FAQ – Opérateurs de services essentiels (OSE)

Un OSE est un opérateur tributaire des réseaux ou systèmes d’information, qui fournit un service essentiel dont l’interruption aurait un impact significatif sur le fonctionnement de l’économie ou de la société.

Un service essentiel correspond à 3 critères :

• ce service est essentiel au maintien d’activités sociétales ou économiques critiques ;
• la fourniture de ce service est tributaire des réseaux et des systèmes d’information ;
• un incident sur ces réseaux et systèmes aurait un effet disruptif important sur la fourniture dudit service.

L’importance d’un effet disruptif est déterminée notamment en prenant en compte les facteurs transsectoriels suivants :

1. le nombre d’utilisateurs tributaires du service fourni par l’entité concernée ;
2. la dépendance des autres secteurs visés à l’annexe II à l’égard du service fourni par cette entité ;
3. les conséquences que des incidents pourraient avoir, en termes de degré et de durée, sur les fonctions économiques ou sociétales ou sur la sûreté publique ;
4. la part de marché de cette entité ;
5. la portée géographique eu égard à la zone susceptible d’être touchée par un incident ;
6. l’importance que revêt l’entité pour garantir un niveau de service suffisant, compte tenu de la disponibilité de solutions de rechange pour la fourniture de ce service.

Sur la base de la liste des services essentiels publiée dans le décret, l’ANSSI, en coordination avec les ministères, propose au Premier ministre une liste d’OSE potentiels.Par la suite, la désignation s’effectue selon un contradictoire :

1. une lettre d’intention de désignation est envoyée à l’opérateur pressenti ;
2. l’opérateur répond à cette lettre, en exposant notamment ses éventuelles réserves ;
3. en lien avec les ministères, le Premier ministre prend ou non la décision de désigner l’opérateur comme OSE par le biais d’un arrêté de désignation.

Toutes ces étapes s’accompagnent des échanges informels nécessaires pour expliquer le cadre réglementaire aux opérateurs pressentis et discuter avec eux de l’opportunité de les désigner comme OSE, au vu des services essentiels qu’ils assurent et de la dépendance de ces services à leurs systèmes d’information.

Non. A l’issue du contradictoire, les éléments apportés par l’opérateur peuvent montrer que sa désignation n’apparaît pas justifiée. L’intérêt du contradictoire est justement de s’assurer de la pertinence des désignations.In fine, la décision de désignation appartient au Premier ministre.

Dès la parution du décret, l’identification par les ministères et l’ANSSI des opérateurs pressentis est initiée. Sur la base des résultats obtenus, les premiers contacts auprès des opérateurs pressentis sont initiés, afin de dérouler le contradictoire permettant leur désignation.
L’ANSSI a désigné les premiers OSE le 9 novembre 2018. Le processus de désignation se poursuivra néanmoins au-delà de cette date, pour élargir le cercle des OSE.

L’OSE doit :

1. désigner une personne chargée de le représenter auprès de l’ANSSI pour toutes les questions relatives la mise en œuvre de la directive NIS, dans un délai de 2 mois à compter de la date de désignation ;
2. déclarer ses systèmes d’information essentiels (SIE) dans un délai de 3 mois à compter de la date de désignation.

Le statut d’OSE implique quatre obligations pour les établissements :

• la désignation d’un point de contact à l’ANSSI ;
• la déclaration des systèmes d’information essentiels (SIE) à l’ANSSI ;
• l’application des 23 règles de sécurité aux SIE déclarés par l’OSE ;
• la notification à l’ANSSI des incidents de sécurité survenus sur les SIE.

L’ANSSI, ou un prestataire d’audit qualifié par l’ANSSI, peut contrôler la conformité de l’OSE aux règles de sécurité ainsi que son niveau de sécurité.

Sur la base de la liste des services essentiels publiée dans le décret, l’ANSSI, en coordination avec les ministères, propose au Premier ministre une liste d’OSE potentiels. Ces opérateurs reçoivent ensuite une lettre d’intention de désignation à laquelle ils peuvent répondre pour exposer les éventuelles réserves quant à l’opportunité de cette désignation dans un délai d’un mois.
A l’issue du contradictoire, les éléments apportés par l’opérateur peuvent montrer que sa désignation n’apparaît pas justifiée. L’intérêt du contradictoire est justement de s’assurer de la pertinence des désignations. In fine, la décision de désignation appartient au Premier ministre.

Non. Le fait pour un établissement d’être désigné opérateur de service essentiel ne relève pas d’une classification particulière et peut être communiqué aux partenaires ou fournisseurs.

Le point de contact doit être déclaré dans les deux mois qui suivent la désignation de l’établissement comme OSE.

Le point de contact est en général le RSSI de l’établissement, en effet celui-ci doit être à même de recevoir les alertes de sécurité de l’ANSSI et de piloter le processus de mise en conformité NIS.

L’identification des SIE se fait dans le cadre d’une démarche générale d’analyse des risques.
On rappelle que la désignation d’un OSE se fait au titre des services essentiels que fournit l’opérateur. L’OSE doit identifier les systèmes d’information dont sont tributaires les services essentiels identifiés.
Parmi ces systèmes, l’OSE doit désigner comme SIE ceux sur lesquels un incident de sécurité en disponibilité, intégrité ou confidentialité aurait un effet disruptif important sur la fourniture des services essentiels identifiés.L’évaluation de l’importance d’un effet disruptif est déterminée notamment en prenant en compte les facteurs transsectoriels suivants :

1. le nombre d’utilisateurs tributaires du service fourni par l’entité concernée ;
2. la dépendance des autres secteurs visés à l’annexe II à l’égard du service fourni par cette entité ;
3. les conséquences que des incidents pourraient avoir, en termes de degré et de durée, sur les fonctions économiques ou sociétales ou sur la sûreté publique ;
4. la part de marché de cette entité ;
5. la portée géographique eu égard à la zone susceptible d’être touchée par un incident ;
6. l’importance que revêt l’entité pour garantir un niveau de service suffisant, compte tenu de la disponibilité de solutions de rechange pour la fourniture de ce service.

Une marge de manœuvre est volontairement laissée dans l’appréciation de l’effet disruptif important, au vu de la variété des OSE, de leur taille et de leur activité.

La déclaration d’un SIE se fait au moyen d’un formulaire (/uploads/2018/05/formulaire-declaration-sie-nis.pdf) transmis à l’ANSSI par voie électronique et chiffrée.

Ce formulaire contient une description du SIE, de ses caractéristiques techniques, de sa criticité ainsi que de son niveau actuel de sécurité. Cette description doit viser à être la plus accessible possible afin de pouvoir être comprise par des lecteurs non familiarisés avec le secteur d’activité concerné (ex : domaine de la santé).

Comment remplir le champ « Description du système d’information » ?

Ce champ doit être utilisé par l’OSE pour décrire fonctionnellement le SIE. L’OSE fera apparaître la ou les fonctions métier du SIE, ainsi que le ou les services essentiels qu’il contribue à fournir. Cette description doit de plus permettre une compréhension globale du système.

Comment remplir le champ « Principaux composants et caractéristiques techniques du système d’information » ?

Ce champ est utilisé par l’OSE pour décrire techniquement le SIE.
L’OSE pourra indiquer dans cette partie :

• le type d’architecture fonctionnelle du SIE (architecture 3tiers, architecture clients-serveurs, système industriel composé d’automates et de postes de supervision et de commandes…) ;
• les principaux types d’équipements actifs (marques, gammes, produits) qui composent le SIE et le nombre approximatif de ces équipements ;
• les types d’interconnexions présentes entre ces équipements ;
• les versions des principaux logiciels, systèmes d’exploitation, firmware utilisés sur les différents équipements.

Cette description n’est pas éloignée d’une cartographie élémentaire du SIE.

Exemple pour un SI bureautique

Le réseau bureautique est composé de 600 postes de travail sous Windows 7, de 13 serveurs Windows Server 2008 R2 ou 2003 SP2. Authentification, gestion des droits d’accès et configuration des postes utilisateurs et serveurs réalisées par un annuaire Active Directory (3 contrôleurs de domaine). Architecture mono-domaine et mono-forêt sans relation d’approbation. Messagerie Exchange 2013 (4 serveurs). Chaque utilisateur bénéficie d’un espace réseau présent sur une architecture de stockage unifiée NetApp ONTAP 8. Les équipements sont interconnectés par un réseau Ethernet via des commutateurs de type CISCO 2960G. Interconnexion Internet via un pare-feu de type sn300.

Exemple pour un SI industriel

Le système d’information est composé de :

•  10 automates programmables de la marque SIEMENS de la gamme S7-300;
• deux écrans tactiles de commandes;
• deux postes de supervision sous Windows 7 SP1;
• un serveur sous Windows Server 2012;

Ces équipements échangent entre eux en réseau via les protocoles modbus et Ethernet. Ce réseau n’a aucune interconnexion avec un autre réseau.

Quelles sont les informations attendues dans les champs relatifs à l’externalisation ?

Les entités (branche, filiale, département…) des prestataires qui hébergent, exploitent ou maintiennent les SIE devront être précisées dans les différents champs réservés à l’externalisation.

Comment remplir le champ « Impacts sur les activités de l’opérateur ou sur la population en cas d’atteinte à la sécurité ou au fonctionnement du système d’information » ?

Ce champ doit permettre de décrire l’impact sur le fonctionnement et sur les services essentiels faisant suite à une attaque le SIE. Les impacts pouvant être différents en fonction du type d’attaque et des mesures de sécurité déjà mis en œuvre, ils devront être explicités dans cette partie.

Lorsqu’il se présente plusieurs SIE identiques, doit-on utiliser un seul formulaire ?

Le principe est que chaque SIE est déclaré par un formulaire distinct. Ainsi, même si des SIE sont identiques, ils doivent être déclarés par autant de formulaires. Ils ne peuvent être déclarés par un seul formulaire que s’ils sont interconnectés et constituent en réalité, dans leur regroupement, un seul SIE.

L’ANSSI peut-elle imposer à un OSE de déclarer un système d’information en tant que SIE ?

L’ANSSI peut faire des observations à un OSE sur sa liste de SIE. L’OSE est tenu de prendre en compte ces observations et de modifier sa liste de SIE conformément à ces observations. Ces observations peuvent aller jusqu’à prescrire la désignation d’un système d’information particulier en tant que SIE.

Quand envoyer à l’ANSSI la mise à jour annuelle de la déclaration des SIE ?

L’ANSSI invite les opérateurs à lui envoyer chaque année, entre le 1er et le 30 novembre la mise à jour annuelle de la déclaration des SIE (dans le cas où aucun changement n’a été constaté par l’opérateur, un simple document informant l’ANSSI que les déclarations précédentes restent valides suffit).

Il est rappelé que les formulaires de déclaration des SIE sont des documents sensibles, et qu’il est demandé de les transmettre à l’agence par voie postale ou par voie électronique en recourant à un moyen de chiffrement comme ACID cryptofiler, Zed!, Truecrypt, GPG (la clé publique est disponible sur le site du CERT-FR).

L’ANSSI peut faire des observations à un OSE sur sa liste de SIE. L’OSE est tenu de prendre en compte ces observations et de modifier sa liste de SIE conformément à ces observations. Ces observations peuvent aller jusqu’à prescrire la désignation d’un système d’information particulier en tant que SIE.

Si les SI sont indispensables à la fourniture d’un service essentiel au sein de la structure alors ceux-ci doivent être déclarés comme des SIE et cela sans considération de leur mode de gestion ou d’hébergement. Il appartient à l’OSE de prévoir dans son contrat de sous-traitance le respect par le prestataire des exigences de sécurité NIS.

La directive NIS impose de déclarer l’ensemble de ses SIE dans un délai de trois mois suivant la désignation de l’opérateur de services essentiels. La mise en conformité NIS peut être réalisée transversalement sur l’ensemble du périmètre des SIE en parallèle ou bien SIE par SIE via une priorisation propre à l’OSE.

Les OSE doivent prendre les mesures nécessaires, notamment par voie contractuelle, pour garantir l’application des règles de sécurité aux SIE opérés par leurs sous-traitants. En cas de difficultés pour conclure une convention de service, il est recommandé aux OSE de se rapprocher de l’ANSSI afin qu’une solution appropriée soit trouvée.

REGLES DE SECURITE	DELAIS D’APPLICATION (à compter de la date de désignation de l’opérateur en tant qu’opérateur de services essentiels)
Règle 1. Analyse de risque	Délai prévu pour l’homologation de sécurité (délai de la règle 3)
Règle 2. Politique de sécurité	1 an
Règle 3. Homologation de sécurité	3 ans pour un système d’information essentiel (SIE) mis en service antérieurement à la date de désignation de l’opérateur de services essentiels. 2 ans pour un SIE mis en service dans un délai de 2 ans à compter de la date de désignation de l’opérateur de services essentiels. Avant sa mise en service pour un SIE mis en service dans un délai supérieur à 2 ans à compter de la date de désignation de l’opérateur de services essentiels.
Règle 4. Indicateurs	2 ans
Règle 5. Audits de la sécurité	Délai prévu pour l’homologation de sécurité (délai de la règle 3)
Règle 6. Cartographie	1 an
Règle 7. Configuration	1 an
Règle 8. Cloisonnement	2 ans
Règle 9. Accès distant	2 ans
Règle 10. Filtrage	2 ans
Règle 11. Comptes d’administration	2 ans
Règle 12. Systèmes d’information d’administration	2 ans
Règle 13. Identification	1 an
Règle 14. Authentification	1 an
Règle 15. Droits d’accès	1 an
Règle 16. Procédure de maintien en conditions de sécurité	1 an
Règle 17. Sécurité physique et environnementale	1 an
Règle 18. Détection	2 ans
Règle 19. Journalisation	1 an
Règle 20. Corrélation et analyse de journaux	2 ans
Règle 21. Réponse aux incidents	1 an
Règle 22. Traitement des alertes	3 mois
Règle 23. Gestion de crises	1 an

Les règles de l’arrêté du 14 septembre 2018 se regroupent en quatre chapitres couvrant les domaines de la SSI : gouvernance, protection, défense et résilience. Afin d’accompagner les opérateurs dans la mise en conformité l’ANSSI publie un grand nombre de guides et méthodes disponibles sur www.ssi.gouv.fr :

• pour la gouvernance (règles 1 à 6) :
  • méthode EBIOS Risk manager
    /administration/guide/la-methode-ebios-risk-manager-le-guide/ ;
  • guide PSSI
    /guide/pssi-guide-delaboration-de-politiques-de-securite-des-systemes-dinformation/ ;
  • guide homologation
    /administration/guide/lhomologation-de-securite-en-neuf-etapes-simples/ ;
  • tableaux de bord SSI
    /administration/guide/tdbssi-guide-delaboration-de-tableaux-de-bord-de-securite-des-systemes-dinformation/ ;
  • guide cartographie
    /administration/guide/cartographie-du-systeme-dinformation/ ;
• pour la protection (règles 7 à 17) :
  • guide de protection des systèmes essentiels (ne couvre pas la règle 17 sur la sécurité physique)
    /administration/guide/recommandations-pour-la-protection-des-systemes-dinformation-essentiels/ ;
• pour la défense (règles 18 à 22) :
  • référentiel d’exigences PDIS ;
  • référentiel d’exigences PRIS ;
  • guide journalisation
    /administration/guide/recommandations-de-securite-pour-la-mise-en-oeuvre-dun-systeme-de-journalisation/ ;
• pour la résilience (règle 23) :
  • guide « organiser un exercice de gestion de crise cyber »
    /administration/guide/organiser-un-exercice-de-gestion-de-crise-cyber/ ;
  • un guide de gestion des crises cyber est prévu pour fin 2021.

Les OSE doivent nécessairement se doter d’une capacité de détection des attaques sur les SIE, cependant celle-ci peut indifféremment être interne ou externe à l’établissement.

Non. Contrairement à l’audit de conformité dans le cadre d’un contrôle, l’audit de sécurité n’implique pas d’avoir recours à un PASSI. Celui-ci est néanmoins fortement encouragé.

Non, les exigences NIS s’appliquent sans considération de la localisation des SI.

La notification des incidents de sécurité a pour objectif de permettre à l’ANSSI et aux autorités compétentes des autres Etats membres :

• de proposer selon les cas, à la victime de l’incident, une assistance adaptée ;
• d’évaluer la menace au plus vite et de manière plus précise ;
• d’organiser une réponse collective aux attaques informatiques majeures ;
• si nécessaire au vu de la nature de l’incident, de se coordonner entre différents Etats membres.

Pour effectuer la déclaration d’incidents et la déclaration de SIE, tout opérateur de services essentiels communique à l’Agence nationale de la sécurité des systèmes d’information le formulaire correspondant disponible sur son site Internet. (/administration/reglementation/directive-nis/nis-un-dispositif-de-cybersecurite-pour-les-operateurs-de-service-essentiel/).

Le formulaire doit être transmis à l’agence par voie postale ou par voie électronique. Les informations contenues dans la déclaration étant sensibles, il est demandé de protéger la transmission à l’ANSSI de cette déclaration à l’aide d’un des moyens de chiffrement suivant : ACID cryptofiler, Zed!, Truecrypt, GPG (la clé publique est disponible sur le site du CERT-FR : https://www.cert.ssi.gouv.fr/contact/).

Les notifications d’incidents recouvrent :

• une explication détaillée de l’incident, de ses conséquences et des mesures prises en réaction ;
• des données techniques permettant à l’ANSSI de qualifier l’incident.

L’audit de contrôle, s’il n’est pas réalisé par l’ANSSI, doit être effectué par un prestataire qualifié (PASSI). Celui-ci ne doit avoir notamment aucun lien juridique au sens des articles L. 233-1 et suivants du Code de commerce avec l’OSE qu’il contrôle dans le cadre de l’article 8 de la loi n° 2018-133.
Le prestataire qui réalise le contrôle ne peut être celui ayant procédé à l’audit dans le cadre de l’homologation.
L’OSE pourra retenir un prestataire qualifié parmi la liste des prestataires qualifiés par l’ANSSI, pouvant réaliser des contrôles OSE.
Cette liste est publiée sur le site web de l’ANSSI (/uploads/liste-produits-et-services-qualifies.pdf). L’OSE peut indifféremment sélectionner un PASSI RGS ou LPM.

Les contrôles de sécurité sont réalisés selon les critères définis par l’ANSSI et inscrits dans les conventions de service. Néanmoins, en cas de contestation du rapport de contrôle de la part de l’OSE, celui-ci pourra faire valoir ses observations avant la transmission du rapport à l’ANSSI, qui pourra elle-même dans un délai de deux mois auditionner les parties concernées.

Les OSE doivent prendre les mesures nécessaires notamment par voie contractuelle pour garantir le respect des règles de sécurité par les opérateurs tiers dont les systèmes d’information participent à la sécurité ou au fonctionnement de leurs SIE. De ce fait, il apparaît nécessaire que les contrats conclus entre les OSE et les prestataires de services contiennent une clause d’auditabilité afin de permettre l’application du cadre réglementaire NIS et par conséquent des contrôles.

L’article 9 de la Loi n°2018-133 du 26 février 2018 prévoit à l’encontre des dirigeants des opérateurs de service essentiels (en l’espèce le directeur général de l’établissement) :

• Une amende de 100 000 € en cas de refus de se conformer aux règles de sécurité ;
• Une amende de 75 000 € en cas de non déclaration d’un incident affectant les SIE ;
• Une amende 125 000 € en cas de d’obstacle aux contrôles de conformité règlementaire.

Non, si l’ANSSI fournit nécessairement un soutien aux OSE concerné par une attaque, celui-ci ne passe pas nécessairement par l’envoi d’une équipe opérationnelle. L’ANSSI peut ainsi orienter l’OSE vers un prestataire extérieur qui accompagnera l’établissement dans la réponse à l’incident.

L’ANSSI met à disposition des opérateurs réglementés et de la sphère publique (ministères, Opérateurs d’Importance Vitale, Opérateurs de Services Essentiels, collectivités territoriales, etc.) une capacité d’audit des annuaires Active Directory (et Samba) au travers du service ADS (Active Directory Security), dont les collectes sont également appelées « Oradad ». Cette capacité vise à donner de la visibilité aux opérateurs réglementés et de la sphère publique sur le niveau de sécurité de leur annuaire et à les accompagner dans son durcissement par l’application progressive de mesures adéquates. Cette prestation s’appuie sur l’expérience et l’expertise de l’agence sur les sujets d’Active Directory (AD) et s’est enrichie par sa participation aux différentes opérations de cyberdéfense.
Le service ADS permet ainsi à la fois de quantifier le niveau de sécurité de l’annuaire et d’accompagner progressivement les bénéficiaires vers un niveau de sécurité à l’état de l’art. Cette capacité est pensée à la fois pour les chaînes SSI et les équipes d’exploitation. Pour les premières, l’application fournit une vision globale et synthétique à travers des tableaux de bord et indicateurs associés ; pour les secondes, elle détaille les recommandations à appliquer et accompagne les bénéficiaires dans le pilotage de leurs équipes techniques ou de leurs prestataires.

Pour le moment seuls les établissements supports de GHT de métropole vont être désignés OSE.

Aucune réponse formelle n’est requise pour le courrier d’intention de désignation, un mail accusant réception de la notification à anssi-coordination-sante[at]ssi.gouv.fr peut suffire.

Seul l’établissement support est désigné OSE, la réglementation ne concerne donc que les SI de cet établissement. Cependant, dans un contexte de mise en place d’un système d’information hospitalier unique sur un groupement hospitalier de territoire, les autres établissements qui ne sont pas désignés OSE devront converger progressivement vers le niveau de sécurité exigé par la directive NIS à mesure que les systèmes d’information (SI) seront fusionnés.

Non, il appartient à l’établissement de s’assurer du respect des règles de sécurité par ses partenaires qui ne sont pas OSE quand ceux-ci interviennent sur un système d’information essentiel, un SIE.

A date le fait d’être HDS n’est pas lié au fait d’être désigné OSE.

Le guide d’aide à l’identification des SIE fourni aux points de contact contient une liste non exhaustive des SI potentiellement essentiels au sein d’un établissement. Cependant, l’identification d’un SIE doit se faire en rapport avec la situation particulière de chaque établissement et ne saurait faire l’objet d’une standardisation.

Il est possible de se rapprocher des établissements de santé déjà OSE afin d’avoir un retour d’expérience. De plus l’espace privé du portail cyberveille-santé (https://www.cyberveille-sante.gouv.fr/) dispose d’un forum permettant l’échange de bonnes pratiques entre les établissements.

Les SIE concernent le périmètre du SI de l’établissement support. Les bonnes pratiques et exigences de sécurité de la directive NIS pourront être appliquées à l’ensemble du GHT en cohérence avec sa gouvernance SSI.

A partir de la date de désignation, l’établissement de santé dispose de trois mois pour déclarer ses SIE à l’ANSSI.
Il est à noter que la liste des SIE peut être amenée à évoluer dans le temps. Elle doit être mise à jour annuellement par l’OSE.

Les SI et équipements biomédicaux peuvent être identifiés comme indispensables à la fourniture d’un service essentiel, ils sont donc concernés par la conformité NIS.

Oui.

Oui. Les plateformes de déclaration ne sont pas reliées pour le moment.

L’interlocuteur des établissements de santé à l’ANSSI est le Bureau Santé et Société (BSAS). Il peut être contacté au moyen de la boite mail générique anssi-coordination-sante[at]ssi.gouv.fr.

Lancez la procédure d’inscription sur le site https://club.ssi.gouv.fr/inscription-sante, en renseignant bien toutes les informations demandées. Lorsque votre compte sera validé (compter quelques jours pour le traitement de votre demande), vous recevrez les informations de connexion au portail.

Les parcours de cybersécurité appartiennent au volet cybersécurité de France Relance. Ils ont été conçus par l’ANSSI afin de permettre l’élévation du niveau de cybersécurité des structures publiques.
Ces parcours permettent de bénéficier de l’accompagnement d’un prestataire sélectionné par l’ANSSI dans le diagnostic, la maitrise d’ouvrage et la mise en œuvre des mesures de SSI. Le plan France Relance finance intégralement la première phase d’accompagnement et cofinance les phases complémentaires d’approfondissement (dans la limite de 100 000€ ou de 70% de l’enveloppe globale).
La description complète du dispositif est disponible à l’adresse suivante /uploads/2021/04/anssi-france_relance-parcours_de_cybersecurite-support_candidats.pdf

Oui, le parcours de cyber sécurité proposé par l’ANSSI en partenariat avec des prestataires privés prend en compte l’état d’avancement de la réflexion et la maturité SSI de l’établissement.

Si vous souhaitez bénéficier des parcours de cybersécurité un questionnaire doit être rempli à l’adresse suivante https://www.demarches-simplifiees.fr/commencer/france-relance-parcours-cybersecurite afin de s’assurer de votre éligibilité. Si votre candidature est retenue vous serez mis en relation avec un prestataire choisi par l’ANSSI.

L’ANS propose de réaliser un audit de sécurité des SI exposés sur internet. Ainsi dans le cadre de ce service elle :

• cartographie et identifie la surface d’attaque d’un SI ;
• analyse les informations recueillies et recense les vulnérabilités ;
• teste les mots de passe des interfaces d’administration ;
• recherche la présence des vulnérabilités applicatives sur les serveurs web parmi les plus courantes (top 10 Owasp) ;
• fournit un rapport et des recommandations.

La demande d’audit doit être formulée en transmettant à l’adresse cyberveille[at]esante.gouv.fr le nom des domaines exposés à auditer pour l’ensemble des établissements du GHT.
Pour encadrer la réalisation de l’audit par l’ANS, une convention est mise en place. Elle précise le périmètre de l’audit, le calendrier de réalisation et les points de contact pour faciliter les échanges.
Le rapport est communiqué dans un délai de quinze jours à la suite des travaux. Si toutefois des vulnérabilités critiques étaient identifiées au cours de l’audit, celles-ci seront notifiées avant l’envoi du rapport.
Seuls les services du HFDS et les personnes impliquées dans l’activité de cyber-surveillance au sein de l’ANS ont connaissance du rapport d’audit.

Les ARS, par l’intermédiaire des correspondants cyber dans les ARS ou GRADeS, interviennent à un niveau de coordination et d’accompagnement sur les enjeux cyber sans lien direct avec l’application de la directive NIS.
Ainsi, les ARS :

• Veillent à l’accélération de la mise en œuvre des mutualisations au sein des GHT, en en particulier au niveau des systèmes d’information (SI).
• Sensibilisent les établissements et leurs professionnels aux enjeux de cyber-sécurité et notamment relaient vers les OSE les exercices de crise cyber mises à disposition par le MSS et l’ANS.

Pour les OSE, et tout établissement de santé, les ARS sont la courroie de transmission des financements exceptionnels liés au plan de relance.
En outre, les ARS interviennent dans la gestion des incidents. L’établissement de santé signale tout incident de sécurité au CERT Santé et, s’il est OSE, à l’ANSSI et en parallèle, dans une anticipation de gestion de crise, il informe l’ARS qui à son tour informe le CORRUSS.

Le Ségur du numérique en santé n’a pas pour objectif l’atteinte d’exigences réglementaires mais, en finançant le plan de renforcement cyber des établissements de santé (et des ESMS), il contribue indirectement à rapprocher l’établissement de ses obligations réglementaires. Cela se concrétise notamment au travers de la politique d’audit (ADS, cybersurveillance) et de la mise en place d’un observatoire permanent de la SSI des établissements de santé (OPSSIES) qui permettra à la lumière des « meilleures pratiques » de faire monter le niveau global de sécurité numérique.

Sur le long terme, le problème structurel de manque de ressources qualifiées en SSI devrait se régler par la mutualisation de moyens et de ressources à l’échelle des GHT, conduite par l’établissement support de GHT (OSE).

Pour le moment, cette solution n’est pas envisagée. Le développement de solutions de stockage mutualisées à l’échelle du GHT est à privilégier.

Les exigences NIS peuvent rejoindre les exigences d’autres normes de SSI (ISO 27001, HAS, HDS, MaturiN-H, etc).
Le MSS a entrepris une action de simplification et de convergence des différentes exigences réglementaires et sectorielles qui s’appliquent aux établissements de santé afin d’en faciliter l’adoption. Ce chantier aboutira fin 2021 et permettra aux établissements de santé, en appliquant les règles de la directive NIS, de converger vers les référentiels du MSS.

Les services du HFDS et du FSSI du MSS peuvent appuyer les demandes des établissements quant aux exigences de SSI pour les SI spécialisés dans le médical.
Pour les éditeurs non spécifiques au domaine de la santé, l’ANSSI peut également apporter un soutien.

La directive NIS ne prévoit pas d’exigences quant au budget et aux moyens humains consacrés à la SSI. En effet, l’investissement humain et financier pour la mise en conformité NIS dépend grandement de l’état initial de la SSI dans l’établissement. A titre indicatif l’ANSSI estime que le budget SSI d’une structure devrait représenter 5 à 10 % du budget total de l’IT.

• Directive européenne (UE) 2016/1148 ;
• Loi n° 2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité – chapitre II « dispositions relatives à la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels » ;
• Décret n° 2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d’informations des opérateurs de service essentiels et des fournisseurs de service numérique. – Chapitre Ier : Dispositions relatives à la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels ;
• Arrêté du 13 juin 2018 fixant les modalités des déclarations des systèmes d’information et des incidents de sécurité des opérateurs de services essentiels, et des incidents de sécurité des fournisseurs de service numérique ;
• Arrêté du 1er août 2018 relatif au coût d’un contrôle effectué par l’Agence nationale de la sécurité des systèmes d’information en application des articles 8 et 14 de la loi n° 2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité ;
• Arrêté du 14 septembre 2018 fixant les règles de sécurité relatif à la sécurité des réseaux et systèmes d’informations des opérateurs de services essentiels.