http://www.silicon.fr/cybersecurite-gra … 36930.html

« Lors du FIC (Forum International de la Cybersécurité), Guillaume Poupard, le directeur général de l'Anssi, a annoncé la sortie imminente des arrêtés sectoriels d'application de la Loi de programmation militaire (LPM), votée fin 2013. La fin d'une longue marche pour l'Agence nationale de la sécurité des systèmes d'information, pour qui il s'agit là d'un chantier majeur.

« 18 arrêtés correspondant à autant de secteurs d'activité vont être publiés, car nous avons voulu coller à la réalité de ces entreprises », explique Guillaume Poupard. Y figureront les règles découlant de la LPM et portant sur la notification des incidents de sécurité par les OIV ou encore sur la façon dont ils seront contrôlés. L'entrée en application de la législation est prévue pour le 1er juillet, avec des délais de mise en œuvre allant de 3 à 18 mois en fonction de cas. Une échéance assez brève au regard du timing des investissements informatiques, mais qui s'explique par le fait que ces arrêtés ont été négociés depuis des mois avec les OIV eux-mêmes. Ces derniers connaissent donc déjà les grandes lignes des modalités d'applications.

[...]

Au cours de cette co-construction, les OIV sont parvenus à rendre relativement flexible un texte qui, au départ, pouvait apparaître comme contraignant. « On laissera les opérateurs définir le périmètre des systèmes d'information à caractère vital », précise ainsi Julien Barnu, le chef de cabinet de l'Anssi. Autrement dit, ce sont les OIV eux-mêmes qui choisiront les systèmes sur lesquels la loi va s'appliquer. Un périmètre touchant à tout ce qui peut mettre en péril le potentiel militaire ou économique de la nation. Autrement dit, les systèmes dont la compromission entrainerait un ‘simple' préjudice commercial ne sont pas concernés, remarque ainsi Joël Noirot.

[...]

De toute façon, qu'ils soient qualifiés ou certifiés, les produits référencés par l'Anssi seront simplement recommandés aux OIV, comme nous l'a confirmé Guillaume Poupard. Pas imposés. « C'est une démarche pragmatique, plaide le directeur général de l'Anssi. Dans certains domaines, il faut avoir conscience qu'il n'y a pas encore d'offre qualifiée ou que le processus de qualification lui-même n'existe pas. Par contre, quand ce sera réaliste, nous irons vers une obligation ; les arrêtés ont vocation à être renégociés dans deux ou trois ans. Par exemple, dans un domaine sensible comme la détection d'intrusion, nous finirons certainement par imposer la qualification des produits aux OIV. »

[...]


A la SNCF, Joël Noirot note : « sur les outils sophistiqués, l'offre française reste limitée. En matière de cybersécurité, il demeure difficile de se passer de la technologie américaine. »