Ce site est une archive officieuse de l'ancien site de l'ANSSI, remplacé fin novembre 2023.
Veuillez aller sur https://cyber.gouv.fr/ pour naviguer le site officiel.

Un dispositif de cybersécurité pour les Fournisseurs de service numérique

Le chapitre II de la directive NIS prévoit la création d’un cadre réglementaire pour renforcer la cybersécurité des Fournisseurs de service numérique (FSN), c’est-à-dire essentiellement des entreprises de cloud et de moteurs de recherche ainsi que des market places faisant plus de 10 millions de CA ou employant au moins 50 salariés.

 

 

1. Champ d’application

Le texte de loi, adopté par le Parlement et inscrit au Journal officiel le 27 février 2018, fixe le cadre général pour réguler la sécurité des systèmes d’information de ces acteurs. Les mesures réglementaires d’application sont prises par décret en Conseil d’État, publié le 25 mai 2018 et par la publication le 13 juin et le 1er août de deux arrêtés du Premier Ministre.

L’arrêté du 13 juin 2018 fixe les modalités des déclarations prévues aux articles 8, 11 et 20 du décret n° 2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels et des fournisseurs de service numérique.

 

2. Les obligations des FSN

Un Fournisseurs de service numérique devra :

  • Analyser les risques sur ses systèmes d’information
  • Prendre des mesures techniques et organisationnelles dans chacun des domaines suivants :
    1. La sécurité des systèmes et des installations ;
    2. La gestion des incidents ;
    3. La gestion de la continuité des activités ;
    4. Le suivi, l’audit et le contrôle ;
    5. Le respect des normes internationales.
  • Déclarer à l’ANSSI tout incident de sécurité susceptible d’avoir un impact significatif sur la continuité des services qu’ils assurent. L’ANSSI pourra en informer le cas échéant le public ou les États membres concernés
  • Etre soumis à des contrôles de sécurité, effectués à la demande du Premier ministre, par l’ANSSI ou par des prestataires de service qualifiés.

Le règlement d’exécution 2018/151 de la commission européenne du 30 janvier 2018, à destination des fournisseurs de service numérique pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information.

 

3. formulaire de déclaration d’un incident de sécurité d’un fsn

Les FSN devant déclarer leurs incidents de sécurité en France le font auprès de l’ANSSI. La déclaration concerne tout incident ayant un impact significatif sur la fourniture du ou des services numériques du FSN. Pour effectuer cette déclaration, ils doivent recourir au formulaire ci-dessous :

Formulaire déclaration d’un incident FSN

A noter :
Le formulaire doit être transmis à l’agence par voie postale ou par voie électronique. Dans ce dernier cas, il est recommandé de protéger la transmission à l’ANSSI de cette déclaration à l’aide d’un moyen de chiffrement suivant : ACID cryptofiler, Zed!, Truecrypt, GPG (la clé publique est disponible sur le site du CERT-FR).

En cas d’incident particulièrement urgent ou grave, le CERT-FR peut toujours être contacté directement préalablement ou parallèlement à la transmission de la déclaration à l’ANSSI.

 

4. FAQ des Fournisseurs de service numérique

Pour tout renseignement complémentaire sur les FSN, rendez-vous sur notre foire aux questions !

 

À voir aussi