen de sources de temps synchronisées et devront être centralisés et archivés pendant une durée d’au moins six mois.

La gestion de crise et les indicateurs

La procédure de gestion de crises en cas d’attaques informatiques majeures devra décrire les moyens techniques et organisationnels dont on dispose pour appliquer une configuration système afin d’éviter les attaques ou d’en limiter les effets. Il faudra ensuite mettre en place des règles de filtrage sur les réseaux ou des configurations particulières sur les équipements terminaux. Enfin, trois familles d’indicateurs seront établies pour chaque système d’information : des indicateurs relatifs au maintien en conditions de sécurité des ressources, des indicateurs relatifs aux droits d’accès des utilisateurs et à l’authentification des accès aux ressources et des indicateurs relatifs à l’administration des ressources.

(1) Arrêté du 10 juin 2016 fixant les règles de sécurité et les modalités de déclaration des systèmes d’information d’importance vitale et des incidents de sécurité relatives au sous-secteur d’activités d’importance vitale « Produits de santé ». JORF du 23 juin 2016.