Infrastructures critiques : exigences et conformité à la loi PIC

Le parcours dans la gestion des infrastructures critiques commence par un e-mail du type : « Bonjour, vous avez été désigné par le CNPIC (Centre national de protection des infrastructures critiques) comme opérateur critique dans X centres ». Si cela vous est familier, cet article peut vous être utile.

Le CNPIC (Centre national de protection des infrastructures critiques) est l’organe dépendant du ministère de l’Intérieur chargé de promouvoir, de coordonner et de superviser toutes les politiques et activités liées à la protection des infrastructures critiques espagnoles.

Ces activités sont menées avec le soutien de l’équipe de réponse aux urgences informatiques (CERT/CSIRT) composée d’experts en délits liés à la cybersécurité dont la mission est de fournir des conseils dans la résolution des incidents de cybersécurité ; et par le biais du bureau de coordination cybernétique (OCC), qui est l’organe technique de coordination en matière de cybersécurité qui sert d’intermédiaire entre les CSIRT nationaux de référence et le Secrétariat d’État à la Sécurité, qui fournit un canal d’alerte précoce face aux cyberattaques, permet l’échange d’informations entre différents acteurs publics/privés, en plus d’offrir des mécanismes de réponse aux cyberincidents.

Une infrastructure critique est considérée comme une installation physique ou virtuelle dont le fonctionnement est indispensable aux intérêts nationaux et dont l’interruption partielle ou totale entraîne de graves conséquences pour le déroulement normal des activités de base et quotidiennes des citoyens.

En ce sens, une infrastructure critique peut englober différents services au sein des 12 secteurs stratégiques qui assurent la prestation de services en Espagne, comme le secteur de l’énergie, le secteur financier, les technologies de l’information, entre autres.

Si vous avez été désigné comme opérateur critique par le CNPIC, vous devez vous conformer aux exigences établies dans la loi 8/2011 qui établit des mesures pour la protection des infrastructures critiques et le décret royal 704/2011 qui permet l’exécution et le développement de ladite loi.

L’objectif que la législation PIC (Protection des infrastructures critiques) entend couvrir est de définir une structure et une stratégie de sécurité intégrale qui permettent de coordonner les actions communes dans les différents organes des administrations publiques, en plus de réglementer les exigences auxquelles doivent se conformer les opérateurs désignés comme critiques.

Par conséquent, en tant qu’opérateur critique, vous êtes tenu d’élaborer et de documenter la stratégie appliquée dans votre organisme ou institution (publique ou privée) en matière de sécurité intégrale, depuis les politiques de sécurité appliquées, l’analyse des risques de sécurité exécutée ou la définition des mesures de sécurité organisationnelles, procédurales ou techniques, entre autres points, mais comment aborder ces exigences ?

Le respect de la loi 8/2011 et du décret royal 704/2011 exige de documenter ce que l’on appelle le plan de sécurité de l’opérateur et le plan de protection spécifique, nous allons donc détailler les implications de chacun d’eux.

Plan de sécurité de l’opérateur (PSO)

Les plans de sécurité de l’opérateur, plus connus sous le nom de PSO, sont un document stratégique qui recueille les politiques générales de l’opérateur critique pour garantir la sécurité de l’ensemble des installations ou des systèmes dont il est propriétaire ou qu’il gère. Parmi les points qu’il doit contenir, nous pouvons souligner les suivants :

• Introduction : Identification des mesures prises par l’opérateur pour la gestion de la documentation liée à la protection des infrastructures critiques, qui vont de la nomination d’un responsable de l’approbation documentaire, à l’identification des unités de stockage et de distribution des informations liées à la PIC, ainsi qu’aux mesures de sécurité (logiques et physiques) appliquées pour sa sauvegarde.
• Politique de sécurité et cadre de gouvernance : Exige d’établir la politique de sécurité appliquée chez l’opérateur ; de représenter et de documenter les organes de gouvernance du point de vue de la sécurité intégrale, ainsi que de définir un responsable de la sécurité et de liaison, des délégués à la sécurité, ou les actions de formation à la sécurité planifiées et exécutées chez l’opérateur.
• Relation des services essentiels fournis par l’opérateur : Oblige à documenter de manière générale les services essentiels que l’opérateur fournit aux citoyens, en documentant les impacts qu’entraînerait l’interruption des services (p. ex. population touchée) et les relations existantes entre l’opérateur et d’autres opérateurs critiques et/ou fournisseurs de services critiques liés à la sécurité intégrale.
• Méthodologie d’analyse des risques : Le PSO doit définir la méthodologie d’analyse des risques appliquée chez l’opérateur pour garantir la continuité des services fournis. Cette méthodologie doit reprendre les critères d’évaluation des risques et les mécanismes pour couvrir les menaces non assumées par l’opérateur critique.
• Critères d’application des mesures de sécurité intégrale : Identifier de manière générale les mesures organisationnelles ou de gestion ; opérationnelles ou procédurales ; de protection ou techniques qui sont appliquées chez l’opérateur pour la sauvegarde des services critiques.
• Documentation complémentaire : Implique de lister la réglementation en matière de sécurité physique, logique, du personnel, environnementale ou des risques professionnels qui affecte directement l’opérateur critique.

Il convient de souligner que, dans un délai de six mois à compter de la notification de la résolution de sa désignation comme opérateur critique, il devra élaborer un plan de sécurité de l’opérateur et le présenter au CNPIC, qui l’évaluera et informera de son approbation ou de sa modification, le cas échéant, par le secrétaire d’État à la Sécurité ou l’organe auquel celui-ci délègue.

Les plans de protection spécifiques sont des documents opérationnels où doivent être définies les mesures de sécurité concrètes adoptées par l’opérateur et celles qui vont être adoptées pour garantir la sécurité intégrale (physique et logique) des infrastructures désignées comme critiques.

Contrairement au PSO, qui exige de documenter un seul document avec les mesures de sécurité générales de l’opérateur, les PPE sont alignés directement sur les infrastructures critiques, par conséquent, si un opérateur s’est vu désigner 3 infrastructures comme critiques, il devra élaborer 3 PPE indépendants, un pour chaque siège opérationnel.

En ce sens, les plans de protection spécifiques doivent inclure toutes les mesures de sécurité appliquées à chacun des centres, étant nécessaire de couvrir les sections suivantes :

• Introduction : Identification des mesures prises par l’opérateur pour la gestion de la documentation liée à la protection des infrastructures critiques et plus concrètement avec le PPE.
• Aspects organisationnels : Exige de détailler les organigrammes graphiques qui représentent la structure de gouvernance de la sécurité dans chaque siège désigné. Identifier les données d’identification du responsable de la sécurité et de liaison, ainsi que les délégués à la sécurité du centre et les remplaçants des deux en cas de besoin.
• Description de l’infrastructure critique : Implique une description détaillée de l’infrastructure critique, depuis la localisation (adresse, coordonnées géographiques), les fonctions que ledit siège assure aux citoyens et en particulier tous les éléments qui sont nécessaires à la prestation desdits services, en soulignant les éléments de matériel, de logiciel, de communications, les fournisseurs critiques, entre autres.
• Résultats de l’analyse des risques : Documenter de manière détaillée les mesures organisationnelles ou de gestion ; opérationnelles ou procédurales ; de protection ou techniques qui sont appliquées dans le centre, ainsi que les résultats de l’analyse des risques réalisée qui vont de la représentation des éléments évalués, aux valeurs obtenues jusqu’aux conclusions de l’opérateur critique.
• Plan d’action : En fonction des résultats de l’analyse des risques, il est nécessaire de documenter les actions d’amélioration découlant de celui-ci afin de réduire les risques non assumés par l’organisation, en plus d’établir des actions d’amélioration de la sécurité supplémentaires stratégiques apportées par l’opérateur critique dans le centre analysé.
• Documentation complémentaire : Identification de la réglementation en matière de sécurité physique, en plus d’autres éléments nécessaires au fonctionnement du centre, comme le plan de continuité, les plans d’autoprotection, etc.

Souligner que, dans un délai de quatre mois à compter de l’approbation du plan de sécurité de l’opérateur, chaque opérateur critique devra avoir élaboré un plan de protection spécifique pour chacune de ses infrastructures critiques désignées par le CNPIC et le présenter au Secrétariat d’État à la Sécurité pour son évaluation et son approbation.

L’adaptation aux exigences de la loi 8/2011 exige de reprendre les différentes mesures de sécurité intégrale (physiques et logiques) dans le plan de sécurité de l’opérateur et les différents plans de protection spécifiques.

Chez GlobalSuite Solutions, nous offrons l’expérience que possèdent les différents travaux de conseil et d’audit en matière de sécurité, et de manière spécifique dans le soutien à différentes organisations, tant publiques que privées, dans l’élaboration et l’approbation desdits documents, tout cela grâce à la participation d’une équipe d’experts en la matière et au soutien de notre logiciel GlobalSuite® qui dispose d’un module spécifique de protection des infrastructures critiques.

Si vous avez besoin d’aide pour le respect de la loi PIC, contactez-nous et découvrez comment nous pouvons collaborer avec votre organisation pour satisfaire aux exigences établies, protéger votre infrastructure critique et améliorer la sécurité de manière intégrale !