Publicité en cours de chargement...

Directive NIS, la fin de l’innocence

03 juil. 2018 - 12:37,
Tribune - Cédric Cartau
Si pas mal de monde avait les yeux rivés sur le RGPD le 24 mai au soir, et au-delà, on a beaucoup moins entendu parler du décret n° 2018-384, qui a pourtant été publié le 23 mai dernier, et qui concerne les obligations des futurs opérateurs de services essentiels (OSE), pendant de la LPM (loi de programmation militaire) pour les OIV (opérateurs d’importance vitale).

Le découpage territorial veut que, dans le monde de la santé, certains CHU – établis dans des zones de défense – sont OIV, alors que le CHU situé 100 kilomètres plus loin, parfois de taille supérieure, ne l’est pas. La directive NIS pallie entre autres ce trou dans la raquette en adressant une brochette d’entreprises publiques et privées qui officient dans des domaines pour lesquels une perturbation impacterait plus ou moins le fonctionnement du pays : énergie, transport, santé, etc. La liste des entreprises émargeant au statut d’OSE sera connue au plus tard en novembre prochain, mais il est fort probable que les établissements de santé disposant d’un service d’urgences médicales seront de la partie.

Dans les grandes lignes, il faut retenir les points suivants :

  • Obligation de désignation d’un responsable interne ; le sempiternel débat pour savoir si cette fonction peut ou non être cumulée avec celle de RSSI, de DPO, etc. va être à nouveau réactivé ;
  • Obligation de tenir à jour une documentation sur les réseaux et les SI ; on ne sait pas si tout le SI ou uniquement les sous-systèmes sensibles sont concernés, si à la fois les volets technique et applicatif sont impliqués, quel est le niveau de détails requis, etc. ; cette documentation doit être révisée et transmise tous les ans à l’Anssi ;
  • Obligation de définir une gouvernance interne pour la prise en compte de la directive : instances de pilotage, réunions, revues régulières, rapports, etc. ;
  • Obligation de mettre en œuvre des dispositions techniques non encore listées ; on pense facilement à la liste des 42 mesures d’hygiène de l’Anssi ;
  • Obligation de mettre en place un dispositif de gestion de crise ;
  • Obligation de déclarer les incidents de sécurité ; avec l’instruction n° 309 et le RGPD, cela ne fera jamais que la quatrième fois ;
  • Obligation d’un audit annuel, réalisé soit par l’Anssi elle-même, soit par un prestataire agréé Anssi, et ce aux frais exclusifs de l’OSE ;
  • Obligation d’un audit post-incident.

La directive comprend en outre deux grands chapitres : celui qui concerne les OSE, et celui qui concerne les fournisseurs de services numériques (FSN). Grosso modo, ce sont les mêmes spécifications, mais il est intéressant de noter que les établissements HDS sont à la fois OSE et FSN : la question de savoir si c’est fromage ET dessert va alimenter les dîners en ville.

La directive NIS appelle plusieurs réflexions ou remarques. Tout d’abord et pour ceux qui ne l’auraient pas encore réalisé, c’est la fin de la récré pour tous les futurs OSE. La plupart des GHT vont comporter au moins un établissement OSE – voire FSN – et, en dehors de la question récurrente de la responsabilité de l’établissement support, cela commence à faire beaucoup, après le RGPD, et l’avalanche de textes depuis 2016. En même temps, quel citoyen trouverait anormal qu’un CHU ou un établissement traitant des urgences médicales doive montrer patte blanche dans son SI ?

Ensuite, le décret laisse des zones non précisées, comme la liste des SI soumis à cartographie et déclaration, la profondeur et la durée des audits annuels ou la position du barycentre dans les audits entre le volet organisationnel et le volet technique. Bref, pour l’instant, les RSSI sont un peu dans l’expectative.

Enfin, certaines des mesures semblent faire double emploi avec des obligations réglementaires ou normatives antérieures : la gouvernance (imposée par la certification HAS depuis au moins dix ans), l’obligation de signalement des incidents ou la remontée d’indicateurs. Si en tant que citoyen je ne peux qu’approuver cette directive, en tant que RSSI, je trouve qu’il y a des marges de progrès en termes de factorisation… à moins qu’il ne faille interpréter la directive comme une déclinaison d’un autre texte déjà mis à exécution, et donc que le travail est déjà fait.

Pour ce qui concerne la distinction établie entre les obligations qui concernent les OSE et celles qui s’adressent aux FSN, on reste par contre dubitatif : si les obligations sont les mêmes, pourquoi dupliquer le texte, alors qu’il aurait suffi de déclarer une liste un peu plus longue d’OSE ? 

En tout état de cause, la directive va être lourde à gérer. Paradoxalement, ce qui semble le plus inquiétant, c’est l’obligation de cartographie des SI : on est clairement mauvais sur ce sujet. L’autre point de vigilance concerne l’éventuelle application des 42 mesures d’hygiène – si c’est l’option qui est retenue par l’Anssi – où là non plus on n’est pas bon. Il reste à espérer que le démarrage soit « léger et compréhensif » : il est toujours plus facile d’augmenter les exigences une fois que l’on a mis le pied dans la porte que de partir bille en tête sur la lettre au Père Noël.

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

01 juil. 2025 - 00:00,

Actualité

- DSIH

La 13ᵉ édition du congrès APSSIS, qui s’est tenue en juin 2025, a une nouvelle fois confirmé sa place centrale dans l’écosystème de la cybersécurité en santé. Au fil de trois jours de conférences, de débats et de rencontres, RSSI, DPO, DSI, juristes et institutionnels ont croisé leurs expertises pou...

Illustration Un nouveau Comex pour le Conseil du numérique en santé

Un nouveau Comex pour le Conseil du numérique en santé

30 juin 2025 - 23:46,

Actualité

- Damien Dubois, DSIH

Le 24 juin, le 13e Conseil du numérique en santé a réuni l’ensemble des parties prenantes en la matière, dans la perspective notamment de l’Espace européen des données de santé.

Illustration Le Groupe Softway Medical accueille Bpifrance à son capital

Le Groupe Softway Medical accueille Bpifrance à son capital

30 juin 2025 - 21:20,

Communiqué

- Le Groupe Softway Medical

Le Groupe Softway Medical, un leader européen des systèmes d’information en santé, à la fois éditeur, hébergeur et intégrateur pour les établissements de santé publics et privés en France, au Canada et à travers l’Europe, annonce aujourd’hui l’arrivée de Bpifrance, la Banque publique d’investissemen...

Illustration L’Institut Curie et le groupe hospitalier Diaconesses Croix Saint-Simon unissent leurs expertises pour un parcours de soins d’excellence en cancérologie

L’Institut Curie et le groupe hospitalier Diaconesses Croix Saint-Simon unissent leurs expertises pour un parcours de soins d’excellence en cancérologie

27 juin 2025 - 14:47,

Actualité

- DSIH

L’Institut Curie, premier centre français de lutte contre le cancer, et le groupe hospitalier Diaconesses Croix Saint-Simon, créateur du Centre de Cancérologie de l’Est Parisien, annoncent un partenariat stratégique inédit. Ce partenariat, baptisé « Parcours Expert Institut Curie – Diaconesses Croix...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.