NIS : un dispositif de cybersécurité pour les Opérateurs de service essentiel


Le Ier chapitre de la directive NIS prévoit la création d’un cadre réglementaire pour renforcer la cybersécurité des Opérateurs de services qui sont essentiels au fonctionnement de l’économie et de la société (OSE). De nouveaux acteurs, essentiels pour la vie quotidienne des Français, à protéger grâce à la mise en œuvre d’un dispositif de cybersécurité dédié.

Le texte de loi, adopté par le Parlement et inscrit au Journal officiel le 27 février 2018, fixe le cadre général pour réguler la sécurité des systèmes d’information de ces acteurs essentiels au maintien de l’activité économique et sociétale des pays européens. Les mesures réglementaires d’application sont prises par décret en Conseil d’État , publié le 25 mai 2018 et par la publication à l’été des arrêtés du Premier ministre.

 

La mise en œuvre du dispositif

L’ANSSI a capitalisé sur la méthodologie appliquée au niveau national lors de la mise en œuvre du dispositif, complémentaire, de protection des Opérateurs d’importance vitale (OIV), introduit par la loi de programmation militaire de 2013. Les retours d’expérience qui ont suivi la publication des premiers arrêtés sectoriels, en juillet 2016, ont été précieux pour mener les travaux de transposition de la directive concernant les opérateurs de service essentiel  (OSE).

Le Premier ministre assurera la mise en œuvre du dispositif et la coordination interministérielle en s’appuyant sur l’ANSSI, qui œuvrera en collaboration avec les ministères pour identifier les OSE.

 

Les étapes :

 

1. Les services essentiels

Faisant le choix d’une transposition ambitieuse, la France a établi une liste de services essentiels sur la base de l’annexe II de la directive NIS mais également sur la base des retours de son expérience nationale afin de pouvoir désigner les opérateurs privés qu’il est nécessaire de protéger. Cette liste est le fruit des consultations qu’a mené l’ANSSI avec des acteurs publics et privés et ses partenaires européens, notamment le groupe de coopération.

 

2. Désignation des Opérateurs de service essentiel

Sur la base de la liste des services essentiels pour chaque secteur d’activités, des OSE seront désignés par le Premier ministre, sur recommandation des ministères du secteur d’activité concerné et de l’ANSSI. La liste de ces opérateurs sera actualisée au moins tous les deux ans.

Les OSE sont définis comme des acteurs dont le service, tributaire d’un ou de plusieurs systèmes d’information, est essentiel au maintien de l’activité économique et sociétale. Il s’agira essentiellement de grandes entreprises ou d’entreprises de taille intermédiaire ainsi que des opérateurs du secteur public (principalement des établissements publics).

Ces OSE devront garantir un socle minimal de cybersécurité pour se protéger d’une attaque aux conséquences majeures sur le fonctionnement de l’économie et de la société.

La protection de ces opérateurs, privés ou publics, intervient en complémentarité du dispositif de cybersécurité des opérateurs d’importance vitale (OIV). Il fut introduit par la loi de programmation militaire (LPM) de 2013 face à l’augmentation en quantité et en sophistication des attaques informatiques, et à leurs impacts potentiellement destructeurs sur la Nation.

 

L’identification des OSE prend en compte les facteurs suivants :

  • Le nombre d’utilisateurs dépendants du service ;
  • La dépendance des autres secteurs d’activité figurant à l’annexe du présent décret à l’égard du service ;
  • Les conséquences que des incidents pourraient avoir, en termes de gravité et de durée, sur le fonctionnement de l’économie, de la société ou de la sécurité publique ;
  • La part de marché de l’opérateur
  • La portée géographique eu égard à la zone susceptible d’être touchée par des incidents ;
  • L’importance que revêt l’opérateur pour assurer un niveau de service suffisant, compte tenu de la disponibilité de moyens alternatifs pour la fourniture du service ;
  • Le cas échéant, des facteurs sectoriels.

Les Etats membres sont tenus de notifier une première liste d’OSE à la Commission européenne le 9 novembre 2018.

En France, la mise en œuvre de ce dispositif se veut progressive. L’ANSSI accompagnera les OSE dans la mise en œuvre de la réglementation, aux côtés des ministères concernés. Une première vague de désignation des OSE français sera réalisée ainsi d’ici le 9 novembre. Cependant, cette liste sera complétée et actualisée les années suivantes, à mesure des prises de contact de l’agence avec les futurs OSE identifiés.

 

 

3. Les obligations des Opérateurs de service essentiel

Une fois désigné, un opérateur de service essentiel devra :

  • Identifier un représentant auprès de l’ANSSI
  • Identifier son ou ses système(s) d’information essentiel (SIE)
  • Appliquer dans des délais impartis des règles de sécurité (art. 6)
  • Déclarer à l’ANSSI tout incident de sécurité susceptible d’avoir un impact significatif sur la continuité des services qu’ils assurent. L’ANSSI pourra en informer le cas échéant le public ou les États membres concernés
  • Etre soumis à des contrôles de sécurité, effectués à la demande du Premier ministre, par l’ANSSI ou par des prestataires de service qualifiés.

 

nis_obligation_ose_schemaLes règles de sécurité seront fixées ultérieurement par un arrêté. Néanmoins, le groupe de coopération a partagé au niveau des Etats membre une méthodologie pour le management du risque qui identifie quatre grands domaines sur lesquels portent ces règles. L’ANSSI a pris une part active dans ces travaux, qui reposent sur la méthode Française de maîtrise des risques.Ces règles portent notamment :

  1. Dans le domaine de la gouvernance de la sécurité des réseaux et systèmes d’information, sur l’élaboration et la mise en œuvre d’une politique de sécurité des réseaux et systèmes d’information et l’homologation de sécurité des réseaux et systèmes d’information ;
  2. Dans le domaine de la protection des réseaux et systèmes d’information, sur la sécurité de l’architecture et de l’administration des réseaux et systèmes d’information et le contrôle des accès à ces réseaux et systèmes ;
  3. Dans le domaine de la défense des réseaux et systèmes d’information, sur la détection et le traitement des incidents de sécurité affectant les réseaux et systèmes d’information ;
  4. Dans le domaine de la résilience des activités, sur la gestion de crises en cas d’incidents de sécurité ayant un impact majeur sur des services essentiels.

Cette approche de management des risques repose sur quatre grands axes :

  • La gouvernance de la sécurité des réseaux et systèmes d’information ;
  • La protection de la sécurité des réseaux et systèmes d’information ;
  • La défense de la sécurité des réseaux et systèmes d’information ;
  • La résilience des activités.

Des sanctions  sont également prévues en cas de non-respect de la réglementation. Le coût des contrôles, effectués par l’ANSSI, destinés à vérifier le respect des obligations relatives à la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels sera précisé dans un arrêté.

 

4. FAQ – Opérateurs de service essentiel

Une question concernant les OSE et leurs obligations ?

Consultez notre FAQ dédiée.