Une directive européenne transposée en droit français définit de nouvelles catégories d’entreprises sensibles et  renforce les exigences à leur égard en matière de sécurité.

Jeudi 15 février, l’Assemblée nationale a transposé dans le droit français plusieurs directives européennes, dont l’une sur la cybersécurité.

La directive dite « NIS », adoptée en juillet 2016, permet  de renforcer l’arsenal de l’Etat face aux menaces informatiques.

ð La défense des réseaux dans les « OIV »

La France dispose en effet depuis 2013 déjà d’un cadre déjà très exigeant, fixant pour certaines entreprises ou administrations critiques pour la sécurité nationale, les OIV (opérateurs d’importance vital) d’importantes exigences en matière de défense de leurs réseaux.

Si la liste des OIV est gardée  secrète, y figureront, notamment, les réseaux de distribution d’énergie.

ð Une nouvelle catégorie d’acteurs à protéger : les opérateurs de services essentiels (OSE).

Le champ est ici plus large : il s’agit désormais d’entités fournissant des « services essentiels au fonctionnement de la société ou de l’économie ».

La nouvelle loi les oblige à mettre en place des mesures de sécurité informatique, à faire remonter à l’Agence nationale de sécurité des systèmes d’information (Anssi), les informations concernant les attaques les plus graves et permet à l’ANSII de procéder à des contrôles sur place.

Des sanctions sont aussi prévues: ainsi, une amende pouvant aller jusqu’à 100 000 euros pour le dirigeant de l’OSE qui ne se conformerait pas aux exigences de sécurité.

La liste des OSE,  quelques centaines,  ainsi que leurs obligations précises (plus légères que pour les OIV) doivent  feront l’objet de décrets d’ici novembre.

En ce qui concerne le secteur privé, les OSE devrait  se retrouver essentiellement  dans les secteurs de la santé, du transport, de l’industrie, de l’énergie, de l’alimentation, mais aussi de la logistique ou encore dans le secteur social  a  indiqué le gouvernement lors de la présentation du texte.

Au sein d’une e société pourront être édictées des exigences de sécurité différentes.

Ainsi, par exemple,  les systèmes d’une société de transport ferroviaire  comme la SNCF qui gèrent le pilotage des trains seront considérés comme « d’importance vitale », tandis que ceux  assurant l’achat des billets pourront être classés comme « essentiels ».

ð La sécurité dans une troisième catégorie  d’acteurs économiques : les fournisseurs de services numériques.

La loi  distingue trois types  de fournisseurs :

-         les grandes plates-formes de vente en ligne,

-         les moteurs de recherche

-         et les services dans le « cloud » (tout service informatique accessible à distance).

Pour ces entités, la loi n’impose aucune mesure précise ; elle contente d’indiquer qu’ils doivent désormais proposer « un niveau de sécurité adapté aux risques existants ».

ð Ils auront aussi l’obligation d’informer l’Anssi en cas d’attaque importante et cette dernière pourra se rendre sur place pour effectuer des contrôles. Des sanctions sont aussi prévues.

 A noter par ailleurs que la loi de programmation militaire (1), présentée en conseil des ministres le 8 février, entend impliquer les télécoms pour lutter contre les attaques informatiques. Ce texte doit être présenté au Parlement au mois de mars.

(1)             La protection des OIV en France selon l’ANSII (Agence Nationale de Sécurité des Systèmes d’information)

(Voir site de l’ANSII :  https://www.ssi.gouv.fr/entreprise/protection-des-oiv/protection-des-oiv-en-france/

« Face à l’augmentation en quantité et en sophistication des attaques informatiques, et à leurs impacts potentiellement destructeurs, l’ANSSI a pour mission d’accompagner les opérateurs d’importance vitale (OIV) dans la sécurisation de leurs systèmes d’information sensibles.

La cybersécurité des OIV s’intègre dans le dispositif interministériel plus large de sécurité des activités d’importance vitale (SAIV) inscrit dans le code de la défense.

Ces activités sont réparties par secteur d’activité rattaché à un ministère coordonnateur. Interlocuteur privilégié pour l’ensemble des enjeux « métier », le ministère est chargé d’apporter son expertise sur le secteur d’activité dont il a la charge.

Ce dispositif a permis d’identifier les opérateurs d’importance vitale (OIV), privés et publics, qui exploitent ou utilisent des installations jugées indispensables pour la survie de la Nation.

Pour faire face aux nouvelles menaces cyber, l’article 22 de la loi de programmation militaire (loi n° 2013-1168 du 18 décembre 2013), qui fait suite aux préconisations du Livre blanc sur la défense et la sécurité nationale de 2013 rajoute une pierre à l’édifice en imposant aux OIV le renforcement de la sécurité des systèmes d’information critiques qu’ils exploitent : les systèmes d’information d’importance vitale (SIIV).

Cette sécurisation passe notamment par l’application d’un certain nombre de règles de sécurité. La France est le premier pays à être passé par la réglementation pour mettre en place un dispositif efficace et obligatoire de cybersécurité de ces infrastructures critiques ».

(…)

 « OIV : plus de 200 opérateurs publics ou privés dont les activités sont indispensables au bon fonctionnement et à la survie de la Nation Une liste gardée confidentielle pour des questions de sécurité nationale ».