Ce site est une archive officieuse de l'ancien site de l'ANSSI, remplacé fin novembre 2023.
Veuillez aller sur https://cyber.gouv.fr/ pour naviguer le site officiel.
Veuillez aller sur https://cyber.gouv.fr/ pour naviguer le site officiel.
Le Ier chapitre de la directive NIS prévoit la création d’un cadre réglementaire pour renforcer la cybersécurité des Opérateurs de services qui sont essentiels au fonctionnement de l’économie et de la société (OSE). De nouveaux acteurs, essentiels pour la vie quotidienne des Français, à protéger grâce à la mise en œuvre d’un dispositif de cybersécurité dédié.
Le texte de loi, adopté par le Parlement et inscrit au Journal officiel le 27 février 2018, fixe le cadre général pour réguler la sécurité des systèmes d’information de ces acteurs essentiels au maintien de l’activité économique et sociétale des pays européens. Les mesures réglementaires d’application sont prises par décret en Conseil d’État, publié le 25 mai 2018 et par la publication le 13 juin, le 1er août et le 14 septembre 2018, de trois arrêtés du Premier Ministre.
L’ANSSI a capitalisé sur la méthodologie appliquée au niveau national lors de la mise en œuvre du dispositif, complémentaire, de protection des Opérateurs d’importance vitale (OIV), introduit par la loi de programmation militaire de 2013. Les retours d’expérience qui ont suivi la publication des premiers arrêtés sectoriels, en juillet 2016, ont été précieux pour mener les travaux de transposition de la directive concernant les opérateurs de services essentiels (OSE).
Le Premier ministre assure la mise en œuvre du dispositif et la coordination interministérielle en s’appuyant sur l’ANSSI, qui œuvre en collaboration avec les ministères pour identifier les OSE.
Faisant le choix d’une transposition ambitieuse, la France a établi une liste de services essentiels sur la base de l’annexe II de la directive NIS mais également sur la base des retours de son expérience nationale afin de pouvoir désigner les opérateurs privés qu’il est nécessaire de protéger. Cette liste est le fruit des consultations qu’a mené l’ANSSI avec des acteurs publics et privés et ses partenaires européens, notamment le groupe de coopération.
Retrouvez la liste complète des services essentiels pour chaque secteur d’activités fixé par le décret.
Sur la base de la liste des services essentiels pour chaque secteur d’activités, des OSE seront désignés par le Premier ministre, sur recommandation des ministères du secteur d’activité concerné et de l’ANSSI. La liste de ces opérateurs sera actualisée au moins tous les deux ans.
Les OSE sont définis comme des acteurs dont le service, tributaire d’un ou de plusieurs systèmes d’information, est essentiel au maintien de l’activité économique et sociétale. Il s’agira essentiellement de grandes entreprises ou d’entreprises de taille intermédiaire ainsi que des opérateurs du secteur public (principalement des établissements publics).
Ces OSE devront garantir un socle minimal de cybersécurité pour se protéger d’une attaque aux conséquences majeures sur le fonctionnement de l’économie et de la société.
La protection de ces opérateurs, privés ou publics, intervient en complémentarité du dispositif de cybersécurité des opérateurs d’importance vitale (OIV). Il fut introduit par la loi de programmation militaire (LPM) de 2013 face à l’augmentation en quantité et en sophistication des attaques informatiques, et à leurs impacts potentiellement destructeurs sur la Nation.
L’identification des OSE prend en compte les facteurs suivants :
Les Etats membres sont tenus de notifier une première liste d’OSE à la Commission européenne le 9 novembre 2018.
En France, la mise en œuvre de ce dispositif se veut progressive. L’ANSSI accompagne les OSE dans la mise en œuvre de la réglementation, aux côtés des ministères concernés. Une première vague de désignation des OSE français sera réalisée le 9 novembre et sera complétée et actualisée les années suivantes, à mesure des prises de contact de l’agence avec les futurs OSE identifiés.
Une fois désigné, un opérateur de service essentiel devra :
Le groupe de coopération a partagé au niveau des Etats membre une méthodologie pour le management du risque qui identifie quatre grands domaines sur lesquels portent ces règles. L’ANSSI a pris une part active dans ces travaux, qui reposent sur la méthode Française de maîtrise des risques.Ces règles portent notamment :
Cette approche de management des risques repose sur quatre grands axes :
Des sanctions sont également prévues en cas de non-respect de la réglementation. Le coût des contrôles, effectués par l’ANSSI, destinés à vérifier le respect des obligations relatives à la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels est précisé dans un arrêté paru le 1er août 2018.
Pour effectuer la déclaration de leurs systèmes d’information essentiels, les OSE doivent recourir au formulaire ci-dessous :
Formulaire de déclaration d’un SIE – NIS
A noter : Le formulaire doit être transmis à l’agence par voie postale ou par voie électronique. Dans ce dernier cas, il est demandé de protéger la transmission à l’ANSSI de cette déclaration à l’aide d’un moyen de chiffrement suivant : ACID cryptofiler, Zed!, Truecrypt, GPG.
Pour effectuer la déclaration de leurs incidents de sécurité, les OSE doivent recourir au formulaire ci-dessous :
Formulaire de déclaration d’incidents OSE
A noter :
Le formulaire doit être transmis à l’agence par voie postale ou par voie électronique. Dans ce dernier cas, il est recommandé de protéger la transmission à l’ANSSI de cette déclaration à l’aide d’un moyen de chiffrement suivant : ACID cryptofiler, Zed!, Truecrypt, GPG (la clé publique est disponible sur le site du CERT-FR).
En cas d’incident particulièrement urgent ou grave, le CERT-FR peut toujours être contacté directement préalablement ou parallèlement à la transmission de la déclaration à l’ANSSI.
Une question concernant les OSE et leurs obligations ?
Consultez notre FAQ dédiée.
