by Valérie Desforges

Directive #NIS : l’ #ANSSI accompagne les premiers opérateurs de services essentiels

0

Une nouvelle étape vient d’être franchie dans la mise en œuvre de la directive NIS avec l’identification d’une première vague d’Opérateurs de Services Essentiels (OSE). Ces nouveaux acteurs fournissent un service dont l’interruption aurait un impact significatif sur le fonctionnement de l’économie ou de la société. Dans le cadre d’une démarche progressive et qualitative, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) met l’accent sur l’accompagnement des OSE dans le cadre de la mise en œuvre de ce dispositif de cybersécurité visant à assurer leur protection.

La France a adopté une démarche progressive et qualitative de désignation des OSE afin de privilégier l’accompagnement et le suivi sur le long-terme. Pour certains acteurs, cette réglementation est une première, il est donc primordial de les conseiller et de les guider afin d’assurer une mise en application cohérente et efficacedes mesures de sécurité et autres obligations définies par la loi de transposition. Forte des enseignements tirés dela mise en œuvre du dispositif de cybersécurité de 2013 s’appliquant aux opérateurs d’importance vitale (OIV), la France a identifié 122 OSE au stade de l’échéance du 9 novembre 2018 fixée par la directive NIS. Ce chiffre, non définitif, sera amené à augmenter lors de futures identifications dont un nombre significatif, de l’ordre de quelques centaines, est d’ores et déjà en cours d’instruction.

« La démarche de la France, s’appuyant largement sur l’expérience positive des démarches conduites avec les opérateurs d’importance vitale depuis 2013, a pour ambition d’élever au juste niveau la sécurité des réseaux et des systèmes d’information, en national mais également à l’échelle européenne » assure Guillaume Poupard, Directeur Général de l’ANSSI. Il complète : « Il n’est pas question d’être dans une logique de sanction mais avant tout de faire de la pédagogie auprès des OSE afin de provoquer une réelle prise de conscience de l’importance cruciale de la sécurité numérique, ainsi que de proposer des solutions concrètes et efficaces ».

Retour sur le dispositif de cybersécurité dédié aux OSE

C’est pour construire collectivement les conditions de sécurité indispensables à la transformation numérique de l’Union européenne que le Parlement européen et le Conseil de l’Union européenne ont adopté en juillet 2016 la directive Network and Information Security (NIS) visant à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information de l’Union européenne. La France a finalisé la transposition de la directive NIS en droit français avec la publication, le 29 septembre 2018, du dernier arrêté d’application portant sur les mesures de sécurité s’appliquant aux OSE.

L’un des volets du nouveau dispositif prévoit la définition et l’identification de nouveaux acteurs, essentiels pour la vie quotidienne des Français : les opérateurs de services essentiels (OSE). Un OSE fournit un service essentiel (SE) dont l’interruption aurait un impact significatif sur le fonctionnement de l’économie ou de la société. Ces OSE doivent garantir un socle minimal de cybersécurité pour se protéger d’une attaque cyber aux conséquences majeures sur le fonctionnement de l’économie et de la société.

L’ANSSI accompagne les OSE dans la mise en œuvre d’un dispositif de cybersécurité pour assurer leur protection (règles de sécurité, déclaration des incidents, etc.). La défense de ces opérateurs, privés ou publics, intervient en complémentarité du dispositif de cybersécurité des opérateurs d’importance vitale (OIV) introduit par la loi de programmation militaire (LPM) de 2013 face à l’augmentation en quantité et en sophistication des attaques informatiques.

Dans un premier temps, les OSE devront désigner un représentant auprès de l’ANSSI et identifier leurs Systèmes d’Information Essentiels (SIE). Ils devront ensuite appliquer les règles de sécurité à leurs systèmes d’information essentiels et notifier à l’ANSSI les incidents de sécurité survenus sur ces systèmes.

 

L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) a été créée par le décret n°2009-834 du 7 juillet 2009 sous la forme d’un service à compétence nationale.

L’agence assure la mission d’autorité nationale en matière de défense et sécurité des systèmes d’information. Elle est rattachée au Secrétaire général de la défense et de la sécurité nationale, sous l’autorité du Premier ministre. www.ssi.gouv.fr 

Laisser un commentaire

Votre adresse email ne sera pas publiée.