Directive NIS : le statut d’OIV « light » des opérateurs de services essentiels se confirme

La transposition en droit français de la directive européenne dite NIS se poursuit. Adoptée en juillet 2016, cette directive vise à « améliorer la capacité à résister à des cyber-attaques » des entreprises fournissant des « services essentiels », les OSE, ou opérateurs de services essentiels. La loi de transposition dans le corpus légal Hexagonal a été promulguée fin février dernier.

Largement flou, le texte renvoyait à un décret en Conseil d’Etat la détermination de la liste des services essentiels concernés, ainsi que la nature des mesures de sécurité qui seraient imposées aux OSE – dans les domaines de la sécurité des systèmes d’information et des installations, de la gestion des incidents, de celle de la continuité des activités, de celui du suivi, de l’audit et du contrôle, et enfin du « respect des normes internationales ».

Le décret en question a été publié fin mai, lui-même empreint d’une certaine opacité délibérée : bon nombre de dispositions sont laissées à l’appréciation du Premier ministre et renvoyées à des arrêtés. De quoi conforter l’Agence nationale de la sécurité des systèmes d’information (Anssi) dans une position de véritable pilote de la stratégie nationale de cybersécurité, au-delà des opérateurs d’importance vitale (OIV).

Pas question, d’ailleurs, de faire une croix sur l’expérience accumulée par l’Anssi dans le chantier pas toujours consensuel des OIV. A l’occasion de l’édition 2015 des Assises de la Sécurité, le patron de l’Anssi faisait référence à un « mariage forcé ». Optimiste, Guillaume Poupard estimait alors que « certains réussissent, et je pense que c’est ce que l’on est en train d’avoir ». Il faisait toutefois état de réunions de travail « toujours correctes, mais parfois rugueuses », visant à aboutir à des compromis « pour élever significativement le niveau de sécurité ».

Ce travail, donc, fait aujourd’hui l’objet d’une capitalisation. Comme le soulignait elle-même l’Anssi plus tôt cette année : le travail sur les OSE « s’inscrit dans le prolongement du dispositif de cybersécurité des OIV ». C’est donc sans surprise que le texte du nouvel arrêté fixant « les règles de sécurité et les délais » de mise en conformité des OSE à celles-ci rappelle très largement celui des arrêtés sectoriels publiés antérieurement pour les OIV.

L’essentiel est bien là : analyse de risque sur les systèmes d’information essentiels (SIE), servant de base à l’établissement d’une politique de sécurité des réseaux et systèmes d’information ; homologation de sécurité des SIE sur la base d’audits ; mise en place d’indicateurs multiples, notamment sur le maintien en condition de sécurité des ressources des SIE ; cartographie de l’environnement, etc.

Des règles d’architecture sont également au menu, avec pratiques de configuration, cloisonnement des réseaux, règles de gestion des accès à distance, ou encore filtrage réseau. La sécurité de l’administration n’est pas oubliée, ni même la gestion des identités et des accès, ni bien sûr la détection et la gestion des incidents de sécurité.

Le calendrier de mise en conformité risque d’apparaître serré à certains. L’homologation de sécurité doit intervenir au plus tard 3 ans après avoir été désigné OSE pour les SIE déjà en production au moment de la désignation. Pour mémoire, c’est l’étape finale, après les audits de sécurité. Entre temps, il y a beaucoup à faire.

La politique de sécurité doit être établie dans un délai d’un an. Ce qui vaut aussi pour la cartographie, la gestion des configurations, la mise en conformité de la gestion de l’authentification, des droits d’accès, de la journalisation, des crises, ou encore de la réponse aux incidents. Pour les volets architecture, administration, détection et corrélation, les OSE ont deux ans devant eux.

En premier lieu, les OSE ont trois mois pour mettre en place un service leur « permettant de prendre connaissance dans les meilleurs délais, d’informations transmises par l’Anssi relatives à des incidents, des vulnérabilités et des menaces. » Il faudra aussi traiter ces informations et, « le cas échéant, prendre les mesures de sécurité » qui s’imposent.