#210 Opérateur de Service Essentiel : la loi SRSI du 26 février 2018 transposant la Directive NIS

27 février 2018

Marc-Antoine LEDIEU – Avocat et RSSI

ANSSI, cyber-sécurité, entités ESSENTIELLES ou importantes, mesures techniques de cyber-sécurité, NIS2 + NIS 2016

Opérateur de service essentiel ?

La transposition de la Directive NIS par la loi française du 26 février 2018

[26 février 2018 MàJ le 16 octobre 2018] En ce début de XXIème siècle, nos sociétés occidentales sont devenues totalement dépendantes du bon fonctionnement de leurs infrastructures informatiques. Les consommateurs sont « accros » aux data accessibles via Wi-Fi ou 4G depuis le web (regardez nos ados, pendus à leur smartphone…), piétons et automobilistes ne se déplacent plus sans leur logiciel de navigation dont les données de géolocalisation sont fournies en temps réel…

Il était inéluctable que les professionnels qui fournissent certains de ces services soient astreints à des obligations de sécurisation technique.

La France avait anticipé le mouvement dès 2013 avec sa législation sur les « opérateurs d’importance vitale », les fameux O.I.V., et leur Système d’Information d’Importance Vitale.

L’Union Européenne s’est, à son tour, emparée du sujet avec la directive N.I.S. du 6 juillet 2016. Pour imposer des règles de sécurité, l’UE a consacré la notion (nouvelle) d’ Opérateur de Service Essentiel (O.S.E.) et de Fournisseur de Servie Numérique (F.S.N.).

C’est cette directive qui a donné la loi française dite « S.R.S.I. » du 26 février 2018 objet de deux présentations en BD sur ce blog. Sans oublier l’obligation de sécurité du GDPR…

Pour retenir l’articulation logique de ce maquis de législations (bien techniques, vous vous en doutez), les habitué(e)s des contrats informatiques feront naturellement le parallèle avec la correction des bugs dans les contrats de maintenance.

Pour accéder à nos contenus relatifs à cette directive NIS et à son application en droit français, vous pouvez cliquer sur ce lien : https://ledieu-avocats.fr/category/nis2-nis-2016/

les 4 couches de sécurité des systèmes d’information

1) Ne nous y trompons pas : le tronc commun de la sécurité des systèmes d’information, en terme d’obligations de sécurisation, c’est le bug « classique » corrigé par la mise à jour de sécurité régulière dans le cadre de la maintenance (assurée dans le cadre du « Service » contractuel par les prestataires SaaS).

C’est le « super standard », pour TOUTE entreprise / personne publique qui traite des données « à caractère personnel ».

Nous retrouvons ici les impératifs de sécurité du Règlement UE n°2016/679 du 27 avril 2016 (ça faisait longtemps…) et les bonnes pratiques de chiffrement et de pseudonymisation de l’article 32.

Ici, on se situe au minimum de sécurisation des systèmes d’information et des datas traitées, le niveau en dessous duquel il n’est plus possible de descendre (sauf à chercher à se faire prendre et condamner).

Moi, je connais des DSI qui m’ont affirmé passer TOUTES leurs data au référentiel « GDPR ».

En terme de responsabilité, ces DSI ont tout compris.

C’est le minimum pour tout opérateur de traitement de data, du Ministère de l’éducation nationale jusqu’au prestataire SaaS pour site web (mais ai-je bien choisi le Ministère de référence???).

2) Un cran au dessus du niveau GDPR, nouveauté de la loi « S.R.S.I », on trouve maintenant des « erreurs de sévérité 2 », les bugs qui bloquent les fonctionnalités importantes (les modules fonctionnels de type « brique de paiement en ligne »).

Les Fournisseurs de Service Numérique (F.S.N.) ne sont pas vraiment « essentiels » comme les O.S.E., mais suffisamment importants pour qu’il faille leur imposer des contraintes spécifiques (en gros, du RGPD++ avec des contrôles par l’ANSSI et une obligation de déclarations des incidents de « sécurité »). Ces opérateurs sont identifiés dans 3 secteurs d’activité grâce à des critères de seuils (salariés et CA). Nous y reviendrons dans une prochaine présentation SRSI spéciale « F.S.N. ».

SRSI #1 securite des systemes dinformation-Operateurs de Service Essentiel 26 fevrier 2018-Directive NIS [© Ledieu-avocats] cyber-securite blockchain algorithme machine learning logiciel SaaS .031

3) Le niveau 3, les « erreurs de sévérité 3 » (les « bug majeurs »), ce sont les « Opérateur de Service Essentiel », les O.S.E. désignés par décret non public (sans que la liste soit secrète…).

La maintenance est corrective bien évidemment mais surtout préventive ! Ces opérateurs ne sont pas « vitaux » mais « essentiels » au fonctionnement de la société ou de l’économie (de la France comme dans la très très bonne série Au Service de la France).

C’est l’équivalent du CRM tout entier qui arrête de répondre. Je vous laisse imaginer le drame qui bloques les infrastructures d’un hôpital. Là, on rigole plus du tout du tout du tout.

Pour chaque opérateur de service essentiel, c’est validation obligatoire de l’architecture et de la politique de sécurité des systèmes d’information (effectivement déployée) par l’ANSSI.

Avec obligation de notification des incident de « sécurité » (oui, les guillemets sont à la bonne place). à l’ANSSI et de se soumettre à des contrôles obligatoires.

Ce type de mécanique « obligation + contrôle + déclaration + le tout avec tes sous » ne vous évoque rien ? Même pas une LPM en 2013 ? Alors un petit rappel sur les O.I.V.

4) Nous sommes ici au niveau CRITIQUE, la zone de danger mortel ***.

Si l’entreprise / la personne publique occupe une position véritablement stratégique pour le fonctionnement de la société française telle qu’elle fonctionne en 2018, les « bugs » seront de sévérité 1 (bug « critiques » ou « bloquants ») : on s’adresse alors à des opérateurs véritablement vitaux.

Dans ce cas, c’est la LPM (Loi de Programmation Militaire – tout est dans le titre) du 13 décembre 2013 sur les O.I.V. qui s’applique.

Comme la liste des O.I.V. n’est pas publique, on peut supputer que certains opérateurs télécom, certaines infrastructures « coeur de réseau » de fourniture d’énergie ou de transport, etc. font partie des heureux (?) élus. Bon, on va le dire en mots simples : ces opérateurs-là négocient directement avec l’ANSSI le monitoring de la sécurité de leur « coeur S.I. » en corrélation avec leur budget cyber-sécurité…

*** PS pour les BDphiles : une excellente série en BD (4 tomes chez Glénat en 2010-2012) sur ce sujet, dans une Grande Bretagne coupée du monde, avec des survivants qui s’affrontent… « La Zone » par Eric Stalner (trop bien !). Les O.I.V. sont illustrés avec « La Brigade Chimérique« , chef d’oeuvre du 9ème art.

Pardon pour cette trop longue introduction…

Mesdames, Messieurs, aujourd’hui c’est « niveau 3 ». Bienvenue dans le monde (merveilleux) de la Sécurité des Réseaux et Systèmes d’Information (et de « la Nef des Fous« ). Voici ce qu’il faut retenir à propos de la notion d’ Opérateur de Service Essentiel !

Publié le 27 Fév. 2018

Marc-Antoine Ledieu

Avocat à la cour

#210 Opérateur de Service Essentiel : la loi SRSI du 26 février 2018 transposant la Directive NIS

les 4 couches de sécurité des systèmes d’information

Nos articles sur le sujet :
CYBER SÉCURITÉ

Nos articles sur le sujet :
CYBER SÉCURITÉ

Nos derniers articles

#683 Cyberschool Rennes cyberattaques et CRA [séminaire parcours RSSI du 5 décembre 2025]

#692 CRA la période d’assistance obligatoire [Cyber Resilience Act – épisode 17]

Protégé : #686 CRA SYNTHESE et mode d’emploi pratique pour professionnel(le) qui veut savoir [NEOTRUST 3 décembre 2025]

#210 Opérateur de Service Essentiel : la loi SRSI du 26 février 2018 transposant la Directive NIS

les 4 couches de sécurité des systèmes d’information

Nos articles sur le sujet : CYBER SÉCURITÉ

Nos articles sur le sujet : CYBER SÉCURITÉ

Nos derniers articles

#683 Cyberschool Rennes cyberattaques et CRA [séminaire parcours RSSI du 5 décembre 2025]

#692 CRA la période d’assistance obligatoire [Cyber Resilience Act – épisode 17]

Protégé : #686 CRA SYNTHESE et mode d’emploi pratique pour professionnel(le) qui veut savoir [NEOTRUST 3 décembre 2025]

Nos articles sur le sujet :
CYBER SÉCURITÉ

Nos articles sur le sujet :
CYBER SÉCURITÉ