L’Agence nationale de la sécurité des systèmes d’information
(ANSSI) met l’accent sur l’accompagnement des opérateurs de services essentiels
(OSE) pour la mise en œuvre de dispositifs de cybersécurité visant à assurer
leur protection. Une nouvelle étape est ainsi franchie dans la mise en œuvre de
la directive NIS (Network and Information
System Security) qui vise à assurer un niveau de sécurité élevé et commun
pour les réseaux et les systèmes d’information de l’Union européenne.
Les OSE fournissent un service dont l’interruption aurait un
impact significatif sur le fonctionnement de l’économie ou de la société. Forte
des enseignements tirés de la mise en œuvre du dispositif de cybersécurité de
2013 s’appliquant aux opérateurs d’importance vitale (OIV), la France a
identifié plus d’une centaine d’OSE à l’échéance du 9 novembre 2018 fixée par
la directive NIS. Ce chiffre, non définitif, sera amené à augmenter lors de
futures identifications.
« La démarche de
la France, s’appuyant largement sur l’expérience positive des démarches
conduites avec les opérateurs d’importance vitale depuis 2013, a pour ambition
d’élever au juste niveau la sécurité des réseaux et des systèmes d’information,
en national mais également à l’échelle européenne » assure Guillaume
Poupard, Directeur général de l’ANSSI. « Il n’est pas question d’être dans une logique de sanction mais avant
tout de faire de la pédagogie auprès des OSE afin de provoquer une réelle prise
de conscience de l’importance cruciale de la sécurité numérique, ainsi que de
proposer des solutions concrètes et efficaces. »
L’ANSSI accompagne les OSE dans la mise en œuvre d’un dispositif
de cybersécurité pour assurer leur protection (règles de sécurité, déclaration
des incidents, etc.). La défense de ces opérateurs, privés ou publics,
intervient en complémentarité du dispositif de cybersécurité des opérateurs
d’importance vitale (OIV) introduit par la loi de programmation militaire (LPM)
de 2013.
Dans un premier temps, les OSE devront désigner un
représentant auprès de l’ANSSI et identifier leurs systèmes d’information
essentiels (SIE). Ils devront ensuite appliquer les règles de sécurité à leurs
systèmes d’information essentiels et notifier à l’ANSSI les incidents de
sécurité survenus sur ces systèmes.