[mis à jour le 26 novembre 2018] Si la sécurité informatique, pardon la sécurité « des systèmes d’information » vous intéresse à titre professionnel, impossible de faire l’impasse sur la loi « S.R.S.I. » pour Sécurité des Réseaux et Systèmes d’Information. Votre entreprise / personne publique pourrait être désignée comme « Opérateur de Service Essentiel » ? ça, c’était la présentation précédente spéciale Opérateur de Service Essentiel (O.S.E.) [merci Stéphane V.] à laquelle je vous invite à vous référer pour son introduction détaillée de mise en perspective de tout ce fatras technico-législatif. Aujourd’hui, ce sera « FSN les Fournisseurs de Service Numérique« . C’est – de loin – le volet le plus impactant de cette loi issue de la Directive NIS du 6 juillet 2016, en ce qu’elle concerne un grand nombre d’opérateurs économiques jusqu’à présent totalement exonérés de toute forme d’obligation de sécurité technique.
Seconde partie de cette étude sur la loi S.R.S.I. du 26 février 2018 dans le slider ci-dessous. Pour les littéraires, ce sera juste après le slider, en version richement illustrée (comme dirait le Duc de Berry vers 1485-1486) avec l’univers chamarré de « La Nef des Fous » dont le tome 9 a été publié le 24 octobre 2018 !!!
[wonderplugin_gallery id= »267″]
F.S.N. – Fournisseur de Service Numérique et O.S.E. – Opérateur de Service Essentiel : les définitions communes
(tout petit) rappel des obligations communes aux O.S.E. et aux F.S.N. et de la définition de « sécurité ». Pardon d’insister, mais la notion « d’incident » n’étant pas définie, c’est bien la notion de « sécurité » qui forme l’ossature de cette loi.
F.S.N. – Fournisseurs de Service Numérique et O.S.E. – Opérateurs de Service Essentiel : les obligations communes
Si vous vous intéressez à la protection des données à caractère personnel, vous savez qu’avec la GDPR, les entreprises et les personnes publiques doivent assurer un niveau minimal de sécurité de leur système d’information et doivent informer la CNIL en cas de « violation » de données. Et bien, dans la loi SRSI, c’est pareil à deux différence près : il faut sécuriser les systèmes d’information, qu’ils contiennent (ou pas) des données personnelles d’une part, et d’autre part, les incidents de sécurité « significatifs » sont à notifier à l’ANSSI (et non à la CNIL, quoi que les deux notifications peuvent se cumuler).
F.S.N. – Fournisseurs de Service Numérique et O.S.E. – Opérateurs de Service Essentiel : la gestion des incidents de « sécurité »
S’il est une idée force de ce texte, sa philosophie, c’est l’obligation technique et organisationnelle (le terme est à la mode…) d’anticipation des incidents de sécurité numérique. Avec 3 points centraux :
FSN – 3 catégories de « Fournisseur de Service Numérique » ?
Chers F.S.N., vous écoutez ce que vous dit la Reine ?
N’attendez aucune notification de l’ANSSI : c’est à vous, chers F.S.N., de savoir si vous dépassez les seuils légaux (ou pas). Si oui, lisez la suite de cette présentation et vous saurez quoi faire. Vous noterez que le principe est « tout le monde sauf« . Pour les BDphiles, je précise que c’est la Reine avant son mystérieux enlèvement dans le tome 8 de « La Nef des Fous »…
FSN les Fournisseurs de Service Numérique: que fait un prestataire HORS UE sans représentant dans l’UE ?
Ce prestataire HORS UE a l’obligation de « nommer » un représentant auprès de l’ANSSI. Le bras (presque) armé du Premier ministre aime bien disposer d’un interlocuteur fiable… C’est plus facile que de devoir répondre aux avocats qui posent des questions pointues… (ça sent le règlement de compte, tout ça…).
FSN les Fournisseurs de Service Numérique : « les places de marché en ligne »
Attention, les « marketplaces » sont entendues au sens large par le législateur de l’UE (là où la loi française ne précise rien) : cela concerne également les databrokers notamment (il faut aller lire les « considérant » de la Directive n°2016/1148). Ce qui est certain, c’est que la notion de marketplace n’est pas limitée aux seuls rapports BtoC.
Bon, juste sur ce point, parce que ni vous ni moi ne pouvons deviner QUI est concrètement concerné, voici ce que l’on découvre dans les « considérant » de la Directive du 6 juillet 2016 :
FSN les Fournisseurs de Service Numérique : les « moteurs de recherche »
Ai-je besoin de vous préciser ce qu’est un « moteur de recherche » ? Vous trouverez facilement qui est visé par cette disposition. Seule précision à retenir : la simple fonctionnalité de recherche limitée aux contenu proposés par l’éditeur sur son propre site web n’est pas un « moteur de recherche » au sein de la loi SRSI (ouffffffffff).
FSN les Fournisseurs de Service Numérique : « service d’informatique en nuage »
Ne cherchez plus : cela concerne uniquement les prestataires professionnels qui proposent des infrastructures de service « dans le cloud », pas les éditeurs prestataire de service SaaS qui contractent avec ces hébergeurs de « service d’informatique en nuage ». Ce sont les AWS, OVH et consorts… BONNE NOUVELLE POUR LES EDITEURS / PRESTATAIRES DE SERVICE EN MODE SAAS : ce n’est pas vous !
FSN les Fournisseurs de Service Numérique : l’obligation d’identification préalable des risques
Vous êtes FSN et vous avez dépassé les seuils ? Vous êtes tenus de vous soucier de la sécurité de vos « Réseaux et Système d’Information ». « Être tenu » en droit français, ça veut dire que c’est obligatoire. Et pour que l’obligation soit effectivement respectée, son non-respect sera sanctionné pénalement (nous y viendrons plus loin).
FSN les Fournisseur de Service Numérique : des critères imposés par Bruxelles pour tous les F.S.N. opérant dans l’UE
Coup de bol (?), pas de décret ni d’arrêté spécifique pour les FSN français : les règles sur le « niveau de sécurité » proviennent directement de Bruxelles. Allez lire le Règlement d’exécution du 30 janvier 2018, vous allez voir, c’est extrêmement détaillé pour ce qui est de fixer le niveau de sécurité imposé aux FSN !
FSN les Fournisseurs de Service Numérique : la méthode des risques et de la réponse « appropriée »
Cela vous paraitra sans doute extrêmement contraignant, et pourtant, il faut se féliciter de l’approche de bon sens imposée par la Commission de Bruxelles : partez de la détermination de vos risques et agissez en conséquence sur la sécurité de votre SI. Si vous trouvez cette méthode trop lourde, allez lire ce qui est imposé pour les O.S.E. en comparaison. C’est toujours réconfortant que voir que d’autres subissent un malheur plus grave que le votre…
FSN les Fournisseurs de Service Numérique : le droit de contrôle de l’ANSSI (comme pour les O.S.E.)
« La confiance n’exclut pas le controle » disant ce grand démocrate de Lénine… Je précise dans cette époque où le politiquement correct fait perdre tout sens de l’humour aux esprits les plus ouverts que je ne compare en rien Lénine et l’ANSSI. Je note juste que, dans les textes, les OSE ne peuvent être controlés qu’une fois par an et que cette précision n’apparait pas pour les FSN (ce qui ne devrait en rien aggraver dans les faits la réalité de la fréquence des contrôles). Les contrôles peuvent être effectués par l’ANSSI ou, par délégation, par un Prestataire de Service Qualifié (P.S.Q.) comme pour les Opérateurs d’Importance Vitale.
FSN les Fournisseur de Service Numérique : qui paye la facture, à votre avis ?
Il n’y a pas que le coût des contrôles qui sera à la charge des FSN : la mise en oeuvre des règles de sécurité sera également à la charge financière des FSN. De l’intérêt d’une approche par les risques : plus vos risques seront élevés, plus le coût de votre sécurité sera important. C’est la même chose que pour l’obligation de sécurité au sens de l’article 32 GDPR. Sauf que pour les FSN, cette sécurité couvre tout le SI (pas que les données personnelles).
FSN les Fournisseurs de Service Numérique : la notification à l’ANSSI des incidents de « sécurité »
Si votre incident de « sécurité » touche des données personnelles, il faudra donc faire une déclaration à l’ANSSi et une autre à la CNIL. Il n’y a pas de procédure centralisée permettant de notifier simultanément aux deux autorités de contrôle (ce serait trop simple…). La bonne nouvelle, c’est qu’il y a un effet de seuil pour la déclaration des incidents de « sécurité » à l’ANSSI, là où la GDPR impose de notifier toutes les « violations » (ce qui est probablement contre-productif mais bon…).
FSN les Fournisseur de Service Numérique : la notification SANS DELAI des incidents de « sécurité »
C’est précisé dans la Directive du 6 juillet 2016 : « sans délai » = « ASAP » dans la version anglaise du texte. Ne cherchez plus d’excuses ni d’échappatoire…
FSN les Fournisseurs de Service Numérique : notification des seuls incidents « à impact significatif »
Regardez le verre à moitié plein : cette obligation de notification à l’ANSSI ne concerne pas TOUS les incident de « sécurité », seulement ceux ayant « un impact significatif ».
FSN les Fournisseur de Service Numérique : c’est quoi un « impact significatif » ?
Je savais que vous alliez poser cette question… Bruxelles pense à tout…
FSN les Fournisseurs de Service Numérique : vous pensez qu’il y a des sanctions pénales ?
FSN les Fournisseurs de Service Numérique : … je répète… le risque pèse sur les « dirigeants » personnes physiques !!!
Fournisseurs de Service Numérique : demandez le tarif 2018 !
FSN les Fournisseurs de Service Numérique : les détails sont dans la présentations en BD
loi « S.R.S.I. » Opérateur de Service Essentiel et Fournisseur de Service Numérique : vous savez l’essentiel !
Dans la présentation en BD dans le slider, je vous propose en plus un petit récapitulatif entre O.I.V. -> O.S.E. -> F.S.N.N – > « responsable du traitement » et « sous-traitant » GDPR…
loi « S.R.S.I. » Opérateur de Service Essentiel et Fournisseur de Service Numérique : merci « La Nef des Fous » !!!