FAQ – Opérateurs de services essentiels (OSE)


Quels sont les références juridiques du cadre réglementaire applicable aux Opérateurs de services essentiels (OSE) ?

  • Directive européenne (UE) 2016/1148 ;
  • Loi n° 2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité – chapitre II « dispositions relatives à la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels » ;
  • Décret n° 2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d’informations des opérateurs de service essentiels et des fournisseurs de service numérique. – Chapitre Ier : Dispositions relatives à la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels ;
  • Arrêté du 13 juin 2018 fixant les modalités des déclarations des systèmes d’information et des incidents de sécurité des opérateurs de services essentiels, et des incidents de sécurité des fournisseurs de service numérique ;
  • Arrêté du 1er août 2018 relatif au coût d’un contrôle effectué par l’Agence nationale de la sécurité des systèmes d’information en application des articles 8 et 14 de la loi n° 2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité ;
  • Arrêtés du 14 septembre 2018 fixant les règles de sécurité relatif à la sécurité des réseaux et systèmes d’informations des opérateurs de services essentiels.

 

 

DÉSIGNATION DES OPERATEURS DE SERVICES ESSENTIELS (OSE)

Qu’est-ce qu’un opérateur de service essentiel (OSE) ? Qu’est-ce qu’un service essentiel ?

Un OSE est un opérateur tributaire des réseaux ou systèmes d’information, qui fournit un service essentiel dont l’interruption aurait un impact significatif sur le fonctionnement de l’économie ou de la société.

Un service essentiel correspond à 3 critères :

  • ce service est essentiel au maintien d’activités sociétales ou économiques critiques ;
  • la fourniture de ce service est tributaire des réseaux et des systèmes d’information ;
  • un incident sur ces réseaux et systèmes aurait un effet disruptif important sur la fourniture dudit service.

L’importance d’un effet disruptif est déterminée notamment en prenant en compte les facteurs transsectoriels suivants :

  1. le nombre d’utilisateurs tributaires du service fourni par l’entité concernée ;
  2. la dépendance des autres secteurs visés à l’annexe II à l’égard du service fourni par cette entité ;
  3. les conséquences que des incidents pourraient avoir, en termes de degré et de durée, sur les fonctions économiques ou sociétales ou sur la sûreté publique ;
  4. la part de marché de cette entité ;
  5. la portée géographique eu égard à la zone susceptible d’être touchée par un incident ;
  6. l’importance que revêt l’entité pour garantir un niveau de service suffisant, compte tenu de la disponibilité de solutions de rechange pour la fourniture de ce service.

Comment est désigné un opérateur de services essentiels ?

Sur la base de la liste des services essentiels publiée dans le décret, l’ANSSI, en coordination avec les ministères, propose au Premier ministre une liste d’OSE potentiels.Par la suite, la désignation s’effectue selon un contradictoire :

  1. une lettre d’intention de désignation est envoyée à l’opérateur pressenti ;
  2. l’opérateur répond à cette lettre, en exposant notamment ses éventuelles réserves ;
  3. en lien avec les ministères, le Premier ministre prend ou non la décision de désigner l’opérateur comme OSE par le biais d’un arrêté de désignation.

Toutes ces étapes s’accompagnent des échanges informels nécessaires pour expliquer le cadre réglementaire aux opérateurs pressentis et discuter avec eux de l’opportunité de les désigner comme OSE, au vu des services essentiels qu’ils assurent et de la dépendance de ces services à leurs systèmes d’information.

Un OSE pressenti est-il forcément désigné OSE ?

Non. A l’issue du contradictoire, les éléments apportés par l’opérateur peuvent montrer que sa désignation n’apparaît pas justifiée. L’intérêt du contradictoire est justement de s’assurer de la pertinence des désignations.In fine, la décision de désignation appartient au Premier ministre.

A partir de quand sont désignés les OSE ?

Dès la parution du décret, l’identification par les ministères et l’ANSSI des opérateurs pressentis est initiée. Sur la base des résultats obtenus, les premiers contacts auprès des opérateurs pressentis sont initiés, afin de dérouler le contradictoire permettant leur désignation.
L’ANSSI doit avoir désigné les premiers OSE pour le 9 novembre 2018. Le processus de désignation se poursuivra néanmoins au-delà de cette date, pour élargir le cercle des OSE.

Quelles sont les premières étapes de mise en conformité, une fois un OSE désigné ?

L’OSE doit :

  1. désigner une personne chargée de le représenter auprès de l’ANSSI pour toutes les questions relatives la mise en œuvre de la directive NIS, dans un délai de 2 mois à compter de la date de désignation ;
  2. déclarer ses systèmes d’information essentiels (SIE) dans un délai de 3 mois à compter de la date de désignation.

De quelle nature sont les obligations s’appliquant aux OSE ?

Les obligations s’appliquant aux OSE sont de trois sortes :

  • application de règles de sécurité aux systèmes d’information essentiels (SIE) identifiés par l’OSE ;
  • notification à l’ANSSI des incidents de sécurité survenus sur les SIE ;
  • l’ANSSI, ou un prestataire d’audit qualifié par l’ANSSI, peut contrôler la conformité de l’OSE aux règles de sécurité ainsi que son niveau de sécurité.

 

 

IDENTIFICATION ET DECLARATION DES SYSTÈMES D’INFORMATION ESSENTIELS (SIE)

Comment déterminer si un système d’information est un SIE ?

L’identification des SIE se fait dans le cadre d’une démarche générale d’analyse des risques.
On rappelle que la désignation d’un OSE se fait au titre des services essentiels que fournit l’opérateur. L’OSE doit identifier les systèmes d’information dont sont tributaires les services essentiels identifiés.
Parmi ces systèmes, l’OSE doit désigner comme SIE ceux sur lesquels un incident de sécurité en disponibilité, intégrité ou confidentialité aurait un effet disruptif important sur la fourniture des services essentiels identifiés.L’évaluation de l’importance d’un effet disruptif est déterminée notamment en prenant en compte les facteurs transsectoriels suivants :
  1. le nombre d’utilisateurs tributaires du service fourni par l’entité concernée ;
  2. la dépendance des autres secteurs visés à l’annexe II à l’égard du service fourni par cette entité ;
  3. les conséquences que des incidents pourraient avoir, en termes de degré et de durée, sur les fonctions économiques ou sociétales ou sur la sûreté publique ;
  4. la part de marché de cette entité ;
  5. la portée géographique eu égard à la zone susceptible d’être touchée par un incident ;
  6. l’importance que revêt l’entité pour garantir un niveau de service suffisant, compte tenu de la disponibilité de solutions de rechange pour la fourniture de ce service.

Une marge de manœuvre est volontairement laissée dans l’appréciation de l’effet disruptif important, au vu de la variété des OSE, de leur taille et de leur activité.

Comment déclarer ses SIE ?

Pour déclarer leurs SIE, les opérateurs utilisent le formulaire de déclaration disponible sur la page dédiée aux OSE.

L’OSE, en remplissant les formulaires, recherche un langage clair et compréhensible par des lecteurs non familiarisés avec le métier de l’opérateur.

Comment remplir le champ « Description du système d’information » ?

Ce champ doit être utilisé par l’OSE pour décrire fonctionnellement le SIE. L’OSE fera apparaître la ou les fonctions métier du SIE, ainsi que le ou les services essentiels qu’il contribue à fournir. Cette description doit de plus permettre une compréhension globale du système.

Comment remplir le champ « Principaux composants et caractéristiques techniques du système d’information » ?

Ce champ est utilisé par l’OSE pour décrire techniquement le SIE.
L’OSE pourra indiquer dans cette partie :

  • le type d’architecture fonctionnelle du SIE (architecture 3tiers, architecture clients-serveurs, système industriel composé d’automates et de postes de supervision et de commandes…) ;
  • les principaux types d’équipements actifs (marques, gammes, produits) qui composent le SIE et le nombre approximatif de ces équipements ;
  • les types d’interconnexions présentes entre ces équipements ;
  • les versions des principaux logiciels, systèmes d’exploitation, firmware utilisés sur les différents équipements.

Cette description n’est pas éloignée d’une cartographie élémentaire du SIE.

Exemple pour un SI bureautique

Le réseau bureautique est composé de 600 postes de travail sous Windows 7, de 13 serveurs Windows Server 2008 R2 ou 2003 SP2. Authentification, gestion des droits d’accès et configuration des postes utilisateurs et serveurs réalisées par un annuaire Active Directory (3 contrôleurs de domaine). Architecture mono-domaine et mono-forêt sans relation d’approbation. Messagerie Exchange 2013 (4 serveurs). Chaque utilisateur bénéficie d’un espace réseau présent sur une architecture de stockage unifiée NetApp ONTAP 8. Les équipements sont interconnectés par un réseau Ethernet via des commutateurs de type CISCO 2960G. Interconnexion Internet via un pare-feu de type sn300.

Exemple pour un SI industriel

Le système d’information est composé de :

  •  10 automates programmables de la marque SIEMENS de la gamme S7-300;
  • deux écrans tactiles de commandes;
  • deux postes de supervision sous Windows 7 SP1;
  • un serveur sous Windows Server 2012;

Ces équipements échangent entre eux en réseau via les protocoles modbus et Ethernet. Ce réseau n’a aucune interconnexion avec un autre réseau.

Quelles sont les informations attendues dans les champs relatifs à l’externalisation ?

Les entités (branche, filiale, département…) des prestataires qui hébergent, exploitent ou maintiennent les SIE devront être précisées dans les différents champs réservés à l’externalisation.

Comment remplir le champ « Impacts sur les activités de l’opérateur ou sur la population en cas d’atteinte à la sécurité ou au fonctionnement du système d’information » ?

Ce champ doit permettre de décrire l’impact sur le fonctionnement et sur les services essentiels faisant suite à une attaque le SIE. Les impacts pouvant être différents en fonction du type d’attaque et des mesures de sécurité déjà mis en œuvre, ils devront être explicités dans cette partie.

Lorsqu’il se présente plusieurs SIE identiques, doit-on utiliser un seul formulaire ?

Le principe est que chaque SIE est déclaré par un formulaire distinct. Ainsi, même si des SIE sont identiques, ils doivent être déclarés par autant de formulaires. Ils ne peuvent être déclarés par un seul formulaire que s’ils sont interconnectés et constituent en réalité, dans leur regroupement, un seul SIE.

L’ANSSI peut-elle imposer à un OSE de déclarer un système d’information en tant que SIE ?

L’ANSSI peut faire des observations à un OSE sur sa liste de SIE. L’OSE est tenu de prendre en compte ces observations et de modifier sa liste de SIE conformément à ces observations. Ces observations peuvent aller jusqu’à prescrire la désignation d’un système d’information particulier en tant que SIE.

Quand envoyer à l’ANSSI la mise à jour annuelle de la déclaration des SIE ?

L’ANSSI invite les opérateurs à lui envoyer chaque année, entre le 1er et le 30 novembre la mise à jour annuelle de la déclaration des SIE (dans le cas où aucun changement n’a été constaté par l’opérateur, un simple document informant l’ANSSI que les déclarations précédentes restent valides suffit).

Il est rappelé que les formulaires de déclaration des SIE sont des documents sensibles, et qu’il est demandé de les transmettre à l’agence par voie postale ou par voie électronique en recourant à un moyen de chiffrement comme ACID cryptofiler, Zed!, Truecrypt, GPG (la clé publique est disponible sur le site du CERT-FR).

 

RÈGLES DE SÉCURITÉ

Comment les règles de sécurité s’appliquent-elles aux sous-traitants des OSE ?

Les OSE doivent prendre les mesures nécessaires, notamment par voie contractuelle, pour garantir l’application des règles de sécurité aux SIE opérés par leurs sous-traitants. En cas de difficultés pour conclure une convention de service, il est recommandé aux OSE de se rapprocher de l’ANSSI afin qu’une solution appropriée soit trouvée.

Dans quels délais les règles de sécurité doivent-elles être appliquées ?

Les délais d’application des règles de sécurité sont notifiés dans l’arrêté fixant les règles.

 

NOTIFICATION DES INCIDENTS DE SÉCURITÉ

Quel est l’objectif de l’obligation de déclaration des incidents de sécurité à l’ANSSI ?

La notification des incidents de sécurité a pour objectif de permettre à l’ANSSI et aux autorités compétentes des autres Etats membres :

  • de proposer selon les cas, à la victime de l’incident, une assistance adaptée ;
  • d’évaluer la menace au plus vite et de manière plus précise ;
  • d’organiser une réponse collective aux attaques informatiques majeures ;
  • si nécessaire au vu de la nature de l’incident, de se coordonner entre différents Etats membres.

Comment déclarer un incident de sécurité à l’ANSSI ?

Le formulaire de déclaration d’incidents et les modalités d’envoi sont disponibles sur la page dédiée aux OSE.

Quelles données sont transmises à l’ANSSI ?

Les notifications d’incidents recouvrent :

  • une explication détaillée de l’incident, de ses conséquences et des mesures prises en réaction ;
  • des données techniques permettant à l’ANSSI de qualifier l’incident.

 

CONTROLE

L’audit de contrôle doit-il être réalisé par un prestataire qualifié indépendant de l’OSE ?

L’audit de contrôle, s’il n’est pas réalisé par l’ANSSI, doit être effectué par un prestataire qualifié (PASSI). Celui-ci ne doit avoir notamment aucun lien juridique au sens des articles L. 233-1 et suivants du Code de commerce avec l’OSE qu’il contrôle dans le cadre de l’article 8 de la loi n° 2018-133.
Le prestataire qui réalise le contrôle ne peut être celui ayant procédé à l’audit dans le cadre de l’homologation.
L’OSE pourra retenir un prestataire qualifié parmi la liste des prestataires qualifiés par l’ANSSI, pouvant réaliser des contrôles OSE. Cette liste est publiée sur le site web de l’ANSSI.

Est-ce qu’un OSE dispose d’un moyen de recours contre le rapport de contrôle de sécurité ?

Les contrôles de sécurité sont réalisés selon les critères définis par l’ANSSI et inscrits dans les conventions de service. Néanmoins, en cas de contestation du rapport de contrôle de la part de l’OSE, celui-ci pourra faire valoir ses observations avant la transmission du rapport à l’ANSSI, qui pourra elle-même dans un délai de deux mois auditionner les parties concernées.

Est-ce qu’un opérateur tiers peut être soumis également aux contrôles NIS ?

Les OSE doivent prendre les mesures nécessaires notamment par voie contractuelle pour garantir le respect des règles de sécurité par les opérateurs tiers dont les systèmes d’information participent à la sécurité ou au fonctionnement de leurs SIE. De ce fait, il apparaît nécessaire que les contrats conclus entre les OSE et les prestataires de services contiennent une clause d’auditabilité afin de permettre l’application du cadre réglementaire NIS et par conséquent des contrôles.

 

Contact : nis[at]ssi.gouv.fr