NIS : un dispositif de cybersécurité pour les Opérateurs de services essentiels


Formulaire de déclaration d’un SIE – NISLe Ier chapitre de la directive NIS prévoit la création d’un cadre réglementaire pour renforcer la cybersécurité des Opérateurs de services qui sont essentiels au fonctionnement de l’économie et de la société (OSE). De nouveaux acteurs, essentiels pour la vie quotidienne des Français, à protéger grâce à la mise en œuvre d’un dispositif de cybersécurité dédié.

Le texte de loi, adopté par le Parlement et inscrit au Journal officiel le 27 février 2018, fixe le cadre général pour réguler la sécurité des systèmes d’information de ces acteurs essentiels au maintien de l’activité économique et sociétale des pays européens. Les mesures réglementaires d’application sont prises par décret en Conseil d’État, publié le 25 mai 2018 et par la publication le 13 juin, le 1er août et le 14 septembre 2018, de trois arrêtés du Premier Ministre.

 

La mise en œuvre du dispositif

L’ANSSI a capitalisé sur la méthodologie appliquée au niveau national lors de la mise en œuvre du dispositif, complémentaire, de protection des Opérateurs d’importance vitale (OIV), introduit par la loi de programmation militaire de 2013. Les retours d’expérience qui ont suivi la publication des premiers arrêtés sectoriels, en juillet 2016, ont été précieux pour mener les travaux de transposition de la directive concernant les opérateurs de services essentiels  (OSE).

Le Premier ministre assure la mise en œuvre du dispositif et la coordination interministérielle en s’appuyant sur l’ANSSI, qui œuvre en collaboration avec les ministères pour identifier les OSE.

 

Les étapes :

 

1. Les services essentiels

Faisant le choix d’une transposition ambitieuse, la France a établi une liste de services essentiels sur la base de l’annexe II de la directive NIS mais également sur la base des retours de son expérience nationale afin de pouvoir désigner les opérateurs privés qu’il est nécessaire de protéger. Cette liste est le fruit des consultations qu’a mené l’ANSSI avec des acteurs publics et privés et ses partenaires européens, notamment le groupe de coopération.

Retrouvez la liste complète des services essentiels pour chaque secteur d’activités fixé par le décret.

 

2. Désignation des Opérateurs de services essentiels

Sur la base de la liste des services essentiels pour chaque secteur d’activités, des OSE seront désignés par le Premier ministre, sur recommandation des ministères du secteur d’activité concerné et de l’ANSSI. La liste de ces opérateurs sera actualisée au moins tous les deux ans.

Les OSE sont définis comme des acteurs dont le service, tributaire d’un ou de plusieurs systèmes d’information, est essentiel au maintien de l’activité économique et sociétale. Il s’agira essentiellement de grandes entreprises ou d’entreprises de taille intermédiaire ainsi que des opérateurs du secteur public (principalement des établissements publics).

Ces OSE devront garantir un socle minimal de cybersécurité pour se protéger d’une attaque aux conséquences majeures sur le fonctionnement de l’économie et de la société.

La protection de ces opérateurs, privés ou publics, intervient en complémentarité du dispositif de cybersécurité des opérateurs d’importance vitale (OIV). Il fut introduit par la loi de programmation militaire (LPM) de 2013 face à l’augmentation en quantité et en sophistication des attaques informatiques, et à leurs impacts potentiellement destructeurs sur la Nation.

L’identification des OSE prend en compte les facteurs suivants :

  • Le nombre d’utilisateurs dépendants du service ;
  • La dépendance des autres secteurs d’activité figurant à l’annexe du décret à l’égard du service ;
  • Les conséquences que des incidents pourraient avoir, en termes de gravité et de durée, sur le fonctionnement de l’économie, de la société ou de la sécurité publique ;
  • La part de marché de l’opérateur
  • La portée géographique eu égard à la zone susceptible d’être touchée par des incidents ;
  • L’importance que revêt l’opérateur pour assurer un niveau de service suffisant, compte tenu de la disponibilité de moyens alternatifs pour la fourniture du service ;
  • Le cas échéant, des facteurs sectoriels.

Les Etats membres sont tenus de notifier une première liste d’OSE à la Commission européenne le 9 novembre 2018.

En France, la mise en œuvre de ce dispositif se veut progressive. L’ANSSI accompagne les OSE dans la mise en œuvre de la réglementation, aux côtés des ministères concernés. Une première vague de désignation des OSE français sera réalisée le 9 novembre et sera complétée et actualisée les années suivantes, à mesure des prises de contact de l’agence avec les futurs OSE identifiés.

 

3. Les obligations des Opérateurs de services essentiels

Une fois désigné, un opérateur de service essentiel devra :

  • Identifier un représentant auprès de l’ANSSI
  • Identifier son ou ses système(s) d’information essentiel (SIE)
  • Appliquer dans des délais impartis des règles de sécurité (art. 6)
  • Déclarer à l’ANSSI tout incident de sécurité susceptible d’avoir un impact significatif sur la continuité des services qu’ils assurent. L’ANSSI pourra en informer le cas échéant le public ou les États membres concernés
  • Etre soumis à des contrôles de sécurité, effectués à la demande du Premier ministre, par l’ANSSI ou par des prestataires de service qualifiés.

 

nis_obligation_ose_schema
Les règles de sécurité sont définies dans l’arrêté du 14 septembre 2018.

Le groupe de coopération a partagé au niveau des Etats membre une méthodologie pour le management du risque qui identifie quatre grands domaines sur lesquels portent ces règles. L’ANSSI a pris une part active dans ces travaux, qui reposent sur la méthode Française de maîtrise des risques.Ces règles portent notamment :

  1. Dans le domaine de la gouvernance de la sécurité des réseaux et systèmes d’information, sur l’élaboration et la mise en œuvre d’une politique de sécurité des réseaux et systèmes d’information et l’homologation de sécurité des réseaux et systèmes d’information ;
  2. Dans le domaine de la protection des réseaux et systèmes d’information, sur la sécurité de l’architecture et de l’administration des réseaux et systèmes d’information et le contrôle des accès à ces réseaux et systèmes ;
  3. Dans le domaine de la défense des réseaux et systèmes d’information, sur la détection et le traitement des incidents de sécurité affectant les réseaux et systèmes d’information ;
  4. Dans le domaine de la résilience des activités, sur la gestion de crises en cas d’incidents de sécurité ayant un impact majeur sur des services essentiels.

Cette approche de management des risques repose sur quatre grands axes :

  • La gouvernance de la sécurité des réseaux et systèmes d’information ;
  • La protection de la sécurité des réseaux et systèmes d’information ;
  • La défense de la sécurité des réseaux et systèmes d’information ;
  • La résilience des activités.

Des sanctions  sont également prévues en cas de non-respect de la réglementation. Le coût des contrôles, effectués par l’ANSSI, destinés à vérifier le respect des obligations relatives à la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels est précisé dans un arrêté paru le 1er août 2018.

 

4. FORMULAIRE DE DECLARATION D’UN SYSTEME D’INFORMATION ESSENTIEL

Pour effectuer la déclaration de leurs incidents de sécurité, les OSE doivent recourir au formulaire ci-dessous :
Formulaire de déclaration d’un SIE – NIS

A noter : Le formulaire doit être transmis à l’agence par voie postale ou par voie électronique. Dans ce dernier cas, il est demandé de protéger la transmission à l’ANSSI de cette déclaration à l’aide d’un moyen de chiffrement suivant : ACID cryptofiler, Zed!, Truecrypt, GPG.
 

5. FORMULAIRE DE DECLARATION D’UN INCIDENT DE SECURITE D’UN OSE

Pour effectuer la déclaration de leurs incidents de sécurité, les OSE doivent recourir au formulaire ci-dessous :
Formulaire de déclaration d’incidents OSE

A noter :
Le formulaire doit être transmis à l’agence par voie postale ou par voie électronique. Dans ce dernier cas, il est recommandé de protéger la transmission à l’ANSSI de cette déclaration à l’aide d’un moyen de chiffrement suivant : ACID cryptofiler, Zed!, Truecrypt, GPG (la clé publique est disponible sur le site du CERT-FR).

En cas d’incident particulièrement urgent ou grave, le CERT-FR peut toujours être contacté directement préalablement ou parallèlement à la transmission de la déclaration à l’ANSSI.

6. FAQ – Opérateurs de service essentiel

Une question concernant les OSE et leurs obligations ?

Consultez notre FAQ dédiée.