Zerbor - Fotolia
Directive NIS : une transposition ouverte à de vastes évolutions
Le décret auquel renvoyait la loi transposant la directive européenne sur la sécurité des réseaux et des systèmes d'information (NIS) vient d’être publié. Il se montre remarquable de flexibilité pour tenir compte des évolutions futures des menaces.
La loi transposant en droit français la directive européenne dite NIS a été promulguée fin février dernier. Adoptée en juillet 2016, cette directive vise à « améliorer la capacité à résister à des cyber-attaques » des entreprises fournissant des « services essentiels », les OSE (opérateurs de services essentiels).
Largement flou, le texte renvoyait à un décret en Conseil d’Etat la détermination de la liste des services essentiels concernés, ainsi que la nature des mesures de sécurité qui seraient imposées aux OSE - dans les domaines de la sécurité des systèmes et des installations, de la gestion des incidents, de celle de la continuité des activités, de celui du suivi, de l’audit et du contrôle, et enfin du « respect des normes internationales ».
Une architecture réglementaire toute en flexibilité
Le décret en question vient d’être publié. Mais il n’est pas lui-même exempt d’une certaine opacité. Et pour cause : de nombreuses dispositions sont laissées à l’appréciation du Premier ministre. De quoi laisser une place importante à l’évolution des dispositions concrètes imposées aux OSE et ainsi pouvoir les adapter à la menace au fil du temps, sans avoir à repasser par le législateur.
C’est ainsi le Premier ministre qui désigne, par arrêté, les OSE, sur proposition de ses collègues, dans leurs domaines de compétence respectifs. Il notifie les entreprises concernées de son intention, et ils disposent d’un mois pour émettre des observations.
C’est encore lui qui fixe les modalités de communication à l’Agence nationale de la sécurité des systèmes d’information (Anssi) des systèmes d’information nécessaires à la fourniture des services essentiels. Le Premier ministre est également à la manœuvre pour fixer les règles de sécurité et les délais d’application associés.
La loi prévoit un exercice d’évaluation préalable de l’exposition aux risques. Et des contrôles pourront être imposés en cas de manquement au respect, tant des obligations d’évaluation et de prévention, que de notification. Là encore, la décision d’imposer ces contrôles revient au Premier ministre.
Une Anssi aux missions encore étendues
Au passage, l’Anssi voit ses pouvoirs et ses missions encore étendus. Ainsi, elle peut également suggérer des OSE au premier ministre, après concertation avec les ministères concernés.
L’Anssi est également positionnée comme guichet de communication des OSE. Car, pour mémoire, la loi indique que ces opérateurs devront lui déclarer les incidents de sécurité « sans délai après en avoir pris connaissance », lorsqu’ils ont un « impact significatif » sur la fourniture de leurs services. L’agence pourra informer le public directement, ou exiger du fournisseur qu’il s’en charge, « lorsque cette information est nécessaire pour prévenir ou traiter un incident, ou est justifiée par un motif d’intérêt général ».
Le décret tout juste publié précise en outre que l’Anssi devra informer les ministères concernés de la synthèse des informations qu’elle aura recueillies sur les incidents rencontrés.
Mais c’est également à l’agence que doivent être déclarés, dans un délai de trois mois après la désignation comme OSE, les systèmes d’information nécessaires à la fourniture des services essentiels. Et l’Anssi peut formuler « des observations » sur ladite liste, auxquelles l’opérateur aura deux mois pour répondre.
L’Agence est en outre chargée de proposer au Premier ministre les règles de sécurité que les OSE devront appliquer à leurs systèmes d’information nécessaires à la fourniture des services essentiels.
Certains contrôles imposés par le Premier ministre devront être effectués par l’Anssi. D’autres pourront être confiés à un tiers qualifié… par l’Agence. Laquelle devra être informée « sans délai » du choix. Et dans ce cas, c’est encore elle qui devra recevoir le rapport d’audit. L’Anssi en communiquera les conclusions aux ministères concernés.
Un statut OIV « light »
S’il n’est pas là question d’opérateurs d’importance vitale (OIV), l’approche rappelle largement celle adoptée par la France depuis la loi de programmation militaire (LPM) de 2013. Dans un communiqué de presse, l’Agence nationale pour la sécurité des systèmes d’information (Anssi) ne manquait d’ailleurs pas de se féliciter de la promulgation de loi en soulignant que le texte « s’inscrit dans le prolongement du dispositif de cybersécurité des OIV » : « il permettra cette fois, au-delà de ces OIV, de renforcer la protection de nombreux autres acteurs indispensables à la vie quotidienne de nos concitoyens », qu’ils relèvent du secteur public ou privé.
Le décret qui vient d’être publié comporte une liste d’une vingtaine de secteurs d’activité, depuis l’énergie et les transports, jusqu’aux banques et services financiers, en passant par le social, l’emploi et la formation professionnelle, la santé, la distribution d’eau, ou encore l’éducation, la restauration et les infrastructures numériques.
Entre RGPD, LPM et encore NIS, la règlementation, plus contraignante, pousse, depuis plusieurs années, à davantage de rigueur, même si pour beaucoup d’acteurs, ce n’est encore qu’un début – certains prestataires nous ont concédé n’en être encore qu’au démarrage des projets liés à la LPM de 2013. Mais il est n’est pas sûr que les montants des amendes prévus par la loi transposant la directive NIS en France aient un effet réellement perceptible.