Des milliers d'entreprises vont être contraintes par la loi de rehausser le niveau de leur sécurité informatique. Cette décision vient du plus haut niveau politique européen, et en France, ce sera l'Agence nationale de sécurité des systèmes d'information (Anssi) qui aura pour mission d'en assurer le respect.
En janvier, lors de sa prise de pouvoir, la présidence française de l'Union Européenne (PFUE) avait pour ambition d'être « extrêmement volontaire » en matière de souveraineté numérique et de cybersécurité. Parmi les volets phares de ce temps politique, la France comptait faire aboutir les négociations sur la révision de la directive « network and information security » (plus connu sous l'acronyme Nis) lancées fin 2021. « C'est chose faite : un accord politique a été trouvé le 12 mai entre la Commission, le Parlement et le Conseil sur un texte, même si quelques détails techniques restent à fixer », se félicite auprès de La Tribune Yves Verhoeven, sous-directeur stratégie de l'Anssi, à l'occasion du Forum international de la cybersécurité (FIC).
Jusqu'à 150.000 entreprises et organisations concernées
La première version de ce texte, voté en 2016, a mené à la nomination de dizaines d'organisations au titre « d'opérateurs de services essentiels » (OSE), qui « fournissent un service essentiel dont l'interruption aurait un impact significatif sur le fonctionnement de l'économie ou de la société », selon la définition de l'Anssi. En conséquence, pas moins de 23 obligations supplémentaires en matière de cybersécurité sont imposées à ces organismes, à la fois sur le plan technique, dans leur gouvernance et dans leur relation avec les autorités.
La directive Nis concernait les secteurs de la banque, des marchés financiers, de l'énergie, de la santé, des transports, de la gestion de l'eau potable et des télécoms. Sa version révisée, Nis 2, étend ses prédispositions aux administrations, mais aussi aux domaines de la gestion des déchets, de la grande distribution alimentaire, des fournisseurs d'accès à internet ou encore des services postaux.
Résultat, après Nis 1, le nombre d'opérateurs européens soumis au règlement était estimé à 15.000 opérateurs. « Avec Nis 2, ce nombre devrait être multiplié par 8 ou 10 », prévient Yves Verhoeven. Et pour cause : l'Union européenne a prévu non seulement de nommer de nouveaux OSE dans les secteurs qui n'étaient pas concernés jusqu'ici, mais aussi d'instaurer un second niveau d'exigence, plus faible. Nis 2 distingue ainsi deux catégories d'opérateurs : les « entités essentielles » (autre nom donné aux OSE) et les « entités importantes ».
Un coût supplémentaire à prévoir
« Les opérateurs importants seront plus nombreux, et possiblement de plus petite taille. Il leur sera demandé un niveau de sécurité plus basique, reflet de l'hygiène de base », développe le sous-directeur de l'Anssi. Après des calculs de prévision, l'agence s'attend à ce que 80% des « entités importantes » françaises soient des PME. « Si chacun fait un véritable effort, si chaque patron de PME, de TPE ou d'hôpital comprend qu'il a une responsabilité et qu'il doit allouer à sa cybersécurité un budget non-négligeable et incompressible, alors on peut casser cette dynamique et se protéger collectivement », avançait le directeur général de l'Anssi Guillaume Poupard dans La Tribune en septembre dernier. Pour les entreprises concernées, « l'effort » sera désormais contraint par la loi.
Problème : même si l'idée d'augmenter la sécurité globale des entreprises fait consensus face à la montée de la menace, à la fois criminelle et étatique, la question des coûts devrait rapidement resurgir. Et pour cause : créer de nouvelles procédures, auditer et déployer de nouveaux outils coûte rapidement cher, surtout dans des entreprises qui disposent de peu de compétences en interne. La directive Nis ne prévoit pas d'exigences quant au budget et aux moyens humains consacrés à la sécurité des systèmes d'informations, donc la facture de la mise en conformité peut varier d'une structure à l'autre. Comme référentiel, Guillaume Poupard a tout de même répété que le budget cybersécurité devait peser au moins pour 10% du budget de l'IT.
Face à cette crainte financière qui pointe à l'horizon, Yves Verhoeven préfère rassurer : « On parle de réglementation, et la réglementation fait toujours râler. C'est pourquoi pendant les 21 mois après la sortie de la directive, qui correspondent au temps de transposition du texte dans la loi française, nous allons échanger le plus possible avec les organisations concernées, de manière à leur permettre de mieux comprendre le sujet. Nous souhaitons co-construire le dispositif, de sorte à avoir un niveau d'exigence qui soit ambitieux mais réaliste. Il faut se rappeler qu'il ne s'agit pas de réglementation pour le plaisir, mais bien pour répondre à une menace grandissante. »
Les collectivités contraintes à rehausser leur cybersécurité
Outre les PME, certaines administrations vont également devoir se plier aux nouvelles normes de sécurité, alors qu'elles n'étaient pas concernées jusqu'ici. « Le Nis révisé donne la possibilité d'aller réguler les collectivités territoriales, et de leur imposer des règles de cybersécurité », se réjouit Yves Verhoeven.
Ces quatre dernières années, les cas de villes, conseils régionaux ou département paralysés par des rançongiciels (un type particulièrement virulent de logiciel malveillant) se sont accumulés : la région Grand Est, Angers, le conseil département d'Eure-et-Loire, La Rochelle... Alors que l'autre cible favorite des cybercriminels, les établissements de santé, ont pour bon nombre d'entre eux déjà été nommés OSE, ce n'était pas le cas des administrations. En fonction de caractéristiques qui restent à définir, les collectivités locales devraient être qualifiées soit d'OSE, soit d'entité importante.
La boîte à outil de l'Union Européenne continue de grossir
« Nis 1 était un texte fondateur. Il a clairement positionné l'Union Européenne, avec le soutien de l'ensemble des Etats membres, comme un acteur clé de la sécurité des infrastructures critiques européennes », rappelle Yves Verhoeven. Depuis, l'UE multiplie textes et dispositifs, afin d'homogénéiser l'approche du cyber à l'échelle continentale.
Le Cybersecurity Act, voté l'an dernier, a pérennisé l'Enisa (l'équivalent européen de l'Anssi) en plus de créer une boîte à outils pour la certification en cybersécurité, afin d'avoir des normes homogénéisées. A l'heure actuelle, les différences de certifications d'un pays à l'autre créent également des inégalités sur les marchés, souvent à la faveur des plus gros acteurs, capables de s'adapter aux normes de chaque pays. La mise en œuvre du Cybersecurity Act se fait lentement, mais l'objectif à long terme est clair : il faut avoir un niveau d'exigence uniforme à l'échelle de l'UE.
Également en 2021, l'UE a enfin voté pour la mise en place d'un centre européen de compétence cyber, à Bucarest. Il aura comme finalité d'accompagner l'innovation et industrialisation du secteur au niveau européen. D'après Yves Verhoeven, il devrait devenir le « point focal de la politique industrielle cyber européenne ».
Plan d'urbanisme à Paris : les professionnels dénoncent « une aberration », le premier adjoint d'Hidalgo leur répond
Sujets les + commentés