Les FSN (Fournisseurs de Service Numérique) correspondent aux entreprises de plus de 50 salariés ou qui réalisent plus de 10 millions de chiffre d’affaire et qui ont des activités dans le domaine du Cloud, des moteurs de recherches et des « market places ». Au sens de la loi européenne, le « market place » ou « place de marché en ligne » est un terme très vaste qui regroupe des activités comme le traitement de transactions, l'agrégation de données, le profilage d'utilisateurs, les magasins d'applications en ligne, la distribution numérique d'applications ou de logiciels émanant de tiers.

Le cadre légal

Le cadre européen est défini dans la directive 2016/1148 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union, surnommé directive NIS (network and information security), complété par le règlement d’exécution du 2018/151 de la commission du 30 janvier 2018. Chaque Etat membre doit transposer la directive dans son droit national. Si le FSN est implanté dans plusieurs pays, c’est la localisation du siège social qui détermine le pays et l’agence nationale (ANSSI pour la France) qui définit les obligations.

En France, les textes de références sont :

• La loi n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité.
• Le décret n° 2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d'information des opérateurs de services essentiels et des fournisseurs de service numérique.
• L’arrêté du 13 juin 2018 fixant les modalités des déclarations prévues aux articles 8, 11 et 20 du décret n° 2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d'information des opérateurs de services essentiels et des fournisseurs de service numérique.
• L’arrêté du 1er août 2018 relatif au coût d'un contrôle effectué par l'Agence nationale de la sécurité des systèmes d'information en application des articles 8 et 14 de la loi n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité.

Les obligations des FSN

En France, les obligations des FSN sont résumées ci-dessous :

• Désigner et communiquer à l’ANSSI leur représentant sur le territoire national.
• Définir et maintenir à jour la liste des systèmes d’information et des réseaux utilisés, y compris les services des sous-traitants.
• Analyser et traiter ses risques. Activité classique mais fondamentale en cybersécurité, l’analyse des risques consistent à déterminer ses activités métiers et les risques associés en mesurant leur impact et leur vraisemblance. L’objectif étant de traiter ses risques par des mesures de sécurité des systèmes et des installations, de gestion des incidents, de gestion de la continuité des activités, d’audit et de contrôle et du respect des normes internationales. Par exemple le cadre des normes ISO 2700x (ISO 27035 pour la gestion des incidents) ou la méthode EBIOS risk manager pour les risques sont souvent utilisées. La norme ISO 27005 fournit des bonnes pratiques pour traiter les risques de cybersécurité.
• Déclarer à l’ANSSI tout incident de sécurité susceptible d’avoir un impact significatif sur la continuité de services des FSN. Une fiche type de signalement doit être renseignée et communiqué sous forme électronique chiffrée (ACID cryptofiler, Zed!, Truecrypt ou GPG).
• Être soumis à des contrôles de sécurité, effectués par l’ANSSI ou par des PASSI (Prestataires d'audit de la sécurité des systèmes d'information qualifiés).

PROSICA accompagne les fournisseurs de service numérique dans leur démarche de mise en conformité et de formation de leurs collaborateurs. Contactez-nous à «formation at prosica.fr » ou « contact at prosica.fr » pour toute demande de renseignements.

  Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :