Un opérateur de services essentiels (OSE) est, en France[1], un statut caractérisant une entité publique ou privée qui fournit un service essentiel et qui est tributaire de réseaux informatiques ou de systèmes d'informations et dont l'arrêt aurait un impact significatif sur le fonctionnement de l'économie ou la société.
La Directive Sécurité des Réseaux Informatiques (SRI) adoptée par la Commission Européenne le devant être déclinée en droit français au plus tard le précise les règles de désignation des OSE[2].
Son objectif est de répondre aux menaces en matière de sécurité et aux enjeux de cybersécurité définis au niveau européen par la directive Sécurité des Réseaux Informatiques (SRI) élaborée par la Commission européenne en 2013[2].
Définitions
Services essentiels
Pour être considéré comme un service essentiel (SE) un service doit répondre à trois critères :
le service est essentiel au maintien d'activités sociétales ou économiques critiques ;
le service doit être tributaire de réseaux informatiques et de systèmes d'informations ;
un incident sur ces réseaux ou systèmes d'informations aurait un effet disruptif important sur la fourniture du service.
La directive SRI précise les facteurs trans-sectoriels suivants pour caractériser un effet disruptif important :
le nombre d'utilisateurs tributaires du service fourni par l'entité concernée ;
la dépendance des autres secteurs visés par l'annexe II de la Directive[4] ;
les conséquences que des incidents pourraient avoir, en termes de degré et de durée, sur les fonctions économiques ou sociétales ou sur la sûreté publique ;
la part de marché de cette entité ;
la portée géographique eu égard à la zone susceptible d'être touchée par un incident ;
l'importance que revêt l'entité pour garantir un niveau de service suffisant, compte tenu de la disponibilité de solutions de rechange pour la fourniture de ce service[4].
Réseaux et systèmes d'informations
La Directive SRI entend par réseau et système d'information :
un réseau de communications électroniques,
tout dispositif ou tout ensemble de dispositifs interconnectées ou apparentés, dont un ou plusieurs éléments assurent, en exécution d'un programme, un traitement automatisé de données numériques,
ou les données numériques stockées, traitées, récupérées ou transmises en vue de leur fonctionnement, utilisation, protection et maintenance.
Opérateurs de services essentiels
Un OSE est un statut relatif à une entité publique ou privée dont le type (prestataires de soins de santé, établissement de crédits...) est référencé dans l'annexe II de la Directive[4] et qui rend un service essentiel et est tributaire de réseaux et systèmes d'informations.
Obligations
Les obligations qui s'appliquent, en France, aux OSE sont de trois sortes[5] :
appliquer les règles de sécurité aux réseaux et systèmes d'informations essentiels identifiés par l'OSE ;
notifier à l'ANSSI les incidents de sécurité survenus sur les Système d'Information Essentiel (SIE) ;
accepter les audits et les contrôles par l'ANSSI ou un organisme qualifié par l'ANSSI de ses règles et de son niveau de sécurité.
Mesures essentielles
La Directive SRI identifie cinq mesures principales :