Une entreprise désignée comme opérateur de services essentiels (OSE) en France doit signaler tout incident de sécurité affectant ses systèmes dans un délai maximum de 72 heures, sous peine de sanctions administratives. Cette obligation s’applique même lorsque le service concerné est externalisé auprès d’un prestataire étranger.
La réglementation impose aussi une liste de mesures techniques et organisationnelles à maintenir, régulièrement contrôlées par l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Malgré la délégation possible de certaines tâches, la responsabilité juridique de l’OSE reste entière, y compris face à des fournisseurs défaillants.
Services essentiels : quelle réalité derrière cette notion en France ?
Derrière l’expression services essentiels, la France regroupe des activités qui forment l’ossature du pays, celles dont l’arrêt brutal menacerait l’équilibre de la société ou de l’économie. Le décret n°2018-384 du 23 mai 2018 détaille ces services, en cohérence avec la stratégie européenne.
L’influence de l’Union européenne donne à chaque État la main pour préciser ses propres Services d’Intérêt Général (SIG). La France affine la définition avec les Services Économiques d’Intérêt Général (SIEG), encadrés par le protocole 26 du Traité sur le fonctionnement de l’Union européenne (TFUE). Ces SIEG, qui couvrent l’énergie, la santé, les transports ou encore l’approvisionnement en eau, sont soumis à des exigences précises et à une jurisprudence européenne abondante. Par exemple, l’arrêt Corbeau a confirmé la validité de compensations financières aux opérateurs, tandis que l’arrêt Commune d’Almelo a ouvert la voie à certaines limitations de concurrence, et l’arrêt Altmark a encadré les aides publiques.
Ce dispositif concerne aussi bien le secteur public que privé. Toute structure, dès lors qu’elle garantit la continuité des activités vitales à la collectivité, entre dans le champ. L’approche européenne, fondée sur la subsidiarité, laisse à chaque pays la liberté d’organiser ses propres services publics. À côté des organismes, les travailleurs essentiels, choisis selon leur secteur ou leur rôle en temps de crise, sont mis en avant : la Nation attend d’eux une présence sans faille lorsque la stabilité vacille.
Pour mieux comprendre, voici les principales catégories en jeu :
- Services d’intérêt général : chaque État membre de l’UE les définit selon ses priorités.
- SIEG : couverts par le droit européen mais conservant une forte dimension nationale.
- Services publics : protégés par le principe de subsidiarité et cadrés par le TFUE.
- Travailleurs essentiels : leur activité conditionne la continuité de la vie nationale.
Les opérateurs de services essentiels : définition, secteurs concernés et rôle clé
La catégorie des opérateurs de services essentiels (OSE) s’est imposée au fil des réformes, portée par la directive NIS et la loi du 26 février 2018. Que l’acteur soit public ou privé, il assure la continuité d’activités dont la moindre défaillance pourrait désorganiser l’ordre public ou l’économie. La désignation de ces OSE, encadrée par le Premier ministre, repose sur des critères d’impact et de criticité, secteur par secteur.
Le spectre est large. L’énergie, les transports, la banque, la santé, l’eau ou les infrastructures numériques sont tous concernés. Par exemple, les banques sont OSE pour garantir la fluidité des paiements et la stabilité financière. Côté santé, cela englobe les hôpitaux, laboratoires, prestataires de soins, dont l’activité ne tolère aucun arrêt durable.
Un point de distinction mérite d’être souligné : OSE et opérateurs d’importance vitale (OIV) n’ont pas le même statut. Les OSE relèvent de la directive NIS ; les OIV sont encadrés par le code de la défense et la LPM n°2013-1168, qui couvrent les secteurs stratégiques liés à la défense nationale. Cette coexistence oblige à une coordination étroite, notamment avec l’ANSSI, qui supervise la sécurité des réseaux de ces opérateurs.
Pour clarifier cette articulation, voici les grandes lignes de chacun :
- OSE : désignation par l’État, contrôle par l’ANSSI, couverture multisectorielle
- OIV : statut défini par le code de la défense, rôle central en matière de sécurité nationale
Quelles obligations en matière de cybersécurité pour les OSE ?
La cybersécurité des opérateurs de services essentiels (OSE) va bien au-delà de la protection des données. Depuis la transposition de la directive NIS par la loi du 26 février 2018, un ensemble d’exigences strictes encadre la résilience des réseaux et systèmes d’information. Les OSE doivent évaluer régulièrement la sécurité de leurs infrastructures numériques, mettre en place des mesures techniques et organisationnelles adaptées, et anticiper l’évolution des menaces.
L’ANSSI supervise l’ensemble du dispositif. Audits, contrôles, enquêtes : l’agence veille à la conformité des OSE et intervient dès qu’une faille est suspectée. La déclaration à l’ANSSI d’un incident de sécurité n’est pas négociable : tout événement qui perturbe la continuité ou la sécurité des services doit être signalé sans délai. L’agence analyse alors l’impact, peut alerter le public ou les autorités, et exiger des mesures correctives.
Les principales obligations imposées aux OSE peuvent être résumées ainsi :
- Mettre en place une politique de sécurité documentée et évolutive
- Assurer la surveillance permanente des systèmes d’information
- Former les équipes à la gestion de crise cyber
- Tester la robustesse des dispositifs, notamment par des audits réguliers
Des sanctions sont prévues pour les manquements, incluant des amendes administratives. Impossible de faire l’impasse : la confiance des usagers et partenaires dépend directement de la disponibilité et de l’intégrité de ces services structurants.
Externalisation des services essentiels : quels enjeux et précautions à anticiper ?
Externaliser la gestion de services essentiels s’est imposé dans de nombreux secteurs, en particulier pour les banques ou les opérateurs d’infrastructures critiques. Déléguer une activité clé à un prestataire, infogérance, cloud, traitement de données, change radicalement la répartition des responsabilités. On parle alors de Prestations de Services Essentiels Externalisées (PSEE) : toute activité déléguée qui impacte la continuité, la qualité ou la conformité d’un service essentiel entre dans ce champ.
Pour les banques, les exigences sont doubles : elles doivent répondre au contrôle de l’ACPR et aux directives de l’EBA. Chaque prestation externalisée doit être recensée, documentée, auditée. Trois risques dominent la réflexion : la dépendance à un seul prestataire, la perte de contrôle opérationnel, et la vulnérabilité des données. Le choix du partenaire ne se limite plus au prix ou à la spécialité technique : il engage la capacité à remplir les obligations réglementaires et à maintenir la résilience des activités.
Pour sécuriser ces délégations, plusieurs points doivent être vérifiés :
- Évaluer la robustesse des partenaires et leur conformité aux standards sectoriels
- Inscrire dans les contrats des clauses d’audit, de réversibilité et de plan de continuité
- Superviser les flux d’information et les accès, notamment pour les données sensibles
L’ACPR veille particulièrement sur les PSEE : contrôles sur site, exigences de reporting, capacité à exiger le rapatriement d’une activité risquée. Sur ce terrain, la responsabilité ne s’efface jamais totalement, même après la signature du contrat. Piloter ses risques, c’est accepter que la confiance ne se délègue pas, et que la vigilance doit rester le maître-mot dans un écosystème complexe et mouvant.
