Quantcast

De nouvelles activités critiques bientôt dans le radar de l’Anssi

28 mai 2018, PAR Emile Marzolf
  • 04
    MIN
  • 0

Fotolia

Dans un décret publié le 25 mai au Journal officiel, le gouvernement précise les secteurs d’activité dans lesquels certains acteurs se verront attribuer de nouvelles obligations en matière de sécurité des réseaux et des systèmes d’information.


Un acronyme peut en cacher un autre. Le jour même de l’entrée en application du Règlement général sur la protection des données (RGPD), le 25 mai, est paru au Journal officiel un décret précisant l’application de certaines dispositions de la directive européenne NIS, pour “Network and Information Security”. Le décret, qui fait suite à la loi de transposition dite “Systèmes d’information et Réseaux” du 26 février 2018, vient préciser la liste des opérateurs de services essentiels, publics ou privés, et des fournisseurs de services numériques chez lesquels une attention particulière doit être portée à la sécurité informatique.

La directive européenne a en effet créé deux nouvelles catégories d’acteurs aux activités jugées sensibles. Les opérateurs de services essentiels (OSE) et fournisseurs de services numériques (FSN) s'inscrivent dans la continuité des opérateurs d’importance vitale (OIV) créés en France en 2013, mais à des niveaux d'importance inférieurs. Comme les OIV avant eux, ils se voient attribuer des obligations en matière de sécurité informatique et un devoir de redevabilité auprès de l’Agence nationale de sécurité des systèmes d’information (Anssi).

Liste des acteurs concernés à venir

Sont qualifiés d’opérateurs de services essentiels, selon l’article 5 de la loi du 26 février, les acteurs “offrant des services essentiels au fonctionnement de la société ou de l’économie et dont la continuité pourrait être gravement affectée par des incidents touchant les réseaux et systèmes d’information nécessaires à la fourniture desdits services”. Quant à la catégorie des fournisseurs de services numériques, elle désigne, dans la directive NIS, “une personne morale qui fournit tout service de la société de l’information, c’est-à-dire tout service presté normalement contre rémunération, à distance, par voie électronique et à la demande individuelle d’un destinataire de services”. Elle regroupe notamment les places de marché en ligne, les moteurs de recherche et les services d’informatique en nuage (cloud).

Le décret du 25 mai clarifie, pour la désignation des OSE, la liste des secteurs d’activité concernés. On y retrouve logiquement les secteurs les plus sensibles, comme l’énergie (pétrole, gaz, électricité), les transports (aérien, ferroviaire, routier), la banque, les assurances, la santé (dont les hôpitaux et cliniques privées), l’éducation et la restauration collective, notamment dans les milieux de la santé, de l’enfance et du pénitentiaire. Mais aussi certaines infrastructures numériques critiques, comme les hébergeurs de noms de domaines et les points d’échange Internet.

Nouvelles obligations

Une fois désignés par le Premier ministre, ces opérateurs, qui pourront faire l’objet de contrôles de l’Anssi, seront priés de communiquer, sous un délai de trois mois, la liste de leurs réseaux et systèmes d’information, ainsi que le nombre d’utilisateurs dépendant du service, leur part de marché, la dépendance d’autres services essentiels à leur égard, ainsi que les conséquences que pourrait avoir un incident aussi bien en termes de durée que de gravité.

Ils devront également respecter un certain nombre de règles en matière de gouvernance (avec la mise en œuvre d’une politique de sécurité des réseaux et systèmes), de protection de leurs réseaux et systèmes, de détection et de traitement des incidents de sécurité ou encore de gestion de crise en cas d’incidents majeurs. Tout incident de sécurité doit par exemple être notifié à l’Anssi par les OSE “dès qu’ils ont connaissance d’informations complémentaires relatives aux causes de l’incident ou à ses conséquences” afin que l’agence puisse informer le public ou ses voisins européens d’une éventuelle menace.

Les fournisseurs de services numériques devront également respecter un certain nombre de règles de sécurité et de déclaration d’incidents. Et nommer un représentant sur le territoire national lorsqu’ils sont établis hors de l’Union européenne.

La liste des opérateurs de services essentiels devra être établie par le Premier ministre avant le 9 novembre prochain et actualisée “à intervalles réguliers et au moins tous les deux ans”, précise le décret. Le détail des règles de sécurité que ces opérateurs devront appliquer sera quant à lui précisé dans un arrété à paraître pendant l'été. Pour rappel, les acteurs qui contreviedraient aux dispositions de la directive s'exposent désormais à des sanctions, à hauteur de 100 000 euros en cas de non application des règles de sécurité pour les OSE et 75 000 euros pour les FSN, et 75 000 et 50 000 euros en cas de non déclaration d'incident.