Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Directive NIS : les acteurs du Web tenus de notifier leurs incidents aux autorités de contrôle ?

Le brise de NIS
Droit 4 min
Directive NIS : les acteurs du Web tenus de notifier leurs incidents aux autorités de contrôle ?

Les acteurs du numérique se verront-ils obligés de reporter aux autorités les incidents de sécurité, à l’instar des opérateurs d’importance vitale (OIV) ? Il semble que oui, à en croire les derniers développements autour de la future directive NIS (Network and information security).

Selon un document consulté par Reuters, l’Europe envisage finalement de faire entrer les acteurs des nouvelles technologies dans le giron de la directive NIS. Les moteurs de recherche, les réseaux sociaux, les acteurs du cloud, etc. rejoindraient là le secteur de l’énergie, de l’eau ou des transports, et autres opérateurs d’importance vitale.

Le reporting d’incident frappant le numérique

Si un tour de table auprès des États européens est encore attendu d’ici la rentrée, cette qualification emporterait en l'état une série d’obligations que le document de Reuters ne détaille pas. On sait simplement qu’elles seraient différenciées compte tenu des spécificités du secteur. Par exemple, ceux en liaison directe avec les infrastructures physiques seraient soumis à un régime plus strict que les pures plateformes de service. À tout le moins, tous auraient pour obligation de signaler aux autorités de contrôle en charge de la cybersécurité, les incidents frappant leur univers.

En France, à ce jour, cette compétence est dévolue à l’ANSSI, l’Agence nationale de la sécurité des systèmes d'information, mais seulement à l'égard des OIV. Depuis la loi de programmation militaire de 2013, centrales nucléaires, hôpitaux, sociétés de transports, etc. ont donc l'obligation de fournir « les informations nécessaires pour évaluer la sécurité de ses systèmes d'information, notamment la documentation technique des équipements et des logiciels utilisés dans ses systèmes ainsi que les codes sources de ces logiciels ».

Le Code de la défense permet en effet au Premier ministre de fixer les règles de sécurité nécessaires à la protection des systèmes d'information de ces opérateurs critiques, ceux dont l'atteinte à la sécurité ou au fonctionnement risquerait de diminuer d'une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation. Et ces règles doivent être appliquées à la lettre et au frais des OIV.

Ajoutons en outre que suite à l'adoption du Paquet Télécom en Europe, les fournisseurs d’accès ont aussi l’obligation de signaler à la CNIL les fuites de données personnelles dont souffriraient leurs infrastructures. Bref, des obligations très spécifiques limitées à quelques centaines d'acteurs, tout au plus. 

Les critiques des acteurs du numérique

Voilà plusieurs mois que cette future directive NIS envisage cependant l'extension du périmètre d’intervention des autorités. Et sans surprise, la mesure a déjà été critiquée, notamment fin 2014.

L’Afdel, l’association française des éditeurs de logiciels et de solutions Internet, estime ainsi qu’une obligation indifférenciée de reporting d’incidents « pourrait porter atteinte à la compétitivité des entreprises du numérique, en particulier des entreprises françaises et européennes du numérique – dont de nombreuses PME, qui n’ont pas toute la capacité d’adaptation des grands groupes internationaux –, sans atteindre les objectifs poursuivis en termes de sécurité ».

Mieux, selon elle, « l’application des obligations déjà imposées aux opérateurs d’infrastructures critiques à l’ensemble des entreprises du numérique ne se justifie pas et il serait disproportionné et dans la plupart des cas redondant de leur imposer des obligations administratives supplémentaires, en particulier l’obligation de signalement des incidents de sécurité auprès des agences nationales en charge de la cybersécurité. »

Mêmes reproches du côté de l’ASIC, l’association des services Internet communautaire, qui craint de voir chaque État membre devenir « le Directeur des services informatiques de l’ensemble des acteurs du numérique ». Elle rappelait alors qu’en mars 2014, le Parlement européen ne s’était focalisé que sur les acteurs d’importance réellement vitale, pas au-delà. « Or, il semble aujourd’hui que cet équilibre soit remis en cause par plusieurs États membres, dont la France. Ceux-ci souhaitent ainsi étendre très largement le champ d’application du texte en couvrant toutes les industries du numérique  y englobant les intermédiaires, les sites de commerce électronique, les hébergeurs de données, les sites de médias ou les développeurs d’objets connectés. »

Pour l’Asic, « les agences de cybersécurité – comme par exemple l’ANSSI – auront la compétence pour expertiser et ainsi s’introduire dans tous les systèmes informatiques de ces acteurs du numérique. Un développeur d’objets connectés devra-t-il bientôt confier les clés à l’ANSSI ? Un hébergeur de données devra-t-il également offrir un accès à toutes les données stockées ? Un site de médias devra-t-il aussi donner à l’ANSSI une porte d’accès à l’ensemble de ses serveurs, notamment e-mails ? »

18 commentaires
Avatar de eliumnick INpactien
Avatar de eliumnickeliumnick- 07/08/15 à 13:49:38

Ca me semble a priori normal que les acteurs du web doivent communiquer en cas d'attaque.

Mais l'article parle bien d'obligation différencié suivant les acteurs.

Du coup j'ai du mal à comprendre les réactions en fin d'article. A moins que celles-ci datent toutes de fin 2014.

Avatar de redzeus INpactien
Avatar de redzeusredzeus- 07/08/15 à 13:53:00

les informations nécessaires pour évaluer la sécurité de ses systèmes d'information, notamment la documentation technique des équipements et des logiciels utilisés dans ses systèmes ainsi que les codes sources de ces logiciels

L’Europe veut le code source de NextINpact ?!! :eeek2:

Avatar de eliumnick INpactien
Avatar de eliumnickeliumnick- 07/08/15 à 13:55:55

redzeus a écrit :

L’Europe veut le code source de NextINpact ?!! :eeek2:

Et oui, car NXI est un OIV :D

Avatar de Nerkazoid INpactien
Avatar de NerkazoidNerkazoid- 07/08/15 à 13:56:29

Avec les codes sources, ça devient tout de suite plus facile de s'introduire quelque part!!! Tremble NXI! TREMBLE!!!!! :stress:

Avatar de Ricard INpactien
Avatar de RicardRicard- 07/08/15 à 13:56:38

J'héberge mon site web. Je suis donc un acteur du numérique. Suis-je concerné ? Nan paske bon...

Avatar de Nerkazoid INpactien
Avatar de NerkazoidNerkazoid- 07/08/15 à 13:58:42

En même temps ton site jaime-le-pastis-coupe-a-leau.com est d'importance vitale pour les français :transpi:

Avatar de data_gh0st INpactien
Avatar de data_gh0stdata_gh0st- 07/08/15 à 14:01:14

L’Afdel, l’association française des éditeurs de logiciels et de solutions Internet, estime ainsi qu’une obligation indifférenciée de reporting d’incidents « pourrait porter atteinte à la compétitivité des entreprises du numérique, en particulier des entreprises françaises et européennes du numérique – dont de nombreuses PME, qui n’ont pas toute la capacité d’adaptation des grands groupes internationaux –, sans atteindre les objectifs poursuivis en termes de sécurité ».  

J'ai un poil de mal avec ce passage là : il sous entend que les boites françaises n'ont pas les moyens d'avoir une bonne sécurité, et que ça serait donc les désavantager que de révéler les attaques dont elles sont victimes ?

Édité par data_gh0st le 07/08/2015 à 14:02
Avatar de Ricard INpactien
Avatar de RicardRicard- 07/08/15 à 14:03:01

DotNerk a écrit :

En même temps ton site jaime-le-pastis-coupe-a-leau.com est d'importance vitale pour les français :transpi:

Ha. On parle donc du Minitel 2.0 quand on parle des "acteurs du numérique". Dont acte.

Avatar de CUlater INpactien
Avatar de CUlaterCUlater- 07/08/15 à 14:27:10

Un développeur d’objets connectés devra-t-il bientôt confier les clés à l’ANSSI ? Un hébergeur de données devra-t-il également offrir un accès à toutes les données stockées ? Un site de médias devra-t-il aussi donner à l’ANSSI une porte d’accès à l’ensemble de ses serveurs, notamment e-mails ? »
La CNIL aura-t-elle accès à des documents type personal data ??? :roll:

Avatar de Fieltor Abonné
Avatar de FieltorFieltor- 07/08/15 à 14:51:32

Ils parlent principalement des PMEs qui n'ont pas les moyens de se payer un mec uniquement pour pallier à toutes les failles possibles pour leur applications/sites. Enfin c'est ce que j'en ai compris.

Il n'est plus possible de commenter cette actualité.
Page 1 / 2