Règle 7. Configuration
L'opérateur de services essentiels respecte les règles suivantes lorsqu'il installe des services et des équipements sur ses systèmes d'information essentiels (SIE) :
- l'opérateur installe sur ses SIE les seuls services et fonctionnalités qui sont indispensables à leur fonctionnement ou à leur sécurité. Il désactive les services et les fonctionnalités qui ne sont pas indispensables, notamment ceux installés par défaut, et les désinstalle si cela est possible. Lorsque la désinstallation n'est pas possible, l'opérateur le mentionne dans le dossier d'homologation du SIE concerné en précisant les services et fonctionnalités concernés et les mesures de réduction du risque mises en œuvre ;
- l'opérateur ne connecte à ses SIE que des équipements, matériels périphériques et supports amovibles dont il assure la gestion et qui sont indispensables au fonctionnement ou à la sécurité de ses SIE ;
- les supports amovibles inscriptibles connectés aux SIE sont utilisés exclusivement pour le fonctionnement, y compris la maintenance et l'administration, ou la sécurité des SIE ;
- l'opérateur procède, avant chaque utilisation de supports amovibles, à l'analyse de leur contenu, notamment à la recherche de code malveillant. L'opérateur met en place, sur les équipements auxquels sont connectés ces supports amovibles, des mécanismes de protection contre les risques d'exécution de code malveillant provenant de ces supports.
Règle 8. Cloisonnement
L'opérateur de services essentiels procède au cloisonnement de ses systèmes d'information essentiels (SIE) afin de limiter la propagation des attaques informatiques au sein de ses systèmes ou ses sous-systèmes. Il respecte les règles suivantes :
- chaque SIE est cloisonné physiquement ou logiquement vis-à-vis des autres systèmes d'information de l'opérateur et des systèmes d'information de tiers ;
- lorsqu'un SIE est lui-même constitué de sous-systèmes, ceux-ci sont cloisonnés entre eux physiquement ou logiquement. Un sous-système peut être constitué pour assurer une fonctionnalité ou un ensemble homogène de fonctionnalités d'un SIE ou encore pour isoler des ressources d'un SIE nécessitant un même besoin de sécurité ;
- seules les interconnexions strictement nécessaires au bon fonctionnement et à la sécurité d'un SIE sont mises en place entre le SIE et les autres systèmes ou entre les sous-systèmes du SIE.
Dans le cas particulier d'une interconnexion entre internet et un SIE nécessaire à la fourniture de services d'hébergement de noms de domaine, d'hébergement de zones de premier niveau, de résolution de noms de domaine ou d'interconnexion par appairage pour l'échange de trafic internet, l'opérateur n'est pas tenu d'assurer un cloisonnement physique ou logique au niveau de cette interconnexion mais met en œuvre des mesures de protection appropriées telles que celles préconisées par l'Agence nationale de la sécurité des systèmes d'information.
Par ailleurs, lorsqu'un service essentiel nécessite que le SIE nécessaire à sa fourniture soit accessible via un réseau public, l'opérateur organise ce SIE, selon le principe de la défense en profondeur, en au moins deux sous-systèmes comme suit :
- un premier sous-système correspondant à la partie du SIE directement accessible via ce réseau public, auquel l'opérateur applique des mesures de cloisonnement appropriées telles que celles préconisées par l'Agence nationale de la sécurité des systèmes d'information ;
- un deuxième sous-système correspondant à la partie interne du SIE auquel l'opérateur applique la présente règle sur le cloisonnement.
L'opérateur décrit dans le dossier d'homologation de chaque SIE les mécanismes de cloisonnement qu'il met en place.
Règle 9. Accès distant
L'opérateur de services essentiels protège les accès à ses systèmes d'information essentiels (SIE) effectués à travers des systèmes d'information tiers.
En particulier, lorsqu'un service essentiel nécessite que le SIE nécessaire à sa fourniture soit accessible via un réseau public, l'opérateur protège cet accès au moyen de mécanismes cryptographiques conformes aux règles préconisées par l'Agence nationale de la sécurité des systèmes d'information.
Par ailleurs, lorsque l'opérateur ou un prestataire qu'il a mandaté à cet effet accède à un SIE via un système d'information qui n'est pas sous le contrôle de l'opérateur ou du prestataire, l'opérateur applique ou fait appliquer à son prestataire les règles suivantes :
- l'accès au SIE est protégé par des mécanismes de chiffrement et d'authentification conformes aux règles préconisées par l'Agence nationale de la sécurité des systèmes d'information ;
- lorsque l'accès au SIE est effectué depuis un site extérieur à celui de l'opérateur, le mécanisme d'authentification est renforcé en mettant en œuvre une authentification à double facteur (authentification impliquant à la fois un élément secret et un autre élément propre à l'utilisateur), sauf si des raisons techniques ou opérationnelles, précisées dans le dossier d'homologation du SIE, ne le permettent pas ;
- les équipements utilisés pour accéder au SIE sont gérés et configurés par l'opérateur ou, le cas échéant, par le prestataire. Lorsque l'accès au SIE est effectué depuis un site extérieur à celui de l'opérateur, les mémoires de masse de ces équipements sont en permanence protégées par des mécanismes de chiffrement et d'authentification conformes aux règles préconisées par l'Agence nationale de la sécurité des systèmes d'information.
L'opérateur décrit dans le dossier d'homologation de chaque SIE les mécanismes de protection des accès au SIE qu'il met en place.
Règle 10. Filtrage
L'opérateur de services essentiels met en place des mécanismes de filtrage des flux de données circulant dans ses systèmes d'information essentiels (SIE) afin de bloquer la circulation des flux inutiles au fonctionnement de ses systèmes et susceptibles de faciliter des attaques informatiques. Il respecte les règles suivantes :
- l'opérateur définit les règles de filtrage des flux de données (filtrage sur les adresses réseau, sur les protocoles, sur les numéros de port, etc.) permettant de limiter la circulation des flux aux seuls flux de données nécessaires au fonctionnement et à la sécurité de ses SIE ;
- les flux entrants et sortants des SIE ainsi que les flux entre sous-systèmes des SIE sont filtrés au niveau de leurs interconnexions de manière à ne permettre la circulation que des seuls flux strictement nécessaires au fonctionnement et à la sécurité des SIE. Les flux qui ne sont pas conformes aux règles de filtrage sont bloqués par défaut ;
- l'opérateur établit et tient à jour une liste des règles de filtrage mentionnant l'ensemble des règles en vigueur ou supprimées depuis moins d'un an. Cette liste précise pour chaque règle :
- le motif et la date de la mise en œuvre, de la modification ou de la suppression de la règle ;
- les modalités techniques de mise en œuvre de la règle.
Dans le cas particulier d'un SIE nécessaire à la fourniture de service d'interconnexion par appairage pour l'échange de trafic internet, l'opérateur ne met en place de mécanismes de filtrage que pour les flux de données autres que ceux correspondant au trafic internet proprement dit.
L'opérateur décrit dans le dossier d'homologation de chaque SIE les mécanismes de filtrage qu'il met en place.