Opérateur d'Importance Vitale (OIV)
Les Opérateurs d'Importance Vitale (OIV) sont des opérateurs publics ou privés:
- exerçant dans des secteurs essentiels pour le fonctionnement des institutions et des services publics, pour l'activité économique ou plus généralement pour la vie en Principauté;
- exploitant des établissements ou utilisant des installations ou des ouvrages dont l'indisponibilité risquerait d'affecter de façon importante les intérêts précités;
Le Ministre d'État, conformément à l'article 23 de la loi n°1435 du 8 novembre 2016 relative a la lutte contre la criminalité technologique, fixe par arrêté ministériel les règles de sécurité nécessaires à la protection des systèmes d'information des OIV.
L'AMSN a pour double mission d'accompagner les OIV dans la sécurisation de leurs systèmes d’information critiques et de contrôler, en tant qu’autorité nationale, le respect de ce cadre réglementaire.
Règlementation
Il définit les règles de sécurité nécessaires à la protection des systèmes d'information des opérateurs d'importance vitale.
Il définit les secteurs d’importance vitale constitués d'activités concourant à un même objectif ayant trait à la production et la distribution de biens ou de services indispensables à la satisfaction des besoins essentiels pour la vie de la population monégasque, à l'exercice de l'autorité de l'État, au fonctionnement de l'économie ainsi qu'à la sécurité de l'État.
Déclaration des incidents de sécurité
Les opérateurs d'importance vitale et les services de l'État sont tenus d'informer sans délai l’AMSN des incidents affectant le fonctionnement ou la sécurité de leurs systèmes d'information. Ces informations, anonymisées, pourront notamment être partagées par l’Agence Monégasque de Sécurité Numérique (AMSN) avec les autres OIV afin de renforcer leur capacité à détecter des attaques sophistiquées.
Ces informations sont transmises à l'aide du formulaire de déclaration d'incidents.
Ce formulaire une fois rempli devra être transmis à l’AMSN avec des moyens adaptés.
Recommandations relatives aux incidents de type DDOS
L’AMSN recommande de prendre connaissance de la note suivante, qui définit les bonnes pratiques en matière de traitement de DDoS.
Déclaration d'un Système d'Information d'Importance Vitale (SIIV)
Identifier les systèmes les plus critiques pour lesquels une attaque avérée aurait des conséquences graves pour la Principauté.
Ces informations sont transmises à l'aide du formulaire de déclaration SIIV.
Ce formulaire une fois rempli est couvert par le secret de sécurité nationale. A cet égard, le formulaire électronique devra être transmis à l’AMSN avec des moyens adaptés conformes à l’Arrêté Ministériel 2016-723, modifié.
Tableau d'évaluation du niveau de sécurité des SIIV
L’opérateur communique, une fois par an, à l’Agence Monégasque de Sécurité Numérique, l'évaluation du niveau de sécurité mis à jour.
Ce formulaire une fois rempli est couvert par le secret de sécurité nationale. A cet égard, le formulaire électronique devra être transmis à l’AMSN avec des moyens adaptés conformes à l’Arrêté Ministériel 2016-723, modifié.
Recommandations relatives à la règle 9 de l’Arrêté Ministériel n° 2018-1053 du 8 novembre 2018
Le présent document formule un certain nombre de recommandations relatives à la mise en place du système d’information spécifique, dédié au traitement des incidents de sécurité par les opérateurs d’importance vitale. Ces recommandations doivent être implémentées par des équipes techniques.
Recommandations relatives à la règle 3 de l’Arrêté Ministériel n° 2018-1053 du 8 novembre 2018
Le présent document est à destination des équipes techniques pour les aider à réaliser la cartographie.