Une version 2 pourrait donner un nouvel élan à la directive NIS

Lors de son allocution en plénière du Forum International de la Cybersécurité (FIC), qui se déroule actuellement à Lille, Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes d’information (Anssi), a affiché sa satisfaction vis-à-vis de la directive NIS, évoquant une future version 2 signe, pour lui, du « succès » de la première itération. Toutefois, la réalité apparaît plus nuancée, tant l’extension de l’application de sa déclinaison française ne semble pas avancer aisément.

Un premier lot d’opérateurs de services essentiels (OSE) avait été annoncé fin 2018, avec 122 organisations, dont bon nombre d’opérateurs d’importance vitale (OIV) : une entreprise peut être considérée OIV sur un certain périmètre, et OSE sur un autre ou plusieurs autres. Mais depuis ?

Interrogé sur ce sujet par la rédaction en conférence de presse, le patron de l’Anssi a choisi de « répondre à côté », en partie du moins, pour se concentrer sur « l’exemple des hôpitaux » : « nous avions 13 CHU OSE parce que OIV. Cela fait un moment que l’on discutait avec le ministère de la Santé pour aller plus loin, parce que ce n’est pas suffisant. On n’y arrivait pas. Entre temps, il y a eu la Covid et toutes ces vagues de rançongiciels – la vérité, c’est que les hôpitaux n’y croyaient pas trop à la menace donc au moment des arbitrages [budgétaires, NDLR], ils avaient mieux à faire ; et je comprends ; je ne critique pas ».

Mais voilà, la menace s’est rappelée avec force au bon souvenir de beaucoup, jusqu’à la Présidence de la République : « du jour au lendemain, on a décidé de désigner une centaine d’établissements hospitaliers comme opérateurs de services essentiels », explique Guillaume Poupard, « les cents d’après sur la liste ». « On les a réunis en visio et fait témoigner quelques établissements frappés, et d’autres qui s’étaient déjà engagés dans une démarche OSE sans être explicitement désignés ». Et là, « le résultat est très bon », estime-t-il, tout en concédant qu’il n’est pas forcément « satisfaisant à 100 % », car « il y en a peut-être qui ne vont rien faire, mais ce n’est pas le plus important ; on fait de la médecine d’urgence, là ». Ceux qui comptent, pour le directeur général de l’Anssi, ce sont donc les établissements qui jouent le jeu, aidés notamment du plan de relance.

Mais y a-t-il eu des avancées dans d’autres secteurs d’activité : « aussi marquants que dans celui de la santé ? Non », indique Guillaume Poupard. « On continue à désigner, même si ce n’est pas explosion ». Et d’ailleurs, « je le regrette », dit-il, car, pour lui, « c’est quand même le sens de l’histoire qu’il y ait plus d’OSE », y compris à court terme.

Guillaume Poupard voit dès lors une version 2 la directive NIS comme un levier pour aller plus loin, et potentiellement plus vite : « si à la fin, en France, il y a 10 000 OSE, ce n’est pas forcément très grave ». Ce n’est pas sans risque : « on le connaît ; c’est que les prestataires peinent à faire face. Mais à la fin, à être trop prudent, je pense que l’on passe à côté d’opportunités ».