Cybersécurité : des exigences renforcées pour les opérateurs de services essentiels

La loi de transposition de la directive européenne sur la sécurité de l’information et des réseaux, dite NIS, vient d’être promulguée. Adoptée en juillet 2016, cette directive vise à « améliorer la capacité à résister à des cyber-attaques » des entreprises fournissant des « services essentiels ».

S’il n’est pas là question d’opérateurs d’importance vitale (OIV), l’approche rappelle largement celle adoptée par la France depuis la loi de programmation militaire (LPM) de 2013. Dans un communiqué de presse, l’Agence nationale pour la sécurité des systèmes d’information (Anssi) ne manque d’ailleurs pas de se féliciter de cette promulgation en soulignant que le texte « s’inscrit dans le prolongement du dispositif de cybersécurité des OIV » : « il permettra cette fois, au-delà de ces OIV, de renforcer la protection de nombreux autres acteurs indispensables à la vie quotidienne de nos concitoyens », qu’ils relèvent du secteur public ou privé.

De nombreux pans de l’économie sont concernés : énergie, transports, approvisionnement en eau, banque, marchés financiers, santé, etc. Les Etats membres ont le loisir de définir quels sont les opérateurs concernés. En France, la loi dispose que les opérateurs concernés seront « désignés par le Premier ministre. La liste de ces opérateurs est actualisée à intervalles réguliers et au moins tous les deux ».

C’est aussi au Premier ministre qu’il revient de fixer « les règles de sécurité nécessaires à la protection des réseaux et systèmes d’information » des opérateurs de services essentiels (OSE), avec pour but de « garantir un niveau de sécurité adapté au risque existant, compte tenu de l’état des connaissances ».

Le texte reste aujourd’hui largement flou. Et il y a une bonne raison à cela : le législateur a renvoyé à un décret en Conseil d’Etat la détermination de la liste des services essentiels concernés, ainsi que la nature des mesures de sécurité qui seront imposées aux OSE – dans les domaines de la sécurité des systèmes et des installations, de la gestion des incidents, de celle de la continuité des activités, de celui du suivi, de l’audit et du contrôle, et enfin du « respect des normes internationales ». C’est donc là que tout se jouera concrètement.

Mais la loi indique toutefois que les OSE devront déclarer à l’Anssi les incidents de sécurité « sans délai après en avoir pris connaissance », lorsqu’ils ont un « impact significatif » sur la fourniture de leurs services. L’agence pourra informer le public directement, ou exiger du fournisseur qu’il s’en charge, « lorsque cette information est nécessaire pour prévenir ou traiter un incident, ou est justifiée par un motif d’intérêt général ». L’appréciation de ce point ne manquera pas d’intérêt, car on imagine mal que communiquer sur un incident affectant significativement la fourniture d’un service essentiel ne relève pas de l’intérêt général…

Un exercice d’évaluation préalable de l’exposition aux risques est prévu. Et des contrôles pourront être imposer en cas de manquement au respect, tant des obligations d’évaluation et de prévention, que de notification. Au passage, des amendes sont prévues, à commencer par une de 50 000 € lorsque ne sont pas satisfaites les « obligations de déclaration d’incident ou d’information du public » prévues. Et faire obstacle aux opérations de contrôle sera puni de 100 000 € d’amende.

Entre RGPD, LPM et encore NIS, la règlementation, plus contraignante, pousse, depuis plusieurs années, à davantage de rigueur, même si pour beaucoup d’acteurs, ce n’est encore qu’un début – certains prestataires nous ont concédé n’en être encore qu’au démarrage des projets liés à la LPM de 2013. Mais il est n’est pas sûr que les montants des amendes prévus par la loi transposant la directive NIS en France aient un effet réellement perceptible.