Publié le 18 Août 2022 Mis à jour le 17 Novembre 2023

Désignation des Operateurs de Services Essentiels (OSE)

Un OSE est un opérateur tributaire des réseaux ou systèmes d’information, qui fournit un service essentiel dont l’interruption aurait un impact significatif sur le fonctionnement de l’économie ou de la société.

Un service essentiel répond à 3 critères :

  • ce service est essentiel au maintien d’activités sociétales ou économiques critiques ;
  • la fourniture de ce service est tributaire des réseaux et des systèmes d’information ;
  • un incident sur ces réseaux et systèmes aurait un effet disruptif important sur la fourniture dudit service.

L’importance d’un effet disruptif est déterminée notamment en prenant en compte les facteurs transsectoriels suivants :

  1. le nombre d’utilisateurs tributaires du service fourni par l’entité concernée ;
  2. la dépendance des autres secteurs visés à l’annexe II à l’égard du service fourni par cette entité ;
  3. les conséquences que des incidents pourraient avoir, en termes de degré et de durée, sur les fonctions économiques ou sociétales ou sur la sûreté publique ;
  4. la part de marché de cette entité ;
  5. la portée géographique eu égard à la zone susceptible d’être touchée par un incident ;
  6. l’importance que revêt l’entité pour garantir un niveau de service suffisant, compte tenu de la disponibilité de solutions de rechange pour la fourniture de ce service.
     

Sur la base de la liste des services essentiels publiées dans le décret, l’Agence nationale de la sécurité des systèmes d’information (ANSSI), en coordination avec les ministères, propose au Premier ministre une liste d’OSE potentiels. Par la suite, la désignation s’effectue selon un contradictoire :

  1. une lettre d’intention de désignation est envoyée à l’opérateur pressenti ;
  2. l’opérateur répond à cette lettre, en exposant notamment ses éventuelles réserves ;
  3. en lien avec les ministères, le Premier ministre prend ou non la décision de désigner l’opérateur comme OSE par le biais d’un arrêté de désignation.

Toutes ces étapes s’accompagnent des échanges informels nécessaires pour expliquer le cadre réglementaire aux opérateurs pressentis et discuter avec eux de l’opportunité de les désigner comme OSE, au vu des services essentiels qu’ils assurent et de la dépendance de ces services à leurs systèmes d’information.

Non. A l’issue du contradictoire, les éléments apportés par l’opérateur peuvent montrer que sa désignation n’apparaît pas justifiée. L’intérêt du contradictoire est justement de s’assurer de la pertinence des désignations. In fine, la décision de désignation appartient au Premier ministre.

Dès la parution du décret, l’identification par les ministères et l’ANSSI des opérateurs pressentis est initiée. Sur la base des résultats obtenus, les premiers contacts auprès des opérateurs pressentis sont initiés, afin de dérouler le contradictoire permettant leur désignation.
L’ANSSI a désigné les premiers OSE le 9 novembre 2018. Le processus de désignation se poursuivra néanmoins au-delà de cette date, pour élargir le cercle des OSE.

L’OSE doit :

  1. désigner une personne chargée de le représenter auprès de l’ANSSI pour toutes les questions relatives la mise en œuvre de la directive NIS, dans un délai de 2 mois à compter de la date de désignation ;
  2. déclarer ses systèmes d’information essentiels (SIE) dans un délai de 3 mois à compter de la date de désignation.

Les obligations s’appliquant aux OSE sont de trois sortes :

  • application de règles de sécurité aux systèmes d’information essentiels (SIE) identifiés par l’OSE ;
  • notification à l’ANSSI des incidents de sécurité survenus sur les SIE ;
  • l’ANSSI, ou un prestataire d’audit qualifié par l’ANSSI, peut contrôler la conformité de l’OSE aux règles de sécurité ainsi que son niveau de sécurité.

Identification et Déclaration des Systèmes d’information Essentiels (SIE)

L’identification des SIE se fait dans le cadre d’une démarche générale d’analyse des risques.
On rappelle que la désignation d’un OSE se fait au titre des services essentiels que fournit l’opérateur. L’OSE doit identifier les systèmes d’information dont sont tributaires les services essentiels identifiés.
Parmi ces systèmes, l’OSE doit désigner comme SIE ceux sur lesquels un incident de sécurité en disponibilité, intégrité ou confidentialité aurait un effet disruptif important sur la fourniture des services essentiels identifiés. L’évaluation de l’importance d’un effet disruptif est déterminée notamment en prenant en compte les facteurs transsectoriels suivants :

  1. le nombre d’utilisateurs tributaires du service fourni par l’entité concernée ;
  2. la dépendance des autres secteurs visés à l’annexe II à l’égard du service fourni par cette entité ;
  3. les conséquences que des incidents pourraient avoir, en termes de degré et de durée, sur les fonctions économiques ou sociétales ou sur la sûreté publique ;
  4. la part de marché de cette entité ;
  5. la portée géographique eu égard à la zone susceptible d’être touchée par un incident ;
  6. l’importance que revêt l’entité pour garantir un niveau de service suffisant, compte tenu de la disponibilité de solutions de rechange pour la fourniture de ce service.

Une marge de manœuvre est volontairement laissée dans l’appréciation de l’effet disruptif important, au vu de la variété des OSE, de leur taille et de leur activité.

Pour déclarer leurs SIE, les opérateurs utilisent le formulaire de déclaration disponible sur la page dédiée aux OSE.

L’OSE, en remplissant les formulaires, recherche un langage clair et compréhensible par des lecteurs non familiarisés avec le métier de l’opérateur.

Ce champ doit être utilisé par l’OSE pour décrire fonctionnellement le SIE. L’OSE fera apparaître la ou les fonctions métier du SIE, ainsi que le ou les services essentiels qu’il contribue à fournir. Cette description doit de plus permettre une compréhension globale du système.

Ce champ est utilisé par l’OSE pour décrire techniquement le SIE.
L’OSE pourra indiquer dans cette partie :

  • le type d’architecture fonctionnelle du SIE (architecture 3tiers, architecture clients-serveurs, système industriel composé d’automates et de postes de supervision et de commandes…) ;
  • les principaux types d’équipements actifs (marques, gammes, produits) qui composent le SIE et le nombre approximatif de ces équipements ;
  • les types d’interconnexions présentes entre ces équipements ;
  • les versions des principaux logiciels, systèmes d’exploitation, firmware utilisés sur les différents équipements.

Cette description n’est pas éloignée d’une cartographie élémentaire du SIE.

Exemple pour un SI bureautique

Le réseau bureautique est composé de 600 postes de travail sous Windows 7, de 13 serveurs Windows Server 2008 R2 ou 2003 SP2. Authentification, gestion des droits d’accès et configuration des postes utilisateurs et serveurs réalisées par un annuaire Active Directory (3 contrôleurs de domaine). Architecture mono-domaine et mono-forêt sans relation d’approbation. Messagerie Exchange 2013 (4 serveurs). Chaque utilisateur bénéficie d’un espace réseau présent sur une architecture de stockage unifiée NetApp ONTAP 8. Les équipements sont interconnectés par un réseau Ethernet via des commutateurs de type CISCO 2960G. Interconnexion Internet via un pare-feu de type sn300.

Exemple pour un SI industriel

Le système d’information est composé de :

  • 10 automates programmables de la marque SIEMENS de la gamme S7-300;
  • deux écrans tactiles de commandes;
  • deux postes de supervision sous Windows 7 SP1;
  • un serveur sous Windows Server 2012;

Ces équipements échangent entre eux en réseau via les protocoles modbus et Ethernet. Ce réseau n’a aucune interconnexion avec un autre réseau.

Les entités (branche, filiale, département…) des prestataires qui hébergent, exploitent ou maintiennent les SIE devront être précisées dans les différents champs réservés à l’externalisation.

Ce champ doit permettre de décrire l’impact sur le fonctionnement et sur les services essentiels faisant suite à une attaque le SIE. Les impacts pouvant être différents en fonction du type d’attaque et des mesures de sécurité déjà mises en œuvre, ils devront être explicités dans cette partie.

Le principe est que chaque SIE est déclaré par un formulaire distinct. Ainsi, même si des SIE sont identiques, ils doivent être déclarés par autant de formulaires. Ils ne peuvent être déclarés par un seul formulaire que s’ils sont interconnectés et constituent en réalité, dans leur regroupement, un seul SIE.

L’ANSSI peut faire des observations à un OSE sur sa liste de SIE. L’OSE est tenu de prendre en compte ces observations et de modifier sa liste de SIE conformément à ces observations. Ces observations peuvent aller jusqu’à prescrire la désignation d’un système d’information particulier en tant que SIE.

L’ANSSI invite les opérateurs à lui envoyer chaque année, entre le 1er et le 30 novembre la mise à jour annuelle de la déclaration des SIE (dans le cas où aucun changement n’a été constaté par l’opérateur, un simple document informant l’ANSSI que les déclarations précédentes restent valides suffit).

Il est rappelé que les formulaires de déclaration des SIE sont des documents sensibles, et qu’il est demandé de les transmettre à l’agence par voie postale ou par voie électronique en recourant à un moyen de chiffrement comme ACID cryptofiler, Zed!, Truecrypt, GPG (la clé publique est disponible sur le site du CERT-FR).

Règles de Sécurité

Les OSE doivent prendre les mesures nécessaires, notamment par voie contractuelle, pour garantir l’application des règles de sécurité aux SIE opérés par leurs sous-traitants. En cas de difficultés pour conclure une convention de service, il est recommandé aux OSE de se rapprocher de l’ANSSI afin qu’une solution appropriée soit trouvée.

Les délais d’application des règles de sécurité sont notifiés dans l’arrêté fixant les règles.

Notification des Incidents de Sécurité

La notification des incidents de sécurité a pour objectif de permettre à l’ANSSI et aux autorités compétentes des autres Etats membres :

  • de proposer selon les cas, à la victime de l’incident, une assistance adaptée ;
  • d’évaluer la menace au plus vite et de manière plus précise ;
  • d’organiser une réponse collective aux attaques informatiques majeures ;
  • si nécessaire au vu de la nature de l’incident, de se coordonner entre différents Etats membres

Le formulaire de déclaration d’incidents et les modalités d’envoi sont disponibles sur la pages dédiée aux OSE.

Les notifications d’incidents recouvrent :

  • une explication détaillée de l’incident, de ses conséquences et des mesures prises en réaction ;
  • des données techniques permettant à l’ANSSI de qualifier l’incident.

Contrôle

L’audit de contrôle, s’il n’est pas réalisé par l’ANSSI, doit être effectué par un prestataire qualifié (PASSI). Celui-ci ne doit avoir notamment aucun lien juridique au sens des articles L. 233-1 et suivants du Code de commerce avec l’OSE qu’il contrôle dans le cadre de l’article 8 de la loi n° 2018-133.
Le prestataire qui réalise le contrôle ne peut être celui ayant procédé à l’audit dans le cadre de l’homologation.
L’OSE pourra retenir un prestataire qualifié parmi la liste des prestataires qualifiés par l’ANSSI, pouvant réaliser des contrôles OSE. Cette liste est publiée sur le site web de l’ANSSI.

Les contrôles de sécurité sont réalisés selon les critères définis par l’ANSSI et inscrits dans les conventions de service. Néanmoins, en cas de contestation du rapport de contrôle de la part de l’OSE, celui-ci pourra faire valoir ses observations avant la transmission du rapport à l’ANSSI, qui pourra elle-même dans un délai de deux mois auditionner les parties concernées.

Les OSE doivent prendre les mesures nécessaires notamment par voie contractuelle pour garantir le respect des règles de sécurité par les opérateurs tiers dont les systèmes d’information participent à la sécurité ou au fonctionnement de leurs SIE. De ce fait, il apparaît nécessaire que les contrats conclus entre les OSE et les prestataires de services contiennent une clause d’auditabilité afin de permettre l’application du cadre réglementaire NIS et par conséquent des contrôles.

Sur le même sujet :