Directive NIS : le premier lot d’opérateurs de services essentiels est défini

Guillaume Poupard, le patron de l’Agence nationale pour la sécurité des systèmes d’information (Anssi), l’avait annoncé début octobre, à l’occasion des Assises de la Sécurité, c’est désormais chose faite : une première série d’opérateurs de services essentiels (OSE) a été désignée. Et ceux-ci sont au nombre de 122 à ce jour. Dans un communiqué de presse, l’Anssi explique que « ce chiffre, non définitif, sera amené à augmenter lors de futures identifications, dont un nombre significatif, de l’ordre de quelques centaines, est d’ores et déjà en cours d’instruction ».

Guillaume Poupard souligne qu’il n’est pas « question d’être dans une logique de sanction, mais avant tout de faire de la pédagogie auprès des OSE afin de provoquer une réelle prise de conscience de l’importance cruciale de la sécurité numérique ».

Lors de son allocution, en ouverture des Assises de la Sécurité, le patron de l’Anssi s’était fait plus précis et revendiquait un objectif de développement « de la sécurité collective » : « ce qui pourrait déclencher les sanctions, ce n’est pas de se faire attaquer, c’est de ne pas avoir fait ce qui était demandé ».

G. Poupard: "on n'est dans la pédagogie, pas dans la sanction. On est dans cette idée de développer la sécurité collective [...] Ce qui pourrait déclencher les sanctions, ce n'est pas de se faire attaquer, c'est de ne pas avoir fait ce qui était demandé" #AssisesSI @ANSSI_FR #NIS

— Valery Marchive (@ValeryMarchive) October 10, 2018

Mais ces demandes peuvent être lourdes pour certaines organisations. Le statut d’OSE, issu de la transposition en droit français de la directive européenne dite NIS, rappelle fortement celui d’opérateur d’importance vitale (OIV) dans le prolongement duquel il s’inscrit d’ailleurs ouvertement.

On retrouve ainsi l’essentiel : analyse de risque sur les systèmes d’information essentiels (SIE), servant de base à l’établissement d’une politique de sécurité des réseaux et systèmes d’information ; homologation de sécurité des SIE sur la base d’audits ; mise en place d’indicateurs multiples, notamment sur le maintien en condition de sécurité des ressources des SIE ; cartographie de l’environnement, etc.

Des règles d’architecture sont également au menu, avec pratiques de configuration, cloisonnement des réseaux, règles de gestion des accès à distance, ou encore filtrage réseau. La sécurité de l’administration n’est pas oubliée, ni même la gestion des identités et des accès, ni bien sûr la détection et la gestion des incidents de sécurité.

Le calendrier de mise en conformité risque d’apparaître serré à certains. L’homologation de sécurité doit intervenir au plus tard 3 ans après avoir été désignés OSE pour les SIE déjà en production au moment de la désignation. Pour mémoire, c’est l’étape finale, après les audits de sécurité. Et entre temps, il y a beaucoup à faire.

Toutefois, l’essentiel des difficultés pourrait se concentrer sur les désignations au-delà du premier lot. Selon certains observateurs, parmi les 122 entreprises tout juste désignées OSE, il y aurait bon nombre d’OIV. Car les deux statuts ne sont pas mutuellement exclusifs : une entreprise peut être considérée OIV sur un certain périmètre, et OSE sur un ou plusieurs autres.