Une directive européenne sur la cybersécurité en demi-teinte
Le parlement européen a récemment adopté une nouvelle directive sur la cybersécurité intégrant d’importantes dispositions en matière de notification des incidents de sécurité. Mais avec des exceptions de poids.
Nellie Kroes, vice-présidente de la Commission Européenne, n’a pas caché sa satisfaction suite à l’adoption, mi-mars, de la nouvelle directive sur la sécurité, par le parlement, à une très large majorité. Dans un communiqué, elle estime ainsi que ce vote « est très positif pour les citoyens européens. » La veille du vote, Nellie Kroes était intervenue devant le parlement pour rappeler les trois « piliers » de la directive proposée : renforcer et homogénéiser la préparation des Etats membres aux risques de sécurité informatique, « techniquement et organisationnellement » ; assurer une plus vaste coopération entre Etats membres pour « partager des informations au sujet d’attaques informatiques [en cours ou en préparation, NDLR] comme nous le ferions pour du bio-terrorisme ou une épidémie » ; et enfin améliorer la « préparation et la transparence dans certains secteurs, publics et privés. » Et il s’agit notamment là d’obliger à la notification des incidents de sécurité. Mais cette disposition fait déjà grincer quelques dents.
Dans un billet de blog, Thiébaut Devergranne, docteur en droit et consultant, souligne ainsi le flou d’un texte qui impose la notification des « incidents qui ont un impact significatif sur la sécurité des services essentiels » que fournissent les acteurs qui en sont victimes » : « le moins que l’on puisse dire, c’est que la notion est déjà vouée à interprétation. » Au final, c’est aux Etats qu’il reviendra de « déterminer le niveau de criticité des acteurs du marché » et de s’assurer qu’ils « prennent les mesures techniques et organisationnelles appropriées et proportionnées pour détecter et effectivement gérer les risques » menaçant leurs systèmes d’information opérationnels. Mesure douce par ailleurs, « les Etats membres devraient encourager les opérateurs du marché à rendre publics les incidents impliquant leur activité dans leurs rapports financiers, sur la base du volontariat. »
Mais ce n’est pas tout. Un amendement introduit par la commission au marché intérieur et à la protection du consommateur « IMCO » a exclu du périmètre des acteurs concernés par cette disposition « tous les acteurs de l’économie d’Internet. » Nellie Kroes elle-même semble avoir peu goûté cet amendement. Dans son adresse au parlement, elle avertissait contre l’exclusion de ces acteurs et des administrations publiques des organisations concernées par l’obligation de notification : « de nombreuses fonctions publiques sont également des services essentiels. […] Si ces services défaillent, ils laissent tomber les citoyens, d’autres parties du réseau, et peut-être même toute l’économie. Ainsi, eux aussi devraient avoir à minimiser les cyber-risques : le secteur public devrait donner l’exemple. » Plus loin, elle ajoutait que « les entreprises d’Internet deviennent également essentielles de nos jours » et « les services en ligne - ainsi que les données des infrastructures critiques - migrent vers le Cloud. »
Certains, comme Stewart Room, associé de Field Fisher Waterhouse, la directive est fortement « diluée ». Et d’estimer, dans les colonnes de DataGuidance, que « les méchants doivent s’en tordre de rire. »