Règle 1. Analyse de risque
L'opérateur de services essentiels effectue et tient à jour, dans le cadre de l'homologation de sécurité prévue à la règle 3, une analyse de risque de ses systèmes d'information essentiels (SIE).
Cette analyse de risque prend notamment en compte l'analyse que l'opérateur a menée pour identifier ses systèmes d'information en tant que SIE.
Règle 2. Politique de sécurité
L'opérateur de services essentiels élabore, tient à jour et met en œuvre une politique de sécurité des réseaux et systèmes d'information (PSSI).
La PSSI décrit l'ensemble des procédures et des moyens organisationnels et techniques mis en œuvre par l'opérateur afin d'assurer la sécurité de ses systèmes d'information essentiels (SIE).
Dans le domaine de la gouvernance de la sécurité, la PSSI définit :
- les objectifs et les orientations stratégiques en matière de sécurité des SIE ;
- l'organisation de la gouvernance de la sécurité et notamment les rôles et les responsabilités du personnel interne et du personnel externe (prestataires, fournisseurs, etc.) à l'égard de la sécurité des SIE ;
- les plans de sensibilisation à la sécurité des SIE au profit de l'ensemble du personnel ainsi que des plans de formation à la sécurité des SIE au profit des personnes ayant des responsabilités particulières, notamment les personnes en charge de l'administration et de la sécurité des SIE et les utilisateurs disposant de droits d'accès privilégiés aux SIE ;
- la procédure d'homologation de sécurité des SIE ;
- les procédures de contrôle et d'audit de la sécurité des SIE, notamment celles mises en œuvre dans le cadre de l'homologation de sécurité.
Dans le domaine de la protection, la PSSI définit :
- les mesures de sécurité générales, notamment en matière de gestion et de sécurité des ressources matérielles et logicielles des SIE, de contrôle d'accès aux SIE, d'exploitation et d'administration des SIE et de sécurité des réseaux, des postes de travail et des données ;
- les procédures et les mesures de sécurité physique et environnementale applicables aux SIE ;
- la procédure de maintien en conditions de sécurité des ressources des SIE.
Dans le domaine de la défense, la PSSI définit :
- la procédure de détection des incidents de sécurité ;
- la procédure de traitement des incidents de sécurité.
Dans le domaine de la résilience des activités, la PSSI définit :
- la procédure de gestion de crises en cas d'incidents de sécurité ayant un impact majeur sur les services essentiels de l'opérateur ;
- les procédures de continuité et de reprise d'activité.
La PSSI et ses documents d'application sont approuvés formellement par la direction de l'opérateur. L'opérateur élabore au profit de sa direction, au moins annuellement, un rapport sur la mise en œuvre de la PSSI et de ses documents d'application. Ce rapport précise notamment l'état des lieux des risques, le niveau de sécurité des SIE et les actions de sécurisation menées et prévues.
L'opérateur tient à la disposition de l'Agence nationale de la sécurité des systèmes d'information la PSSI, ses documents d'application et les rapports sur leur mise en œuvre.
Règle 3. Homologation de sécurité
L'opérateur de services essentiels procède à l'homologation de sécurité de chaque système d'information essentiel (SIE), en mettant en œuvre la procédure d'homologation prévue par sa politique de sécurité des réseaux et systèmes d'information.
L'homologation d'un système est une décision formelle prise par l'opérateur qui atteste que les risques pesant sur la sécurité de ce système ont été identifiés et que les mesures nécessaires pour le protéger sont mises en œuvre. Elle atteste également que les éventuels risques résiduels ont été identifiés et acceptés par l'opérateur.
Dans le cadre de l'homologation, un audit de la sécurité du SIE doit être réalisé conformément à la règle 5.
L'opérateur prend la décision d'homologuer un SIE sur la base du dossier d'homologation comportant notamment :
- l'analyse de risques et les objectifs de sécurité du SIE ;
- les procédures et les mesures de sécurité appliquées au SIE ;
- les rapports d'audit de la sécurité du SIE ;
- les risques résiduels et les raisons justifiant leur acceptation.
La validité de l'homologation est réexaminée par l'opérateur au moins tous les trois ans et lors de chaque événement ou évolution de nature à modifier le contexte décrit dans le dossier d'homologation. Chaque réexamen de l'homologation est consigné dans le dossier d'homologation. L'opérateur procède au renouvellement de l'homologation dès qu'elle n'est plus valide.
L'opérateur tient à la disposition de l'Agence nationale de la sécurité des systèmes d'information les décisions et dossiers d'homologation.
Règle 4. Indicateurs
L'opérateur de services essentiels évalue et tient à jour, pour chaque système d'information essentiel (SIE), les indicateurs suivants :
- des indicateurs relatifs au maintien en conditions de sécurité des ressources :
- le pourcentage de postes utilisateurs dont les ressources systèmes ne sont pas installées dans une version supportée par le fournisseur ou le fabricant ;
- le pourcentage de serveurs dont les ressources systèmes ne sont pas installées dans une version supportée par le fournisseur ou le fabricant ;
- des indicateurs relatifs aux droits d'accès des utilisateurs et à l'authentification des accès aux ressources :
- le pourcentage d'utilisateurs accédant au SIE au moyen de comptes privilégiés ;
- le pourcentage de ressources dont les éléments secrets d'authentification ne peuvent pas être modifiés par l'opérateur ;
- des indicateurs relatifs à l'administration des ressources :
- le pourcentage de ressources administrées dont l'administration est effectuée à partir d'un compte non spécifique d'administration ;
- le pourcentage de ressources administrées dont l'administration ne peut pas être effectuée au travers d'une liaison réseau physique ou d'une interface d'administration physique.
L'opérateur précise pour chaque indicateur la méthode d'évaluation employée et, le cas échéant, la marge d'incertitude de son évaluation. Lorsqu'un indicateur évolue de façon significative par rapport à l'évaluation précédente, l'opérateur en précise les raisons.
L'opérateur communique à l'Agence nationale de la sécurité des systèmes d'information, à sa demande, les indicateurs mis à jour sur un support électronique.
Règle 5. Audits de la sécurité
L'opérateur de services essentiels réalise, dans le cadre de l'homologation de sécurité prévue à la règle 3, un audit de la sécurité de chaque système d'information essentiel (SIE). L'audit doit aussi être réalisé lors de chaque renouvellement de l'homologation en prenant notamment en compte les résultats de la mise à jour de l'analyse de risque du SIE.
Cet audit vise à vérifier l'application et l'efficacité des mesures de sécurité du SIE et notamment le respect des présentes règles de sécurité. Il doit permettre d'évaluer le niveau de sécurité du SIE au regard des menaces et des vulnérabilités connues et comporte notamment la réalisation d'un audit d'architecture, d'un audit de configuration et d'un audit organisationnel et physique.
L'opérateur ou le prestataire mandaté à cet effet réalise cet audit en s'appuyant sur les exigences du référentiel en matière d'audit de sécurité des systèmes d'information pris en application de l'article 10 du décret n° 2015-350 du 27 mars 2015 modifié relatif à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité des systèmes d'information.
A l'issue de l'audit, l'opérateur ou, le cas échéant, le prestataire élabore un rapport d'audit qui expose les constatations sur les mesures appliquées et sur le respect des présentes règles de sécurité. Le rapport précise si le niveau de sécurité atteint est conforme aux objectifs de sécurité, compte tenu des menaces et des vulnérabilités connues. Il formule des recommandations pour remédier aux éventuelles non-conformités et vulnérabilités découvertes.
Règle 6. Cartographie
L'opérateur de services essentiels élabore et tient à jour, pour chaque système d'information essentiel (SIE), les éléments de cartographie suivants :
- les noms et les fonctions des applications, supportant les activités de l'opérateur, installées sur le SIE ;
- le cas échéant, les plages d'adresses IP de sortie du SIE vers internet ou un réseau tiers, ou accessibles depuis ces réseaux ;
- le cas échéant, les plages d'adresses IP associées aux différents sous-réseaux composant le SIE ;
- la description fonctionnelle et les lieux d'installation du SIE et de ses différents sous-réseaux ;
- la description fonctionnelle des points d'interconnexion du SIE et de ses différents sous-réseaux avec des réseaux tiers, notamment la description des équipements et des fonctions de filtrage et de protection mis en œuvre au niveau de ces interconnexions ;
- l'inventaire et l'architecture des dispositifs d'administration du SIE permettant de réaliser notamment les opérations d'installation à distance, de mise à jour, de supervision, de gestion des configurations, d'authentification ainsi que de gestion des comptes et des droits d'accès ;
- la liste des comptes disposant de droits d'accès privilégiés au SIE (appelés « comptes privilégiés »). Cette liste précise pour chaque compte le niveau et le périmètre des droits d'accès associés, notamment les comptes sur lesquels portent ces droits (comptes d'utilisateurs, comptes de messagerie, comptes de processus, etc.) ;
- l'inventaire, l'architecture et le positionnement des services de résolution de noms d'hôte, de messagerie, de relais internet et d'accès distant mis en œuvre par le SIE.
L'opérateur communique à l'Agence nationale de la sécurité des systèmes d'information, à sa demande, les éléments de cartographie mis à jour sur un support électronique.