In Frankrijk wordt een aantal bedrijven als vitaal voor de economie beschouwd. Deze zijn bij wet verplicht om te investeren in de beveiliging van hun interne informatie- en communicatiesystemen. In totaal gaat het om zo’n 200 bedrijven. Welke dat precies zijn, daarover wordt niet gecommuniceerd.

Als immers de netwerken van grote banken, telecomproviders, vliegvelden, de SNCF (spoorwegen) of EDF (elektriciteit) gehackt zouden worden, dan zouden de gevolgen voor de Franse economie gigantisch kunnen zijn. Hele steden zonder licht, hulpdiensten uitgeschakeld, vliegtuigen aan de grond … kortom een economie die bijna plat komt te liggen en een land dat tot stilstand zou komen.

Opérateurs d’Importance Vitale (OIV)

Daarom wil de Franse staat dat bedrijven die als zogenaamde ‘opérateurs d’importance vitale’ (OIV) beschouwd worden, spelers van vitaal belang, aan bepaalde eisen voldoen. “Jaarlijks vinden meerdere serieuze cyberaanvallen plaats. Soms slagen de hackers erin om in het meest gevoelige deel van een ICT-systeem terecht te komen met kostbare technische, strategische of commerciële informatie. Het doel is om hierop te anticiperen”, aldus Guillaume Poupard, Algemeen Directeur van het Franse Nationale Agentschap voor de Veiligheid van Informatiesystemen ANSSI (Agence Nationale de la sécurité des systèmes d’information).

 

Nieuwe verplichtingen voor eigen beveiliging OIV-bedrijven

In de meerjaren militaire wet die in december 2013 werd aangenomen, staan voor OIV-geklasseerde bedrijven nieuwe verplichtingen met betrekking tot hun cybersecurity. Ook krijgt het ANSSI nieuwe bevoegdheden: in geval van een ernstige dreiging kan het nationale agentschap de totale controle over een ICT-netwerk overnemen en dit eventueel van de rest van het net afkoppelen.

 

Bewustzijn bedrijven vergroten

Aan de kant van de bedrijven heeft de wet vooral het bewustzijn vergroot van de bestaande risico’s met betrekking tot cybersecurity. Het ANSSI verzorgt begeleiding en cursussen voor bedrijven om ze te helpen bij de beveiliging van hun netwerken.

Daarbij beseft men al gauw dat de materie in de praktijk minder eenvoudig is dan het lijkt. De SNCF (spoorwegen) bijvoorbeeld ontdekte dat het wel veertig gevoelige ICT-systemen bezit die als ‘vitaal’ kunnen worden geoormerkt. Een aantal van die systemen is onmogelijk te beveiligen, tenzij je het systeem compleet ombouwt. Maar dat zou dan weer enkele duizenden miljoenen euro’s kosten.

 

Wat is vitaal?

De investeringen die ieder betrokken bedrijf moet doen zijn afhankelijk van de situatie. Dat kan met een factor vijf oplopen van het ene tot het andere bedrijf. “Maar de mate van ‘vitaal belang’ is lastig te definiëren. Bijvoorbeeld omdat de vitale belangen van een land niet automatisch overeenkomen met de economische belangen van een bedrijf!”, zegt Gérôme Billois, lid van de Club voor de informatiebeveiliging in Frankrijk (Clusif).

Als bijvoorbeeld het klantenbestand van een bedrijf wordt gehackt, dan betekent dat niet een onmiddellijk gevaar voor het land. Het bedrijf kan waarschijnlijk nog steeds dezelfde diensten leveren. De discussies tussen het ANSSI en de OIV-bedrijven gaan er soms fel aan toe. Wat is een vitale functie in welke sector? Bij telecombedrijven zijn telefoonverbindingen van vitaal belang, maar hoe zit het met internet, is dat even essentieel? Is bij de SNCF de reizigersinformatie van vitaal belang? In sommige gevallen waarschijnlijk wel.

 

Business voor Thales, Orange, Airbus Defense&Space, Atos

Leveranciers van cybersecurity-technologie zoals Thales, Orange, Airbus Defense&Space, Atos en CS, hopen te profiteren van het nieuwe wettelijk kader en de verplichte investeringen die de OIV-bedrijven moeten doen. In twee of drie jaar tijd is het aantal tenders verdubbeld, bekent een grote cybersecurityspeler.

Volgens de consultant Pierre Audoin Consultants (PAC) heeft het bedrijfsleven in 2013 meer dan een miljard euro uitgegeven aan produkten zoals antivirussen en firewalls en andere cybersecuritydiensten. Dat is gemiddeld tien procent meer dan het jaar ervoor. Franse technologieproviders kunnen hier een grote rol spelen.

 

Vertrouwen in technologie

De wet beoogt om ‘vertrouwde technologie’ te stimuleren, dat wel zeggen afkomstig uit Frankrijk of uit Europa. De meeste toeleveranciers hebben hun aanbod al gelabeld met ‘Speciaal voor OIV’s’, een label waar ze vervolgens de aandacht op vestigen tijdens beurzen en forums zoals in januari jl. tijdens het CybersecurityForum in Lille.

Thales en Airbus Cybersecurity zijn heel sterk op de markt van de ‘soevereine lijntjes’, die automatisch iedere abnormale activiteit bij een OIV-bedrijf melden bij het ANSSI. “Wij beheersen alle aspecten van het product”, aldus Cyril Autant, directeur IT- en Ruimtevaartveiligheid bij Thales.

Ook de kleinere spelers proberen een graantje mee te pikken. Zo heeft de mkb Amossys uit Rennes software ontwikkeld waarmee een OIV-bedrijf zijn hele systeem in kaart kan brengen en alle datastromen die er rond gaan kan identificeren. “Onze software heeft geen enkele invloed op het netwerk of op andere apparaten”, benadrukt een van de oprichters van Amossys, Christophe Dupas.

Orange concurreert met IBM en Capgemini op de dienstenmarkt en vindt het absurd om uitsluitend met Franse technologie te willen werken. «Soevereine produkten bestaan niet, soevereine diensten wel», legt Michel Van den Berghe uit, directeur van Orange Cyberdefense.

Die visie wordt bevestigd als je kijkt naar de tien grootste verkopers van beveiligingssoftware in Frankrijk, daar zit geen enkel Frans bedrijf tussen: Symantec (VS), Checkpoint (Israël), Kaspersky (Rusland), HP (VS), Intel (VS) en Trend Micro (Japan) bezetten de eerste plaatsen.

Toch heeft Orange een oplossing gevonden om te voldoen aan de OIV-veiligheidseisen door een Amerikaans gevoelig product te kopen, maar dat geheel op het Orangenet te installeren, en door de Orange-teams te laten beheren. Zo is men er bij Orange zeker van dat de data op geen enkele manier Frankrijk uit kunnen komen.

 

Info: polo@twa-fr.nl

Bron
Cybersécurité : 200 entreprises sensibles à protéger, L’Usine Nouvelle, 21 januari 2015