Opérateur de services essentiels

Un opérateur de services essentiels (OSE) est, en France^[1], un statut caractérisant une entité publique ou privée qui fournit un service essentiel et qui est tributaire de réseaux informatiques ou de systèmes d'informations et dont l'arrêt aurait un impact significatif sur le fonctionnement de l'économie ou la société.

La Directive Sécurité des Réseaux Informatiques (SRI) adoptée par la Commission Européenne le 6 juillet 2016 devant être déclinée en droit français au plus tard le 9 mai 2018 précise les règles de désignation des OSE^[2].

Contexte[modifier | modifier le code]

Ce nouveau statut s'inscrit dans le prolongement du statut d'Opérateur d'importance vitale (OIV) établi par la loi de programmation militaire de 2013^[3].

Son objectif est de répondre aux menaces en matière de sécurité et aux enjeux de cybersécurité définis au niveau européen par la directive Sécurité des Réseaux Informatiques (SRI) élaborée par la Commission européenne en 2013^[2].

Définitions[modifier | modifier le code]

Services essentiels[modifier | modifier le code]

Pour être considéré comme un service essentiel (SE) un service doit répondre à trois critères :

le service est essentiel au maintien d'activités sociétales ou économiques critiques ;
le service doit être tributaire de réseaux informatiques et de systèmes d'informations ;
un incident sur ces réseaux ou systèmes d'informations aurait un effet disruptif important sur la fourniture du service.

La directive SRI précise les facteurs trans-sectoriels suivants pour caractériser un effet disruptif important :

le nombre d'utilisateurs tributaires du service fourni par l'entité concernée ;
la dépendance des autres secteurs visés par l'annexe II de la Directive^[4] ;
les conséquences que des incidents pourraient avoir, en termes de degré et de durée, sur les fonctions économiques ou sociétales ou sur la sûreté publique ;
la part de marché de cette entité ;
la portée géographique eu égard à la zone susceptible d'être touchée par un incident ;
l'importance que revêt l'entité pour garantir un niveau de service suffisant, compte tenu de la disponibilité de solutions de rechange pour la fourniture de ce service^[4].

Réseaux et systèmes d'informations[modifier | modifier le code]

La Directive SRI entend par réseau et système d'information :

un réseau de communications électroniques,
tout dispositif ou tout ensemble de dispositifs interconnectées ou apparentés, dont un ou plusieurs éléments assurent, en exécution d'un programme, un traitement automatisé de données numériques,
ou les données numériques stockées, traitées, récupérées ou transmises en vue de leur fonctionnement, utilisation, protection et maintenance.

Opérateurs de services essentiels[modifier | modifier le code]

Un OSE est un statut relatif à une entité publique ou privée dont le type (prestataires de soins de santé, établissement de crédits...) est référencé dans l'annexe II de la Directive^[4] et qui rend un service essentiel et est tributaire de réseaux et systèmes d'informations.

Obligations[modifier | modifier le code]

Les obligations qui s'appliquent, en France, aux OSE sont de trois sortes^[5] :

appliquer les règles de sécurité aux réseaux et systèmes d'informations essentiels identifiés par l'OSE ;
notifier à l'ANSSI les incidents de sécurité survenus sur les Système d'Information Essentiel (SIE) ;
accepter les audits et les contrôles par l'ANSSI ou un organisme qualifié par l'ANSSI de ses règles et de son niveau de sécurité.

Mesures essentielles[modifier | modifier le code]

La Directive SRI identifie cinq mesures principales :

mettre en place une procédure de gestion des incidents ;
notifier à l'ANSSI les incidents qui ont un impact significatif sur la continuité des SE ;
surveiller ses réseaux et systèmes d'informations ;
mettre en place un système de gestion des risques en cybersécurité ;
sensibiliser les acteurs aux enjeux de cybersécurité.

Notes et références[modifier | modifier le code]

↑ Décret n^o 2018-384 du 23 mai 2018
↑ ^{a et b} Eric Caprioli, « Quel est le statut d' Opérateur de services essentiels prévu par la directive européenne sur la cybersécurité ? », L'Usine digitale, 15 janvier 2018 (consulté le 12 juin 2018)
↑ Florian Debes, « L'Etat français va s'assurer de la sécurité des « opérateurs de services essentiels » », Les Échos, 8 février 2018 (consulté le 12 juin 2018)
↑ ^{a b et c} (en) « EUR-Lex - 32016L1148 - EN - EUR-Lex », sur eur-lex.europa.eu (consulté le 11 juin 2018)
↑ « FAQ – Opérateurs de services essentiels (OSE) », ANSSI (consulté le 11 juin 2018)

[Legifrance_1-1] Décret n^o 2018-384 du 23 mai 2018

[UD_1-2] {a et b} Eric Caprioli, « Quel est le statut d' Opérateur de services essentiels prévu par la directive européenne sur la cybersécurité ? », L'Usine digitale, 15 janvier 2018 (consulté le 12 juin 2018)

[LesEchos_1-3] Florian Debes, « L'Etat français va s'assurer de la sécurité des « opérateurs de services essentiels » », Les Échos, 8 février 2018 (consulté le 12 juin 2018)

[DirectiveNIS-4] {a b et c} (en) « EUR-Lex - 32016L1148 - EN - EUR-Lex », sur eur-lex.europa.eu (consulté le 11 juin 2018)

[5] « FAQ – Opérateurs de services essentiels (OSE) », ANSSI (consulté le 11 juin 2018)

[1]

[2]

[3]

[4]

[5]