Lois, Directives et Qualifications liées à la cybersécurité : notre guide pratique pour s’y retrouver

Difficile de faire la différence entre tous les acronymes liés à l’aspect réglementaire de la cybersécurité. Nous vous proposons ce glossaire détaillé pour vous y retrouver.

Les qualifications PDIS, PASSI et PRIS sont toutes trois décernées par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), chacune dans un but différent.

Ces qualifications attestent des compétences des prestataires de services en cybersécurité sur le périmètre de l’anticipation, détection, réaction, ainsi que de leur conformité aux exigences réglementaires, techniques et de sécurités listées dans les référentiels de l’ANSSI.

La première version applicable du référentiel d’obtention de la qualification PASSI (Prestataire d’Audit de la Sécurité des Systèmes d’Information) date de 2013. Elle a été revue en 2015 pour y ajouter des spécificités en termes d’audits des systèmes industriels et de besoins relatifs à la sécurité nationale.

Le but de la qualification PASSI est d’accroître la qualité des prestations d’audit dans la cybersécurité. Elle homologue les compétences des auditeurs, leur déontologie et leurs méthodes et porte sur six types d’audits relatifs :

• à l’architecture ;
• à la configuration ;
• au code source ;
• à l’intrusion ;
• à l’organisation ;
• aux spécificités industrielles.

Orange Cyberdefense fait partie des rares prestataires à être qualifié PASSI RGS et PASSI LPM.

La qualification des prestataires de détection d’incidents de sécurité (PDIS) est un label qui permet aux fournisseurs agréés d’accompagner les opérateurs d’importance vitale (OIV) dans la détection des cyberattaques.

Les exigences en matière de cybersécurité imposées aux OIV proviennent de la loi de Programmation militaire (LPM) de 2014-2019. Extrêmement strictes, celles-ci demeurent très difficiles à mettre en place sans l’accompagnement d’un fournisseur de cybersécurité.

Avant la qualification PDIS, les entreprises avaient beaucoup de mal à identifier des fournisseurs capables de les accompagner. Depuis le 22 janvier 2019, date où l’ANSSI a annoncé les premiers qualifiés PDIS, c’est désormais beaucoup plus simple.

Orange Cyberdefense fait partie des trois premiers fournisseurs de cybersécurité labellisés PDIS.

La loi de programmation militaire (LPM) et la directive Network and Information Security (NIS) sont deux textes légaux, et non des qualifications. La LPM est un texte français quand la directive NIS est européenne. Cette dernière a été transposée par l’ANSSI dans le droit français au travers de trois lois datant de février, mai et juin 2018.

La LPM ne concerne pas seulement la cybersécurité. C’est un plan stratégique de défense concernant toutes les instances militaires françaises qui est voté tous les 5 ans. Comme indiqué plus haut dans cet article, La LPM de 2014-19 a renforcé les attentes en termes de cyberdéfense pour les OIV.

La LPM 2019-2025 a été promulguée le 13 juillet 2018 et porte le budget de la défense à 2% du PIB d’ici à 2025.

La directive NIS a été adoptée par l’Union européenne (UE) le 6 juillet 2016. Aussi appelée « directive sur la sécurité des réseaux et des systèmes d’information », elle a pour but de renforcer les capacités de chaque état membre en termes de cybersécurité.

Il ne s’agit en aucun cas d’un plan de défense mais bien d’une législation uniquement centrée sur la cybersécurité.

Comme la LPM, elle désigne un certain nombre d’entités clés pour chaque nation, les opérateurs de services essentiels (OSE).

Les définitions d’un OIV et d’un OSE sont assez proches. Selon l’ANSSI :

• les OIV sont des installations « jugées indispensables pour la survie de la Nation » ;
• les OSE fournissent « un service essentiel dont l’interruption aurait un impact significatif sur le fonctionnement de l’économie ou de la société ».

Et si les deux catégories se ressemblent autant, ce n’est pas un hasard. Les travaux de la LPM ont servi d’inspiration à l’écriture de la directive NIS. Pour rappel, les OIV obéissent aux critères de sécurité de la LPM. Pour les OSE, ce sont ceux de la directive NIS. Sur le site de l’ANSSI, nous pouvons ainsi lire : « L’ANSSI a capitalisé sur la méthodologie appliquée au niveau national lors de la mise en œuvre du dispositif, complémentaire, de protection des Opérateurs d’importance vitale (OIV), introduit par la LPM de 2013. Les retours d’expérience qui ont suivi la publication des premiers arrêtés sectoriels, en juillet 2016, ont été précieux pour mener les travaux de transposition de la directive concernant les opérateurs de services essentiels (OSE). »

La liste des OIV est plus restreinte que celle des OSE. Ainsi, les OSE ont permis d’étendre la cyberprotection exigée aux OIV à d’autres secteurs. Cela fait que certains OSE seront aussi des OIV. Pour l’ANSSI, les deux dispositifs sont « complémentaires ».

Les fournisseurs de services numériques (FSN) sont des acteurs désignés par la directive NIS. Il s’agit des places de marché, des moteurs de recherche et des opérateurs de services Cloud.