En 2018, 80 % des entreprises ont subi au moins une cyberattaque. Près d’un quart en ont subi 15 ou plus.
Certaines de ces entreprises ont des activités plus stratégiques que d’autres, et ont l’obligation de se protéger plus efficacement contre les cyber-menaces.
C’est tout l’objet du statut d’OSE (Opérateur de Services Essentiels) fixé par la transcription dans le droit français d’une directive européenne de 2016.
Dans le prolongement du dispositif de cybersécurité touchant aux OIV (Opérateurs d’Importance Vitale), la désignation d’entreprises comme OSE et les obligations qui en découlent visent à faire face à l’augmentation en volume et en sophistication des attaques informatiques, et à atténuer leur impact sur le fonctionnement de la société et/ou de l’économie.
Dans un contexte de crise sanitaire créée par le Coronavirus, le nombre de tentatives de vol de données ou d’autres formes de piratage a explosé.
Le télétravail, devenu la norme, est source d’opportunités multiples pour les cybercriminels d’où le besoin d’une prudence accrue et de dispositifs de cybersécurité optimaux, en particulier pour les acteurs de l’assurance veillant à la continuité et à la bonne santé de l’économie.
Parmi la quinzaine de secteurs concernés par le statut d’OSE, on trouve les acteurs du monde de l’assurance : assureurs, mutuelles, réassureurs et institutions de prévoyance.
Des cibles particulièrement prisées des cybercriminels : elles ont subi davantage d’attaques durant le premier semestre 2019 que sur les années 2015 et 2016 entières. Sans parler des sinistres eux-mêmes, dont la gravité ne cesse d’augmenter.
En raison de l’impact négatif que pourrait avoir une interruption de leurs services sur le pays, certains de ces organismes doivent désormais respecter des obligations au regard de la sécurité des systèmes d’information et des réseaux, au même titre que les opérateurs du transport, de l’énergie ou de la santé.
Ce changement de statut, imposé aux assureurs, est une occasion en or de mettre à jour leurs garde-fous cyber.
Mais c’est aussi une contrainte à plusieurs niveaux, avec des sanctions prévues en cas de manquements – un mécanisme que l’on retrouve, presque à l’identique, dans le fonctionnement du RGPD, autre directive européenne traduite dans le droit national.
Pour éclaircir ce sujet complexe, nous vous proposons de plonger dans l’univers des OIV et des OSE, et de faire le tour des nouvelles obligations qui incombent aux acteurs de l’assurance au regard de la cybersécurité.
OIV et OSE : de quoi s’agit-il ?
S’ils ne désignent pas forcément les mêmes entités, OIV et OSE vont néanmoins de pair.
Tout commence avec les OIV, Opérateurs d’Importance Vitale, un statut introduit dans le cadre du dispositif interministériel de sécurité des activités d’importance vitale (SAIV), lui-même inscrit dans le code de la Défense nationale.
SecNumCloud : le label de confiance
Le référentiel qui garantit le plus haut niveau de sécurité pour la protection de vos données sensibles.
Le principe est simple : certains opérateurs, publics ou privés, exploitent des équipements et des installations indispensables au fonctionnement de la nation, donc à sa survie.
C’est le cas, par exemple, des gestionnaires d’installations nucléaires ou d’alimentation en eau, des acteurs du secteur militaire, ou des organismes opérant dans le domaine de la santé.
Il suffit d’imaginer les conséquences d’une cyberattaque lancée contre une centrale nucléaire, poussée à l’implosion, pour comprendre l’importance d’un tel dispositif de renforcement des protections.
Introduit par la loi de programmation militaire de 2013, le dispositif prend acte de l’augmentation des cyberattaques en termes de volume, de sophistication et de gravité. 200 organismes, entreprises et institutions ont été désignés comme OIV depuis sa mise en application – une liste confinée au plus grand secret.
Les OSE s’inscrivent dans la même logique de protection des intérêts de la nation à travers ses acteurs stratégiques.
La directive européenne NIS* étend le dispositif dédié aux OIV à des acteurs dont les interruptions répétées ou de longue durée dans la fourniture des services pourraient avoir des effets négatifs sur le fonctionnement du pays, même si ces acteurs ne sont pas « d’importance vitale » (certains OSE étant aussi des OIV, par ailleurs).
Les Opérateurs de Services Essentiels désignent des « opérateurs, publics ou privés, offrant des services essentiels au fonctionnement de la société ou de l’économie et dont la continuité pourrait être gravement affectée par des incidents touchant les réseaux et systèmes d’information nécessaires à la fourniture desdits services ». (Article 5 de la loi du 26 février 2018.)
On retiendra qu’un OSE, pour être considéré comme tel, doit répondre à trois critères :
- Fournir au moins un service essentiel à la continuité d’activités économiques ou sociétales critiques ;
- Être tributaire des réseaux et des systèmes d’information pour la fourniture de ce service ;
- Être confronté à un risque de suspension de ce service en cas de cyber-incident.
L’assurance fait partie des secteurs fournissant des services essentiels, à savoir : l’assurance vie, l’assurance non vie et la réassurance.
Ces secteurs sont précisés dans une liste publiée par décret. C’est l’Agence nationale de la sécurité des systèmes d’information (ANSSI), en coordination avec les ministères, qui désigne les OSE.
L’opérateur est contacté par courrier et peut émettre des réserves au regard de cette désignation, mais c’est le Premier ministre qui, in fine, prend la décision.
Dans le même temps, des échanges explicatifs permettent à l’opérateur désigné de prendre toute la mesure de la tâche nouvelle qui lui incombe.
Actuellement, on compte environ 300 OIV et OSE confondus, dont une centaine d’OSE. D’ici 2020, il devrait en exister près de 600.
Acteurs de l’assurance : comment vous préparer à ce changement de statut ?
Connaître les obligations imposées aux OSE
Tout comme les OIV, les OSE doivent respecter des obligations au regard de la sécurité de leurs réseaux et de leurs systèmes d’information quand ceux-ci jouent un rôle critique dans la pérennité de la fourniture d’un ou de plusieurs services essentiels.
On distingue trois grandes obligations dérivées de la directrice NIS.
D’abord, la plus importante : l’obligation d’appliquer les règles de sécurité aux services essentiels, ceux-ci ayant été préalablement identifiés par l’opérateur.
Ces règles concernent quatre domaines : la gouvernance de sécurité, la protection et la défense des réseaux et des SI, ainsi que la résilience des activités.
Elles sont au nombre de vingt-trois et couvrent, entre autres, l’analyse des risques, la politique de sécurité, l’homologation de sécurité, les audits de sécurité, la cartographie, le cloisonnement, l’accès distant, l’identification, l’authentification, les droits d’accès, le traitement des alertes ou la gestion des crises.
Chacune de ces règles est prévue pour être mise en place dans un délai spécifique, avec une marge de manœuvre plus ou moins grande.
L’homologation de sécurité doit intervenir dans les trois ans, mais la politique de sécurité, elle, doit être établie dans l’année, tout comme la cartographie et la conformité avec les règles relatives à l’identification, à l’authentification et aux droits d’accès.
Les volets liés à l’architecture ou à l’administration offrent un peu plus de temps (deux ans). Ces délais courent à compter de la désignation de l’opérateur comme OSE.
Si une compagnie d’assurance est désignée comme telle au 1er janvier 2020, elle aura donc jusqu’au 31 décembre de la même année pour réaliser la cartographie de ses réseaux et systèmes d’information, et pour garantir la sécurité des accès à ses serveurs en jouant sur les leviers de l’identification, de l’authentification et des droits utilisateurs (ce qui suppose de mettre en place des procédures rigoureuses de contrôle des accès, notamment via l’authentification forte).
Mais avant d’en arriver là, l’opérateur doit avoir désigné une personne en charge des échanges avec l’ANSSI dans les deux mois, et avoir déclaré ses systèmes d’information essentiels (SIE) dans les trois mois.
Protection des données sensibles
Protégez et sécurisez vos données sensibles grâce au SecNumCloud.
Ensuite, il y a l’obligation de notifier les incidents de sécurité à l’ANSSI dans les plus brefs délais.
Enfin, celle de coopérer pleinement lors des contrôles de conformité réalisés par l’Agence ou par l’un de ses prestataires qualifiés.
À cela, on peut ajouter une dernière obligation : veiller à ce que les règles de sécurité imposées aux OSE soient étendues aux sous-traitants de celles-ci.
Ceux qui connaissent bien le RGPD et ses mécaniques ne seront pas surpris : on retrouve le même mécanisme dans le cadre des OIV et des OSE.
Jusqu’au risque de sanction financière, certes moins élevé (125 000 euros, contre un maximum de 4 % du CA dans le cadre du RGPD), mais tout de même impactant.
Déclarer des systèmes d’information essentiels
Une fois l’entité désignée comme OIV ou OSE, elle doit se montrer proactive : c’est à elle de déclarer les installations, les équipements ou les systèmes ciblés par les obligations relatives à la cybersécurité.
En l’occurrence, pour les OSE, les systèmes d’information essentiels (SIE) sont ceux pour lesquels un incident de sécurité aurait un effet disruptif sur la fourniture d’un service donné.
L’évaluation de l’importance de cet effet repose sur le nombre d’utilisateurs tributaires de ce service, la dépendance des autres secteurs à l’égard du service fourni, les conséquences d’une interruption de ce service sur les fonctions économiques ou sociétales, la part de marché de l’opérateur, la portée géographique de l’effet produit par l’incident, et l’existence d’alternatives pour la fourniture dudit service par d’autres entités.
En somme, une compagnie d’assurance qui serait la seule à proposer un produit assurantiel majeur aurait pour obligation de désigner comme SIE les systèmes d’information utilisés pour garantir la fourniture de ce produit.
L’administration n’étant pas forcément experte dans le domaine concerné, la déclaration d’un SIE doit faire l’objet d’une description claire et compréhensible de son fonctionnement. Cette déclaration est ensuite mise à jour annuellement.
Déclarer un incident de sécurité
Dernier point : les OIV comme les OSE ont pour obligation de déclarer tout incident survenu à l’encontre d’un réseau ou d’un système d’information critique.
Cette procédure permet à l’ANSSI d’évaluer la menace de façon appropriée et de proposer une assistance adaptée.
Si le besoin s’en fait sentir au regard du risque, l’Agence peut également appeler à la coordination des États membres afin de préparer une réponse collective et proportionnée.
Les statuts OIV et OSE visent à responsabiliser les opérateurs proposant des services stratégiques et essentiels au fonctionnement du pays en les mettant face à leurs obligations de protection et de sécurisation des réseaux et des systèmes d’information.
Les acteurs de l’assurance sont pleinement concernés par ces obligations, notamment par la mise en place d’une procédure rigoureuse d’accès à ces réseaux et ces SI.
Mais cette évolution statutaire doit être vue moins comme une contrainte que comme une opportunité : celle de consolider la confiance accordée par les particuliers.
Dans un monde où l’insécurité cyber grandit, les OSE pourraient ainsi devenir des oasis de confiance où les clients s’arrêteraient pour se désaltérer.