La directive NIS, votée le 5 juillet par le Parlement européen, met en évidence le rôle des « opérateurs de services d’importance essentielle » et le besoin de protection de ceux-ci. 

Les professionnels français, depuis la LPM de 2013, se sont familiarisés avec la notion « d’opérateur d’importance vitale ». Dans le dernier numéro de notre magazine (Mag-Securs n°51), nous expliquions que cette notion est héritière de celle « des installations d’importance vitale » définie dans une ordonnance de 1958, issue du contexte de la seconde guerre mondiale. Les notions « opérateurs de services d’importance essentielle » et « opérateurs d’importance vitale » ne vont, bien sûr, pas se superposer entièrement. Les entreprises vont devoir travailler sur des « gap analysis ». La tâche est conséquente.

Des origines multiples

Les origines des « services d’importance essentielle » sont multiples, et sont susceptibles d’évoluer dans les mois et les années à venir. La directive NIS ne sera sans doute transcrite dans le droit français qu’au printemps 2018. Mais les travaux préparatoires commencent dès à présent, comme nous l’a expliqué l’Anssi. Il est intéressant de chercher à comprendre d’où viennent les bases de celles-ci, même si elles sont multiples. Notre objectif n’est pas de proposer une analyse exhaustive, mais de souligner certains axes forts.

En matière de doctrine militaire, le concept « d’importance essentielle », ou « d’éléments essentiels », apparaît notamment dans les travaux du colonel américain John Warden de l’armée de l’air des États-Unis. Ses travaux s’appuient sur les analyses de la première guerre du golfe en 1991 : Le colonel Warden a théorisé une doctrine d’attaque reposant sur 5 cercles, dits aussi parfois 5 anneaux. Cette doctrine, offensive, part du principe que l’ennemi constitue un système, qui peut être attaqué à différents niveaux.

Comment définir les services essentiels ? 

Il reste à définir ce que sont les « éléments essentiels » pour une nation et pour une société. La doctrine militaire et la littérature civile sur ces sujets existent, naturellement, mais ne sont pas si prolixes que l’on pourrait l’espérer. 

Par ailleurs, il faut étudier comment la directive NIS s’accorde avec la LPM. Selon le communiqué du Parlement européen, « la nouvelle législation européenne prévoit des obligations en matière de sécurité et de suivi pour les "opérateurs de services essentiels" dans des secteurs tels que ceux de l'énergie, des transports, de la santé, des services bancaires et d'approvisionnement en eau potable. Les États membres de l'UE devront identifier les entités dans ces domaines en utilisant des critères spécifiques, par exemple si le service est essentiel pour la société et l'économie, et si un incident aurait des effets perturbateurs considérables sur la prestation de ce service. »

Certains fournisseurs de services numériques - les marchés en ligne, les moteurs de recherche et les services d'informatique en nuage - devront aussi prendre des mesures pour assurer la sécurité de leur infrastructure et devront signaler les incidents majeurs aux autorités nationales ». Précisons enfin que les nouvelles règles prévoient un "groupe de coopération" stratégique pour échanger l'information et aider les États membres à renforcer leurs capacités en matière de cybersécurité. Chaque pays de l'Union devra adopter une stratégie nationale relative à sécurité des réseaux et des systèmes d'information. Il est donc important de  éfinir ce que sont les services d’importance essentielle, au su des forces et des faiblesse de notre société et de notre économie.

Ainsi, la directive NIS, passée inaperçue pour le grand public, pose-t-elle un véritable défi pour les professionnels de la sécurité, notamment de par son articulation avec la LPM.  La directive doit être transposée dans les droits nationaux de tous les États-membres avant 21 mois.




Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 143688
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS
12



Événements SSI