L’agence chargée de la cyberdéfense française a identifié 122 opérateurs fournissant des services essentiels. Il leur faut désormais améliorer leur niveau de protection pour éviter les attaques informatiques.

Leur identité n’est pas publique, mais leur existence contribue à la bonne conduite de la nation. Ce sont les opérateurs de services essentiels. Et depuis le 8 novembre 2018, 122 ont été officiellement recensés par l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Il ne s’agit pas d’une liste définitive : au fil du temps, « quelques centaines » d’autres opérateurs la rejoindront.

Si les opérateurs de services essentiels sont placés sous le sceau du secret, afin de ne pas attirer l’attention sur eux, surtout de la part d’acteurs malveillants, on devine assez facilement dans quels secteurs ils se déploient : transport aérien, réseau d’eau, production et distribution d’énergie, secteur de la santé, finances, alimentation ou encore communications.

Comme l’expliquait en 2013 l’ancien directeur de l’ANSSI, Patrick Pailloux, passé depuis à la direction technique de la DGSE, « nos sociétés dépendent de l’informatique et des communications électroniques pour vivre. Ces technologies sont désormais les systèmes nerveux de nos nations. Notre survie, au sens étroit du terme, dépend parfois du bon fonctionnement des systèmes d’information ».

anssi

L'emblème de l'Anssi.

Source : Anssi

Un impact significatif en cas d’arrêt

L’identification de ces opérateurs de services essentiels (ou OSE) est une exigence de la directive européenne NIS (Network & Information System Security), dont la transposition en droit français s’est achevée le 29 septembre avec la publication d’un dernier arrêté d’application. Du fait du rôle critique qu’ils remplissent, ces OSE sont tenus de respecter des consignes de sécurité strictes.

L’arrêt d’un service essentiel « aurait un impact significatif sur le fonctionnement de l’économie ou de la société », explique l’ANSSI. Dès lors, assurer leur protection constitue un enjeu prioritaire au regard du contexte actuel. Mais que pour le « garde du corps » de l’État en matière de cyberdéfense puisse correctement faire son travail, il faut que les OSE adoptent un niveau élevé de sécurité.

Parmi les premiers objectifs que doivent atteindre les OSE figurent la nomination d’un représentant auprès de l’ANSSI, l’identification des systèmes d’information essentiels (c’est-à-dire ceux nécessitant une protection particulière), le respect d’un référentiel de sécurité spécifique pour les protéger et la notification de tout incident de sécurité les concernant, le cas échéant.

pollution power plant environnement

Le secteur de l’énergie comporte des opérateurs de services essentiels. // Source : Benita5

Accompagnement de l’ANSSI

Ces règles paraissent basiques, mais l’agence fait remarquer que « pour certains acteurs cette réglementation est une première ». Il y a peut-être toute une culture de la sécurité à acquérir, et des pratiques à revoir. Mais l’ANSSI est là pour « les conseiller et les guider afin d’assurer une mise en application cohérente et efficace des mesures de sécurité et autres obligations définies par la loi ».

« Il n’est pas question d’être dans une logique de sanction mais avant tout de faire de la pédagogie auprès des OSE afin de provoquer une réelle prise de conscience de l’importance cruciale de la sécurité numérique, ainsi que de proposer des solutions concrètes et efficaces », explique d’ailleurs Guillaume Poupard, le directeur de l’ANSSI. Du moins, dans un premier temps.

Cette liste, qui évoluera dans le temps, existe en complément d’un autre travail, qui porte cette fois sur les opérateurs d’importance vitale (OIV). Cette catégorie provient de la loi de programmation militaire, votée en 2013. Plus de 200 opérateurs publics ou privés ont été identifiés et répartis en 12 grandes catégories. Le statut d’OSE s’inspire du travail fait avec les OIV, mais dans un cadre allégé.


Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !