Lois, Directives et Qualifications liées à la cybersécurité : notre guide pratique pour s’y retrouver


PDIS, PASSI, PRIS, OSE, OIV… difficile de faire la différence entre tous les acronymes liés à l’aspect réglementaire de la cybersécurité. Alors qu’Orange Cyberdefense consacre le mois de février à la qualification PDIS, nous vous proposons un glossaire détaillé pour vous y retrouver.

PDIS, PASSI, PRIS… quelles différences ?

Les qualifications PDIS, PASSI et PRIS sont toutes trois décernées par l’Agence nationale de la sécurité des systèmes d’information (ANSSI), chacune dans un but différent.

La qualification PASSI

La première version applicable du référentiel d’obtention de la qualification PASSI (prestataire d’audit de la sécurité des systèmes d’information) date de 2013. Elle a été revue en 2015 pour y ajouter des spécificités en termes d’audits des systèmes industriels et de besoins relatifs à la sécurité nationale.

Le but de la qualification PASSI est d’accroître la qualité des prestations d’audit dans la cybersécurité. Elle homologue les compétences des auditeurs, leur déontologie et leurs méthodes et porte sur six types d’audits relatifs :

  • à l’architecture ;
  • à la configuration ;
  • au code source ;
  • à l’intrusion ;
  • à l’organisation ;

aux spécificités industrielles.

La qualification PDIS

La qualification des prestataires de détection d’incidents de sécurité (PDIS) est un label qui permet aux fournisseurs agréés d’accompagner les opérateurs d’importance vitale (OIV) dans la détection des cyberattaques.

Les exigences en matière de cybersécurité imposées aux OIV proviennent de la loi de Programmation militaire (LPM) de 2014-2019. Extrêmement strictes, celles-ci demeurent très difficiles à mettre en place sans l’accompagnement d’un fournisseur de cybersécurité.

Avant la qualification PDIS, les entreprises avaient beaucoup de mal à identifier des fournisseurs capables de les accompagner. Depuis le 22 janvier 2019, date où l’ANSSI a annoncé les premiers qualifiés PDIS, c’est désormais beaucoup plus simple.

Orange Cyberdefense fait partie des trois premiers fournisseurs (lien vers indicateur) de cybersécurité labellisés PDIS.

La qualification PRIS

Les dossiers de qualification des prestataires de réponse aux incidents de sécurité (PRIS) sont, au moment où nous publions cet article, encore étudiés par l’ANSSI. A ce jour donc, aucun fournisseur de cybersécurité n’a obtenu ce label. Neuf dossiers sont actuellement sur les bureaux des experts de l’ANSSI.

La qualification PRIS exige :

  • la définition d’une méthode de réponse aux incidents adaptée à un contexte donné ;
  • la recherche, la collecte et l’analyse des éléments provenant des SI ;
  • l’identification des modes opératoires et des objectifs des cyberattaquants ;
  • l’analyse de l’étendue de l’incident de sécurité ;
  • l’aide à l’évaluation des risques et de leurs impacts ;

la préconisation de mesures de remédiation.

Guide des législations et régulations de la cybersécurité avec Orange Cyberdefense

LPM et directive NIS, quelles différences ?

La loi de programmation militaire (LPM) et la directive Network and Information Security (NIS) sont deux textes légaux, et non des qualifications. La LPM est un texte français quand la directive NIS est européenne. Cette dernière a été transposée par l’ANSSI dans le droit français au travers de trois lois datant de février, mai et juin 2018.

La LPM

La LPM ne concerne pas seulement la cybersécurité. C’est un plan stratégique de défense concernant toutes les instances militaires françaises. Celui-ci est voté tous les 5 ans. Comme indiqué plus haut dans cet article, La LPM de 2014-19 a renforcé les attentes en termes de cyberdéfense pour les OIV.

La LPM 2019-2025 a été promulguée le 13 juillet dernier, portant le budget de la défense à 2% du PIB d’ici à 2025.

La directive NIS

La directive NIS a été adoptée par l’Union européenne (UE) le 6 juillet 2016. Aussi appelée « directive sur la sécurité des réseaux et des systèmes d’information », elle a pour but de renforcer les capacités de chaque état membre en termes de cybersécurité.

Il ne s’agit en aucun cas d’un plan de défense mais bien d’une législation uniquement centrée sur la cybersécurité.

Comme la LPM, elle désigne un certain nombre d’entités clés pour chaque nation, les opérateurs de services essentiels (OSE).

OSE, OIV… quelles différences ?

Les définitions d’un OIV et d’un OSE sont assez proches. Selon l’ANSSI :

  • les OIV sont des installations « jugées indispensables pour la survie de la Nation » ;
  • les OSE fournissent « un service essentiel dont l’interruption aurait un impact significatif sur le fonctionnement de l’économie ou de la société ».

Et si les deux catégories se ressemblent autant, ce n’est pas un hasard. Les travaux de la LPM ont servi d’inspiration à l’écriture de la directive NIS. Pour rappel, les OIV obéissent aux critères de sécurité de la LPM. Pour les OSE, ce sont ceux de la directive NIS. Sur le site de l’ANSSI, nous pouvons ainsi lire : « L’ANSSI a capitalisé sur la méthodologie appliquée au niveau national lors de la mise en œuvre du dispositif, complémentaire, de protection des Opérateurs d’importance vitale (OIV), introduit par la LPM de 2013. Les retours d’expérience qui ont suivi la publication des premiers arrêtés sectoriels, en juillet 2016, ont été précieux pour mener les travaux de transposition de la directive concernant les opérateurs de services essentiels (OSE). »

La liste des OIV est plus restreinte que celle des OSE. Ainsi, les OSE ont permis d’étendre la cyberprotection exigée aux OIV à d’autres secteurs. Cela fait que certains OSE seront aussi des OIV. Pour l’ANSSI, les deux dispositifs sont « complémentaires ».

Quid des FSN ?

Les fournisseurs de services numériques (FSN) sont des acteurs désignés par la directive NIS. Il s’agit des places de marché, des moteurs de recherche et des opérateurs de services Cloud.

Tableau récapitulatif

Glossaire Orange Cyberdefense pour comprendre les qualifications et législations de la cybersécurité