Quelles réglementations pour les OIV et OSE ?

OIV OSE

La multiplication des attaques et des menaces qui pèsent sur les systèmes d’information des organisations a poussé l’État français ainsi que l’Union Européenne à mettre en place des recommandations et règles à destination des entreprises privées et administrations publiques. Le niveau d’exigence de ces règles et recommandations varie en fonction de l’importance de l’organisation cible. Optionnelles pour des organisations considérées comme non sensibles, elles sont, à différents niveaux, obligatoires pour les OIV (Opérateurs d’Importance Vitale) et OSE (Opérateurs de Services Essentiels).

Limiter le risque cyber des OIV et OSE pour garantir le bon fonctionnement de la Nation

Pour protéger leurs SIIV (Système d’Information d’Importance Vitale), les OIV, opérant dans des domaines d’activités sensibles pour l’intégrité même du pays et de la population (domaines sanitaire (alimentation, gestion de l’eau, santé), régalien (activités civiles de l’État, activités judiciaires, activités militaires de l’État), économique (énergie, finances, transport), et technologique (communications électroniques, audiovisuel et information, industrie, espace et recherche)) doivent se conformer à un ensemble de règles émises par l’État français, au travers de la LPM (Loi de Programmation Militaire).

Les OSE doivent quant à eux se conformer aux réglementations émises par l’Union Européenne au travers de la directive NIS (Network and Information Security). Les OSE sont définis comme fournissant un service essentiel dont l’interruption aurait un impact significatif sur le fonctionnement de l’économie ou de la société, sachant que les OIV exploitent ou utilisent des installations jugées indispensables à la survie de la Nation.

Plus globalement, l’ensemble des organisations (y compris OIV et OSE) doivent, dans la mesure du possible, se conformer aux recommandations de l’ANSSI (Agence Nationale pour la Sécurité des Systèmes d’Informations) émises dans le document PA-022 : Recommandations relatives à l’administration sécurisée des systèmes d’information.

En cas de non-respect des réglementations, les OIV et OSE, en sus d’exposer sérieusement le système d’information de l’organisation, pouvant par ailleurs entrainer des conséquences importantes pour la Nation ou la population, s’exposent également, en dernier recours, à des sanctions financières. Le respect de ces règles s’avère donc indispensable pour ces organisations sensibles et en tant que bonnes pratiques, sont fortement recommandées pour les autres organisations, en fonction de leurs moyens et maturité en matière de cybersécurité.

Quelles exigences de sécurité pour l’administration du SI ?

En France, trois référentiels doivent donc être particulièrement suivis par les OIV et OSE :

  • Les recommandations relatives à l’administration sécurisée des systèmes d’information (document PA-022 de l’ANSSI).
  • La Loi de Programmation Militaire (LPM) fixant 20 règles de sécurité relatives aux systèmes d’information d’importance vitale.
  • La directive NIS, édictant une série de règles visant à assurer un niveau de sécurité élevé et commun pour les réseaux et les systèmes d’information de l’Union Européenne et s’appliquant aux OSE.

Parmi ces référentiels, 5 grandes thématiques relatives à l’administration du système d’information se détachent :

  • La gouvernance, les risques, la conformité (GRC) et les processus associés
  • L’exploitation opérationnelle et la gestion des incidents de sécurité
  • Le système d’information d’administration (SIA) et son architecture
  • La gestion des identités et des accès (IAM) et les droits des administrateurs et comptes à privilèges (PAM)
  • Le poste d’administration

Une européanisation des règles et des entités

On assiste par ailleurs, depuis quelques années, à une véritable européanisation des règles et entités régissant la sécurité des systèmes d’information, et impactant directement les OIV et OSE français.

La directive européenne NIS, adoptée par les institutions européennes en 2016 et désormais retranscrite dans le droit français, s’est en fait largement inspirée de la LPM française, votée en 2013, tout en la complétant ou en apportant de nouvelles règles et en en éludant certaines. Ces règles édictées par la directive NIS doivent être respectées par l’ensembles des OSE de l’UE dans le but de garantir une sécurité accrue de ces organisations considérées comme particulièrement sensibles.

Du côté des institutions, l’Europe de la cybersécurité a aussi fait du chemin : le Cybersecurity Act, adopté en 2019, renforce l’Agence européenne pour la cybersécurité (ENISA) en lui donnant un mandat permanent et des ressources supplémentaires. L’ENISA sert ainsi de « point de référence pour les conseils et compétences en matière de cybersécurité pour les institutions, organes et organismes de l’Union ainsi que pour les autres parties prenantes concernées de l’Union. » Le Cybersecurity Act établit également un cadre européen de certificationdes produits et services de cybersécurité visant à uniformiser les process de certification des produits et services de cybersécurité ainsi que leurs reconnaissances dans l’ensemble des pays de l’Union.