{"id":120403,"date":"2018-12-10T09:00:02","date_gmt":"2018-12-10T08:00:02","guid":{"rendered":"https:\/\/www.stormshield.com\/?p=120403"},"modified":"2024-12-13T15:10:26","modified_gmt":"2024-12-13T14:10:26","slug":"cybersecurite-quelles-obligations-pour-les-ose-francais-derriere-la-directive-europeenne-nis","status":"publish","type":"post","link":"https:\/\/www.stormshield.com\/fr\/actus\/cybersecurite-quelles-obligations-pour-les-ose-francais-derriere-la-directive-europeenne-nis\/","title":{"rendered":"Cybers\u00e9curit\u00e9 : quelles obligations pour les OSE fran\u00e7ais derri\u00e8re la directive europ\u00e9enne NIS ?"},"content":{"rendered":"

\"Cybers\u00e9curit\u00e9<\/p>\n

Apr\u00e8s les op\u00e9rateurs d\u2019importance vitale (OIV) d\u00e9finis par la loi de programmation militaire fran\u00e7aise (LPM), la directive europ\u00e9enne NIS cr\u00e9e une nouvelle cat\u00e9gorie d\u2019entreprises : les op\u00e9rateurs de services essentiels (OSE), soumis \u00e0 de strictes obligations en mati\u00e8re de cybers\u00e9curit\u00e9. D\u00e9cryptage.<\/strong><\/p>\n

Apr\u00e8s British Airways<\/a> en septembre, Cathay Pacific r\u00e9v\u00e9lait en octobre avoir \u00e9t\u00e9 victime de la plus grande affaire de violations de donn\u00e9es<\/a> subie par une compagnie a\u00e9rienne qui a touch\u00e9 9,4 millions de ses clients. Les pirates ont mis la main sur des donn\u00e9es personnelles comme les dates de naissance, les num\u00e9ros de t\u00e9l\u00e9phones et de passeports. Ce risque est au c\u0153ur des pr\u00e9occupations de la directive network and information security<\/em><\/strong> (NIS<\/strong>). \u00c0 travers ce texte inspir\u00e9 de la LPM fran\u00e7aise, datant de 2013, l\u2019Union europ\u00e9enne vise \u00e0 assurer la s\u00e9curit\u00e9 des r\u00e9seaux et des syst\u00e8mes d\u2019information du continent en d\u00e9veloppant la coop\u00e9ration entre les \u00c9tats membres.<\/p>\n

 <\/p>\n

Les OSE, au c\u0153ur de la directive NIS<\/h2>\n

Adopt\u00e9e le 6 juillet 2016 puis transpos\u00e9e dans le droit fran\u00e7ais le 26 f\u00e9vrier 2018<\/a>, la directive NIS a abouti le 9 novembre dernier \u00e0 l\u2019identification d\u2019une premi\u00e8re liste de 122 ope\u0301rateurs de services essentiels<\/strong> (OSE<\/a>). Ces acteurs, qui fournissent un service \u00ab dont l\u2019interruption aurait un impact significatif sur le fonctionnement de l\u2019e\u0301conomie ou de la socie\u0301te\u0301 \u00bb, se rajoutent au dispositif de cybers\u00e9curit\u00e9 des 249 op\u00e9rateurs d\u2019importance vitale (OIV) introduit par la LPM en 2013. Cette directive a \u00e9galement \u00e9t\u00e9 transpos\u00e9e dans les pays voisins ; le 30 juin 2017 en Allemagne, le 9 mai 2018 en Grande-Bretagne et le 8 septembre 2018 en Espagne.<\/p>\n

L\u2019arr\u00eat\u00e9 d\u2019application fran\u00e7ais impose 23 nouvelles obligations en mati\u00e8re de cybers\u00e9curit\u00e9 aux syst\u00e8mes d\u2019information essentiels (SIE) des OSE.<\/strong> Issus pour l\u2019essentiel des secteurs industriels (\u00e9nergie, transports<\/a>, sant\u00e9<\/a>, distribution et traitement de l\u2019eau\u2026), ces OSE g\u00e8rent des biens physiques qui peuvent avoir un impact direct sur la vie humaine et l\u2019environnement. En cela, leur s\u00e9curisation est essentielle.<\/p>\n

Et les entreprises fran\u00e7aises concern\u00e9es ont un enjeu de taille : le temps. En effet, le d\u00e9cret impose la nomination d\u2019un contact interne \u00e0 destination de l\u2019ANSSI dans les deux mois suivant la d\u00e9signation en tant qu\u2019OSE. L\u2019arr\u00eat\u00e9 fran\u00e7ais quant \u00e0 lui pr\u00e9cise les d\u00e9lais par r\u00e8gle \u2013 ceux-ci allant de trois mois \u00e0 deux ans.<\/p>\n

 <\/p>\n

Mieux se conna\u00eetre pour mieux r\u00e9agir<\/h2>\n

Conform\u00e9ment \u00e0 la transposition fran\u00e7aise (article 6<\/a>) de la directive NIS, quatre grands chantiers sont \u00e0 mener par les OSE : la gouvernance, la protection, la d\u00e9fense et la r\u00e9silience. En mati\u00e8re de gouvernance, les entreprises concern\u00e9es ont l\u2019obligation (d\u00e9cret - article 10<\/a>) d\u2019\u00e9laborer et mettre une \u0153uvre une politique de s\u00e9curit\u00e9 ainsi que de proc\u00e9der \u00e0 une homologation de s\u00e9curit\u00e9, en d\u2019autres termes de r\u00e9aliser une analyse de risque, un audit et une cartographie fine de leurs installations et des usages<\/a>.<\/p>\n

Il s\u2019agit l\u00e0 sans aucun doute de la partie la plus importante. Seule une bonne compr\u00e9hension de son syst\u00e8me d\u2019information permet de d\u00e9finir une politique de cybers\u00e9curit\u00e9 efficace.<\/em><\/p><\/blockquote>\n

 <\/p>\n

Mettre en place les bonnes pratiques<\/h2>\n

Le second chapitre de l\u2019arr\u00eat\u00e9 consiste \u00e0 mettre en place un syst\u00e8me de protection visant \u00e0 r\u00e9duire les risques sur les SIE. Le cloisonnement, le filtrage (pare-feux<\/a>\u2026), la gestion des comptes d\u2019administration, l\u2019authentification ou les droits d\u2019acc\u00e8s sont autant de mesures de protection impos\u00e9es.<\/p>\n

Il s\u2019agit l\u00e0 de choisir les outils adapt\u00e9s, et de bien prendre en compte leur vie dans le temps et leur capacit\u00e9 \u00e0 \u00e9voluer avec les besoins du syst\u00e8mes d\u2019information.<\/em><\/p><\/blockquote>\n

 <\/p>\n

Anticiper la gestion des incidents<\/h2>\n

En ce qui concerne le chapitre de la d\u00e9fense de ce m\u00eame arr\u00eat\u00e9, les OSE doivent se mettre en capacit\u00e9 de d\u00e9tecter les incidents qui pourraient survenir dans leurs SIE et de remonter le processus d\u2019attaque dans le temps. Pour comprendre ce qui s\u2019est pass\u00e9 et d\u2019identifier les failles de vuln\u00e9rabilit\u00e9s \u00e9ventuelles, ils doivent \u00eatre en mesure de corr\u00e9ler toutes ces informations. Il faut donc avoir pr\u00e9alablement mis en place une infrastructure contenant :<\/p>\n