Arrêté du 14 septembre 2018 fixant les règles de sécurité et les délais mentionnés à l'article 10 du décret n° 2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d'information des opérateurs de services essentiels et des fournisseurs de service numérique

Date de signature :14/09/2018 Statut du texte :En vigueur
Date de publication :29/09/2018 Emetteur :Premier Ministre
Consolidée le : Source :JO du 29 septembre 2018
Date d'entrée en vigueur :01/10/2018

Arrêté du 14 septembre 2018 fixant les règles de sécurité et les délais mentionnés à l'article 10 du décret n° 2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d'information des opérateurs de services essentiels et des fournisseurs de service numérique


NOR: PRMD1824939A
ELI: https://www.legifrance.gouv.fr/eli/arrete/2018/9/14/PRMD1824939A/jo/texte


Publics concernés : opérateurs de services essentiels mentionnés à l'article 5 de la loi n° 2018-133 du 26 février 2018.

Objet : règles de sécurité et délais mentionnés à l'article 10 du décret n° 2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d'information des opérateurs de services essentiels et des fournisseurs de service numérique.

Entrée en vigueur : l'arrêté entre en vigueur le 1er octobre 2018 .

Notice : l'arrêté fixe les règles de sécurité (annexe I) que les opérateurs de services essentiels sont tenus d'appliquer aux réseaux et systèmes d'information nécessaires à la fourniture de leurs services essentiels. Il fixe également les délais (annexe II) dans lesquels ces opérateurs appliquent ces règles de sécurité.

Références : l'arrêté est pris en application de l'article 10 du décret n° 2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d'information des opérateurs de services essentiels et des fournisseurs de service numérique. Il peut être consulté sur le site Légifrance (http://www.legifrance.gouv.fr).


Le Premier ministre,


Arrête :

Article 1

Les règles de sécurité mentionnées à l'article 10 du décret n° 2018-384 du 23 mai 2018 susvisé figurent à l'annexe I du présent arrêté.
Les opérateurs de services essentiels appliquent ces règles de sécurité aux réseaux et systèmes d'information mentionnés à l'article 7 du décret précité, à compter de la date de leur désignation en tant qu'opérateurs de services essentiels dans les délais figurant à l'annexe II du présent arrêté.

Article 2

Le présent arrêté est applicable sur l'ensemble du territoire de la République.

Article 3

Le présent arrêté entre en vigueur le 1er octobre 2018.

Article 4

Le présent arrêté sera publié au Journal officiel de la République française.

Fait le 14 septembre 2018.

Pour le Premier ministre et par délégation :
La secrétaire générale de la défense et de la sécurité nationale,
C. Landais

ANNEXES

ANNEXE I
RÈGLES DE SÉCURITÉ


Les présentes règles de sécurité sont applicables aux réseaux et systèmes d'information mentionnés à l'article 7 du décret n° 2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d'information des opérateurs de services essentiels et des fournisseurs de service numérique. Ces réseaux et systèmes d'information sont dénommés « systèmes d'information essentiels » dans la présente annexe.

Chapitre Ier : Règles relatives à la gouvernance de la sécurité des réseaux et systèmes d'information

Règle 1. Analyse de risque

L'opérateur de services essentiels effectue et tient à jour, dans le cadre de l'homologation de sécurité prévue à la règle 3, une analyse de risque de ses systèmes d'information essentiels (SIE).
Cette analyse de risque prend notamment en compte l'analyse que l'opérateur a menée pour identifier ses systèmes d'information en tant que SIE.

Règle 2. Politique de sécurité

L'opérateur de services essentiels élabore, tient à jour et met en œuvre une politique de sécurité des réseaux et systèmes d'information (PSSI).
La PSSI décrit l'ensemble des procédures et des moyens organisationnels et techniques mis en œuvre par l'opérateur afin d'assurer la sécurité de ses systèmes d'information essentiels (SIE).
Dans le domaine de la gouvernance de la sécurité, la PSSI définit :

Dans le domaine de la protection, la PSSI définit :

Dans le domaine de la défense, la PSSI définit :

Dans le domaine de la résilience des activités, la PSSI définit :

La PSSI et ses documents d'application sont approuvés formellement par la direction de l'opérateur. L'opérateur élabore au profit de sa direction, au moins annuellement, un rapport sur la mise en œuvre de la PSSI et de ses documents d'application. Ce rapport précise notamment l'état des lieux des risques, le niveau de sécurité des SIE et les actions de sécurisation menées et prévues.
L'opérateur tient à la disposition de l'Agence nationale de la sécurité des systèmes d'information la PSSI, ses documents d'application et les rapports sur leur mise en œuvre.

Règle 3. Homologation de sécurité

L'opérateur de services essentiels procède à l'homologation de sécurité de chaque système d'information essentiel (SIE), en mettant en œuvre la procédure d'homologation prévue par sa politique de sécurité des réseaux et systèmes d'information.
L'homologation d'un système est une décision formelle prise par l'opérateur qui atteste que les risques pesant sur la sécurité de ce système ont été identifiés et que les mesures nécessaires pour le protéger sont mises en œuvre. Elle atteste également que les éventuels risques résiduels ont été identifiés et acceptés par l'opérateur.
Dans le cadre de l'homologation, un audit de la sécurité du SIE doit être réalisé conformément à la règle 5.
L'opérateur prend la décision d'homologuer un SIE sur la base du dossier d'homologation comportant notamment :

La validité de l'homologation est réexaminée par l'opérateur au moins tous les trois ans et lors de chaque événement ou évolution de nature à modifier le contexte décrit dans le dossier d'homologation. Chaque réexamen de l'homologation est consigné dans le dossier d'homologation. L'opérateur procède au renouvellement de l'homologation dès qu'elle n'est plus valide.
L'opérateur tient à la disposition de l'Agence nationale de la sécurité des systèmes d'information les décisions et dossiers d'homologation.

Règle 4. Indicateurs

L'opérateur de services essentiels évalue et tient à jour, pour chaque système d'information essentiel (SIE), les indicateurs suivants :

L'opérateur précise pour chaque indicateur la méthode d'évaluation employée et, le cas échéant, la marge d'incertitude de son évaluation. Lorsqu'un indicateur évolue de façon significative par rapport à l'évaluation précédente, l'opérateur en précise les raisons.
L'opérateur communique à l'Agence nationale de la sécurité des systèmes d'information, à sa demande, les indicateurs mis à jour sur un support électronique.

Règle 5. Audits de la sécurité

L'opérateur de services essentiels réalise, dans le cadre de l'homologation de sécurité prévue à la règle 3, un audit de la sécurité de chaque système d'information essentiel (SIE). L'audit doit aussi être réalisé lors de chaque renouvellement de l'homologation en prenant notamment en compte les résultats de la mise à jour de l'analyse de risque du SIE.
Cet audit vise à vérifier l'application et l'efficacité des mesures de sécurité du SIE et notamment le respect des présentes règles de sécurité. Il doit permettre d'évaluer le niveau de sécurité du SIE au regard des menaces et des vulnérabilités connues et comporte notamment la réalisation d'un audit d'architecture, d'un audit de configuration et d'un audit organisationnel et physique.
L'opérateur ou le prestataire mandaté à cet effet réalise cet audit en s'appuyant sur les exigences du référentiel en matière d'audit de sécurité des systèmes d'information pris en application de l'article 10 du décret n° 2015-350 du 27 mars 2015 modifié relatif à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité des systèmes d'information.
A l'issue de l'audit, l'opérateur ou, le cas échéant, le prestataire élabore un rapport d'audit qui expose les constatations sur les mesures appliquées et sur le respect des présentes règles de sécurité. Le rapport précise si le niveau de sécurité atteint est conforme aux objectifs de sécurité, compte tenu des menaces et des vulnérabilités connues. Il formule des recommandations pour remédier aux éventuelles non-conformités et vulnérabilités découvertes.

Règle 6. Cartographie

L'opérateur de services essentiels élabore et tient à jour, pour chaque système d'information essentiel (SIE), les éléments de cartographie suivants :


L'opérateur communique à l'Agence nationale de la sécurité des systèmes d'information, à sa demande, les éléments de cartographie mis à jour sur un support électronique.

Chapitre II : Règles relatives à la protection des réseaux et systèmes d'information

Section 1 : Sécurité de l'architecture

Règle 7. Configuration

L'opérateur de services essentiels respecte les règles suivantes lorsqu'il installe des services et des équipements sur ses systèmes d'information essentiels (SIE) :


Règle 8. Cloisonnement

L'opérateur de services essentiels procède au cloisonnement de ses systèmes d'information essentiels (SIE) afin de limiter la propagation des attaques informatiques au sein de ses systèmes ou ses sous-systèmes. Il respecte les règles suivantes :

Dans le cas particulier d'une interconnexion entre internet et un SIE nécessaire à la fourniture de services d'hébergement de noms de domaine, d'hébergement de zones de premier niveau, de résolution de noms de domaine ou d'interconnexion par appairage pour l'échange de trafic internet, l'opérateur n'est pas tenu d'assurer un cloisonnement physique ou logique au niveau de cette interconnexion mais met en œuvre des mesures de protection appropriées telles que celles préconisées par l'Agence nationale de la sécurité des systèmes d'information.
Par ailleurs, lorsqu'un service essentiel nécessite que le SIE nécessaire à sa fourniture soit accessible via un réseau public, l'opérateur organise ce SIE, selon le principe de la défense en profondeur, en au moins deux sous-systèmes comme suit :

L'opérateur décrit dans le dossier d'homologation de chaque SIE les mécanismes de cloisonnement qu'il met en place.

Règle 9. Accès distant

L'opérateur de services essentiels protège les accès à ses systèmes d'information essentiels (SIE) effectués à travers des systèmes d'information tiers.
En particulier, lorsqu'un service essentiel nécessite que le SIE nécessaire à sa fourniture soit accessible via un réseau public, l'opérateur protège cet accès au moyen de mécanismes cryptographiques conformes aux règles préconisées par l'Agence nationale de la sécurité des systèmes d'information.
Par ailleurs, lorsque l'opérateur ou un prestataire qu'il a mandaté à cet effet accède à un SIE via un système d'information qui n'est pas sous le contrôle de l'opérateur ou du prestataire, l'opérateur applique ou fait appliquer à son prestataire les règles suivantes :

L'opérateur décrit dans le dossier d'homologation de chaque SIE les mécanismes de protection des accès au SIE qu'il met en place.

Règle 10. Filtrage

L'opérateur de services essentiels met en place des mécanismes de filtrage des flux de données circulant dans ses systèmes d'information essentiels (SIE) afin de bloquer la circulation des flux inutiles au fonctionnement de ses systèmes et susceptibles de faciliter des attaques informatiques. Il respecte les règles suivantes :

Dans le cas particulier d'un SIE nécessaire à la fourniture de service d'interconnexion par appairage pour l'échange de trafic internet, l'opérateur ne met en place de mécanismes de filtrage que pour les flux de données autres que ceux correspondant au trafic internet proprement dit.
L'opérateur décrit dans le dossier d'homologation de chaque SIE les mécanismes de filtrage qu'il met en place.

Section 2 : Sécurité de l'administration

Règle 11. Comptes d'administration

L'opérateur de services essentiels crée des comptes (appelés « comptes d'administration ») destinés aux seules personnes (appelées « administrateurs ») chargées d'effectuer les opérations d'administration (installation, configuration, gestion, maintenance, supervision, etc.) des ressources de ses systèmes d'information essentiels (SIE).
L'opérateur définit, conformément à sa politique de sécurité des réseaux et systèmes d'information, les règles de gestion et d'attribution des comptes d'administration de ses SIE, et respecte les règles suivantes :


Règle 12. Systèmes d'information d'administration

L'opérateur de services essentiels applique les règles suivantes aux systèmes d'information (appelés « systèmes d'information d'administration ») utilisés pour effectuer l'administration de ses systèmes d'information essentiels (SIE) :


Section 3 : Gestion des identités et des accès

Règle 13. Identification

L'opérateur de services essentiels crée des comptes individuels pour tous les utilisateurs (y compris les utilisateurs ayant des comptes privilégiés ou des comptes d'administration) et pour les processus automatiques accédant aux ressources de ses systèmes d'information essentiels (SIE).
Lorsque des raisons techniques ou opérationnelles ne permettent pas de créer de comptes individuels pour les utilisateurs ou pour les processus automatiques, l'opérateur met en place des mesures permettant de réduire le risque lié à l'utilisation de comptes partagés et d'assurer la traçabilité de l'utilisation de ces comptes. Dans ce cas, l'opérateur décrit ces mesures dans le dossier d'homologation du SIE concerné et les raisons justifiant le recours à des comptes partagés.
Par ailleurs, lorsqu'un service essentiel nécessite de diffuser de l'information au public, l'opérateur n'est pas tenu de créer de comptes pour l'accès du public à cette information.
L'opérateur désactive sans délai les comptes qui ne sont plus nécessaires.

Règle 14. Authentification

L'opérateur de services essentiels protège les accès aux ressources de ses systèmes d'information essentiels (SIE), que ce soit par un utilisateur ou par un processus automatique, au moyen d'un mécanisme d'authentification impliquant un élément secret.
L'opérateur définit, conformément à sa politique de sécurité des réseaux et systèmes d'information, les règles de gestion des éléments secrets d'authentification mis en œuvre dans ses SIE.
Lorsque la ressource le permet techniquement, les éléments secrets d'authentification doivent pouvoir être modifiés par l'opérateur chaque fois que cela est nécessaire. Dans ce cas, l'opérateur respecte les règles suivantes :

Lorsque la ressource ne permet pas techniquement de modifier l'élément secret d'authentification, l'opérateur met en place un contrôle d'accès approprié à la ressource concernée ainsi que des mesures de traçabilité des accès et de réduction du risque lié à l'utilisation d'un élément secret d'authentification fixe. L'opérateur décrit dans le dossier d'homologation du SIE concerné ces mesures et les raisons techniques ayant empêché la modification de l'élément secret d'authentification.
Par ailleurs, lorsqu'un service essentiel nécessite de diffuser de l'information au public, l'opérateur n'est pas tenu de mettre en place de mécanismes d'authentification pour l'accès du public à cette information.

Règle 15. Droits d'accès

L'opérateur de services essentiels définit, conformément à sa politique de sécurité des réseaux et systèmes d'information, les règles de gestion et d'attribution des droits d'accès aux ressources de ses systèmes d'information essentiels (SIE), et respecte les règles suivantes :


Section 4 : Maintien en conditions de sécurité

Règle 16. Procédure de maintien en conditions de sécurité

L'opérateur de services essentiels élabore, tient à jour et met en œuvre une procédure de maintien en conditions de sécurité des ressources matérielles et logicielles de ses systèmes d'information essentiels (SIE), conformément à sa politique de sécurité des réseaux et systèmes d'information.
Cette procédure définit les conditions permettant de maintenir le niveau de sécurité des ressources des SIE en fonction de l'évolution des vulnérabilités et des menaces et précise notamment la politique d'installation de toute nouvelle version et mesure correctrice de sécurité d'une ressource et les vérifications à effectuer avant l'installation. Elle prévoit que :


Section 5 : Sécurité physique et environnementale

Règle 17. Sécurité physique et environnementale

L'opérateur de services essentiels définit et met en œuvre, conformément à sa politique de sécurité des réseaux et systèmes d'information, les procédures et les mesures de sécurité physique et environnementale applicables à ses systèmes d'information essentiels (SIE). Ces procédures et mesures portent notamment sur le contrôle du personnel interne et du personnel externe, le contrôle d'accès physique aux SIE et, le cas échéant, la protection des SIE contre les risques environnementaux tels que les catastrophes naturelles.

Chapitre III : Règles relatives à la défense des réseaux et systèmes d'information

Section 1 : Détection des incidents de sécurité

Règle 18. Détection

L'opérateur de services essentiels élabore, tient à jour et met en œuvre, conformément à sa politique de sécurité des réseaux et systèmes d'information, une procédure de détection des incidents de sécurité affectant ses systèmes d'information essentiels (SIE).
Cette procédure prévoit des mesures organisationnelles et techniques destinées à détecter les incidents de sécurité affectant les SIE. Les mesures organisationnelles comprennent les modalités d'exploitation des dispositifs de détection et décrivent la chaîne de traitement des événements de sécurité identifiés par ces dispositifs. Les mesures techniques précisent la nature et le positionnement des dispositifs de détection.
L'opérateur met en œuvre des dispositifs de détection capables d'identifier des événements caractéristiques d'un incident de sécurité notamment d'une attaque en cours ou à venir et de permettre la recherche de traces d'incidents antérieurs. A cet effet, ces dispositifs :

Dans le cas particulier d'un SIE nécessaire à la fourniture de service d'interconnexion par appairage pour l'échange de trafic internet, l'opérateur ne met en œuvre de dispositifs de détection que pour les flux de données autres que ceux correspondant au trafic internet proprement dit.
L'opérateur ou le prestataire mandaté à cet effet exploite les dispositifs de détection en s'appuyant sur les exigences du référentiel en matière de détection des incidents de sécurité pris en application de l'article 10 du décret n° 2015-350 du 27 mars 2015 modifié relatif à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité des systèmes d'information.
L'opérateur veille en particulier à ce que l'installation et l'exploitation des dispositifs de détection n'affectent pas la sécurité et le fonctionnement de ses SIE.

Règle 19. Journalisation

L'opérateur de services essentiels met en œuvre sur chaque système d'information essentiel (SIE) un système de journalisation qui enregistre les événements relatifs à l'authentification des utilisateurs, à la gestion des comptes et des droits d'accès, à l'accès aux ressources, aux modifications des règles de sécurité du SIE ainsi qu'au fonctionnement du SIE. Le système de journalisation contribue à la détection d'incidents de sécurité en collectant les données de journalisation.
Le système de journalisation porte sur les équipements suivants lorsqu'ils génèrent les événements mentionnés au premier alinéa :

Les événements enregistrés par le système de journalisation sont horodatés au moyen de sources de temps synchronisées. Ils sont, pour chaque SIE, centralisés et archivés pendant une durée d'au moins six mois. Le format d'archivage des événements permet de réaliser des recherches automatisées sur ces événements.

Règle 20. Corrélation et analyse de journaux

L'opérateur de services essentiels met en œuvre un système de corrélation et d'analyse de journaux qui exploite les événements enregistrés par le système de journalisation installé sur chacun des systèmes d'information essentiels (SIE), afin de détecter des événements susceptibles d'affecter la sécurité des SIE. Le système de corrélation et d'analyse de journaux contribue à la détection d'incidents de sécurité en analysant les données de journalisation.
Le système de corrélation et d'analyse de journaux est installé et exploité sur un système d'information mis en place exclusivement à des fins de détection d'événements susceptibles d'affecter la sécurité des systèmes d'information.
L'opérateur ou le prestataire mandaté à cet effet installe et exploite ce système de corrélation et d'analyse de journaux en s'appuyant sur les exigences du référentiel en matière de détection des incidents de sécurité pris en application de l'article 10 du décret n° 2015-350 du 27 mars 2015 modifié relatif à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité des systèmes d'information.

Section 2 : Gestion des incidents de sécurité

Règle 21. Réponse aux incidents

L'opérateur de services essentiels élabore, tient à jour et met en œuvre, conformément à sa politique de sécurité des réseaux et systèmes d'information, une procédure de traitement des incidents de sécurité affectant ses systèmes d'information essentiels (SIE).
L'opérateur ou le prestataire mandaté à cet effet procède au traitement des incidents en s'appuyant sur les exigences du référentiel en matière de réponse aux incidents de sécurité pris en application de l'article 10 du décret n° 2015-350 du 27 mars 2015 modifié relatif à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité des systèmes d'information.
Un système d'information spécifique doit être mis en place pour traiter les incidents, notamment pour stocker les relevés techniques relatifs aux analyses des incidents. Ce système est cloisonné vis-à-vis du SIE concerné par l'incident.
L'opérateur conserve les relevés techniques relatifs aux analyses des incidents pendant une durée d'au moins six mois. Il tient ces relevés techniques à la disposition de l'Agence nationale de la sécurité des systèmes d'information.

Règle 22. Traitement des alertes

L'opérateur de services essentiels met en place un service lui permettant de prendre connaissance, dans les meilleurs délais, d'informations transmises par l'Agence nationale de la sécurité des systèmes d'information relatives à des incidents, des vulnérabilités et des menaces. Il met en œuvre une procédure pour traiter les informations ainsi reçues et le cas échéant prendre les mesures de sécurité nécessaires à la protection de ses systèmes d'information essentiels (SIE).
L'opérateur communique à l'Agence nationale de la sécurité des systèmes d'information les coordonnées (nom du service, numéro de téléphone et adresse électronique) tenues à jour du service prévu à l'alinéa précédent.

Chapitre IV : Règles relatives à la résilience des activités

Règle 23. Gestion de crises

L'opérateur de services essentiels élabore, tient à jour et met en œuvre, conformément à sa politique de sécurité des réseaux et systèmes d'information, une procédure de gestion de crises en cas d'incidents de sécurité ayant un impact majeur sur les services essentiels de l'opérateur.
Cette procédure décrit l'organisation de la gestion de crises mise en place par l'opérateur et prévoit notamment l'application des mesures techniques suivantes aux systèmes d'information essentiels (SIE) :

La procédure précise les conditions dans lesquelles ces mesures peuvent être appliquées compte tenu des contraintes techniques et organisationnelles de mise en œuvre.

ANNEXE II
DÉLAIS D'APPLICATION DES RÈGLES DE SÉCURITÉ

 


REGLES DE SECURITE

DELAIS D'APPLICATION
(à compter de la date de désignation de l'opérateur
en tant qu'opérateur de services essentiels)

Règle 1. Analyse de risque

Délai prévu pour l'homologation de sécurité (délai de la règle 3)

Règle 2. Politique de sécurité

1 an

Règle 3. Homologation de sécurité

3 ans pour un système d'information essentiel (SIE) mis en service antérieurement à la date de désignation de l'opérateur de services essentiels.
2 ans pour un SIE mis en service dans un délai de 2 ans à compter de la date de désignation de l'opérateur de services essentiels.
Avant sa mise en service pour un SIE mis en service dans un délai supérieur à 2 ans à compter de la date de désignation de l'opérateur de services essentiels.

Règle 4. Indicateurs

2 ans

Règle 5. Audits de la sécurité

Délai prévu pour l'homologation de sécurité (délai de la règle 3)

Règle 6. Cartographie

1 an

Règle 7. Configuration

1 an

Règle 8. Cloisonnement

2 ans

Règle 9. Accès distant

2 ans

Règle 10. Filtrage

2 ans

Règle 11. Comptes d'administration

2 ans

Règle 12. Systèmes d'information d'administration

2 ans

Règle 13. Identification

1 an

Règle 14. Authentification

1 an

Règle 15. Droits d'accès

1 an

Règle 16. Procédure de maintien en conditions de sécurité

1 an

Règle 17. Sécurité physique et environnementale

1 an

Règle 18. Détection

2 ans

Règle 19. Journalisation

1 an

Règle 20. Corrélation et analyse de journaux

2 ans

Règle 21. Réponse aux incidents

1 an

Règle 22. Traitement des alertes

3 mois

Règle 23. Gestion de crises

1 an


Source Légifrance