Notre contribution à la communauté de la sécurité de l'information et des systèmes d'information

La cybersécurité se répand en France

CONIX - La cybersécurité : après les SIIV et les données personnelles, c'est le tour des OSE de protéger les SIE

La directive européenne (UE) 2016/1148 Network and Information System Security (NIS) définit un cadre général pour assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information (SI) des pays européens.

La Loi adoptée en février 2018 a permis de transposer cette directive en droit français. Elle définit le cadre général pour réguler la sécurité des SI des acteurs essentiels au maintien de l’activité économique et sociétale du pays. Ces acteurs sont d’une part les Opérateurs de services essentiels (OSE), et les Fournisseurs de services numériques (FSN).

Les mesures réglementaires d’application sont prises par décret, un certain nombre a d’ores et déjà été publié. Le dernier en date, publié le 29 septembre 2018, définit 23 règles de sécurité à appliquer par les OSE à leurs systèmes d’information essentiels (SIE). Les délais d’application sont aussi précisés.

Les premiers OSE seront désignés par l’ANSSI[1] à partir du 9 novembre 2018. D’autres opérateurs pourront être désignés par la suite, l’élargissement du cercle des OSE permettant d’avoir une démarche continue d’élévation du niveau de cybersécurité de la Nation et de l’Union européenne.

Les 3 obligations des OSE

  1. L’application des 23 règles de sécurité aux SIE identifiés par l’OSE ;
  2. La notification à l’ANSSI des incidents de sécurité survenus sur les SIE ;
  3. La coopération de l’OSE en cas contrôle par l’ANSSI (ou d’un prestataire d’audit qualifié par l’ANSSI).

Tout manquement pourra donner lieu à une amende pouvant aller jusqu’à 125.000 euros. C’est beaucoup moins que les amendes prévues par le RGPD, règlement européen relatif à la protection des données personnelles (jusqu’à 4% du chiffre d’affaire ou 20 millions d’euros).

Ce montant expliquerait que l’information reste au niveau de cercles d’experts de la cybersécurité par rapport à la médiatisation du RGPD. Pourtant, ces obligations pèseront sur 15 secteurs d’activité (santé, énergie, services financiers, transport, restauration, etc.). La liste complète des secteurs est indiquée dans le décret du 23 mai 2018. Les entreprises désignées, les OSE, qu’elles soient publiques ou privées, auront à respecter ces obligations pour l’intérêt public et la préservation des services essentiels de la Nation.

Les premières actions à réaliser pour les OSE

L’OSE devra :

  1. désigner une personne chargée de le représenter auprès de l’ANSSI pour toutes les questions relatives la mise en œuvre de la directive NIS. La FAQ sur le sujet précise que cette désignation devra avoir lieu dans un délai de 2 mois à compter de la date de désignation ;
  2. déclarer ses SIE dans un délai de 3 mois à compter de la date de désignation.

À partir de sa désignation, l’OSE aura aussi 3 mois pour mettre en œuvre la règle 22 relative aux traitements des alertes. Celle-ci attend de l’opérateur qu’il mette en place un service lui permettant de prendre connaissance d’informations transmises par l’ANSSI relatives à des incidents, des vulnérabilités et des menaces. Ce service devra traiter les informations reçues et le cas échéant prendre les mesures de sécurité nécessaires à la protection de ses SIE.

Cela pourra se faire via un service SOC et/ou CERT intégré au processus de traitement des incidents du SIE.

L’OSE communiquera aussi à l’ANSSI les coordonnées du service à contacter (nom, téléphone, email). Il faudra privilégier un contact de service pour assurer la continuité de la communication avec l’Agence.

Les délais d’application des 23 règles

CONIX : 23 règles NIS pour les OSE, avec des délais d'application de 3 mois à 3 ans.

Le tableau ci-contre récapitule les délais d’application de l’ensemble des 23 règles.

Les règles sont structurées suivant les 4 domaines indiqués dans la Loi de transposition de NIS :

1- La gouvernance de la sécurité des réseaux et systèmes d’information ;

2- La protection des réseaux et systèmes d’information ;

3- La défense des réseaux et systèmes d’information ;

4- La résilience des activités.

Trois règles ont des délais d’application dépendant de la date de mise en service du système d’information essentiel par l’OSE.

L’ANSSI, comme la CNIL pour la réalisation d’analyses d’impact, tient compte de l’existant et des projets en cours.

Ainsi, les délais attendus seront différents que le SIE déployé par l’OSE soit déjà en exploitation, en projet et mis en production d’ici 2 ans ou à venir.  Il est important de souligner, qu’après la période transitoire, l’analyse de risque, l’homologation de sécurité et les audits de la sécurité seront à réaliser avant mise en service d’un SIE.

 

 

Comparaison par rapport à la LPM

Ces règles reprennent certaines définies dans la Loi de programmation militaire (LPM 2014-2019). L’article 22 de la LPM définit pour les Opérateurs d’importance vitale (OIV) les obligations en terme de cybersécurité vis-à-vis des Systèmes d’information d’importance vitale (SIIV).

La directive NIS est ainsi fortement inspirée de la LPM actuelle et du cadre normatif ISO/IEC 27002:2013[2]. Le législateur et les acteurs de la cybersécurité sont bien dans une démarche d’amélioration continue de l’ensemble des secteurs utilisant les services numériques.

 

CONIX - comparaison entre les règles LPM (IOV) et les règles NIS (OSE)

 

La réglementation au service de la cybersécurité

Pour les OIV qui ont déjà définit des SIIV et sont en cours d’homologation, la sécurisation de leurs SIE adoptera la même démarche de cybersécurité. La différence se fera avec un focus plus net pour la partie prévention des risques. L’analyse de risque et les audits de sécurité deviennent des règles à part entières et ne sont plus intégrées dans la phase d’homologation du système.

Les acteurs (Risk Manager, RSSI, Direction Générale) et les responsabilités étant différentes, il était important de bien séparer ces règles au niveau de la prévention des risques.

De même, les règles édictées pour la sécurité physique et environnementale (chapitre 11 de la norme ISO/IEC 27002:2013) trouvent aussi leur place dans ce nouveau référentiel français de sécurité des systèmes d’information.

Pour les OSE non OIV, une démarche d’amélioration de la cybersécurité a déjà été entreprise en cas de traitement de données personnelles (RGPD, article 32). Elle s’accompagne notamment par la mise en place d’un processus de signalisation d’incidents (RGPD, articles 33 et 34). D’autres réglementations sectorielles sont aussi appliquées, notamment dans le domaine de la santé et des services financiers.

Les processus déjà définis pourront être capitalisé par les OSE pour implémenter les 23 règles sur leurs SIE.

Pour les OSE non OIV et non rompus aux réglementations liées à la sécurité du numérique, pour qui la culture de la cybersécurité ne fait pas parti de leur conception, ils vont devoir élargir les bonnes pratiques du RGPD à d’autres systèmes d’information, que ces SI traitent ou non des données personnelles.

Et pour les sous-traitants, fournisseurs et prestataires des OSE et des FSN, ceux-ci risquent de se voir appliquer indirectement tout ou partie des 23 règles via due diligence ou Plan d’assurance sécurité (PAS).

Pour conclure

Bien entendu, toutes les entreprises ne sont pas concernées par la directive NIS. Elle concerne uniquement les OSE, opérateurs de services essentiels et les FSN, fournisseurs de services numériques. Tous leurs systèmes d’informations ne sont pas non plus concernés. NIS ne s’appliquera qu’aux SI qu’elles auront déclarées comme essentiels à la réalisation d’activité essentielles à la Nation. Le but de ces réglementations en cascade, c’est bien entendu d’élever le niveau global de la cybersécurité de la France et de l’Europe. Elles permettent aussi à nos entreprises et organismes d’être indépendantes des grands noms du secteur du numérique, pour la plupart américains. L’intégration de la sécurité dans les services essentiels, c’est apporter de la confiance aux citoyens et consommateurs que nous sommes.

 

[1] ANSSI : Agence nationale de la sécurité des systèmes d’information, elle a pour mission d’accompagner et de sécuriser le développement du numérique en France.

[2] ISO/IEC 27002:2013 : code de bonne pratique pour le management de la sécurité de l’information.

By | 2018-10-16T17:57:38+00:00 16/10/2018|Gouvernance|