Avec l’application prochaine de la directive NIS 2 en Europe, les opérateurs de services essentiels (OSE) et les opérateurs d’importance vitale (OIV) se préparent à de nouvelles obligations pour renforcer leur cybersécurité.
Une nouvelle dénomination pour les OSE
La création des entités essentielles (EE) et entités importantes (EI)
Cette évolution de la directive NIS 1 a pour principal objectif de maximiser la sécurité des réseaux et des systèmes d’informations des organisations européennes sensibles. Parmi ses changements, la fin de la dénomination OSE (opérateur de services essentiels). Celle-ci désignait jusqu’alors les services essentiels dont l’arrêt de l’activité impacterait fortement le fonctionnement de l’économie ou de la société française.
La Directive NIS 2 efface la dénomination OSE au profit de deux catégories d’entités :
- Les entités essentielles (EE) qui regrouperaient principalement les grandes entreprises dans les secteurs classés comme hautement critiques.
- Les entités importantes (EI) qui concerneraient principalement les organisations de taille moyenne dans les secteurs classés comme hautement critiques et les organisations des secteurs critiques.
Les « Fournisseurs de service numérique » font partie de ces catégories. À noter qu’il n’y a pas de modification de la dénomination OIV (opérateurs d’importance vitale). Ces derniers sont concernés par NIS 2.
Les obligations pour les entités essentielles, entités importantes et OIV
Recourir à des solutions de sécurité labellisées ANSSI
Parmi les mesures de sécurité préconisées par NIS 2, on retrouve « l’utilisation de communications vocales, vidéo et textuelles sécurisées et de systèmes sécurisés de communication d’urgence au sein de l’entité, selon les besoins. ». Pour les OIV, le recours à des solutions de sécurité labellisées par l’ANSSI, grâce à son Visa de sécurité, est déjà obligatoire. En effet, en cas de crise, les opérateurs d’importance vitale doivent réagir vite et faire preuve de résilience. Les solutions de communications sécurisées sont donc indispensables. Elles permettent aux collaborateurs de poursuivre leur activité. Différentes technologies, comme le chiffrement de bout en bout, garantissent la protection des données.
Visa de sécurité ANSSI : un gage de fiabilité
Le Visa de sécurité de l’ANSSI permet d’identifier facilement les solutions de cybersécurité les plus fiables. Celles-ci ont été vérifiées et évaluées par des laboratoires agréés.
Depuis plus de 5 ans, Tixeo est la seule solution française de visioconférence sécurisée à être certifiée et qualifiée par l’ANSSI, grâce à son approche Secure By Design et sa technologie de chiffrement de bout en bout.
Protéger l’architecture réseau
La directive NIS 2 préconise le cloisonnement des réseaux et les accès distants. C’est le cas notamment dans le cadre de l’utilisation de solutions de sécurité on-premise. Celles-ci devront pouvoir être fonctionnelles dans un réseau isolé. L’organisation devra également connaître l’ensemble de leurs impacts sur son architecture réseau.
Les bénéfices de la visioconférence sécurisée on-premise
TixeoServer est la solution de visioconférence sécurisée on-premise de Tixeo, certifiée et qualifiée par l’ANSSI. La sécurité fait partie de toutes les étapes de sa conception jusqu’à son déploiement. Ainsi, son installation nécessite de n’ouvrir qu’un seul port réseau, afin de limiter les impacts sur la politique de sécurité du système d’information de l’organisation.
Faire appel à des sous-traitants et prestataires de services sécurisés
Les acteurs de la chaîne d’approvisionnement, sous-traitants ou prestataires de services, sont soumis à la Directive NIS 2. En effet, ces derniers bénéficient généralement d’un accès à l’infrastructure de leur client et représentent ainsi un risque de sécurité. En cas de failles de sécurité au sein de leur infrastructure, la sécurité du réseau des entités plus ou moins critiques pour lesquels ils travaillent serait impactée.
FAQ sur les OSE et OIV :
Les OIV désignent des organisations opérant des activités critiques et hautement indispensables pour la nation, dont la coupure aurait de graves dommages économiques ou sécuritaires.
Selon l’ANSSI, un OSE est un opérateur tributaire des réseaux ou systèmes d’information, qui fournit un service essentiel dont l’interruption aurait un impact significatif sur le fonctionnement de l’économie ou de la société.
Les OIV et les OSE doivent se conformer à des réglementations strictes en matière de cybersécurité pour protéger les infrastructures critiques.
1. Mettre en place des mesures de sécurité renforcées pour protéger leurs systèmes d’information critiques.
2. Signaler tout incident de sécurité à l’ANSSI.
3. Se conformer aux contrôles de conformité effectués par l’ANSSI ou par des prestataires agréés.
4. S’assurer que leurs sous-traitants respectent les mêmes standards de sécurité.
L’ANSSI, en collaboration avec les ministères concernés, propose une liste d’OSE potentiels. La désignation suit un processus contradictoire impliquant l’envoi d’une lettre d’intention à l’opérateur pressenti, qui peut répondre avec des réserves. La décision finale est prise par le Premier ministre, basée sur l’impact potentiel d’une interruption du service sur la société et l’économie.
Les secteurs essentiels comme l’énergie, les transports, la santé, les télécommunications et les services financiers sont visés par les statuts OIV et OSE en raison de leur importance stratégique et de leur vulnérabilité aux cyberattaques. Leur protection est cruciale pour la stabilité et la sécurité de notre société. Avec la directive NIS 2, la dénomination OSE est effacée au profit de deux catégories d’entités : les entités essentielles et les entités importantes.
Les entités essentielles et les entités importantes qui ne répondent pas aux exigences de la directive NIS 2 s’exposent à des amendes administratives dont le montant pourrait aller jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires total annuel de l’entité concernée. Concernant les OIV, en cas de non-conformité, les dirigeants encourent une amende de 150 000 €, qui peut aller jusqu’à 750 000 € pour une personne morale.
Avec la directive NIS 2, le périmètres des OSE s’élargit. Les entités importantes regroupent désormais les acteurs de la chaîne d’approvisionnement, sous-traitants ou prestataires de services. La directive préconise également le cloisonnement des réseaux et les accès distants, ainsi que l’utilisation de solutions de communications sécurisées. Les entités ont également l’obligation d’informer les autorités compétentes dans les plus brefs délais en cas d’incident (alerte précoce dans les 24 heures et notification formelle dans les 72 heures).
