Régulation et conformité : Sécurité des SI : après les OIV, voici les OSE

Commentaire d’Emmanuel Jouffin [1]

 

Selon une étude conduite en 2017 [2] , le coût moyen des cyberattaques dans sept pays, dont la France, a progressé de 22,7 % en un an. Ce phénomène a été pris en compte au niveau européen dès 2013 avec un projet de texte  [3] devenu la directive 2016/1148 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union (directive SRI ou NIS – Network Information Security) adoptée le 6 juillet 2016.

Cette directive a été transposée par le titre Ier de la loi 2018-133 du 26 février 2018 portant « diverses dispositions d’adaptation de la législation au droit de l’UE » dans le domaine de la sécurité. Le décret du 23 mai complète le dispositif, de même qu’un arrêté du 13 juin 2018 [4] . Cette loi (art. 5) détermine notamment qui sont les opérateurs de services essentiels (OSE) au fonctionnement de la société ou de l’économie, « et dont la continuité pourrait être gravement affectée par des incidents touchant les réseaux et systèmes d’information nécessaires à la fourniture desdits services ».

Pour mémoire, ce statut d’OSE se distingue de celui d’Opérateur d’importance vitale (OIV), issu de la loi de Programmation militaire 2013-2019 (LPM), lequel repose sur deux conditions cumulatives. Tout d’abord, l’opérateur exerce son activité en tout ou en partie dans un des 12 secteurs d’activité d’importance vitale  [5] et, par ailleurs, il doit gérer ou utiliser au titre de cette activité un ou des établissements ou ouvrages, une ou des installations dont le dommage ou l’indisponibilité ou la destruction par suite d’un acte de malveillance, de sabotage ou de terrorisme risquerait, « d’obérer gravement le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation » [6] .

Chaque OIV dresse une liste  [7] des « systèmes d’information d’importance vitale » dont « l’atteinte à la sécurité ou au fonctionnement risquerait de diminuer d’une façon importante le potentiel […] économique […] de la Nation » en ce compris « les SI des opérateurs tiers qui participent à ces systèmes, auxquels s’appliquent les règles de sécurité prévues au même article » (article R. 1332-41-2 du Code de la défense).

La LPM se distingue de la directive NIS. Tout d’abord, cette dernière est d’application européenne et concerne près de 1 400 entités [8] . Par ailleurs, au sein d’un même secteur d’activité, certains opérateurs seront exclus du dispositif, la directive NIS ne s’attardant que sur ceux dont l’activité dépend des réseaux et des systèmes d’information. Enfin, la directive NIS peut s’appliquer cumulativement avec la LPM. Ainsi, un OIV peut être également OSE, s’agissant de ses systèmes d’information qui ne seraient pas qualifiés d’importance vitale par l’ANSSI.

S’agissant des OSE, la loi du 26 février 2018 a été complétée par un décret n° 2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels et des fournisseurs de service numérique précisant les obligations liées à ce statut d’OSE. En voici les grandes lignes.

 

1. QUI SONT LES OPERATEURS DE SERVICES ESSENTIELS (OSE) ?

1.1. Principes généraux (arts. 3 et 5 et annexe I)

Un arrêté du Premier ministre est notifié à chaque opérateur afin de l’informer de l’intention de le désigner OSE et précise les services essentiels au fonctionnement de la société ou de l’économie fournis par l’opérateur. Suite à cette notification, ce dernier dispose d’un délai d’un mois pour présenter ses observations (art. 3). Chaque opérateur devra désigner, dans un délai de deux mois à compter de la date à laquelle prend effet l’arrêté ci-dessus, un représentant auprès de l’ANSSI (art. 5). La liste des OSE devrait être couverte par les articles R. 2311-1 et suivants du Code de la défense relatifs à la protection du secret de la défense nationale [9] .

Ces opérateurs sont listés en annexe I du décret (art. 1er). L’activité de bancassurance au sens large est largement représentée :

Tableau 1 (Voir PDF)

1.2. Critère de désignation des OSE (art. 2)

Sont OSE les opérateurs remplissant les 3 critères cumulatifs suivants :

– fourniture d’au moins un service mentionné à l’annexe du décret ;

– nécessité de recourir à des réseaux et systèmes d’information pour fournir ce service ; et

– gravité des conséquences d’un incident affectant ces réseaux et systèmes sur la fourniture de ce service au regard des critères ci-dessous.

 

1.3. Les critères de gravité des incidents

Le décret ne précise pas si ces 7 critères sont cumulatifs, alternatifs, ni s’ils sont mentionnés par ordre d’importance :

– le nombre d’utilisateurs dépendant du service ;

– la dépendance des autres secteurs d’activité figurant à l’annexe du décret à l’égard du service ; Les conséquences qu’un incident pourrait avoir, en termes de gravité et de durée, sur le fonctionnement de l’économie ou de la société ou sur la sécurité publique ;

– la part de marché de l’opérateur ;

– la portée géographique eu égard à la zone susceptible d’être touchée par un incident ;

– l’importance que revêt l’opérateur pour assurer un niveau de service suffisant, compte tenu de la disponibilité de moyens alternatifs pour la fourniture du service ;

– le cas échéant, des facteurs sectoriels.

L’article 6 précise que le Premier Ministre met fin à la désignation des opérateurs qui ne satisfont plus aux critères de l’article 2, sans préciser si un arrêté concrétise cette décision.

 

2. LES DECLARATIONS DE RESEAUX CONCERNES

2.1. Déclaration des réseaux et systèmes d’information (art. 7 et 8)

Dans un délai d’un mois à compter de sa désignation en tant qu’OSE, ce dernier communique à l’ANSSI, selon des modalités déterminées par l’article 1er de l’arrêté du 13 juin 2018, la liste des réseaux et systèmes concernés (art 8).

Cette liste concerne les réseaux et systèmes (art. 7) :

visés à l’article 5 al. 1er de la loi du 26 février 2018  [10] ;

auxquels s’appliquent les règles de sécurité visées à l’article 6 de cette loi  [11] ;

– y compris lorsque ces réseaux et systèmes d’information sont externalisés.

Cette liste est mise à jour annuellement et communiquée à l’ANSSI. Tout retrait de réseau ou système doit faire l’objet d’une justification (art. 9).

 

2.2. Déclaration des incidents de sécurité

L’article 11 précise que « sans préjudice des dispositions sectorielles prévoyant d’autres régimes de déclaration d’incidents », les OSE déclarent à l’ANSSI, « dès qu’ils en ont connaissance, les incidents mentionnés au I de l’article 7 de la loi du 26 février 2018 ». L’article 3 de l’arrêté du 13 juin 2018 précise les modalités de déclaration des incidents.

Les « autres dispositions sectorielles ». Pour mémoire, d’autres textes prévoient des déclarations relatives à des incidents de sécurité. Les principaux sont présentés dans le Tableau 2.

 

3. LA SECURITE

3.1. Règles de sécurité (art. 10)

Un arrêté du Premier ministre fixe les règles de sécurité prévues à l’article 6 de la loi du 26  février 2018  [12] et les délais dans lesquels elles s’appliquent.

Précisant le contenu de l’article 6 de la loi, le décret énonce que les règles portent notamment :

– dans le domaine de la gouvernance de la sécurité des réseaux et systèmes d’information, sur l’élaboration et la mise en œuvre d’une politique de sécurité des réseaux et systèmes d’information et l’homologation de sécurité des réseaux et systèmes d’information ;

– dans le domaine de la protection des réseaux et systèmes d’information, sur la sécurité de l’architecture et de l’administration des réseaux et systèmes d’information et le contrôle des accès à ces réseaux et systèmes

– dans le domaine de la défense des réseaux et systèmes d’information, sur la détection et le traitement des incidents de sécurité affectant les réseaux et systèmes d’information ;

– dans le domaine de la résilience des activités, sur la gestion de crises en cas d’incidents de sécurité ayant un impact majeur sur des services essentiels.

 

3.2. Contrôles de sécurité (art. 13 à 15)

Décision de contrôle (art. 13). Le Premier ministre notifie aux OSE et :

– précise les objectifs et le périmètre du contrôle et ;

fixe le délai dans lequel le contrôle est réalisé ;

– indique, si ce contrôle est réalisé par l’ANSSI ou par un prestataire de service qualifié.

Le Premier ministre ne peut imposer à un opérateur plus d’un contrôle par année civile, sauf :

– si le réseau et système d’information de l’opérateur est affecté par un incident de sécurité ; ou

– si des vulnérabilités de ce réseau et système d’information ou des manquements aux règles de sécurité ont été constatés lors d’un contrôle précédent subi par l’opérateur.

Convention de contrôle (art. 14). Pour les besoins du contrôle, l’OSE doit conclure une convention soit avec l’ANSSI, soit avec le prestataire de service chargé d’effectuer le contrôle.

Cette convention précise notamment :

– les objectifs et le périmètre du contrôle ;

– les modalités du déroulement du contrôle et le délai dans lequel il est réalisé ;

– les conditions dans lesquelles l’agence ou le prestataire accède aux réseaux et systèmes d’information et effectue les analyses et les relevés d’informations techniques ;

– les informations et éléments, notamment la documentation technique des matériels et des logiciels, que l’opérateur communique à l’agence ou au prestataire pour la réalisation du contrôle ;

– les conditions de protection de la confidentialité des informations traitées dans le cadre du contrôle.

Lorsque le contrôle est effectué par un prestataire, l’opérateur adresse sans délai une copie de la convention signée à l’agence.

 

Tableau 2 (Voir PDF)

 

1 L’auteur remercie M. Jean-Christophe Doucement, RSSI Groupe La Banque Postale, pour ses commentaires. 2 2017 Cost of Cybercrime Study, enquête annuelle sur le coût de la cybercriminalité réalisée par le Ponemon Institute pour Accenture. 3 Document COM(2013) 48 final du 7 février 2013. 4 Arrêté du 13 juin 2018 fixant les modalités des déclarations prévues aux articles 8, 11 et 20 du décret n° 2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels et des fournisseurs de service numérique – JO du 26 juin. 5 Arrêté du 2 juin 2006 fixant la liste des secteurs d’activités d’importance vitale et désignant les ministres coordonnateurs desdits secteurs tel que modifié par un arrêté du 3 juillet 2008. 6 Article R1332-1 du Code de la défense. 7 http://europa.eu/rapid/press-release_MEMO-13-71_fr.htm. 8 Cette liste est rédigée selon des modalités déterminées par un arrêté du Premier ministre. Chaque OIV communique sa liste de systèmes d’information d’importance vitale à l’ANSSI selon des modalités et dans des délais fixés par l’arrêté du Premier ministre. L’ANSSI (agence nationale de sécurité des systèmes d’information) peut émettre des observations au sujet du contenu de cette liste. L’article R.1332-41-2 du Code de la défense nous indique que cette liste est couverte par le secret de la défense nationale. 9 Par analogie, les arrêtés désignant les opérateurs d’importance vitale n’ont pas été publiés – art. R. 1332-2, al. 4, du Code de la défense. Idem pour les systèmes d’importance vitale – art. R. 1332-41-2, dernier alinéa, du Code de la défense. 10 Qui sont « essentiels au fonctionnement de la société ou de l’économie et dont la continuité pourrait être gravement affectée par des incidents touchant les réseaux et systèmes d’information nécessaires à la fourniture desdits services… ». 11 Règles fixées par le Premier ministre ayant pour objet « de garantir un niveau de sécurité adapté au risque existant, compte tenu de l’état des connaissances ». 12 Règles fixées par le Premier ministre ayant pour objet « de garantir un niveau de sécurité adapté au risque existant, compte tenu de l’état des connaissances ».