Les opérateurs d’importance vitale contraints de jouer la transparence en cas de cyberattaque

SECURITE Un décret a été publié ce week-end au journal officiel...  

P.B.

— 

Une carte mondiale des attaques informatiques dressée par Norse Corp.
Une carte mondiale des attaques informatiques dressée par Norse Corp. — NORSE

La dissimulation, c'est fini. Un décret publié ce week-end au journal officiel va obliger les opérateurs d'importance vitale (OIV) à communiquer à l'Agence Nationale de la Sécurité des Systèmes d’information (ANSSI) les cyberattaques dont ils sont victimes. Cette nouveauté, qui intervient dans la cadre de la loi de programmation militaire, ne fait pas que des heureux.

Un OIV, c'est quoi? Il s'agit de 218 entreprises appartenant à des secteurs jugés stratégiques pour la nation, notamment sur l'énergie, la santé, la finance etc.

«Opposition de principe»

Outre l'obligation de communiquer en cas de cyberattaques, les OIV devront mettre en place des solutions préventives, selon des critères fixés par l'ANSII. Selon NextInpact, «les systèmes des centrales nucléaires, celui des fournisseurs d’accès, des opérateurs télécoms, etc. devront être mis à nu devant les yeux de l’ANSSI en cas d’incident».

Dans Les Echos, Patrick Chambet, membre du conseil d’administration du Club des experts de la sécurité de l’information et du numérique (CESIN), explique pourquoi de nombreux acteurs sont réticents. «Il y a des oppositions de principe, parce que ces mesures sont coûteuses et peuvent freiner le business », estime-t-il. Sans compter qu'un piratage exhibé publiquement peut gravement nuire à l'image d'une entreprise.