Articles

Article AUTONOME (Arrêté du 14 septembre 2018 fixant les règles de sécurité et les délais mentionnés à l'article 10 du décret n° 2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d'information des opérateurs de services essentiels et des fournisseurs de service numérique)

Article AUTONOME (Arrêté du 14 septembre 2018 fixant les règles de sécurité et les délais mentionnés à l'article 10 du décret n° 2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d'information des opérateurs de services essentiels et des fournisseurs de service numérique)


Règle 23. Gestion de crises


L'opérateur de services essentiels élabore, tient à jour et met en œuvre, conformément à sa politique de sécurité des réseaux et systèmes d'information, une procédure de gestion de crises en cas d'incidents de sécurité ayant un impact majeur sur les services essentiels de l'opérateur.
Cette procédure décrit l'organisation de la gestion de crises mise en place par l'opérateur et prévoit notamment l'application des mesures techniques suivantes aux systèmes d'information essentiels (SIE) :


- configurer les SIE de manière à éviter les attaques ou à en limiter les effets. Cette configuration peut viser :
- à proscrire l'utilisation de supports de stockage amovibles ou la connexion d'équipements nomades aux SIE ;
- à installer une mesure correctrice de sécurité sur un SIE particulier ;
- à restreindre le routage ;
- mettre en place des règles de filtrage sur les réseaux ou des configurations particulières sur les équipements terminaux. Cette mesure peut viser :
- à effectuer des restrictions d'accès sous forme de listes blanches et de listes noires d'utilisateurs ;
- à bloquer les échanges de fichiers d'un type particulier ;
- à isoler de tout réseau des sites internet, des applications, ou des équipements informatiques de l'opérateur ;
- isoler du réseau internet les SIE de l'opérateur. Cette mesure impose de déconnecter physiquement ou logiquement les interfaces réseau des SIE concernés.


La procédure précise les conditions dans lesquelles ces mesures peuvent être appliquées compte tenu des contraintes techniques et organisationnelles de mise en œuvre.