Cybersécurité : une directive européenne (NIS-2), en vigueur en octobre 2024, fixe des obligations à 30 000 entreprises et collectivités françaises

Piratages d'hôpitaux, avions cloués au sol, vols de données bancaires ou de fichiers de données personnelles : l'actualité des cyberattaques est permanente et concerne tant les entreprises, les administrations que les collectivités. Et évidemment toujours les particuliers, qu'ils soient salariés clients d'entreprises ou usagers du service public. 

En partant de l'idée que les attaques ne pourraient être empêchées, la France a initié avec l'Allemagne en 2016 un texte européen, la directive NIS, qui s'est appliquée en Europe à partir de 2018. Elle a eu pour conséquence en France la désignation comme "opérateurs d'importance vitale" (OIV) d'environ 300 entreprises issues de 12 secteurs d'activité (les télécommunications, les services financiers, l'alimentation, l'énergie, etc.). 

Éviter des attaques systèmes qui paralyseraient le pays

Ces sociétés, dont la liste a vocation à rester confidentielle, ont donc des obligations de sécurisation renforcée et sont responsables devant l'Agence nationale de la sécurité des systèmes d'information (ANSSI). L'État considère que leur défaillance, en cas de cyberattaque, déstabiliserait en cascade le fonctionnement du pays. 

La directive NIS a donc imposé aux comités de direction de ces grandes entreprises de procéder à des investissements techniques et de revoir leur organisation interne pour se mettre en conformité (ou en tout cas, tendre vers celle-ci). Cela rend plus homogène les dispositifs de protection sur le continent européen. Mais cela s'est avéré insuffisant.

Des entreprises numérisées et hyperconnectées

Une entreprise, surtout les plus grandes d'entre elles, est de moins en moins une entité monolithique qui travaille toute seule. Elle est de plus en plus connectée avec des partenaires, des sous-traitants, des distributeurs. Le pirate, qui choisit sa cible et son mode opératoire, va chercher à tirer parti de ces interconnexions, qui sont autant de possibles maillons faibles dans une chaîne de production. 

À quoi bon sécuriser la grande compagnie, si la moyenne qui lui est connectée est bien moins protégée. L'Union européenne a donc décidé de généraliser les obligations de sécurité établies dans la directive NIS. Ainsi, la directive NIS-2 entrera en vigueur le 17 octobre prochain. Ce sont désormais quelque 15 000 entreprises et collectivités locales françaises qui sont soumises à ce nouveau cahier des charges. Le champ d'activité a été étendu à 18 secteurs avec des ajouts comme la santé, les fournisseurs de services numériques ou les communes de plus de 30 000 habitants. 

Une loi attendue pour la transposition française

Comme il s'agit d'une directive, les États membres doivent adopter nationalement des lois de transposition pour adapter à leur environnement propre les principes généraux présents dans le texte européen. 

À ce jour, seuls 3 pays sur les 27 (la Belgique, la Croatie et la Hongrie) ont publié leur loi de transposition. Le processus en France a été interrompu par la dissolution de l'Assemblée nationale. Il faudra l'inscrire à nouveau à l'ordre du jour du Parlement. 

Un site internet dédié pour expliquer la directive NIS-2

L'Agence nationale de la sécurité des systèmes d'information a ouvert un site dédié pour éclairer et accompagner les entreprises et les élus locaux concernés afin de ne pas attendre que la loi française soit finalisée.  Des amendes sont d'ores et déjà prévues en cas de manquement aux obligations de sécurisation (de 7 à 10 millions d'euros ou de 1,4% à 2% du chiffre d'affaires globalisé, en fonction de l'entité concernée). A chaque fois c'est le montant le plus élevé qui sera retenu.

Fait nouveau : la responsabilité personnelle des dirigeants pourra être engagée. L'idée est de ne pas laisser le sujet aux mains des seuls techniciens mais bien que les échelons décisionnaires soient directement impliqués par cette exigence de sécurité numérique.