Identification de premiers opérateurs de services essentiels dans le cadre de la directive « Network and Information Security »

L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a annoncé le 9 novembre 2018 que, dans le cadre de la mise en œuvre de la directive Network and Information Security (NIS) adoptée en juillet 2016, la France avait identifié 122 opérateurs de services essentiels (OSE), et a précisé que "ce chiffre, non définitif, sera[it] amené à augmenter". En effet, la directive, dont la transposition en droit français a été finalisée le 29 septembre 2018, définit et identifie les OSE qui sont des acteurs qui fournissent "un service essentiel (SE) dont l’interruption aurait un impact significatif sur le fonctionnement de l’économie ou de la société". Ces opérateurs "devront désigner un représentant auprès de l’ANSSI et identifier leurs systèmes d’information essentiels (SIE)" puis "appliquer les règles de sécurité à leurs systèmes d’information essentiels et notifier à l’ANSSI les incidents de sécurité survenus sur ces systèmes".

Pour lire le communiqué de presse de l'ANSSI

Publication du référentiel d’exigences applicables aux prestataires en matière de cloud

Le 8 décembre 2016, l’ANSSI a publié une version finalisée de son référentiel d’exigences “niveau Essentiel” applicables aux prestataires de services d’informatique en nuage. Ce document a pour objet la qualification de ces prestataires et permet d’attester de leurs compétences et de la qualité de leurs prestations par leur conformité aux exigences du référentiel. Ce référentiel, qui correspond à “un niveau de sécurité permettant le stockage et le traitement de données pour lesquelles un incident de sécurité aurait une conséquence limitée pour le client”, sera complété par un second document, de “niveau Avancé“, qui concernera les incidents ayant une conséquence importante pour le client. Parmi les dispositions du référentiel, on trouve notamment l’exigence d’un hébergement et d’un traitement des données du client au sein de l’Union européenne ainsi que l’obligation pour le prestataire de réviser annuellement sa politique de sécurité de l’information et l’appréciation des risques, cette révision devant également se faire “à chaque changement majeur pouvant avoir un impact sur le service”.

Pour lire le communiqué  sur le site de l’ANSSI

Publication d’un arrêté renforçant la cybersécurité des SIIV

Publié au JO le 4 décembre 2016, un arrêté du 28 novembre 2016 a fixé les règles de sécurité s’appliquant aux systèmes d’information des opérateurs d’importance vitale relevant du sous-secteur “Communications électroniques et Internet”, ainsi que les modalités d’identification de ces systèmes d’information d’importance vitale (SIIV) et de notification à l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) des incidents de sécurité les affectant. Ainsi, tout opérateur relevant de ce sous-secteur devra communiquer à l’ANSSI la liste des SIIV prévue à l’article R. 1332-41-2 du Code de la défense, désigner un représentant auprès de l’ANSSI et communiquer une fois par an à l’Agence la mise à jour de sa liste de SIIV.

Pour lire l’arrêté sur Légifrance