L'abonnement à l'Informé est à usage individuel
Un autre appareil utilise actuellement votre compte
Continuer la lectureCybersécurité : découvrez le projet de loi de transposition de la directive NIS 2
Le gouvernement s’apprête à déposer le texte qui permettra d’appliquer en France la directive Network and Information Security 2 (dite « NIS 2 »). L’Informé diffuse le document en phase de finalisation.
Failles de sécurité, attaques contre des établissements publics, ingérences… Face à des incidents cybers toujours plus nombreux, la France peaufine son arsenal législatif : le gouvernement et l’Agence nationale pour la sécurité des systèmes d’information (Anssi) planchent actuellement sur la transposition de la fameuse directive européenne Network and Information Security 2 (dite « NIS 2 »). Adopté le 14 décembre 2022, ce texte communautaire doit permettre d’« assurer un niveau élevé de cybersécurité dans l’ensemble de l’Union ». Pour répondre aux nouvelles menaces, il prévoit une série d’obligations cyber, élargit son champ aux entités publiques et implique davantage d’acteurs privés, des PME aux groupes du CAC 40. Des pans entiers de l’économie se voient ainsi imposer un nouveau cadre, à commencer par les « secteurs hautement critiques » listés en annexes (l’énergie, les transports, les banques, les marchés financiers, la santé, les infrastructures numériques, l’espace…) et les secteurs simplement « critiques » (services postaux, gestion des déchets, moteurs de recherche, place de marché, réseaux sociaux…). Alors que ces normes doivent être adaptées dans l’ensemble des États membres d’ici le 17 octobre 2024, la France vient tout juste d’ébaucher son projet de loi : l’Informé vous en dévoile le contenu.
Ce texte en gestation, d’environ 40 pages (voir PDF en fin d’article), est divisé en trois grands titres. Le premier concerne la résilience des activités d’importance vitale, le deuxième la cybersécurité et enfin le troisième, la résilience opérationnelle numérique du secteur financier. Un programme d’ampleur qui sera complétée d’une vingtaine de décrets d’application. Mais avant tout, le projet redéfinit les pouvoirs d’une toute nouvelle autorité nationale de sécurité des systèmes d’information, version bien plus musclée de l’actuelle Anssi, dotée notamment d’un pouvoir de sanction.
Ses missions seront très vastes : elle devra d’abord définir des mesures de gestion des risques en matière de cybersécurité, pour les administrations comme pour les sociétés, et veiller à leur application. Elle aura ensuite à anticiper les menaces, en tant que centre national de réponse aux incidents de cyber sécurité. À ce titre, elle pourra mener des investigations très poussées pour qualifier un incident cyber, y répondre et assister les victimes. Sous l’égide du premier ministre, elle aura à définir, conduire et coordonner les mesures d’urgence nécessaires pour limiter les effets des incidents de cybersécurité majeurs. Elle pourra orchestrer des échanges avec un grand nombre d’institutions comme la Commission nationale de l’informatique et des libertés (CNIL), et aura à coopérer avec la Commission européenne et ses homologues dans chacun des États membres. Enfin, elle devra agréer les organismes publics ou privés spécialisés dans la diffusion des alertes relatives aux cybermenaces.
Dans le cœur du texte, l’article 8 reprend la distinction de la directive NIS 2 entre les entités essentielles (EE) et les entités importantes (EI). Dans la première catégorie, on trouvera une ribambelle d’acteurs du secteur de la tech, comme les opérateurs télécoms (dont les FAI), les registres de noms de domaine de premier niveau (.fr, .com, .org, etc.) ou encore les fournisseurs de services de système de noms de domaine (Domaine Name System, DNS) et pour lesquels la Commission européenne aura elle-même à définir des mesures de gestion des risques au plus tard le 17 octobre 2024. Grande nouveauté par rapport à NIS 1, toutes les administrations (à l’exception de celles œuvrant en matière de sécurité nationale, de défense et de police) entrent dans le spectre du texte, classées « essentielles ». De même, le gouvernement entend activer une option ouverte par la directive en glissant dans cette catégorie toutes les communes de plus de 30 000 habitants. Une initiative qui aura nécessairement un coût pour ces collectivités. Pas plus tard que le 11 mars dernier, trois associations représentatives (Intercommunalités de France, France urbaine et Les Interconnectés) ont appelé à la mise en place d’« un accompagnement technique et financier dédié et adapté ». Cet inventaire pourra encore être élargi par décret : le gouvernement pourra ajouter d’autres structures relevant des secteurs hautement critiques dépassant un certain seuil de chiffre d’affaires et d’effectifs. Au cran en dessous, on trouvera les entités « importantes » (EI), définies négativement : ce seront toutes les structures relevant des activités critiques annexées dans la directive, mais qui ne relèvent pas des entités dites essentielles. Le texte y range notamment les communautés de communes.
Ces EE et EI se verront imposer, à leurs frais, plusieurs obligations prévues par cette future loi si elles ont leur établissement principal en France. Le texte s’appliquera de la même manière à d’autres acteurs comme des bureaux d’enregistrement de noms de domaine, des fournisseurs de cloud, les centres de données, les fournisseurs de place de marché (market place, etc.), les moteurs de recherche ou encore les réseaux sociaux. Soit parce qu’ils sont établis en France, soit parce qu’ils ont désigné un représentant dans nos frontières.
Entre autres obligations, les EE comme les EI devront prendre « les mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information qu’elles utilisent ». Cela passera par des mesures de gouvernance de la sécurité des réseaux et des systèmes d’information (formation du personnel, etc.), la mise en place d’outils dédiés pour assurer la défense de leurs infrastructures informatiques. Elles devront aussi « garantir la résilience » de leurs activités. Un référentiel technique sera détaillé dans un futur décret d’application comprenant une vingtaine d’objectifs de sécurité. Un document très utile puisque les EE et EI pourront s’en prévaloir pour prouver leur conformité « NIS 2 ». Selon nos informations, le sujet devrait être prochainement travaillé lors d’une réunion, non publique, au sein du Campus Cyber à Paris. Questionnée par l’Informé, I ’Anssi nous indique ne pas avoir d’élément à partager sur ce rendez-vous, mais nous confirme avoir lancé des consultations depuis septembre dernier « avec un spectre large d’interlocuteurs (associations et fédérations professionnelles, associations d’élus, experts de la cybersécurité) ». Ces échanges « continueront tout au long du processus de transposition afin de mettre en place un dispositif national co-construit avec les futurs acteurs concernés par la directive NIS 2 ».
En attendant, ces structures devront impérativement alerter l’autorité nationale de tout incident ayant un « impact important » sur la fourniture de leur service. Et ce immédiatement, quand la directive propose un délai maximum de 24 heures. L’autorité pourra même exiger la divulgation de l’incident, si l’intérêt public le justifie et même si l’entité est opposée à cette révélation. De même le texte prévoit que n’importe quelle autre personne morale pourra alerter l’Anssi, même s’agissant d’incidents simplement « évités ».
La parfaite application de ces mesures sera contrôlée par les agents assermentés de l’autorité. Ils disposeront de larges pouvoirs pour se faire communiquer toutes les pièces nécessaires ou procéder à des contrôles sur place, sans que le secret professionnel ne puisse leur être opposé. Une commission des sanctions sera chargée de réprimer les éventuels manquements. À son bord, seront réunis un membre du Conseil d’État, un autre de la Cour de cassation, un représentant de la Cour des comptes et trois personnalités qualifiées désignées par le premier ministre. À l’encontre des entités essentielles privées, ils pourront infliger une amende administrative, au besoin publique, d’un montant maximal de dix millions d’euros ou 2 % du chiffre d’affaires annuel mondial enregistré par la société sanctionnée sur son dernier exercice en date. Pour les « entités importantes », ces plafonds seront abaissés à 7 millions d’euros ou 1,4 % du C.A. mondial.
Avec cette loi, chaque ministère de tutuelle sera aussi chargé de désigner la liste des opérateurs dits d’importance vitale (OIV). Derrière l’expression, qui préexiste en France depuis 2006, on trouve deux types de profils. D’une part, les acteurs publics ou privés dont les activités sont nécessaires au bon fonctionnement de l’économie et de la société, ou indispensables à la défense, à la sécurité ou à la survie de la nation et pour lesquels une perturbation « pourrait mettre gravement en cause la santé de la population ou l’environnement ». D’autre part, les installations classées pour la protection de l’environnement (ICPE) ou encore les centrales nucléaires.
Tous devront coopérer à leurs frais pour améliorer leur capacité à éviter et surmonter les incidents. Les coûts ne sont pas encore évalués, ce travail relevant de la future étude d’impact annexée au projet de loi. Une certitude, ils devront réaliser une analyse des risques, sous forme d’un « plan de résilience opérateur » afin d’évaluer les menaces, y compris terroristes, qui pourraient perturber leur fonctionnement. Ce travail fait, ils devront aussi adopter des mesures proportionnées – non détaillées par la loi, pour assurer la continuité de leurs activités. Fait notable, « une analyse de leurs dépendances à l’égard de tiers » (y compris à l’étranger), devra être menée s’agissant de leurs activités d’importance vitale. Cette étude, validée par l’autorité, sera très large puisqu’elle comprendra un audit des « éventuelles vulnérabilités de leurs chaînes d’approvisionnement ». Le projet de loi demande aussi aux OIV de passer des contrats avec leurs prestataires pour les assister dans leurs activités sensibles. Et concernant des installations les plus critiques, les OIV devront définir un « plan particulier de résilience », avec des dispositifs de surveillance, d’alarme et de protection matérielle, lui aussi approuvé par le futur gendarme du secteur. Celui-ci pourra d’ailleurs contraindre les éventuels retardataires à finaliser ce premier travail avec la menace d’une astreinte maximale quotidienne de 5 000 euros.
Le projet de loi comprend d’autres dispositions plus concrètes encore : les OIV pourront se voir imposer par le premier ministre la constitution d’un stock stratégique (des composants, des produits finis, etc.) indispensable à la continuité de leur activité pour une durée maximale de 9 mois. « Ce stock vise à garantir la continuité de l’activité d’importance vitale de l’opérateur concerné en cas de rupture totale ou partielle de l’approvisionnement, y compris lorsque celle-ci est due à un accroissement de l’inflation ne pouvant être anticipé. » Son utilisation pourra être approuvée par l’autorité administrative notamment « en cas d’évènement économique spéculatif d’ampleur de nature à compromettre l’approvisionnement dans des conditions financières ordinaires ». Ces opérateurs devront aussi notifier « sans délai » à l’autorité administrative « tout incident susceptible de compromettre la continuité de ses activités d’importance vitale ou de présenter un danger grave pour la population ou l’environnement ». En cas de manquement, de lourdes sanctions pourront tomber et même viser le dirigeant d’un OIV (jusqu’à 150 000 euros).
Questionnée sur le calendrier de présentation officielle du projet de loi, l’Anssi nous indique simplement que l’échéance « dépend du calendrier parlementaire sur lequel nous ne pouvons nous prononcer ».
