Mémo CERTitude

Sécurité numérique, Information, Réglementation, Méthode, OSE, Règles de sécurité, Résilience, OIV, NIS, LPM, Europe, Gouvernance, Détection, Réaction, Cyberattaque, Incident, Homologation, Gestion de crise, Sécurité physique, Notification, Contrôle, Cartographie, Inventaire

LPM vs NIS
Objectifs Principes Règles de sécurité Points clés Ressources

Objectifs

L'objectif des dispositifs réglementaires LPM (article 22) et NIS est de renforcer la sécurité numérique et la résilience de certains systèmes numériques.

• La Loi de Programmation Militaire votée fin 2013, adresse, au travers de son article 22, les Opérateurs d'Importance Vitale (OIV) s'inscrivant dans le dispositif national de Sécurité des Activités d'Importance Vitale en place depuis 2006 (cf. Décret n° 2006-212 du 23 février 2006 relatif à la sécurité des activités d'importance vitale ). Elle impose aux OIV de nouvelles exigences en matière de sécurité numérique venant compléter les exigences s'appliquant à eux depuis 2006 via l'IGI 6600.
• La directive (UE) 2016/1148, dite NIS ou SRI, votée en 2016 par l'Europe et transposée en droit national en 2018, adresse une autre catégorie d'opérateurs, qualifiés d'Opérateurs de Service Essentiels (OSE), dont les missions concernent l'économie et le fonctionnement de la société.

• introduit également une nouvelle catégorie d'opérateurs appelés Fournisseurs de Service Numérique
• aborde explicitement la notion de Résilience
• propose une définition des réseaux et systèmes d'information ainsi que de leur sécurité.

Important :
La directive NIS est abrogée par la directive (UE) 2022/2555, dite NIS 2 ou SRI 2, du Parlement européen et du Conseil du 14 décembre 2022.
La transposition de la directive NIS 2 en droit français est attendue pour 2024.

Principes

Les dispositifs LPM et NIS, issus de contextes différents et ciblant des systèmes différents, s'articulent néanmoins sur une base commune d'exigences :

• Identifier les systèmes importants pour les missions (1) de l'opérateur
• Mettre en place des mesures de sécurité définies par les autorités
• Notifier les incidents de sécurité touchant certains systèmes
• Se soumettre à des contrôles de sécurité

(1) : Les missions sont celles ayant conduit l'opérateur à être désigné d'importance vitale ou de service essentiel.

Les dispositifs LPM et NIS présentent quelques différences :

• Les règles de sécurité pour les OIV sont définies par des arrêtés propres à chaque secteur ou sous-secteur d'activité d'importance vitale (exemple : Arrêté du 28 novembre 2016 pour le secteur d’activité d’importance vitale « Industrie »).
  Un seul arrêté définit les règles de sécurité pour les OSE, l'arrêté du 14 septembre 2018.

• Contrairement à la LPM qui impose aux OIV de recourir à des produits et prestataires qualifiés par l'autorité nationale de cybersécurité et de cyberdéfense (l'ANSSI), notamment pour la détection des incidents de sécurité et pour l'audit réalisé dans le cadre de l'homologation, la transposition de la directive NIS demande "simplement" de s'appuyer sur les exigences des référentiels de qualification des prestataires de confiance pour ces domaines.

Règles de sécurité

La majorité des règles imposée aux OIV se retrouve, sur le thème, imposée aux OSE mais ordonnées différemment.
En revanche, les règles pour les OSE abordent la question de la sécurité physique qui n'était pas évoquée dans les règles pour les OIV. Cela peut s'expliquer dans la mesure où la protection physique des installations était traitée dans le cadre du dispositif SAIV.
Le tableau suivant propose un mapping des règles de sécurité numérique pour les opérateurs d'importance vitale (loi de programmation militaire), exemple du secteur industrie, et les opérateurs de service essentiel (directive NIS).
Mapping mesures LPM vs NIS   Mapping mesures NIS vs LPM  

Points clés

• un renforcement du dispositif réglementaire sur la sécurité numérique
• une cohérence dans les exigences et les mesures de sécurité pour les OIV et les OSE
• un OIV peut également être OSE et disposer de SIIV et SIE
• pas d'obligation de recourir à des produits et prestataires qualifiés pour les OSE
• les exigences de sécurité sont définies par des arrêtés
• LPM et NIS ne remplacent pas les exigences existantes en matière de sécurité numérique : RGS, eIDAS, IGI 1300, II901, hébergement des données de santé, etc.

Important : une analyse détaillée des exigences, notamment sur le plan juridique, est nécessaire afin d'identifier les responsabilités qu'elles impliquent pour les opérateurs mais aussi leur écosystème, sous-traitants, fournisseurs de solutions, etc.

Ressources

• Le dispositif SAIV
• La Directive 2008/114/CE du Conseil du 8 décembre 2008 concernant le recensement et la désignation des infrastructures critiques européennes ainsi que l’évaluation de la nécessité d’améliorer leur protection.
• L’ANSSI accompagne les OIV dans la sécurisation de leurs systèmes d’information sensibles.
• La Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union
• LOI n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité
• Arrêté du 14 septembre 2018 fixant les règles de sécurité et les délais mentionnés à l'article 10 du décret n° 2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d'information des opérateurs de services essentiels et des fournisseurs de service numérique
• L'ANSSI accompagne les OSE
• La Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) no 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2)

Mise à jour juillet 2023

Les Mémos CERTitude NUMERIQUE abordent en quelques mots des thèmes de la sécurité numérique.
Ils ne remplacent en aucune manière les textes réglementaires, guides et référentiels publiés par les autorités nationales et européennes.
N’hésitez pas à faire part de vos commentaires en nous contactant.