Zerbor - Fotolia
Une brève histoire des directives NIS
Comme son nom le suggère, la directive NIS 2 ne sort pas de nulle part. Elle s’inscrit dans la continuité de plusieurs textes et travaux.
Flash-back. En séance plénière, le mercredi 6 juillet 2016, le Parlement européen adopte la directive sur la sécurité des réseaux et des systèmes d’information, dite NIS. Celle-ci vise à « améliorer la capacité à résister à des cyberattaques » des entreprises fournissant des « services essentiels ». Le texte en rappelle un autre, antérieur : la loi de programmation militaire (LPM) française de 2013.
Cette loi définissait le statut d’opérateur d’importance vitale (OIV) – autrement dit, d’acteur supercritique du tissu économique et social. Douze secteurs d’activité étaient concernés. Les acteurs désignés OIV se sont vu imposer des contraintes de cybersécurité spécifiques. Mais pas pour tous leurs systèmes d’information ; seuls les plus critiques, les SIIV, ou systèmes d’information d’importance vitale.
Des premiers pas parfois difficiles
À l’automne 2015, en ouverture des Assises de la Sécurité, Guillaume Poupard, alors directeur général de l’Agence nationale de la sécurité des systèmes d’information (Anssi) évoquait un texte consacrant « un mariage forcé ». « Certains réussissent, et je pense que c’est ce que l’on est en train d’avoir », estimait-il alors en soulignant une convergence d’intérêts : « la sécurité est importante pour eux, mais aussi pour la Nation, et pour les citoyens ».
Le patron de l’Anssi défendait alors une « approche réglementaire assez originale », associant les OIV et l’Agence pour définir « ensemble les règles de sécurité ».
De quoi donner lieu à des « séances toujours correctes, mais parfois rugueuses » et aboutir à des compromis « pour élever significativement le niveau de sécurité », tout en adoptant une approche « supportable financièrement » et adaptée aux spécificités sectorielles.
Les arrêtés sectoriels résultant de ces travaux ont commencé à être publiés en 2016, pour l’alimentation, la gestion de l’eau et les produits de santé. Avec le recul et par certains aspects, certaines exigences peuvent aujourd’hui avoir des airs d’évidence : on y trouvait ainsi l’obligation de mise en œuvre d’une politique de sécurité du SI, d’établissement d’une cartographie des SIIV, mais également des mesures liées à la gestion des correctifs ou de l’authentification.
Une maturité parfois très limitée
Et cela n’avait rien de superflu : certains OIV partaient de très loin. C’est d’ailleurs la raison pour laquelle l’annexe précisant le calendrier de mise en conformité n’avait pas été publiée : « parce que l’on voit en gros quels secteurs sont matures et ceux qui le sont beaucoup moins. Et là, on pourrait donner des indications à des attaquants ; ce que l’on ne veut pas faire », expliquait Guillaume Poupard, fin janvier 2017.
Le calendrier le montre bien : les travaux portant sur la directive NIS et ceux de mise en œuvre de la LPM ont été concomitants. Le parallèle entre les deux n’a pas manqué d’être fait à plusieurs reprises. S’il n’est pas question d’opérateurs d’importance vitale (OIV) avec NIS, la notion d’opérateur de services essentiels (OSE) y fait beaucoup penser.
Dans un communiqué de presse de début 2018, à l’occasion de la promulgation de la loi de transposition de la directive NIS, l’Anssi n’a d’ailleurs pas manqué de souligner un texte qui « s’inscrit dans le prolongement du dispositif de cybersécurité des OIV » : « il permettra cette fois, au-delà de ces OIV, de renforcer la protection de nombreux autres acteurs indispensables à la vie quotidienne de nos concitoyens », qu’ils relèvent du secteur public ou privé.
La loi de transposition suit d’ailleurs de très près le modèle LPM jusque dans la mise en œuvre, misant fortement sur les décrets.
Largement flou, le texte renvoyait à un décret en Conseil d’État sur la détermination de la liste des services essentiels concernés, ainsi que la nature des mesures de sécurité qui seraient imposées aux OSE – dans les domaines de la sécurité des systèmes et des installations, de la gestion des incidents, de celle de la continuité des activités, de celui du suivi, de l’audit et du contrôle, et enfin du « respect des normes internationales ».
Un besoin d’aller plus loin, plus vite
Publié un peu plus tard, ce décret laissait de nombreuses dispositions à l’appréciation du Premier ministre, offrant une importante marge d’évolution des dispositions concrètes imposées aux OSE, ces « OIV light », sans avoir à repasser par le législateur.
Mais voilà, par construction, tant la LPM que la directive NIS ne pouvaient avoir qu’un impact limité, ne s’imposant qu’à un nombre restreint d’acteurs désignés. En France, un premier lot d’opérateurs de services essentiels (OSE) avait été annoncé fin 2018, avec 122 organisations, dont bon nombre d’opérateurs d’importance vitale (OIV) : une entreprise peut être considérée OIV sur un certain périmètre, et OSE sur un autre ou plusieurs autres.
Guillaume Poupard, Ex-directeur général, Anssi
Près de trois ans plus tard, interrogé sur ce point en conférence de presse, Guillaume Poupard a choisi de « répondre à côté », en partie du moins, pour se concentrer sur « l’exemple des hôpitaux » : « nous avions 13 CHU OSE parce que OIV. Cela fait un moment que l’on discutait avec le ministère de la Santé pour aller plus loin, parce que ce n’est pas suffisant. On n’y arrivait pas. Entre-temps, il y a eu la Covid et toutes ces vagues de rançongiciels. La vérité, c’est que les hôpitaux n’y croyaient pas trop à la menace, donc au moment des arbitrages [budgétaires, N.D.L.R.], ils avaient mieux à faire ; et je comprends ; je ne critique pas ».
Et là, « du jour au lendemain, on a décidé de désigner une centaine d’établissements hospitaliers comme opérateurs de services essentiels », expliquait alors Guillaume Poupard, « les cents d’après sur la liste ».
Mais y avait-il eu des avancées dans d’autres secteurs d’activité, « aussi marquants que dans celui de la santé ? Non », concédait Guillaume Poupard. « On continue à désigner, même si ce n’est pas l’explosion ». Et de le regretter : « c’est quand même le sens de l’histoire qu’il y ait plus d’OSE », y compris à court terme.
Pour lui, la directive NIS 2 devait être un levier pour aller plus loin et plus vite, en France comme dans toute l’Europe. Les mois et les années à venir donneront à en voir les véritables effets.