Une entreprise désignée comme opérateur de services essentiels (OSE) en France doit signaler tout incident de sécurité affectant ses systèmes dans un délai maximum de 72 heures, sous peine de sanctions administratives. Cette obligation s’applique même lorsque le service concerné est externalisé auprès d’un prestataire étranger.La réglementation impose aussi une liste de mesures techniques et organisationnelles à maintenir, régulièrement contrôlées par l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Malgré la délégation possible de certaines tâches, la responsabilité juridique de l’OSE reste entière, y compris face à des fournisseurs défaillants.
Services essentiels : quelle réalité derrière cette notion en France ?
Sous le terme services essentiels, la France rassemble des activités qui tiennent littéralement le pays debout. Leur interruption brutale pourrait bousculer l’équilibre collectif ou l’économie entière. Le décret n°2018-384 du 23 mai 2018 fixe la liste de ces services, dans la continuité de la stratégie européenne.
La dynamique européenne laisse à chaque État le soin d’affiner ses propres Services d’Intérêt Général (SIG). En France, la définition s’élargit avec les Services Économiques d’Intérêt Général (SIEG), encadrés par le protocole 26 du Traité sur le fonctionnement de l’Union européenne (TFUE). L’énergie, la santé, les transports, l’eau : ces SIEG répondent à des exigences précises et font l’objet d’une jurisprudence riche. Prenons quelques jalons : l’arrêt Corbeau légitime la compensation financière d’un opérateur, celui de la Commune d’Almelo pose des bornes à la concurrence, et l’arrêt Altmark fixe les critères des aides publiques.
Cette architecture concerne autant le public que le privé. Dès lors qu’une entité garantit la continuité d’activités vitales pour la société, elle entre dans ce périmètre. Le principe de subsidiarité propre à l’Europe laisse à chaque pays la latitude d’organiser ses propres services publics. Parallèlement, les travailleurs essentiels, désignés selon leur secteur ou leur rôle en période de crise, sont mis en avant : leur présence devient une attente nationale lorsque la stabilité vacille.
Pour y voir plus clair, voici les grandes familles concernées :
- Services d’intérêt général : chaque État membre de l’UE les définit selon ses priorités.
- SIEG : soumis au droit européen, tout en conservant une forte composante nationale.
- Services publics : protégés par le principe de subsidiarité, encadré par le TFUE.
- Travailleurs essentiels : la continuité de la vie nationale dépend de leur activité.
Les opérateurs de services essentiels : définition, secteurs concernés et rôle clé
La notion d’opérateur de services essentiels (OSE) s’est installée avec l’arrivée de la directive NIS puis la loi du 26 février 2018. Public ou privé, l’OSE veille à la continuité d’activités dont la moindre défaillance pourrait bouleverser l’ordre public ou l’économie. La désignation de ces OSE, attribuée par le Premier ministre, s’appuie sur des critères d’impact et de criticité qui varient selon le secteur.
Le champ d’application est vaste : énergie, transports, banque, santé, eau, infrastructures numériques. Par exemple, les banques sont désignées OSE pour garantir les paiements et la stabilité financière. Dans la santé, cela couvre hôpitaux, laboratoires, prestataires de soins. L’arrêt d’un seul acteur peut avoir des répercussions en cascade.
Il existe une nuance importante : OSE et opérateurs d’importance vitale (OIV) n’ont pas la même portée. Les OSE relèvent de la directive NIS, les OIV sont régis par le code de la défense et la LPM n°2013-1168, qui protègent les secteurs stratégiques liés à la défense nationale. Cette dualité impose une coordination étroite, notamment avec l’ANSSI, chargée de contrôler la sécurité des réseaux de ces opérateurs.
Pour une vision synthétique, voici les spécificités de chaque catégorie :
- OSE : désignation par l’État, supervision par l’ANSSI, rayonnement multisectoriel
- OIV : statut fixé par le code de la défense, rôle clé dans la sécurité nationale
Quelles obligations en matière de cybersécurité pour les OSE ?
Les exigences en matière de cybersécurité pour les opérateurs de services essentiels (OSE) dépassent de loin la simple protection des données. Depuis la transposition de la directive NIS par la loi du 26 février 2018, un ensemble de règles strictes vise à renforcer la résilience des réseaux et systèmes d’information. Les OSE doivent évaluer sans relâche la sécurité de leurs infrastructures numériques, déployer des mesures techniques et organisationnelles robustes, et anticiper l’évolution des menaces.
L’ANSSI orchestre l’ensemble du dispositif. Audits, contrôles, investigations : l’agence surveille la conformité des OSE et intervient dès qu’une faille se profile. La notification à l’ANSSI d’un incident de sécurité est impérative : tout événement susceptible de perturber la continuité ou la sécurité d’un service doit être signalé immédiatement. L’agence évalue alors l’impact, peut informer le public ou les autorités, et imposer des mesures de remédiation.
Les principales exigences imposées aux OSE s’articulent autour de ces axes :
- Élaborer une politique de sécurité documentée et régulièrement actualisée
- Assurer une surveillance continue des systèmes d’information
- Former les équipes à la gestion de crise cyber
- Soumettre les dispositifs à des tests rigoureux, notamment via des audits réguliers
Des sanctions sont prévues en cas de défaillance, notamment des amendes administratives. Laisser filer la conformité n’est pas envisageable : la confiance des usagers et partenaires découle directement de la fiabilité et de l’intégrité de ces infrastructures majeures.
Externalisation des services essentiels : quels enjeux et précautions à anticiper ?
L’externalisation de services essentiels s’est généralisée dans de nombreux secteurs, notamment chez les banques ou les opérateurs d’infrastructures critiques. Confier une activité clé à un prestataire, infogérance, cloud, traitement de données, bouleverse la répartition des responsabilités. On parle alors de Prestations de Services Essentiels Externalisées (PSEE) : toute délégation influant sur la continuité, la qualité ou la conformité d’un service essentiel entre dans cette catégorie.
Pour les banques, le cadre est double : répondre aux exigences de l’ACPR et aux standards de l’EBA. Chaque mission externalisée doit être recensée, formalisée, auditée. Trois risques se détachent nettement : la dépendance à un prestataire unique, la perte de contrôle opérationnel, et la vulnérabilité des données. Le choix d’un partenaire ne se joue plus sur le tarif ou l’expertise technique : il engage la capacité à respecter la réglementation et à maintenir la résilience des opérations.
Pour fiabiliser ces délégations, plusieurs vérifications s’imposent :
- Mesurer la solidité des partenaires et leur conformité aux référentiels sectoriels
- Inscrire dans les contrats des clauses d’audit, de réversibilité et de continuité d’activité
- Superviser rigoureusement les flux d’information et les accès, notamment pour les données sensibles
L’ACPR surveille de près les PSEE : contrôles sur site, reporting obligatoire, capacité à imposer le rapatriement d’une activité jugée risquée. Déléguer ne signifie jamais s’effacer : la responsabilité demeure, contrat signé ou non. Piloter ses risques, c’est faire le choix d’une vigilance de tous les instants, dans un écosystème où la confiance doit constamment être méritée.
