Certificados TLS de servidor
Tráfico web seguro a gran escala
Inventario de certificados
Descubrir y rastrear todos los certificados
Certificados DevOps
Automatizar para pipelines CI/CD
Cifrado de correo electrónico
S/MIME para correo electrónico empresarial
Ley de Programación Militar de Francia's que impone estrictas obligaciones de ciberseguridad a los Operadores de Importancia Vital (OIV), incluidos los controles criptográficos y la gestión de certificados para la infraestructura nacional crítica.
El Ley de Programación Militar (LPM) establece el marco de defensa y seguridad nacional de France's, incluyendo requisitos obligatorios de ciberseguridad para los Operadores de Importancia Vital (OIV). Estos aproximadamente 250 operadores abarcan 12 sectores críticos, incluyendo energía, transporte, telecomunicaciones, salud y finanzas.
ANSSI (Agencia nacional de la seguridad de los sistemas de información) impone normas técnicas que exigen a las OIV implementar sistemas de detección cualificados, la notificación de incidentes y controles criptográficos, incluidos la autenticación basada en PKI y las comunicaciones cifradas. La ley otorga a ANSSI autoridad para auditar los sistemas OIV y hacer cumplir el cumplimiento.
El incumplimiento de las obligaciones de ciberseguridad del LPM puede conllevar sanciones severas. La última iteración, LPM 2024-2030, refuerza aún más estos requisitos y los alinea con los marcos europeos emergentes como NIS2, reforzando la posición de Francia's como líder en ciberseguridad de infraestructuras críticas.
Los Operadores de Importancia Vital deben implementar medidas de seguridad definidas por el Primer Ministro, incluyendo segmentación de red, controles de acceso y protecciones criptográficas para sistemas de información críticos.
Los OIV deben desplegar sondas de detección de intrusiones calificadas por la ANSSI en sus sistemas de información críticos para detectar y reportar ciberataques en tiempo real.
Los OIV deben reportar incidentes de seguridad significativos a la ANSSI sin demora, proporcionando información técnica detallada para permitir una respuesta coordinada y el intercambio de inteligencia de amenazas.
Los OIV deben implementar mecanismos criptográficos aprobados por la ANSSI para la protección de datos, incluyendo autenticación basada en certificados y comunicaciones cifradas en sistemas críticos.
Los OIV deben someterse a auditorías de seguridad regulares realizadas por proveedores de servicios de auditoría cualificados por la ANSSI (PASSI) para verificar el cumplimiento de las normas técnicas y los estándares de seguridad.
Los OIV deben cumplir con las normas técnicas específicas del sector (arrêtés) emitidas por la ANSSI, que abarcan la arquitectura de red, el control de acceso, la criptografía y los requisitos de endurecimiento del sistema.
El artículo 22 introduce obligaciones obligatorias de ciberseguridad para los Operadores de Importancia Vital (OIV) por primera vez en la legislación francesa.
ANSSI publica normas técnicas sectoriales (arrêtés) que detallan los requisitos de seguridad para cada sector OIV.
La ley actualizada refuerza las obligaciones de ciberseguridad de OIV y amplía los poderes de auditoría y aplicación de ANSSI'.
Nueva ley de programación militar adoptada, que mejora las capacidades de defensa cibernética y alinea los requisitos OIV con amenazas en evolución.
Las obligaciones reforzadas de OIV entran en vigor con la alineación a la transposición de NIS2 y los marcos técnicos actualizados de ANSSI.
Los requisitos de ciberseguridad del LPM's tienen implicaciones significativas para la infraestructura PKI y la gestión de certificados dentro de los sistemas críticos OIV. Aquí están las áreas críticas:
La autenticación basada en certificados es obligatoria para los sistemas críticos OIV, garantizando una verificación de identidad robusta para administradores y procesos automatizados que acceden a la infraestructura sensible.
Las comunicaciones cifradas deben usar algoritmos y protocolos criptográficos aprobados por ANSSI, requiriendo certificados emitidos por una infraestructura PKI conforme.
Se requiere infraestructura PKI para autenticar sondas de detección de intrusiones calificadas y garantizar la integridad de los datos de eventos de seguridad transmitidos a ANSSI.
Las obligaciones de gestión de claves se aplican a la información clasificada y sensible, requiriendo procesos rigurosos del ciclo de vida de los certificados e integración de módulos de seguridad de hardware.
PKI certificada por ANSSI con Stream — Stream ofrece una infraestructura PKI soberana, certificada por ANSSI, que brinda seguridad de nivel OIV para la autoridad de certificación, la autoridad de registro y las operaciones de sellado de tiempo.
Higiene de certificados con Horizon — Horizon garantiza una visibilidad y higiene completas de los certificados en todos los sistemas críticos de OIV mediante descubrimiento, inventario y aplicación de políticas.
Gestión automatizada del ciclo de vida — La emisión, renovación y revocación automatizada de certificados cumple con los requisitos de tiempo de respuesta de ANSSI, eliminando procesos manuales y reduciendo las ventanas de exposición.
Rutas de cumplimiento listas para auditoría — Rutas de auditoría exhaustivas e informes de cumplimiento listos para inspecciones de ANSSI, demostrando la adherencia a las reglas técnicas LPM y a los estándares de seguridad.
