Les Opérateurs de Services Essentiels

Mieux les connaître pour mieux les sécuriser !

Une Europe numérique forte

La date du 6 juillet 2016 correspond au jour où l’Union Européenne a concrétisé son ambition de s’inscrire comme un acteur international majeur des enjeux de cybersécurité. C’est en effet à cette date que le Parlement européen a adopté la directive Network & Information System Security (NIS), directive visant à instaurer un niveau général de sécurité informatique important au sein de l’Union européenne. Ce projet de construction d’une Europe numérique forte a également fait parler de lui en 2020, notamment par la médiatisation du projet de Cloud Computing GAIA-X, dont l’objectif est de proposer une alternative européenne aux géants que sont Amazon, Microsoft, Google ou encore Alibaba pour ne citer qu’eux. L’ambition est claire : l’Europe doit se montrer à la hauteur des enjeux de cybersécurité qui se présentent à elle.

Dans son premier chapitre, la directive NIS prévoit la création d’un cadre réglementaire pour renforcer la cybersécurité des opérateurs de services considérés comme essentiels au fonctionnement de l’économie et de la société, les OSE. Il s’agit principalement de grandes entreprises du privé voire des entreprises de taille intermédiaire, ainsi que des opérateurs du secteur public. La protection de ces OSE intervient en sus de la Loi de Programmation Militaire (LPM) de 2013, loi française introduisant le principe d’Opérateurs d’Importance Vitale (OIV, ancêtres des OSE) et ayant grandement inspiré la directive NIS qui en reprend les grandes lignes. Les OSE sont ainsi tenus de respecter des consignes de sécurité strictes pour garantir un niveau de protection et de service suffisant pour le bon fonctionnement de notre société et de notre économie.

Et la France dans tout ça ?

En France, une première liste de ces OSE (grandement inspirée de la liste des OIV) a été réalisée par l’ANSSI (l’Agence Nationale de Sécurité des Systèmes d’Information) en novembre 2018 et continue d’évoluer dans le temps pour y intégrer de nouveaux acteurs si nécessaire. Pour garantir la sécurité de ces opérateurs, la liste de l’ANSSI n’est pas publique. En revanche, il est possible de se donner une bonne idée du genre d’entreprise faisant partie de ce cercle très fermé, en regardant de plus près les secteurs concernés pour la directive NIS. Sans surprise, les entreprises travaillant dans les domaines de l’eau, des transports, dans la production et distribution d’énergie, la santé, la finance, l’alimentaire et bien évidemment les télécoms sont tributaires de la directive européenne. Par conséquent, l’Etat français surveille aujourd’hui de très près les entreprises considérées comme OSE, dans la continuité de ce qui avait été amorcé en 2013.

Bon à savoir : chaque Etat membre de l’Union européenne a dû transposer la directive NIS dans son droit national (spécification des mesures de sécurité à mettre en place, définition des procédures de notification, sanctions, etc.) pour rendre celle-ci applicable. Il se peut donc que la directive soit appliquée légèrement différemment d’un Etat membre à l’autre. Cette particularité se traduisant notamment sur notre territoire par l’ajout de secteurs concernés par la directive.

Liste des secteurs d’activités concernés pour les OSE, issu du site web riskinsight-wavestone.com

Quel est l’impact de la directive NIS sur les Systèmes d’Information des OSE ?

Concrètement, les OSE doivent désigner une personne chargée de les représenter auprès de l’ANSSI pour toutes les questions relatives à la mise en œuvre de la directive NIS, et ceci dans un délai de 2 mois à partir de la date de leur désignation par le gouvernement et l’ANSSI. Les opérateurs doivent, par la même occasion, déclarer leurs systèmes d’information dits essentiels (SIE) dans un délai de 3 mois (là encore, à compter de la date de désignation). Les OSE devront ensuite appliquer à ces SIE des mesures de sécurité qui seront contrôlées par l’ANSSI (qui n’est pas là pour jouer le rôle du gendarme mais plutôt de l’accompagnateur pour aider à mettre en œuvre ces différentes mesures). Néanmoins, l’ANSSI pourra demander à ce que des sanctions soient prises si aucun changement allant dans le sens du renforcement de la sécurité des SIE n’est observé (amendes pouvant aller jusqu’à 125 000€). Enfin, l’ANSSI est aussi le point d’entrée à utiliser pour déclarer tout incident impactant les SIE supervisés.

Etapes clés du cycle de vie d’un SIE, issu du site web ssi.gouv.fr (ANSSI).

Comment savoir si un Système d’Information est un SI essentiel ?

Pour savoir si un SI est un SIE, il faudra étudier la question au travers d’une démarche générale d’analyse des risques. Un opérateur de service essentiel fournit, comme son nom l’indique un service essentiel au bon fonctionnement de l’activité sociale et/ou économique du pays. L’OSE doit par conséquent identifier les systèmes d’information dont dépendent les services essentiels en question. Parmi ces SI, l’OSE doit désigner comme SIE ceux sur lesquels un incident de sécurité aurait un impact disruptif important sur la fourniture des services essentiels identifiés. L’évaluation de l’importance d’un effet disruptif est déterminée notamment en prenant en compte les facteurs suivants (liste extraite de la FAQ de l’ANSSI) :

  1. Le nombre d’utilisateurs tributaires du service fourni par l’entité concernée ;
  2. La dépendance des autres secteurs visés à l’égard du service fourni par cette entité ;
  3. Les conséquences que des incidents pourraient avoir, en termes de degré et de durée, sur les fonctions économiques ou sociétales ou sur la sûreté publique ;
  4. La part de marché de cette entité ;
  5. La portée géographique eu égard à la zone susceptible d’être touchée par un incident ;
  6. L’importance que revêt l’entité pour garantir un niveau de service suffisant, compte tenu de la disponibilité de solutions de rechange pour la fourniture de ce service.

Conclusion

Vous l’aurez compris, la France était déjà bien au fait avec la notion d’opérateur de service essentiel. Malgré cela, ces OSE nécessitent toujours d’être accompagnés pour, dans une démarche d’amélioration continue, s’adapter aux évolutions réglementaires et, surtout, pour s’adapter aux évolutions des différentes menaces planant sur celles-ci. Cela passe par une bonne connaissance et une gestion pérenne de son patrimoine informationnel, par l’amélioration constante des processus internes et, bien évidemment, par la mise en place d’infrastructures dédiées à la surveillance et la protection des SIE (autant on-premise que dans le cloud). De quoi générer des projets et missions sur ce sujet pour un bon moment ! A Pramana, nous connaissons très bien l’univers des OSE puisque notre cabinet accompagne depuis plusieurs années déjà un certain nombre d’opérateurs de services essentiels des secteurs public et privé. Forts de leurs expériences dans ce contexte si particulier, nos consultant disposent des clés de lecture pour comprendre les enjeux des OSE et conseiller au mieux ces derniers. N’hésitez pas à contacter nos spécialistes pour discuter du sujet ou pour plus d’informations sur nos offres.

Rémi Beraux
Consultant en Architecture Technique
Pramana

--

--

Designing The Digital World — Data Governance, Enterprise Architecture — more on pramana.fr and on LinkedIn

Love podcasts or audiobooks? Learn on the go with our new app.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store
Pramana

Pramana

118 Followers

Designing The Digital World — Data Governance, Enterprise Architecture — more on pramana.fr and on LinkedIn