Sous couvert d'une terminologie législative un tantinet martiale, le monde militaire a depuis peu fait son entrée dans le quotidien de quelques geeks barbus, férus de sécurité qui ne s'y attendaient pas vraiment, avec la promulgation de la loi de programmation éponyme. Cet article a la modeste ambition de vulgariser le sujet et de proposer un tour d'horizon des conséquences de cette évolution règlementaire, en particulier pour les équipes en charge de la détection et de la réponse aux incidents de sécurité.
1. Do you LPM ?
Mais qu’est-ce donc cette fameuse Loi de Programmation Militaire (qu’on retrouve souvent sous le trigramme LPM) ? Et en quoi concerne-t-elle la sécurité des systèmes d’information ?
Depuis les années 1960, l’Assemblée nationale vote des lois des finances en matière militaire : des LPM. Leur but est de programmer, à moyen ou long terme, l’allocation des dépenses militaires. En pratique, il s’agit de cycles d’affectation des crédits de l’État. Depuis 2003, ces cycles d’attribution ont une durée de 6 ans.
Jusqu’à 2013, les LPM couvraient les activités de défense au sens large (celui de la sécurité physique), restant ainsi à bonne distance de nos problématiques habituelles de sécurité SI. Les RSSI avaient donc assez peu de contraintes règlementaires ou normatives sur le dos, hormis quelques spécificités sectorielles (par ex., celles du monde bancaire type PCI-DSS) ou le cas particulier des données à caractère personnel…
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première