{"id":26769,"date":"2020-03-30T13:33:18","date_gmt":"2020-03-30T11:33:18","guid":{"rendered":"https:\/\/www.oodrive.fr\/?p=26769"},"modified":"2023-08-11T11:42:00","modified_gmt":"2023-08-11T11:42:00","slug":"oiv-ose-obligations-cybersecurite-assurance","status":"publish","type":"post","link":"https:\/\/www.oodrive.com\/fr\/blog\/securite\/cybersecurite\/oiv-ose-obligations-cybersecurite-assurance\/","title":{"rendered":"OIV et OSE : des obligations strictes pour la cybers\u00e9curit\u00e9 des acteurs de l\u2019assurance"},"content":{"rendered":"\n

En 2018, 80 % des entreprises ont subi au moins une cyberattaque<\/strong>. Pr\u00e8s d\u2019un quart en ont subi 15 ou plus. <\/p>\n\n\n\n

Certaines de ces entreprises ont des activit\u00e9s plus strat\u00e9giques que d\u2019autres, et ont l\u2019obligation de se prot\u00e9ger plus efficacement contre les cyber-menaces<\/strong>. <\/p>\n\n\n\n

C\u2019est tout l\u2019objet du statut d\u2019OSE<\/strong> (Op\u00e9rateur de Services Essentiels) fix\u00e9 par la transcription dans le droit fran\u00e7ais d\u2019une directive europ\u00e9enne de 2016. <\/p>\n\n\n\n

Dans le prolongement du dispositif de cybers\u00e9curit\u00e9 touchant aux OIV (Op\u00e9rateurs d\u2019Importance Vitale), la d\u00e9signation d\u2019entreprises comme OSE et les obligations qui en d\u00e9coulent visent \u00e0 faire face \u00e0 l\u2019augmentation en volume et en sophistication des attaques informatiques, et \u00e0 att\u00e9nuer leur impact sur le fonctionnement de la soci\u00e9t\u00e9 et\/ou de l\u2019\u00e9conomie. <\/p>\n\n\n\n

Dans un contexte de crise sanitaire cr\u00e9\u00e9e par le Coronavirus, le nombre de tentatives de vol de donn\u00e9es ou d’autres formes de piratage a explos\u00e9. <\/strong><\/p>\n\n\n\n

Le t\u00e9l\u00e9travail, devenu la norme, est source d’opportunit\u00e9s multiples pour les cybercriminels d’o\u00f9 le besoin d’une prudence accrue et de dispositifs de cybers\u00e9curit\u00e9 optimaux,<\/strong> en particulier pour les acteurs de l’assurance veillant \u00e0 la continuit\u00e9 et \u00e0 la bonne sant\u00e9 de l’\u00e9conomie.<\/strong><\/p>\n\n\n\n

Parmi la quinzaine de secteurs concern\u00e9s par le statut d\u2019OSE, on trouve les acteurs du monde de l\u2019assurance<\/strong> : assureurs, mutuelles, r\u00e9assureurs et institutions de pr\u00e9voyance<\/strong>. <\/p>\n\n\n\n

Des cibles particuli\u00e8rement pris\u00e9es des cybercriminels : elles ont subi davantage d\u2019attaques durant le premier semestre 2019 que sur les ann\u00e9es 2015 et 2016 enti\u00e8res. Sans parler des sinistres eux-m\u00eames, dont la gravit\u00e9 ne cesse d\u2019augmenter. <\/p>\n\n\n\n

En raison de l\u2019impact n\u00e9gatif que pourrait avoir une interruption de leurs services sur le pays, certains de ces organismes doivent d\u00e9sormais respecter des obligations au regard de la s\u00e9curit\u00e9 des syst\u00e8mes d\u2019information et des r\u00e9seaux, au m\u00eame titre que les op\u00e9rateurs du transport, de l\u2019\u00e9nergie ou de la sant\u00e9.<\/p>\n\n\n\n

Ce changement de statut, impos\u00e9 aux assureurs, est une occasion en or de mettre \u00e0 jour leurs garde-fous cyber. <\/p>\n\n\n\n

Mais c\u2019est aussi une contrainte \u00e0 plusieurs niveaux<\/strong>, avec des sanctions pr\u00e9vues en cas de manquements \u2013 un m\u00e9canisme que l\u2019on retrouve, presque \u00e0 l\u2019identique, dans le fonctionnement du RGPD, autre directive europ\u00e9enne traduite dans le droit national. <\/p>\n\n\n\n

Pour \u00e9claircir ce sujet complexe, nous vous proposons de plonger dans l\u2019univers des OIV et des OSE<\/strong>, et de faire le tour des nouvelles obligations qui incombent aux acteurs de l\u2019assurance<\/strong> au regard de la cybers\u00e9curit\u00e9<\/strong>.<\/p>\n\n\n\n

OIV et OSE : de quoi s\u2019agit-il ?<\/h2>\n\n\n\n

S\u2019ils ne d\u00e9signent pas forc\u00e9ment les m\u00eames entit\u00e9s, OIV et OSE vont n\u00e9anmoins de pair<\/strong>. <\/p>\n\n\n\n

Tout commence avec les OIV, Op\u00e9rateurs d\u2019Importance Vitale, un statut introduit dans le cadre du dispositif interminist\u00e9riel de s\u00e9curit\u00e9 des activit\u00e9s d\u2019importance vitale (SAIV), lui-m\u00eame inscrit dans le code de la D\u00e9fense nationale.<\/p>\n\n\n\n

SecNumCloud : le label de confiance<\/p>

Le r\u00e9f\u00e9rentiel qui garantit le plus haut niveau de s\u00e9curit\u00e9 pour la protection de vos donn\u00e9es sensibles.<\/p><\/div>

\"oodrive
En savoir plus<\/span><\/div><\/div><\/a>\n\n\n\n

Le principe est simple : certains op\u00e9rateurs, publics ou priv\u00e9s, exploitent des \u00e9quipements et des installations indispensables au fonctionnement de la nation, donc \u00e0 sa survie. <\/p>\n\n\n\n

C\u2019est le cas, par exemple, des gestionnaires d\u2019installations nucl\u00e9aires ou d\u2019alimentation en eau, des acteurs du secteur militaire, ou des organismes op\u00e9rant dans le domaine de la sant\u00e9. <\/p>\n\n\n\n

Il suffit d\u2019imaginer les cons\u00e9quences d\u2019une cyberattaque lanc\u00e9e contre une centrale nucl\u00e9aire, pouss\u00e9e \u00e0 l\u2019implosion, pour comprendre l\u2019importance d\u2019un tel dispositif de renforcement des protections.<\/p>\n\n\n\n

Introduit par la loi de programmation militaire de 2013, le dispositif prend acte de l\u2019augmentation des cyberattaques en termes de volume, de sophistication et de gravit\u00e9. 200 organismes, entreprises et institutions ont \u00e9t\u00e9 d\u00e9sign\u00e9s comme OIV depuis sa mise en application \u2013 une liste confin\u00e9e au plus grand secret.<\/p>\n\n\n\n

Les OSE s\u2019inscrivent dans la m\u00eame logique de protection des int\u00e9r\u00eats de la nation \u00e0 travers ses acteurs strat\u00e9giques<\/strong>. <\/p>\n\n\n\n

La directive europ\u00e9enne NIS*<\/strong> \u00e9tend le dispositif d\u00e9di\u00e9 aux OIV \u00e0 des acteurs dont les interruptions r\u00e9p\u00e9t\u00e9es ou de longue dur\u00e9e dans la fourniture des services pourraient avoir des effets n\u00e9gatifs sur le fonctionnement du pays, m\u00eame si ces acteurs ne sont pas \u00ab d\u2019importance vitale \u00bb (certains OSE \u00e9tant aussi des OIV, par ailleurs). <\/p>\n\n\n\n

Les Op\u00e9rateurs de Services Essentiels<\/strong> d\u00e9signent des \u00ab op\u00e9rateurs, publics ou priv\u00e9s, offrant des services essentiels au fonctionnement de la soci\u00e9t\u00e9 ou de l\u2019\u00e9conomie et dont la continuit\u00e9 pourrait \u00eatre gravement affect\u00e9e par des incidents touchant les r\u00e9seaux et syst\u00e8mes d\u2019information n\u00e9cessaires \u00e0 la fourniture desdits services \u00bb<\/em>. (Article 5 de la loi du 26 f\u00e9vrier 2018.)<\/p>\n\n\n\n

On retiendra qu\u2019un OSE, pour \u00eatre consid\u00e9r\u00e9 comme tel, doit r\u00e9pondre \u00e0 trois crit\u00e8res :<\/p>\n\n\n\n