Publié le 18 Août 2022 Mis à jour le 28 Novembre 2023
  • Directive européenne (UE) 2016/1148 du Parlement européen et du Conseil concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union, dite directive NIS – chapitre V « sécurité des réseaux et des systèmes d’information des fournisseurs de service numérique ».
  • Règlement d’exécution (UE) 2018/151  de la Commission européenne précisant les éléments à prendre en considération par les fournisseurs de service numérique pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information ainsi que les paramètres permettant de déterminer si un incident a un impact significatif.
  • Loi n° 2018-133  du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité – chapitre III « dispositions relatives à la sécurité des réseaux et systèmes d’information des fournisseurs de service numérique ».
  • Décret n° 2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d’informations des opérateurs de service essentiels et des fournisseurs de service numérique – Chapitre II « Dispositions relatives à la sécurité des réseaux et systèmes d’information des fournisseurs de service numérique ».
  • Arrêté du 13 juin 2018 fixant les modalités des déclarations des systèmes d’information et des incidents de sécurité des opérateurs de services essentiels, et des incidents de sécurité des fournisseurs de service numérique.
  • Arrêté du 1er août 2018 relatif au coût d’un contrôle effectué par l’Agence nationale de la sécurité des systèmes d’information en application des articles 8 et 14 de la loi n° 2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité

Désignation des fournisseurs de service numérique (FSN)

La directive NIS définit le FSN comme « une personne morale qui fournit tout service de la société de l’information, c’est-à-dire tout service presté normalement contre rémunération, à distance, par voie électronique et à la demande individuelle d’un destinataire de services ».Trois types de services numériques sont concernés par le cadre réglementaire :

  • les places de marché en ligne, qui permettent à des consommateurs ou à des professionnels de conclure des contrats de vente ou de service en ligne avec des professionnels, soit sur le site Internet de la place de marché en ligne, soit sur le site Internet d’un professionnel qui utilise les services informatiques fournis par la place de marché en ligne ;
  • les moteurs de recherche en ligne, qui permettent aux utilisateurs d’effectuer des recherches sur, en principe, tous les sites Internet ou sur les sites Internet dans une langue donnée, sur la base d’une requête lancée sur n’importe quel sujet sous la forme d’un mot clé, d’une phrase ou d’une autre entrée, et qui renvoient des liens à partir desquels il est possible de trouver des informations en rapport avec le contenu demandé ;
  • les services d’informatique en nuage, qui permettent l’accès à un ensemble modulable et variable de ressources informatiques pouvant être partagées.

La définition de FSN couvre autant l’activité envers les particuliers (business to consumer – B to C) qu’envers les professionnels (business to business et business to administration – B to B et B to A).

Tout FSN dont le service est fourni notamment à l’intérieur de l’Union européenne doit appliquer les dispositions prises pour la transposition de la directive NIS sitôt que l’une des conditions suivantes est atteinte :

  • son nombre d’employés est supérieur ou égal à 50 ;
  • son chiffre d’affaires annuel est supérieur à 10 millions d’euros.

Les FSN appliquent les dispositions prises pour la transposition de la directive NIS dans l’État membre dont ils relèvent. Ils relèvent de la compétence de l’État membre dans lequel ils ont leur établissement principal ou leur siège social. En France, les FSN ne sont pas désignés par l’autorité administrative et donc appliquent directement les dispositions de transposition de la directive dès leur entrée en vigueur (10 mai 2018).

Dans le cas d’un FSN qui n’est pas implanté dans l’Union mais fournit ses services à l’intérieur de l’Union, il doit désigner un représentant dans l’un des États membres dans lesquels ses services sont fournis – dans le cas de la France, il désigne ce représentant à l’ANSSI. Le FSN relève alors de la compétence de cet État membre et applique les dispositions prises pour la transposition de la directive NIS en France.

Obligations s’appliquant aux FSN

Les obligations s’appliquant aux FSN se détaillent en trois volets :

  1. Identification des risques et des systèmes : les FSN doivent identifier les réseaux et systèmes d’information qui participent à la fourniture du service considéré, ainsi que les risques qui menacent la sécurité des réseaux et des systèmes d’information ;
  2. Mesures techniques et organisationnelles : les FSN, au regard des risques identifiés, adoptent des mesures techniques et organisationnelles nécessaires et proportionnées pour gérer ces risques. Ils prennent à cette fin en compte les éléments suivants :
    • la sécurité des systèmes et des installations ;
    • la gestion des incidents ;
    • la gestion de la continuité des activités ;
    • le suivi, l’audit et le contrôle ;
    • le respect des normes internationales.
  3. Gestion et déclaration des incidents : les FSN doivent prendre des mesures pour éviter les incidents (incident : « tout événement ayant un impact négatif réel sur la sécurité des réseaux et des systèmes d’information »), et, lorsqu’ils surviennent, limiter au maximum leur impact sur le service fourni. L’impact d’un incident est évalué selon les critères suivants :
    • le nombre d’utilisateurs touchés par l’incident, en particulier ceux qui recourent au service pour la fourniture de leurs propres services ;
    • la durée de l’incident ;
    • la portée géographique eu égard à la zone touchée par l’incident ;
    • la gravité de la perturbation du fonctionnement du service ;
    • l’ampleur de l’impact sur les fonctions économiques et sociétales.

L’incident, si son impact est significatif, doit être notifié à l’ANSSI.

Les textes réglementaires n’imposent pas de méthode pour déterminer les réseaux et systèmes d’information concernés : c’est au FSN lui-même d’identifier, avec la méthode qu’il souhaite, les systèmes d’information participant à la fourniture du ou des services numériques identifiés. Il est recommandé d’utiliser une méthode d’analyse de risque pour identifier ces réseaux et systèmes. Le cas échéant, les réseaux et systèmes d’information exploités par des tiers sont inclus dans la liste. Aucun formalisme particulier n’est imposé quant à la liste.

La liste doit être établie et tenue à jour ; il n’est pas demandé de la transmettre à l’ANSSI, mais elle doit être tenue à la disposition de l’Agence, notamment en vue des contrôles.

Mesures techniques et organisationnelles

Les mesures techniques et organisationnelles et la notification des incidents de sécurité ne concernent que les réseaux et systèmes d’information identifiés par le FSN (cf. ci-dessus).

Le niveau de détail adopté par le règlement européen 2018/151 a été fixé de manière à laisser aux FSN une marge de manœuvre conséquente, qui leur permet de définir des processus et des procédures adaptés à leur activité.

Référence : règlement 2018/151 (article 2)

Cette mesure se décline selon les éléments suivants :

  1. cartographie : la gestion systématique des réseaux et des systèmes d’information, c’est-à-dire une cartographie des systèmes d’information et la définition d’un ensemble de politiques appropriées sur la gestion de la sécurité de l’information, y compris l’analyse des risques, les ressources humaines, la sécurité des opérations, l’architecture de la sécurité, les données sécurisées et la gestion du cycle de vie du système et, le cas échéant, le chiffrement et sa gestion ;
  2. sécurité physique et environnementale, c’est-à-dire la disponibilité d’un ensemble de mesures destinées à protéger la sécurité du réseau et des systèmes d’information des fournisseurs de service numérique contre les dommages par le recours à une approche globale des risques englobant par exemple les défaillances du système, l’erreur humaine, les actes malveillants ou les phénomènes naturels. On pourra notamment se référer au guide d’hygiène informatique de l’ANSSI
  3. sécurité de l’approvisionnement, c’est-à-dire la mise en place et le maintien de politiques appropriées afin d’assurer l’accessibilité et, le cas échéant, la traçabilité des produits indispensables à la fourniture des services ;
  4. contrôle de l’accès aux réseaux et systèmes d’information, c’est-à-dire la disponibilité d’une série de mesures visant à garantir que l’accès physique et logique aux réseaux et aux systèmes d’information, y compris la sécurité administrative de ceux-ci, est autorisé et limité en fonction d’exigences commerciales et de sécurité.

 

Référence : règlement 2018/151 (article 2)

Cette mesure demande :

  1. des processus et procédures de détection maintenues et testées afin d’assurer en temps voulu la bonne connaissance des événements anormaux ;
  2. des processus et politiques sur le reporting des incidents et sur l’identification des faiblesses et vulnérabilités décelées dans son système d’information ;
  3. une réponse conforme aux procédures établies et le reporting des résultats des mesures prises ;
  4. une évaluation de la gravité de l’incident, documentant les connaissances issues de l’analyse de l’incident et la collecte d’informations pertinentes pouvant servir de preuves et soutenir un processus d’amélioration continue.

Référence : règlement 2018/151 (article 2)

Il s’agit de la capacité d’une organisation à maintenir ou, le cas échéant, rétablir la prestation de services à des niveaux acceptables et préalablement définis après un incident disruptif. Elle comprend les éléments suivants :

  1. la mise en place et l’utilisation de plans d’urgence, sur la base d’une analyse des répercussions sur l’activité, pour assurer la continuité des services fournis par les fournisseurs de service numérique, qui doivent être évalués et testés régulièrement, par exemple au moyen d’exercices;
  2. des dispositifs de rétablissement après sinistre qui doivent être évalués et testés régulièrement, par exemple au moyen d’exercices.

Référence : règlement 2018/151 (article 2)

Cette mesure demande la création et le maintien de politiques dans les domaines suivants :

  1. la réalisation d’une séquence planifiée d’observations ou de mesures afin de vérifier si les réseaux et les systèmes d’information fonctionnent comme prévu ;
  2. l’inspection et la vérification afin de vérifier si une norme ou un ensemble de lignes directrices est suivi, si les rapports sont exacts, et si les objectifs d’efficacité et d’efficience sont atteints ;
  3. un processus destiné à révéler les failles dans les mécanismes de sécurité d’un réseau et d’un système informatique, qui protègent les données et maintiennent la fonctionnalité de la manière prévue. Ce processus inclut des procédés techniques et du personnel participant à l’exploitation.

Ces trois niveaux sont à rapprocher des trois lignes de défense couramment mises en place dans les entreprises en vue de maîtriser les risques.

Référence : règlement 2018/151 (article 2)

Le respect des normes internationales correspond à la nécessité de se conformer aux normes internationales en matière de sécurité du numérique à valeur contraignante, et à privilégier le recours à des normes et des spécifications européennes ou internationalement reconnues pour la sécurité des réseaux et des systèmes d’information.

Gestion et notification des incidents

Les obligations en matière d’incidents de sécurité sont de deux sortes :

  • prendre des mesures de manière à éviter les incidents et réduire au minimum leur impact sur les services fournis ;
  • déclarer à l’autorité compétente ou au CSIRT (en France, à l’ANSSI), sans délai après en avoir pris connaissance, tout incident ayant un impact significatif sur la fourniture du service.

Ces mesures peuvent relever des domaines :

  • de la gouvernance (rédaction d’une politique de sécurité des systèmes d’information (PSSI), homologation de sécurité des systèmes d’information, analyse de risque, etc.) ;
  • de la protection (défense en profondeur, maintien en condition de sécurité, etc.) ;
  • de la défense (détection et réponse aux incidents de sécurité) ;
  • de la résilience (gestion des crises, continuité et reprise d’activité).

On pourra notamment se référer au guide d’hygiène informatique de l’ANSSI, et consulter les guides et notes de l’ANSSI.

Références : directive 2016/1148 (article 6) et règlement 2018/151 (article 4)

Pour évaluer l’impact significatif, il faut prendre en compte les éléments suivants, lorsque les informations sont accessibles par le FSN :

  1. le nombre d’utilisateurs touchés par l’incident, en particulier ceux qui recourent au service pour la fourniture de leurs propres services (nombre de personnes physiques et morales affectées avec lesquelles un contrat de prestation de service a été conclu ou nombre d’utilisateurs affectés ayant utilisé le service sur la base, notamment, de précédentes données relatives au trafic) ;
  2. la durée de l’incident : période qui s’écoule entre la perturbation de la bonne prestation du service en termes de disponibilité, d’authenticité, d’intégrité ou de confidentialité jusqu’au moment de son rétablissement ;
  3. la portée géographique eu égard à la zone touchée par l’incident ;
  4. la gravité de la perturbation du fonctionnement du service, selon les caractéristiques de l’incident parmi la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données ou des services connexes ;
  5. l’ampleur de l’impact sur les fonctions économiques et sociétales, sur la base d’indications telles que la nature de ses relations contractuelles avec le client ou, le cas échéant, le nombre potentiel d’utilisateurs touchés.

In fine, un incident est considéré comme ayant un impact significatif si au moins l’une des situations suivantes s’est présentée :

  1. le service fourni par un fournisseur de service numérique a été indisponible pendant plus de 5 000 000 heures-utilisateur, une heure-utilisateur correspondant au nombre d’utilisateurs affectés dans l’Union pendant une durée de soixante minutes;
  2. l’incident a entraîné une perte de l’intégrité, de l’authenticité ou de la confidentialité des données stockées, transmises ou transformées ou des services connexes offerts ou accessibles par l’intermédiaire d’un réseau et d’un système informatique du fournisseur de service numérique, qui a touché plus de 100 000 utilisateurs dans l’Union;
  3. l’incident a engendré un risque pour la sécurité ou la sûreté publiques ou a entraîné un décès;
  4. l’incident a causé un préjudice matériel à au moins un utilisateur dans l’Union dès lors que le préjudice causé à cet utilisateur dépasse 1 000 000 EUR.

La notification des incidents de sécurité a pour objectif de permettre à l’ANSSI :

  • de proposer selon les cas, à la victime de l’incident, une assistance adaptée ;
  • d’évaluer la menace au plus vite ;
  • d’organiser une réponse collective aux attaques informatiques majeures.

Le formulaire de déclaration d’incidents et les modalités d’envoi sont disponibles sur la page dédiée aux FSN.

Les notifications d’incidents recouvrent :

  • une explication détaillée de l’incident, de ses conséquences et des mesures prises en réaction ;
  • des données techniques permettant à l’ANSSI de qualifier l’incident.

De façon générale, la loi prévoit que l’État préserve la confidentialité des informations recueillies auprès des FSN dans le cadre des notifications d’incidents.

Cependant, la loi prévoit aussi qu’après avoir consulté le FSN concerné, l’ANSSI peut informer le public d’un incident lorsque cette information est nécessaire pour prévenir ou traiter un incident ou est justifiée par un motif d’intérêt général. Par ailleurs, lorsqu’un incident a un impact significatif sur la continuité de services numériques fournis par le FSN dans d’autres États membres de l’Union européenne, l’ANSSI en informe les autorités ou organismes compétents de ces États.
 

Contrôle

Le dispositif prévoit que l’ANSSI ou des prestataires qualifiés par l’ANSSI peuvent réaliser des contrôles de sécurité ayant notamment pour objectif de vérifier l’application des mesures. Les contrôles s’effectuent sur la base d’une convention signée entre le FSN et l’ANSSI ou le prestataire d’audit qualifié, convention détaillant les objectifs, le périmètre et les modalités du contrôle. A l’issue du contrôle, un rapport est rédigé par l’ANSSI ou le prestataire d’audit, signalant notamment les manquements aux obligations, ainsi que les vulnérabilités constatées. Le FSN peut alors faire valoir ses observations sur le rapport.

Si, à l’issue d’un contrôle, le non-respect d’une mesure est constaté, le FSN pourra être mis en demeure d’appliquer la mesure concernée.

En cas d’infraction, le FSN encourt une amende de 75 000 € pour le fait de ne pas se conformer aux mesures de sécurité mentionnées dans la mise en demeure.

En cas de contestation du rapport de contrôle de la part du FSN, celui-ci pourra faire valoir ses observations avant la transmission du rapport à l’ANSSI, qui pourra elle-même dans un délai de deux mois auditionner les parties concernées.

Sur le même sujet :