16 octobre 2018

|

Marc-Antoine LEDIEU

Marc-Antoine LEDIEU – Avocat et RSSI

#210 loi SRSI 26 février 2018: Opérateur de Service Essentiel ?

#210 loi SRSI 26 février 2018: Opérateur de Service Essentiel ?

[16 octobre 2018] En ce début de XXIème siècle, nos sociétés occidentales sont devenues totalement dépendantes du bon fonctionnement de leurs infrastructures informatiques. Les consommateurs sont « accros » aux data accessibles via Wi-Fi ou 4G depuis le web (regardez nos ados, pendus à leur smartphone…), piétons et automobilistes ne se déplacent plus sans leur logiciel de navigation dont les données de géolocalisation sont fournies en temps réel…

Il était inéluctable que les professionnels qui fournissent certains de ces services soient astreints à des obligations de sécurisation technique. La France avait anticipé le mouvement dès 2013 avec sa législation sur les « opérateurs d’importance vitale », les fameux O.I.V., et leur Système d’Information d’Importance Vitale.

L’Union Européenne s’est, à son tour, emparée du sujet avec la directive N.I.S. du 6 juillet 2016. Pour imposer des règles de sécurité, l’UE a consacré la notion (nouvelle) d’Opérateurs de Service Essentiel (O.S.E.) et de Fournisseurs de Servie Numérique (F.S.N.). C’est cette directive qui a donné la loi française dite « S.R.S.I. » du 26 février 2018 objet de deux présentations en BD sur ce blog. Sans oublier l’obligation de sécurité de la GDPR

Pour retenir l’articulation logique de ce maquis de législations (bien techniques, vous vous en doutez), les habitué(e)s des contrats informatiques feront naturellement le parallèle avec la correction des bugs dans les contrats de maintenance.

Rappel en 4 slides : les 4 couches de sécurité obligatoire des systèmes d’information

1) Ne nous y trompons pas : le tronc commun de la sécurité des systèmes d’information, en terme d’obligations de sécurisation, c’est le bug « classique » corrigé par la mise à jour de sécurité régulière dans le cadre de la maintenance (assurée dans le cadre du « Service » contractuel par les prestataires SaaS). C’est le « super standard », pour TOUTE entreprise / personne publique qui traite des données « à caractère personnel ». Nous retrouvons ici les impératifs de sécurité de la GDPR, le Règlement UE n°2016/679 du 27 avril 2016 (ça faisait longtemps…) et les bonnes pratiques de chiffrement et de pseudonymisation de l’article 32. Ici, on se situe au minimum de sécurisation des systèmes d’information et des datas traitées, le niveau en dessous duquel il n’est plus possible de descendre (sauf à chercher à se faire prendre et condamner).


Moi, je connais des DSI qui m’ont affirmé passer TOUTES leurs data au référentiel « GDPR » (en cours de stabilisation avec ISO 27001). En terme de responsabilité, ces DSI ont tout compris. C’est le minimum pour tout opérateur de traitement de data, du Ministère de l’éducation nationale jusqu’au prestataire SaaS pour site web (mais ai-je bien choisi le Ministère de référence???).


2) Un cran au dessus du niveau GDPR, nouveauté de la loi « S.R.S.I »., on trouve maintenant des « erreurs de sévérité 2 », les bugs qui bloquent les fonctionnalités importantes (les modules fonctionnels de type « brique de paiement en ligne »). Les Fournisseurs de Service Numérique (F.S.N.) ne sont pas vraiment « essentiels » comme les O.S.E., mais suffisamment importants pour qu’il faillent leur imposer des contraintes spécifiques (en gros, de la GDPR + + avec des contrôles par l’ANSSI et une obligation de déclarations des incidents de « sécurité »). Ces opérateurs sont identifiés dans 3 secteurs d’activité grâce à des critères de seuils (salariés et C.A.). Nous y reviendrons dans une prochaine présentation SRSI spéciale « F.S.N. ».


3) Le niveau 3, les « erreurs de sévérité 3 » (les « bug majeurs »), ce sont les « Opérateurs de Service Essentiel », les O.S.E. désignés par décret (sans que la liste soit secrète). La maintenance est corrective bien évidemment mais surtout préventive ! Ces opérateurs ne sont pas « vitaux » mais « essentiels » au fonctionnement de la société ou de l’économie (de la France comme dans la très très bonne série Au Service de la France). C’est l’équivalent du CRM tout entier qui arrête de répondre. Je vous laisse imaginer le drame qui bloques les infrastructures d’un hôpital. Là, on rigole plus du tout du tout du tout. Là, c’est validation de l’architecture et politique de sécurité des systèmes d’information par l’ANSSI. Avec obligation de notification des incident de « sécurité » (oui, les guillemets sont à la bonne place). à l’ANSSI et de se soumettre à des contrôles obligatoires.


Ce type de mécanique « obligation + contrôle + déclaration + le tout avec tes sous » ne vous évoque rien ? Même pas une LPM en 2013 ? Alors un petit rappel sur  les O.I.V.
4) Nous sommes ici au niveau CRITIQUE, la zone de danger mortel ***. S l’entreprise / la personne publique occupe une position véritablement stratégique pour le fonctionnement de la société française telle qu’elle fonctionne en 2018, les « bugs » seront de sévérité 1 (bug « critiques » ou « bloquants ») : on s’adresse alors à des opérateurs véritablement vitaux. Dans ce cas, c’est la LPM (Loi de Programmation Militaire – tout est dans le titre) du 13 décembre 2013 sur les O.I.V. qui s’applique. Comme la liste des O.I.V. est classifiée « Confidentiel-Défense », on peut supputer que certains opérateurs télécom, certaines infrastructures « coeur de réseau » de fourniture d’énergie ou de transport, etc. font partie des heureux (?) élus. Bon, on va le dire en mots simples : ces opérateurs-là négocient directement avec l’ANSSI le monitoring de la sécurité de leur « coeur S.I. » en corrélation avec leur budget cyber-sécurité…
*** PS pour les BDphiles : une excellente série en BD  (4 tomes chez Glénat en 2010-2012) sur ce sujet, dans une Grande Bretagne coupée du monde, avec des survivants qui s’affrontent… « La Zone » par Eric Stalner (trop bien !). Les O.I.V. sont illustrés avec « La Brigade Chimérique« , chef d’oeuvre du 9ème art.


Pardon pour cette trop longue introduction…
Mesdames, Messieurs, aujourd’hui c’est « niveau 3 ». Bienvenue dans le monde (merveilleux) de la Sécurité des Réseaux et Systèmes d’Information (et de « la Nef des Fous« ). Voici les Opérateurs de Service Essentiel ! Le rappel pour les littéraires (bien illustré avec les slides) se trouve juste après la présentation en BD dans le slider.



Sécurité des Réseaux et Systèmes d’Information : quelques définitions pour commencer…

Avant de se lancer sur les chapeaux de roues dans le détail des obligations applicables aux O.S.E., voyons d’abord le « tronc commun » O.S.E. et F.S.N.


Sécurité des Réseaux et Systèmes d’Information : le cadre légal…

Oui, le Règlement d’exécution de la Commission n°2018-151 du 30 janvier 2018 ne concerne que les F.S.N. Pour les O.S.E., c’est dans le décret du 23 mai 2018 qu’il faut regarder, en complétant celle exquise lecture par celle de l’arrêté du 13 juin 2018. Oui, la Direction de la règlementation de l’ANSSI a beaucoup publié en 2018.


Sécurité des Réseaux et Systèmes d’Information : ENFIN ! une définition (sensée) des « Systèmes d’Information » !!!


Sécurité des Réseaux et Systèmes d’Information : et une définition de la notion de « Sécurité » !!!

Retenez bien cette définitions, c’est elle qui conditionne tout le régime légale, la notion qu’en pensait centrale « d’incident » n’étant pas définie.Un incident de « sécurité » est un évènement, juridiquement un « fait » « qui compromet la disponibilité, l’authenticité, l’intégrité ou la confidentialité » de « données numériques«  [à caractère personnel ou non] qui sont traitées ou transitent (qui sont traitées, donc) par le réseaux et/ou les matériels et/ou les logiciels et bases de données numériques de l’entreprise / de la personne publique. Le système d’information, quoi ! Il faut assurer la sécurité » du « système d’information », data comprises. C’est la loi !


Sécurité des Réseaux et Systèmes d’Information : les points communs aux O.S.E. et aux F.S.N.

Après ce rappel rapide, ne reste plus qu’à voir précisément (i) qui peut être O.S.E. (ou plutôt comment ils sont désignés) et (ii) surtout les conséquences à retenir de cette désignation.


S.R.S.I. les Opérateurs de Service Essentiel : offrir un « service essentiel »


S.R.S.I. les Opérateurs de Service Essentiel : désignation par décret d’après une liste de secteurs d’activité


Je vous montre un extrait du « catalogue légal », sinon vous pourriez penserez que votre entreprise ne sera pas impactée (vous risqueriez de passer à coté de toutes ces obligations légales, ce serait dommage…).


S.R.S.I. les Opérateurs de Service Essentiel : le représentant ANSSI et la cartographie du S.I.


S.R.S.I. les Opérateurs de Service Essentiel : concrètement, 23 règles pour définir le niveau de sécurité !!!


S.R.S.I. les Opérateurs de Service Essentiel : pour quand la mise en oeuvre des 23 règles de sécurité ?


S.R.S.I. les Opérateurs de Service Essentiel : un pouvoir de contrôle pour l’ANSSI


S.R.S.I. les Opérateurs de Service Essentiel : les conclusions de l’ANSSI sont OBLIGATOIRES


S.R.S.I. les Opérateurs de Service Essentiel : la notification des incidents de « sécurité »


S.R.S.I. les Opérateurs de Service Essentiel : notifier les incidents à « impact significatif »


S.R.S.I. les Opérateurs de Service Essentiel : les sanctions pécuniaires 

ATTENTION : les « dirigeants« , ce n’est pas la personne morale, ce sont les personnes physiques qui « dirigent« , les DSI par exemple…


S.R.S.I. les Opérateurs de Service Essentiel : le tarif 2018


S.R.S.I. les Opérateurs de Service Essentiel : l’addition ? C’est pour qui ? 


S.R.S.I. les Opérateurs de Service Essentiel : des questions ? 

Vous voulez des détails ? Allez voir la présentation dans le slider, ils y sont tous, je vous le promets !



S.R.S.I. et les Fournisseurs de Service Numériques ? 





 

Marc-Antoine Ledieu

Avocat à la cour

Nos articles sur le sujet :
CYBER SÉCURITÉ

Nos articles sur le sujet :
CYBER SÉCURITÉ