La France avait jusqu’au mois de mai 2018 pour transposer en droit français la directive européenne sur la sécurité des réseaux et des systèmes d’information (directive NIS – Network and Information Security).
Avec quelques mois d’avance, elle a ainsi adopté le 27 février dernier une loi qui renforce le dispositif de cybersécurité sur notre territoire.
Concrètement, qu’est-ce qui change ?
Jusqu’à présent, le dispositif de cybersécurité qui a commencé à être mis en place en 2013 en France visait uniquement 230 opérateurs d’importance vitale (OIV). Il s’agit de toutes les organisations, privées ou publiques, exploitant ou utilisant des installations stratégiques et « indispensables pour la survie de la nation » : services de santé, les opérateurs de télécommunications, les centrales nucléaires, etc… Pour des raisons de sécurité nationale, la liste exacte des OIV est gardée confidentielle.
Mais cette protection était loin d’être suffisante ! Les attaques informatiques, de plus en plus sophistiquées et virulentes, sont en constante augmentation. A titre d’exemple, en mai 2017, la cyberattaque WannaCry a a touché plus de 300 000 ordinateurs dans 150 pays. Un mois plus tard, c’était au tour du logiciel malveillant NotPetya d’affecter plusieurs centaines de milliers d’ordinateurs dans le monde entier.
Les conséquences de ces piratages ne sont pas seulement virtuelles : chantage et demande de rançon, systèmes informatiques totalement paralysés… Tout le monde peut subir, à des degrés divers, l’impact des attaques criminelles en ligne : les particuliers et les professionnels, les très petites entreprises comme les grands groupes.
La nouvelle loi va donc élargir le dispositif de cybersécurité à plusieurs centaines d’organismes publics ou privés (administrations, secteurs de l’énergie, des marchés financiers et de la banque, des transports, de l’eau…), dont la liste ne sera pas communiquée.
Désignés par le Premier Ministre, ces opérateurs de services essentiels (OSE) devront se conformer à des règles de sécurité informatique plus efficaces élaborées par l’ANSSI (Agence nationale de la sécurité des systèmes d’information). Les fournisseurs de services numériques (FSN : places de marché, moteurs de recherche et opérateurs « cloud ») sont également visés par ces mesures.
Quelles sont les mesures de sécurité qui vont s’imposer aux OSE ?
L’objectif est d’assurer à tous un niveau de sécurité cohérent avec le risque existant.
Pour l’instant, le détail des différentes règles de sécurité destinées à protéger les réseaux et systèmes ne figure pas dans le texte de loi. Il faudra donc attendre un prochain décret pour savoir quelles seront les mesures à mettre en place concernant par exemple le respect des normes internationales, la gestion des incidents ou de la continuité des activités, le suivi, les règles d’audit et de contrôle.
Seule certitude : les OSE auront l’obligation de signaler à l’ANSSI tous les incidents « ayant un impact sur la continuité de leurs services essentiels », dès qu’ils en auront pris connaissance. L’agence pourra alors décider d’informer le public ou imposer au fournisseur de le faire.
Les OSE devront aussi se soumettre à un exercice d’évaluation préalable de l’exposition aux risques.
Pour les inciter à se conformer à ces nouvelles obligations, des sanctions sont prévues. En cas de manquement relevé lors d’un contrôle, les OSE et les FSN risquent :
- 100 000 euros d’amende pour les OSE et 75 0000 euros pour les FSN en cas de manquements aux obligations de sécurisation,
- 75 000 euros d’amende pour les OSE et 50 000 euros pour les FSN s’il y a non déclaration d’incident,
- 125 000 euros pour les OSE et 100 000 euros pour les FSN en cas d’obstacle aux opérations de contrôle.
L’ANSSI : un interlocuteur stratégique
L’Anssi a joué un rôle déterminant dans la transposition de la directive européenne NIS dans le droit français.
Au-delà des négociations concernant le contenu du texte, auxquelles elle a participé dès mars 2013, l’agence a travaillé à l’élaboration du projet de loi durant plus d’un an en concertation avec toutes les parties prenantes (les ministères, les organisations nationales et leurs partenaires européens) et en collaboration avec l’ENISA (Agence européenne chargée de la sécurité des réseaux et des systèmes d’information).
L’enjeu est de taille : il s’agit tout simplement du premier texte européen à s’attaquer à la question de la cybersécurité.
Dans ce contexte, l’accent a été mis sur le développement, entre Etats membres, d’outils permettant de faciliter la concertation et la communication entre Etats membres.
L’ANSSI va ainsi participer activement au :
- « groupe de coopération » destiné à gérer tous les aspects politiques de la cybersécurité
- « réseau européen des CSIRT » concernant notamment le partage des informations techniques sur les risques et les vulnérabilités.
L’avis de Laurent Brault, dirigeant de MDK Solutions
La cybersécurité avance vers une uniformisation européenne. A quand une ANSSI européenne ? Par ailleurs ce n’est pas le moment de s’endormir, car après la sécurité des réseaux et des systèmes d’information, il faut agir pour celle des données personnelles. Beaucoup d’entreprises n’ont pas pris en compte l’ampleur des travaux à réaliser. Il est fort probable qu’elles seront nombreuses à ne pas être prêtes le jour J. A minima, il faut avoir nommé un pilote de la gouvernance des données personnelles, réaliser une cartographie des traitements des données personnelles et prioriser les actions à entreprendre. Si vous avez fait cela dans votre entreprise, vous pourrez, je pense, mettre en avant votre bonne foi et votre implication dans la voie de la bonne gestion des données personnelles.