Un dispositif de cybersécurité pour les Fournisseurs de service numérique


Le chapitre II de la directive NIS prévoit la création d’un cadre réglementaire pour renforcer la cybersécurité des Fournisseurs de service numérique (FSN), c’est-à-dire essentiellement des entreprises de cloud et de moteurs de recherche ainsi que des market places faisant plus de 10 millions de CA ET employant au moins 50 salariés .

 

 

1. Champ d’application

Le texte de loi, adopté par le Parlement et inscrit au Journal officiel le 27 février 2018, fixe le cadre général pour réguler la sécurité des systèmes d’information de ces acteurs. Les mesures réglementaires d’application sont prises par décret en Conseil d’État, publié ce 25 mai 2018 et par la publication à l’été des arrêtés du Premier ministre , dont le premier est l’arrêté du 13 juin 2018 portant notamment sur les modalités de déclaration de incidents de sécurité des FSN.

L’arrêté du 13 juin 2018 fixe les modalités des déclarations prévues aux articles 8, 11 et 20 du décret n° 2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels et des fournisseurs de service numérique.

 

2. Les obligations des FSN

Un Fournisseurs de service numérique devra :

  • Analyser les risques sur ses systèmes d’information
  • Prendre des mesures techniques et organisationnelles dans chacun des domaines suivants :
    1. La sécurité des systèmes et des installations ;
    2. La gestion des incidents ;
    3. La gestion de la continuité des activités ;
    4. Le suivi, l’audit et le contrôle ;
    5. Le respect des normes internationales.
  • Déclarer à l’ANSSI tout incident de sécurité susceptible d’avoir un impact significatif sur la continuité des services qu’ils assurent. L’ANSSI pourra en informer le cas échéant le public ou les États membres concernés
  • Etre soumis à des contrôles de sécurité, effectués à la demande du Premier ministre, par l’ANSSI ou par des prestataires de service qualifiés.

 

Le règlement d’exécution 2018/151 de la commission européenne du 30 janvier 2018, à destination des fournisseurs de service numérique pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information.

 

3. formulaire de déclaration d’un incident de sécurité d’un fsn

Les FSN devant déclarer leurs incidents de sécurité en France le font auprès de l’ANSSI. La déclaration concerne tout incident ayant un impact significatif sur la fourniture du ou des services numériques du FSN. Pour effectuer cette déclaration, ils doivent recourir au formulaire ci-dessous :

Formulaire déclaration d’un incident FSN

 

A noter :
Le formulaire doit être transmis à l’agence par voie postale ou par voie électronique. Dans ce dernier cas, il est recommandé de protéger la transmission à l’ANSSI de cette déclaration à l’aide d’un moyen de chiffrement suivant : ACID cryptofiler, Zed!, Truecrypt, GPG (la clé publique est disponible sur le site du CERT-FR).

En cas d’incident particulièrement urgent ou grave, le CERT-FR peut toujours être contacté directement préalablement ou parallèlement à la transmission de la déclaration à l’ANSSI.

 

4. FAQ des Fournisseurs de service numérique

Pour tout renseignement complémentaire sur les Fournisseurs de service numérique, rendez-vous sur notre foire aux questions !