20 juin 2021

|

Marc-Antoine LEDIEU

Marc-Antoine LEDIEU – Avocat et RSSI

#337 OIV OSE Critical Entities [projet de Directive 12/2020]

#337 OIV OSE Critical Entities [projet de Directive 12/2020]

#337 OIV OSE Critical Entities [projet de Directive 12/2020]

OIV ? OSE ? Critical Entities ?

Oui, il faut aimer les acronymes (et l’anglais) lorsque l’on s’intéresse à la sécurité des systèmes d’information…

OIV ? Ce sont les Opérateurs d’Importance VITALE pour la nation française.

OSE ? Ce sont les Opérateurs de Services ESSENTIELS pour l’Europe.

Et les « Critical Entities » ? C’est une nouvelle désignation de l’UE (un projet de Directive tout neuf du 16/12/2020) qui finira peut-être en français par « Opérateur d’Importance CRITIQUE« .

Vous le voyez, dans les trois cas, on parle de choses graves.

Voici le 1er épisode d’une série de 4 présentations sur la sécurité des systèmes d’information pour vous permettre de faire le point sur l’état de notre législation et de comprendre ce qui – inévitablement – va impacter l’industrie du logiciel et des services numériques dans un avenir proche.

[mise à jour du 15/07/2021 : le tome 2 sur l’analyse de risque EBIOS RM est accessible depuis ce lien]

[mise à jour du 02/11/2021 : le tome 3 consacré aux obligations de sécurité SI des  OOIV et des  SE est accessible depuis ce lien-ci]

OIV OSE Critical Entities : petite introduction

L'obligation légale de sécurisation des systèmes d'information en 6 actes

Ce résumé de l’adoption en France et dans l’UE des législation imposant une sécurité informatique minimum est tout entier dans les 6 slides ci-dessous.

OIV comme "Opérateur d'Importance VITALE"

Pour celles et ceux que l’archéologie juridique n’effraie pas, repartons de l’Ordonnance de 1958 sur les Installations d’Importance VITALE.

Ce texte permet de mieux comprendre la loi du 12 décembre 2005 (qui ne s’appelait pas encore LPM) qui impose à certains opérateurs vitaux pour la Nation des obligations de sécurisation de leurs « installations, batiments et ouvrages« .

Retenez que les OIV peuvent être des entreprises privées ou des services de l’Etat.

Retenez que les OIV sont désignés par « l’Autorité Administrative » (on parle ici du Premier ministre).

Retenez enfin que la liste des Opérateurs d’Importance VITALE n’est pas publique.

Et remerciez M. Guillaume Poupard, Directeur général de l’ANSSI de nous avoir précisé le 10 juin 2021 (présentation du rapport d’activité pour 2020 de l’ANSSI) qu’une dizaine d’hôpitaux en France sont aujourd’hui OIV.

Pour en savoir plus, je vous invite à parcourir les slides ci-dessous.

PS : ah oui, pardon, j’oubliais les aspects pécuniaires : les frais et dépenses qu’induit la désignation en qualité d’OIV sont à sa charge exclusive

OSE comme "Opérateur de service ESSENTIEL"

A peine 2 mois après la publication officielle du RGPD (27 avril 2017), l’Europe adoptait une Directive sur la sécurité (obligatoire) des systèmes d’information de certains opérateurs ESSENTIELS : la Directive N.I.S. du 6 juillet 2016 « concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’UE« .

Comme pour les OIV en France, les OSE (Opérateurs de Service ESSENTIEL) sont désignés, dans chaque pays de l’UE, par l’autorité administrative.

C’est d’ailleurs de là que vient en réalité l’échec (partiel) de la Directive NIS, dont vous trouverez le détail dans les slides ci-dessous.

Remerciez encore M. Guillaume Poupard pour nous avoir annoncé le 10 juin 2021 qu’en France, une trentaine d’hôpitaux avaient fait l’objet d’une désignation en qualité d’OSE et que – vu l’importance des campagnes de ransomware touchant le secteur hospitalier – une centaine de Groupements Hospitaliers Territoriaux venaient à leur tour d’être classés « O.S.E. »..

Bien que cela ne soit pas prévu dans les textes légaux (Directive NIS, loi française de transposition du 6 février 2018, etc.), la liste des OSE n’est pas (non plus) publique

PS : ah oui, pardon, j’oubliais (encore) les aspects pécuniaires : les frais et dépenses qu’induit la désignation en qualité d’OSE sont à la charge exclusive de l’opérateur… 

BONUS de décembre 2020 : les "CRITICAL Entities"

Certes, la Directive NIS a été un échec (partiel) et elle est actuellement en vigueur notamment en France (voir les déclaration de M. Guillaume Poupard).

Mais l’urgence est là, et l’Europe, plus pragmatique qu’il n’y parait, change de politique et décide de séparer la Directive désignant les opérateurs CRITIQUES et la Directive qui leur impose des règles de sécurité informatique (ce sera « NIS 2 » dont le premier projet date également du 16 décembre 2020, nous y reviendrons).

Voyons donc d’abord qui seront les « CRITICAL Entities » et quels en seront les critères de désignation : bienvenue au projet de Directive « Résilience of Critical Entities » du 16 décembre 2020.

Un cocorico (rapide) : manifestement, l’EU s’est inspirée de la France en décidant de (i) désigner les « CRITICAL Entities » (comme dans la loi de 2005 sur les OIV) pour ensuite (ii) définir les obligations de sécurité à mettre en oeuvre dans leur système d’information (la partie LPM 2013 en France, nous y reviendrons en détail dans l’épisode 3/4 « obligations de sécurité des  OIV/OSE« ).

OIV OSE et Critical entities : les secteurs d'activité d'Importance VITALE et la liste des services ESSENTIELS

J’ai essayé de faire de jolies slides pour rendre ce chapitre moins pénible.

Pourtant, il s’agit ici de comparer les trois couches de ces législations qui se ressemblent beaucoup…

Il est étonnant de constater que le secteur « alimentation » ne figure que dans la liste française des Secteurs d’Activité d’Importance Vitale.

A l’épreuve de la pandémie de Covid-19, il est remarquable de noter que la rubrique « santé » figure dans les 3 législations.

Voici 1 slide qui vous permettra de comparer les secteurs couverts par ces législations respectives.

Pour les acharné(e)s qui souhaitent plus de détail et notamment accéder à la liste des arrêtés sectoriels des OIV en France, tout est dans les slides ci-dessous.

le projet de Directive UE "Resilience of CRITICAL Entities" du 16 décembre 2020

Ce bonus est destiné aux courageu(ses)x qui souhaitent comprendre dès à présent ce qui se négocie actuellement à Bruxelles. 

Le calendrier d’adoption n’est pas figé mais j’ai entendu dire* que cette Directive NIS#2 devrait être adoptée sous la présidence française de l’UE (premier semestre 2022).

*encore par la voix de M. Guillaume Poupard le 10 juin 2021. 

OIV OSE Critical Entities A SUIVRE 2/4 quelle analyse de risque ? (re)parlons de la méthode EBIOS RM !

Ne cherchez plus, cette présentation est accessible en cliquant sur ce lien.

OIV OSE analyse risque EBIOS

OIV OSE et Critical Entities A SUIVRE 3/4 : quelles obligation de sécurité pour les systèmes d'information concernés ?

Ne cherchez plus (non plus) et cliquez sur ce lien pour accéder directement à cette présentation.

OIV OSE et Critical Entities A SUIVRE (épisode 4/4) : les obligations de notification des incidents de sécurité (QUI doit notifier QUOI et à QUI ?)

le générique des (magnifiques) BD des éditions Delcourt / Soleil qui servent d'illustrations à ces présentations sur la sécurité des systèmes d'information

Marc-Antoine Ledieu

Avocat à la cour

Nos articles sur le sujet :
CYBER SÉCURITÉ

Nos articles sur le sujet :
CYBER SÉCURITÉ