Sur la mise en place du système de sécurité des infrastructures à informations sensibles de la Fédération de Russie
À l’heure actuelle l’activité de tous les secteurs indiqués implique l’utilisation de ressources informatiques et de télécommunications modernes qui constituent justement les informations sensibles des infrastructures où une panne éventuelle pourrait entraîner des conséquences graves, voire catastrophiques, pour la population et l’État en général.
C’est l’ampleur du danger potentiel pour la société qui a motivé l’élaboration de cette loi fédérale et son adoption. On peut affirmer que les auteurs du projet de loi se sont appuyés sur l’étude des risques encourus pour donner forme à l’initiative visant à adopter l’acte normatif envisagé.
La note explicative du projet de loi indiquait que l’infrastructure informationnelle constitue un chaînon entre les autres secteurs des infrastructures nationales, tandis que la gestion automatisée conjointe aux innovations par évidence positives entraîne des risques liés aux différents types possibles d’attaques informatiques et à la diffusion de logiciels nuisibles susceptibles de mettre hors service tout équipement fonctionnant sur la base d’un code binaire.
Selon les données de ces dernières années issues de diverses méthodes d’évaluation des dommages causés par ces logiciels nuisibles, ceux-ci représentent de 300 milliards à un billion de dollars, c’est-à-dire de 0,4% à 1,4% du PIB mondial annuel, et ces indices montrent une propension à augmenter.
On peut citer à titre d’exemples de conséquences d’attaques informatiques menées à l’aide du virus StuxNet sur les infrastructures sensibles d’un État, l’arrêt de la centrifugeuse de la centrale nucléaire iranienne en septembre 2010 et la paralysie de plusieurs grands établissements financiers de Corée du Sud en mars 2013.
Manifestement, la lutte contre les pannes survenues dans l’activité d’entreprises vitales non seulement pour les infrastructures de l’État mais aussi pour les individus doit être menée sur le plan législatif.
La loi n° 187-FZ est un acte législatif systématisant les modalités des relations en matière de sécurité des infrastructures à informations sensibles dans la Fédération de Russie.
Au sein du système des notions utilisées dans cette loi, il est stipulé que la sécurité des infrastructures à informations sensibles porte sur la fiabilité de leur protection et la poursuite de leur fonctionnement en cas d’attaques informatiques.
Selon les points 6 et 7 de l’article 2 de la Loi n° 187-FZ, les infrastructures à informations sensibles incluent les systèmes d’information, les réseaux de communication, les systèmes de gestion automatisés des sujets des infrastructures à informations sensibles, ainsi que les réseaux électriques utilisés dans les échanges entre ces sujets.
Pour cette raison, un autre acte législatif intervient dans le règlement des relations assurant la sécurité des infrastructures à informations sensibles, il s’agit de la Loi n° 126-FZ du 7 juillet 2003 « Sur les télécommunications » à laquelle des amendements ont été apportés dans ce sens (Loi fédérale n° 193-FZ du 26 juillet 2017). Il a notamment été prévu d’introduire des modalités de mise en place et d’utilisation des ressources d’un seul et même réseau électrique en Fédération de Russie pour assurer le fonctionnement des sujets majeurs des infrastructures à informations sensibles. Ces modalités sont à l’état de projet (élaborées par le Ministère des télécommunications de Russie). En outre, les opérateurs téléphoniques se sont vu imposer une obligation supplémentaire : en cas de connexion à un réseau électrique devant permettre l’interface entre les sujets des infrastructures à informations sensibles de la Fédération de Russie, les moyens prévus pour détecter les signes d’attaques informatiques dans ces réseaux doivent respecter les conditions indiquées dans la Loi n°187-FZ relatives à l’établissement et à l’exploitation de ces moyens, ainsi que leur intégrité (ce point devra être validé par le Gouvernement de la Fédération de Russie).
Dans l’ensemble, la Loi n°187-FZ établit la structure institutionnelle assurant la sécurité des infrastructures à informations sensibles dont les éléments sont les suivants :
– les organes de l’État, les établissements publics ;
– les personnes morales et/ou physiques russes enregistrées comme propriétaires, locataires ou liées sous une autre forme juridique à un système d’information, à un réseau de télécommunication, ou à des systèmes de gestion automatisés fonctionnant dans les secteurs vitaux indiqués ci-dessus ;
– les personnes morales et/ou physiques russes qui assurent une interface entre les systèmes ou réseaux indiqués.
Ainsi, la structure institutionnelle comprend des organismes d’État et des entreprises privées. Il est important de souligner qu’une bonne part des sujets des infrastructures à informations sensibles dans beaucoup de pays, comme en Russie, ne relèvent pas de la propriété de l’État, par conséquent, les mesures visant à assurer leur sécurité imposent de prendre en compte aussi la Loi fédérale n° 294-FZ du 26 décembre 2008 « Sur la protection des droits des personnes morales et des entrepreneurs individuels lors de l’exercice du contrôle par l’État et les municipalités ».
Le système assurant la sécurité des infrastructures à informations sensibles au niveau de l’État suppose une détection, une prévention et une réaction aux attaques informatiques menées contre les ressources informatiques de la Fédération de Russie.
Les services impliqués dans la détection, la prévention et la réaction aux attaques informatiques, sont les suivants :
– les départements et les membres responsables de l’organe fédéral du pouvoir exécutif habilités en matière de sécurité du fonctionnement du système public correspondant (Service fédéral de Sécurité de Russie – FSB) ;
– l’organisation, créée par le FSB de Russie, chargée de coordonner l’activité des sujets des infrastructures à informations sensibles en matière de détection, de prévention et de réaction aux attaques informatiques et incidents en découlant (centre de coordination nationale sur les incidents informatiques).
Le projet de Disposition relative au centre de coordination nationale sur les incidents informatiques (ci-après CCNII) a été élaboré par le FSB de Russie, mais n’est pas encore adopté. Ce centre devra coordonner les mesures de réaction aux incidents informatiques et intervenir directement dans l’application de ces mesures, organiser et procéder à l’échange d’informations sur les incidents informatiques entre les sujets des infrastructures à informations sensibles, ainsi qu’entre eux et les organismes de pays étrangers et les organisations non-gouvernementales internationales chargés de réagir à ces incidents, notamment en recourant aux moyens techniques mis à sa disposition pour l’envoi, la réception, le traitement et le stockage des avis et des demandes dans le cadre de l’interface avec les sujets des infrastructures à informations sensibles, ainsi qu’avec les autres sujets et organismes, y compris étrangers ou internationaux.
Le CCNII devra répondre aussi de l’établissement des normes de fonctionnement des entités des infrastructures à informations sensibles en matière de détection, prévention et réaction aux attaques et incidents informatiques.
Le projet prévoit également d’autres droits et obligations pour le CCNII qui définissent son statut juridique en tant que chaînon entre les structures de l’État et les entreprises privées.
Deux organismes publics principaux sont chargés d’assurer la sécurité des infrastructures à informations sensibles, ce sont le Service fédéral de sécurité (FSB de Russie) et le Service fédéral de contrôle technique et d’export (FSTEK de Russie).
Leurs domaines de compétences sont distincts : celui du FSTEK comprend la sécurité des infrastructures à information sensible alors que le FSB est responsable du fonctionnement du système public de détection, de prévention et de réaction aux attaques menées contre les ressources informatiques de la Fédération de Russie.
Pour remplir ses obligations en la matière, le FSTEK de Russie a adopté l’arrêté n° 235 du 21 décembre 2017 « Sur la validation des normes requises en matière de création de systèmes de sécurité pour les sujets majeurs des infrastructures à informations sensibles de la Fédération de Russie et de contrôle de leur fonctionnement », ainsi que l’arrêté n° 239 du 25 décembre 2017 « Sur la validation des normes requises en matière de sécurité des sujets majeurs des infrastructures à informations sensibles de la Fédération de Russie ».
Le point important est que les sujets des infrastructures à informations sensibles doivent désormais former au sein de leurs organismes leurs propres sections spécialisées relevant des forces de sécurité dont elles dépendent, il s’agit en particulier de :
– sections (personnel) de l’entité responsables de la sécurité des sites majeurs de l’entité ;
– sections (personnel) exploitant les sites majeurs de l’entité ;
– sections (personnel) assurant le fonctionnement (accompagnement, entretien et réparations) des sites majeurs de l’entité ;
– autres sections (personnel) intervenant en matière de sécurité des sites majeurs de l’entité.
La loi n° 187-FZ établit la nécessité de catégorier les sites des infrastructures à information sensible. Ces catégories (au nombre de trois) sont établies en fonction de leur importance : 1) sociale ; 2) politique ; 3) économique ; 4) écologique ; 5) pour la défense du pays, la sécurité de l’État et le maintien de l’ordre.
Les sujets des infrastructures à informations sensibles définissent elles-mêmes la catégorie du site dont elles sont détentrices de droit et fournissent ces informations au FSTEK de Russie qui peut décider d’un changement de catégorie. L’objectif de cette classification est de définir une priorité lors de la mise en place de mesures de protection à l’égard des sujets.
Ainsi, la sécurité des infrastructures à informations sensibles est assurée par la coordination des composantes suivantes : le système de détection et de réaction, le contrôle de l’État (inspections régulières et aléatoires des entités), coopération entre toutes les entités (y compris information et établissement de normes).
En ce qui concerne les propriétaires des sujets d’infrastructures à informations sensibles, les questions de responsabilité pour les infractions à la législation relative à la sécurité de ces sujets sont évidemment importantes.
Cette responsabilité est stipulée par le Code pénal de la Fédération de Russie (article 274.1 al. 3, 4 et 5) qui prévoit des sanctions, en particulier pour les infractions aux règles d’exploitation des moyens de stockage, de traitement ou de transmission des données informatiques stockées au sein du sujet ou des systèmes d’information, des réseaux de télécommunication, des systèmes de gestion automatisés, des réseaux électriques liés aux entités ou bien aux règles d’accès à ces informations, aux systèmes et réseaux d’informations, aux systèmes de gestion automatisés et aux réseaux électriques.
En fonction des circonstances aggravantes les peines encourues peuvent varier. Il peut s’agir d’une peine allant jusqu’à cinq ans de travaux d’intérêt général avec ou sans privation du droit de remplir certaines fonctions déterminées ou d’exercer certaines activités jusqu’à trois ans maximum ; ou bien de la privation de liberté jusqu’à six ans avec ou sans privation du droit de remplir certaines fonctions ou d’exercer certaines activités jusqu’à trois ans maximum (article 274.1 al. 3 CP).
Pour en visager dans certains cas une privation de liberté de trois à huit ans avec privation éventuelle du droit de remplir certaines fonctions ou d’exercer certaines activités jusqu’à trois ans maximum (en cas d’actes commis en groupe après entente ou groupe organisé, ou bien par une personne avec abus de pouvoir : article 274.1 al. 4 CP).
Ou bien encore peut être prévue une privation de liberté de cinq à dix ans avec privation éventuelle du droit de remplir certaines fonctions ou d’exercer certaines activités jusqu’à cinq ans maximum (si les actes commis prévus par l’article 274.1 al. 1, 2, 3 ou 4 CP ont entraîné des conséquences lourdes, selon article 274.1 al. 5 CP).
Il convient de préciser que les conséquences lourdes constituent une catégorie d’appréciation pour l’application du droit, qui n’est pour autant pas définie par la législation. Cependant, le point 19 de l’arrêté du Plénum de la Cour suprême du 29 novembre 2016 N°55 « sur les jugements pénaux » précise que les conclusions concernant la qualification juridique de l’infraction en fonction de telle ou telle norme pénale doit être motivée par la cour. En reconnaissant la personne coupable d’avoir commis une infraction avec des circonstances particulières (par exemple, des conséquences lourdes, un dommage important, l’existence d’un intérêt personnel mercantil ou autre …), le juge ne peut se contenter d’y renvoyer, il doit motiver sa décision de reconnaître leur existence.
L’on peut par exemple parler de conséquences lourdes en tenant compte du critère de l’ampleur, concrètement lors d’une violation massive des droits.
Recent Comments