La directive NIS en application, volet SSI, partie I

La directive NIS part d’une initiative de l’Anssi et notamment du constat suivant : les OIV (opérateurs d’importance vitale) sont soumis à des contraintes concernant leur SI, du fait que tout dysfonctionnement d’un OIV impacte potentiellement une partie de la nation. Il existe cependant nombre d’entreprises publiques ou privées pour lesquelles un dysfonctionnement (notamment de leur SI) aurait des conséquences de même nature, alors qu’elles n’émargent pas à la liste des OIV. Précision : la liste des OIV est classée secret-défense ; il nous est donc interdit de donner plus de détails.

Les pouvoirs publics – et l’Anssi – ont donc décidé de créer une seconde catégorie : les opérateurs de services essentiels (OSE). L’idée est la même : soumettre ces entreprises à des obligations concernant la sécurité, et en particulier la sécurité de leur SI. Autre précision, les OSE se classent en deux grandes familles : les opérateurs de services essentiels à proprement parler (entreprises utilisatrices de SI), et les fournisseurs de services numériques (dans le domaine SI). Peu ou prou, les contraintes qui pèsent sur les deux catégories sont sensiblement de même nature.

Le décret regroupe les obligations en grandes familles, notamment :

• La gouvernance du dispositif ;
• Les règles générales de sécurité ;
• La détection et le signalement des incidents ;
• Les audits ;
• La gestion de crise.

Très général, ce décret ne contient aucune disposition précise, et un arrêté du 14 septembre 2018 vient préciser en détail les éléments auxquels les OSE sont soumis.

Ce dispositif réglementaire (décret et arrêté susnommés) est le dernier d’une longue liste. Rappelons en effet que, depuis 2016, nombre de textes impactant la sécurité des SI de santé ont été votés : loi de santé 2016 sur les GHT, RGPD (adopté en 2016), décret de signalement des incidents SSI, instruction n° 309 sur la remontée d’indicateurs SSI, Plan de sécurisation des établissements (qui comporte un volet SSI), certification HDS, n’en jetez plus ! Je suis d’ailleurs très curieux de voir comment M^e Yahia va analyser l’ensemble du dispositif, son articulation et ses aspects coercitifs.

A priori, le décret a plutôt été bien accueilli par les RSSI et les spécialistes sécurité de tous horizons. Enfin, nous allions pouvoir obtenir une cartographie précise des SI sensibles (ce qui relève du parcours du combattant pour diverses raisons, la charge des DSI n’expliquant pas tout), enfin, nous allions pouvoir auditer les SI, enfin, nous allions pouvoir exiger que les fameuses 42 mesures d’hygiène de sécurité de l’Anssi soient appliquées (si un RSSI hospitalier en a appliqué ne serait-ce que la moitié, je veux bien qu’il me dise comment il s’y est pris…).

La directive NIS et le RGPD sont complémentaires, mais ne se recouvrent pas ou peu. Le RGPD attaque la question de la SSI par le biais des traitements, c’est-à-dire par le volet fonctionnel. Certes, on finit toujours par déboucher sur certains aspects d’infrastructure (PCA, politiques d’habilitation, traces des connexions régulièrement exploitées, etc.), mais dans l’ensemble il s’agit d’un outil destiné à dialoguer avec les MOA. La directive NIS s’attaque quant à elle aux fondamentaux techniques de la SSI.

On est donc en droit de penser qu’avec le RGPD et la directive NIS le binôme RSSI/DPO dispose enfin d’outils réglementaires et normatifs suffisants pour faire avancer la sécurité de l’établissement, à tous les niveaux. Nous n’en attendions l’arrêté d’application qu’avec d’autant plus d’impatience. Et c’est là que les choses deviennent moins douces et beaucoup moins roses.

À suivre…